MFA e proteção de acesso administrativo são os meios. Mas para que fim?

De vez em quando, na segurança cibernética, é útil refletir sobre coisas tidas como certas e escolhas feitas – especificamente por que foram feitas e se essas coisas alcançaram seu propósito. Por exemplo, vamos examinar o uso de MFA e a proteção do acesso administrativo. Sabemos que estes são críticos, mas por quê? Além disso, o que significa não implementar essas medidas de segurança?

Neste artigo examinaremos algumas verdades comumente aceitas (mas igualmente ignoradas) sobre os objetivos por trás do MFA e controle de acesso privilegiado, os riscos que eles atenuam e as barreiras para que sejam totalmente implantados em um ambiente.

Concluiremos demonstrando como SilverfortA plataforma Unified Identity Protection permite que as equipes de identidade e segurança fechem essas lacunas e garantam que seus ambientes estejam protegidos contra o controle de contas, movimento laterale disseminação de ransomware.

Recapitulação: O que são MFA e controles de acesso administrativo?

MFA e os controles de acesso administrativo aumentam o processo de autenticação do usuário adicionando uma camada de proteção além da correspondência básica de nome de usuário e senha. A justificativa é que as credenciais podem ser comprometidas, o que significa que os adversários poderão fazer login usando um nome de usuário e uma senha legítimos. MFA mitiga este cenário garantindo que o verdadeiro utilizador seja desafiado a verificar a sua identidade, fornecendo um identificador genuíno que o adversário provavelmente não terá. A Gerenciamento de Acesso Privilegiado (PAM) A solução pode alcançar essencialmente a mesma coisa, tornando o ato de comprometimento de credenciais significativamente mais difícil, por meio de armazenamento e rotação regular de senhas.

O falso propósito: uma mentalidade de caixa de seleção que inevitavelmente leva a lacunas de segurança

O erro mais comum que as equipes de identidade ou segurança cometem com a MFA é confundir os meios com um fim. Por exemplo, processos de pensamento como “Precisamos de aplicar a AMF para estarmos em conformidade com o Regulamento X” ou “Precisamos de aumentar a cobertura da AMF para podermos mostrar à gestão que estamos a fazer progressos”. Este tipo de pensamento é fundamentalmente falho, uma vez que garante que sempre que surgir uma barreira tecnológica à implantação de AMF ou de conta privilegiada Se aparecerem controles de acesso (mostraremos exemplos deles posteriormente neste artigo), a implantação simplesmente não acontecerá. Os requisitos de conformidade poderão ser satisfeitos com algum controlo de compensação vago, com a cobertura da protecção a progredir apenas de forma incremental – protegendo o que é fácil de proteger, em vez do que melhorará substancialmente a resiliência do ambiente.

A realidade é que a única forma de conseguir uma melhor protecção é ter constantemente em mente o que pretendemos alcançar. Então, vamos examinar qual é exatamente a proteção que queremos alcançar com MFA e controles de acesso administrativo e quais são as ameaças que estamos tentando mitigar.

O Verdadeiro Objetivo: Prevenir Ameaças à Identidade, como Controle de Conta, Movimento Lateral e Disseminação de Ransomware


Aprofundando-se no verdadeiro propósito dessas proteções, o que fica claro é que se trata realmente de prevenir ameaças de identidade (ou seja, qualquer tipo de ataque ou componente de ataque) que envolvam o uso de credenciais comprometidas para acesso malicioso. Os exemplos mais proeminentes são aquisições de contas, movimentos laterais e ransomware espalhar. E isto é importante porque estas são precisamente as ameaças que introduzem o maior risco operacional às organizações hoje. Então vamos entender o porquê.

Ameaças à identidade são os principais aceleradores de danos nos ataques cibernéticos atuais

Então, por que a proteção contra ameaças à identidade é uma necessidade crítica? Vamos usar o exemplo do ransomware para entender melhor o porquê. Os ataques de ransomware sempre começam com um comprometimento inicial de uma estação de trabalho ou servidor que fornece ao adversário uma posição inicial no ambiente alvo. Neste ponto, porém, o dano está confinado a apenas uma máquina. O fator X aqui é o estágio de movimento lateral, onde o adversário usa credenciais comprometidas para fazer login e acessar máquinas adicionais no ambiente até atingir uma posição que lhes permita plantar a carga útil do ransomware em todas as máquinas possíveis. Agora, o ataque evoluiu de um evento local, envolvendo uma única máquina, para um que poderia realmente interromper as operações comerciais.

Como a mentalidade da caixa de seleção coloca os ambientes em risco

É exatamente isso que as soluções MFA e PAM deveriam impedir. Portanto, você pode ver como a mentalidade de caixa de seleção de conformidade é insuficiente. Para bloquear ameaças de identidade, a proteção MFA e PAM deve abranger todos os utilizadores, recursos e métodos de acesso. Qualquer coisa menos do que isso deixa aos adversários uma porta aberta. No entanto, as limitações tradicionais da tecnologia MFA e PAM tornam praticamente impossível alcançar este tipo de cobertura.

A mentalidade da caixa de seleção é especialmente perigosa porque tanto os reguladores quanto a administração podem ficar satisfeitos porque o melhor esforço foi demonstrado. Da mesma forma, as equipes de identidade podem sentir que fizeram seu trabalho da melhor maneira possível. Porém, na verdade os adversários ficarão mais satisfeitos, pois suas operações poderão continuar sem serem detectadas. E, em grande medida, este é, infelizmente, o Proteção de identidade status quo em muitas organizações hoje.

Quais são as barreiras tecnológicas que impedem a implantação de MFA e controle de acesso privilegiado em todo o ambiente?

Agora, vamos entender quais são os desafios para garantir que todos os usuários, recursos e métodos de acesso estejam protegidos.

MFA tradicional: dependente de agente sem cobertura para Active Directory Protocolos de autenticação

Os produtos MFA tradicionais exigem a instalação de agentes nos servidores e estações de trabalho protegidos ou a colocação de proxies na frente dos segmentos de rede. O que isso significa na prática é que que sempre haverá máquinas sem proteção — seja porque não podem aceitar agentes adicionais ou porque a arquitetura da rede é muito complexa.

A segunda limitação é ainda mais problemática. Active Directoryprotocolos de autenticação (AD), incluindo NTLM e Kerberos, foram escritos muito antes do surgimento da tecnologia MFA. Isso torna a proteção MFA inaplicável à parte mais ampla da autenticação AD. Portanto, autenticações por meio de ferramentas de acesso de linha de comando que foram construídas sobre esses protocolos – como PsExec, Remote PowerShell e WMI (todos amplamente usados ​​por administradores para conexão com máquinas remotas) – não podem ser protegidos. É exatamente por isso que essas são as ferramentas preferidas para ataques de movimento lateral. A incapacidade de protegê-los com MFA significa que, uma vez que um adversário consiga obter credenciais comprometidas, não há como impedi-lo de acessar quantos recursos desejar.

Proteção de acesso privilegiado: um processo de implantação árduo sem proteção para contas de serviço

Embora o PAM seja considerado a forma mais direta de proteger contas privilegiadas, também está sujeito a duas limitações principais que limitam significativamente sua eficácia. A primeira é um processo de integração extremamente longo e tedioso, que envolve a descoberta manual de todas as contas privilegiadas que precisam de proteção, bem como integrações separadas com cada componente individual da infraestrutura de TI.

A segunda é uma incompatibilidade fundamental entre os mecanismos de segurança de abóbada e rotação do PAM e a natureza da operação máquina-a-máquina. contas de serviço. A integração dessas contas ao PAM é essencialmente impossível porque: 1) não há nenhum utilitário que possa fornecer visibilidade instantânea dessas contas, tornando sua descoberta um esforço meticuloso e muitas vezes impossível, e 2) mesmo após a descoberta de uma conta de serviço, há ainda não há visibilidade de suas máquinas de origem e destino ou dos aplicativos que ele executa. Sem essas informações, você simplesmente não pode aplicar a rotação de senha à conta sem correr o risco de interromper qualquer processo gerenciado por ela.

O resultado dessas lacunas na MFA e na proteção de contas privilegiadas é a razão pela qual elas se tornaram um fator chave superfície de ataque que os adversários visam com grande sucesso.

Silverfort Proteção de identidade unificada: MFA em todos os lugares e descoberta, monitoramento e proteção automatizados para contas de serviço

Silverfort foi pioneira na primeira plataforma de proteção de identidade unificada desenvolvida especificamente para estender MFA para qualquer usuário e recurso, automatizar a descoberta, o monitoramento e a proteção de contas de serviçoe prevenir proativamente movimento lateral e propagação de ransomware ataques. Silverfort conecta-se a todos os controladores de domínio e outros provedores de identidade locais (IdPs) no ambiente para monitoramento contínuo, análise de risco e aplicação de políticas de acesso em cada tentativa de autenticação e acesso feita por usuários, administradores ou contas de serviço a qualquer usuário, sistema e ambiente.

As equipes de identidade e segurança usam Silverfortda plataforma para implementar facilmente a cobertura de 360 ​​graus necessária que seus ambientes precisam para obter proteção contra ameaças de identidade. Você precisa aumentar a cobertura da sua proteção MFA em todos os seus usuários e sistemas ou obter visibilidade e proteção nas suas contas de serviço? Programar uma chamada com um de nossos especialistas.

Pare as ameaças à identidade agora