Pesquisar

Língua

Proteção MFA para redes air-gapped

Março 2nd, 2024

Início » Blog » Proteção MFA para redes air-gapped

Os recentes ataques cibernéticos lançados no âmbito da guerra entre a Rússia e a Ucrânia despertaram novamente preocupações sobre a segurança das redes com lacunas aéreas, particularmente no que diz respeito à protecção da identidade. Falta de ar é implementado para reduzir a superfície de ataque de uma rede altamente sensível, como aquelas encontradas em infraestruturas críticas de nações, ambientes militares e governamentais e fábricas. É provável que estes tipos de redes sejam alvo de agentes ameaçadores, uma probabilidade que serve como uma expressão alternativa de hostilidade, ao mesmo tempo que se abstém da guerra convencional. Neste artigo, exploramos como o Silverfort unificado Proteção de identidade A plataforma impõe autenticação segura em ambientes com falta de ar, permitindo o uso de tokens de hardware FIDO2 para MFA sem agentes, modificação de código ou alterações na infraestrutura de autenticação. Desta forma, Silverfort fornece a essas redes proteção em tempo real contra movimento lateral e propagação automatizada de malware.

Índice analítico

  • O que é uma rede Air Gapped?
  • Redes Air Gapped ainda estão expostas a infiltrações maliciosas
  • Movimento Lateral em Redes Air Gapped
  • Quais restrições tornam a proteção de redes com isolamento aéreo um desafio?
  • Requisitos para autenticação multifator em redes air-gapped
  • Silverfort Autenticação segura para redes air-gapped

    • O que é uma rede Air Gapped?

    Redes air-gapped são redes de computadores sem interfaces conectadas ao mundo exterior. Esta é obviamente uma medida drástica, portanto a abordagem normalmente só é usada por organizações altamente sensíveis que exigem níveis máximos de segurança.

    Redes air-gapped são ambientes de produção onde as máquinas que compõem o ambiente não têm conexão externa, seja diretamente com a Internet ou indiretamente com uma rede interna voltada para saída. As redes ficam sem ar para reduzir sua superfície de ataque e aumenta sua resiliência a ataques cibernéticos.

    Alguns exemplos proeminentes de redes isoladas incluem vários intervenientes na segurança nacional, tais como defesa, governos e organismos militares, bem como entidades de infra-estruturas críticas que fornecem serviços de energia, água e outros serviços de apoio. Organizações desse tipo se esforçam para segregar totalmente seus segmentos de rede mais sensíveis, para que fiquem isoladas de qualquer conexão com a Internet.

    Redes Air Gapped ainda estão expostas a infiltrações maliciosas

    Embora esta abordagem faça sentido na teoria, na prática existem várias restrições que tornam o entreferro total uma tarefa quase impossível. O que normalmente acontece é que um certo grau de conectividade com o mundo exterior ainda é mantido, independentemente de todas as intenções iniciais, principalmente por razões operacionais: operadoras que precisam transferir arquivos externos para a rede, atualizações de software, suporte técnico remoto são apenas alguns exemplos comuns. No final das contas, tudo isso resulta em uma incapacidade inerente de implementar uma verdadeira arquitetura 100% isolada. O Malware Stuxnet, que foi inicialmente introduzido em redes air-gapped usando unidades removíveis infectadas, como unidades flash USB, deve ser um lembrete constante de que o acesso inicial a uma rede air-gapped continua possível.

    Movimento Lateral em Redes Air Gapped

    Depois que os invasores estabelecerem uma posição inicial na rede isolada, eles poderão prosseguir com movimentos laterais, usando senhas e credenciais roubadas para expandir a presença e aumentar o impacto do ataque. Em 2017, o infame ataque NotPetya realizou esse movimento lateral tanto em redes de TI padrão quanto em redes de TO com air gap.

    Portanto, o air gap por si só não pode garantir a proteção rígida que seu nome implica. Poderia ter sido possível no passado, mas no ambiente de TI hiperconectado de hoje, é simplesmente impraticável. Isto exige uma reavaliação de como essas redes devem ser melhor protegidas, tanto contra o acesso malicioso inicial, como contra o movimento lateral numa fase pós-comprometimento.

    Quais restrições tornam a proteção de redes com isolamento aéreo um desafio?

    Redes isoladas não podem ser facilmente protegidas com soluções de segurança padrão.

    Em primeiro lugar, qualquer solução que dependa de conectividade em nuvem ou de Internet não pode ser usada.

    Em segundo lugar, uma característica principal das redes isoladas é o seu compromisso com a estabilidade operacional 24 horas por dia, 7 dias por semana, 365 dias por ano. Por exemplo, isso significa que é impossível reiniciá-los após a aplicação de uma instalação de software ou patch. Em muitos casos, essas redes também empregam outros sistemas proprietários que estão sob estritos termos de garantia do fornecedor que não permitem a instalação de software de terceiros nos servidores. Além disso, muitas vezes você pode encontrar sistemas legados que ainda estão ativos nessas redes, mesmo que o suporte do fabricante não exista mais. Isso exclui qualquer tipo de solução baseada em agente.

    E terceiro, a natureza destas redes aumenta a sua sensibilidade à interrupção operacional causada por falsos positivos ou à interrupção de processos críticos, bloqueando ao mesmo tempo atividades maliciosas. Todas essas considerações restringem significativamente o escopo de produtos de segurança opcionais que podem ser usados ​​em redes isoladas.

    Requisitos para autenticação multifator em redes air-gapped

    Superando as restrições de segurança integradas

    Autenticação Multifator (MFA) é a solução definitiva contra ataques que utilizam credenciais comprometidas para acessar recursos direcionados, como invasões de contas e movimentação lateral. No entanto, para ser eficaz numa rede isolada, uma solução MFA deve satisfazer vários critérios, de acordo com as restrições que descrevemos acima:

    • É capaz de funcionar totalmente sem depender de conectividade com a Internet
    • Não requer a implantação de agentes nas máquinas que protege
    • Cria interrupções mínimas e não coloca em risco a estabilidade e a disponibilidade de sistemas e processos sensíveis

     

    Suporte a token de hardware

    Além disso, a prática comum em redes air-gapped é usar tokens de segurança de hardware físico no lugar dos dispositivos móveis padrão que exigem conectividade com a Internet. Esta consideração adiciona outro requisito:

    • Ser capaz de utilizar um token de hardware para fornecer o segundo fator de autenticação.

    FIDO2 é o padrão preferido para hard tokens e é considerado resiliente a ataques de phishing avançados e tradicionais.

    No entanto, os tokens FIDO2 podem ser usados ​​apenas com webauthN or U2F protocolos de autenticação. Se os sistemas da rede air gap não fossem projetados inicialmente para funcionar com esses protocolos, seria extremamente difícil realizar a alteração necessária (veja acima sobre disponibilidade 24/7/365). Como resultado, o último requisito não é facilmente satisfeito, deixando muitas redes isoladas expostas a ataques.

    Silverfort Autenticação segura para redes air-gapped

    Nossa missão na Silverfort é estender a autenticação segura a todos os usuários, interfaces de acesso e recursos. Conseguimos aplicar a proteção MFA a recursos que nunca poderiam ter sido protegidos dessa maneira antes, como infraestrutura de TI, compartilhamentos de arquivos, bancos de dados, IIOT e até mesmo sistemas TO, como IHMs e servidores de produção.

    Alinhando-se com esta visão, Silverfort também fornece proteção MFA sem agente para redes isoladas, permitindo o uso de tokens de hardware FIDO2 sem quaisquer alterações de código nos sistemas protegidos:

    1. A Dedicado  Modo de implantação Agnóstico para Conectividade com a Internet: Silverfort oferece um modo de implantação local completo. Neste modo, Silverfort é implantado como um dispositivo virtual local, com funcionalidades completas disponíveis. Observe que Silverfort também oferece uma opção de implantação baseada em SaaS e uma opção de implantação híbrida de SaaS no local.
    2. Arquitetura sem agente de Nenhuma alteração de código necessáriaSilverfortarquitetura inovadora única permite que as organizações estendam a Autenticação Multifator a qualquer sistema ou recurso, sem instalação de agentes nas máquinas protegidas e sem exigir qualquer personalização de código ou qualquer alteração nos protocolos de autenticação.
    3. Tokens de hardware compatíveis com FIDO2: Silverfort permite que as organizações escolham seu autenticador em ambientes isolados, incluindo todos os tokens de hardware FIDO2.

    A implementação mais popular dentro do ecossistema dos nossos clientes é o nosso integração com tokens YubiKey. Essa integração perfeita preenche a lacuna entre os tokens FIDO2 modernos e sua infraestrutura de autenticação existente para fornecer proteção abrangente de MFA para a rede sem ar.

    Conclusão

    Air gapping é uma estratégia de segurança sólida — mas é preciso reconhecer tanto as suas lacunas como as suas implicações nos produtos de segurança que pode utilizar. SilverfortO MFA do permite impor autenticação segura e validar a identidade de usuários em redes sem comunicação, garantindo que eles estejam protegidos contra ataques baseados em identidade.

    Pronto para uma demonstração?
    Inscreva-se hoje.

    Postagens recentes

    2 de maio de 2024

    Silverfort revelará pesquisa na RSA 2024: usando MITM para ignorar métodos modernos de autenticação para SSO

    24 de abril de 2024

    5 maneiras de melhorar sua higiene AD com Silverfort  

    Março 26th, 2024

    The Identity Underground Report: uma visão aprofundada das lacunas de segurança de identidade mais críticas  

    Março 2nd, 2024

    Proteção MFA para redes air-gapped
    Ver mais

    Siga-nos

    Pare as ameaças à identidade agora