Silverfort Revoluciona a proteção contra movimentos laterais com MFA – Reflexões sobre o ataque SolarWinds
24 de Dezembro de 2020 Yiftach Keshet
*****Por Yiftach Keshet, Diretor de Marketing de Produto, Silverfort *****
A MFA evita 99.9% do comprometimento da conta. No entanto, esta medida de segurança extremamente eficiente é atualmente inaplicável aos principais recursos da empresa, principalmente aos endpoints e servidores locais. A recente Ataque SolarWinds mostra mais uma vez que a proteção contra movimentos laterais está entre os pontos mais fracos da pilha de segurança atual. Silverfort revoluciona a proteção contra movimento lateral ao introduzir MFA para endpoints e acesso a servidores no ambiente local, prevenindo proativamente os existentes técnicas de movimento lateral como aqueles usados pelos atores de ameaças da SolarWinds.
Índice analítico
Movimento lateral na visão geral do ataque SolarWinds
A Movimento lateral parte do ataque SolarWinds seguiu o exemplo com padrões bem conhecidos: após o comprometimento inicial, os invasores iniciaram a busca de credenciais que terminou com a obtenção de credenciais de administrador e login no alvo real (neste caso, o servidor ADFS). Os logons nas diversas máquinas ao longo do caminho foram aparentemente realizados com ferramentas de linha de comando de acesso remoto (PSexec, Powershell, etc.).
A proteção de movimento lateral está quebrada
Vale ressaltar que a parte do acesso inicial do ataque à SolarWinds apresentou extrema inovação, sofisticação e criatividade. Este não é o caso da parte do Movimento Lateral – mas isso não a tornou menos eficaz.
A triste verdade é que Técnicas de movimento lateral e as táticas não mudaram muito desde há uma década, simplesmente porque não era necessário – do ponto de vista dos atacantes, não há necessidade de mudar algo que funciona bem. E infelizmente, neste caso eles estão certos. A pilha de segurança da empresa falha repetidamente contra o Movimento Lateral.
Isso ocorre porque, em essência, o Movimento Lateral nada mais é do que registrar em máquinas com credenciais válidas (embora comprometidas). Os controles de segurança existentes, sejam eles colocados diretamente no terminal ou monitorando o tráfego da rede, podem, na melhor das hipóteses, descobrir que ocorreu um login anômalo e gerar um alerta. No entanto, eles não podem fazer nada em tempo real para evitar o login realmente aconteça – o que na maioria dos casos será tarde demais.
A chave para prevenir o Movimento Lateral é compreender o verdadeiro significado do que acabamos de dizer: O movimento lateral nada mais é do que fazer login nas máquinas usando credenciais válidas. Em outras palavras, é uma autenticação insegura que precisamos mitigar – e há uma tecnologia desenvolvida especificamente para impedir um cenário em que um agente de ameaça tente acessar recursos corporativos com credenciais válidas – Autenticação Multifator.
MFA não está disponível contra movimento lateral
Um dos poucos pontos de consenso entre os profissionais de segurança é o enorme valor que a MFA proporciona. De acordo com a Microsoft, A MFA em vigor evita 99.9% do comprometimento da conta. No entanto, o Active Directory endpoints e servidores baseados, que são os principais alvos do movimento lateral, são excluídos da proteção que o MFA traz.
Atualmente, não há tecnologia disponível que possa impor MFA nas ferramentas de linha de comando de acesso remoto que os invasores usam para se mover lateralmente entre máquinas. MFA é a tecnologia mais eficaz e comprovada para evitar logins maliciosos. Sua ausência de logins no ambiente local é o que permite que o movimento lateral prospere, como vimos em vários APTs, incluindo o último ataque à SolarWinds.
Mas e se…?
O Mercado Pago não havia executado campanhas de Performance anteriormente nessas plataformas. Alcançar uma campanha de sucesso exigiria A MFA pode facilmente virar o jogo contra os invasores. Com um MFA em vigor, quando o invasor fornece as credenciais de login para a nova máquina, o usuário real ao qual essas credenciais pertencem recebe uma notificação em seu telefone ou desktop. A notificação perguntaria se deveria permitir ou negar o acesso à máquina e a solicitação seria finalmente negada porque o usuário real nunca realizou essa tentativa de login – e o invasor não conseguiria acessar a máquina.
Arme seu ambiente local contra movimentos laterais com Silverfort
Silverfort unificado Proteção de identidade Platform (UIPP) é pioneira na extensão do MFA a todos os recursos empresariais, incluindo recursos e métodos de acesso. Silverfort é o primeiro a introduzir a aplicação de MFA política de acesso para acessar endpoints e servidores locais por meio de ferramentas de linha de comando remotas.
Uma política simples que exija verificação de MFA sempre que um administrador de domínio fizer login usando uma ferramenta de linha de comando de acesso remoto reduziria radicalmente as taxas de sucesso de quaisquer movimentos laterais. Isso se aplicaria mesmo em um cenário de ataque da SolarWinds, em que os invasores conseguissem obter as credenciais de um administrador. Embora os atacantes de fato as credenciais, eles não poderão usar o para realizar o trabalho real entrar aos recursos que visam.
Considerações Finais
Por que a ausência de MFA no ambiente local foi tida como certa durante todo esse tempo? Esta ausência está tão profundamente enraizada na mentalidade comum que a maioria dos profissionais de segurança, tanto os profissionais como os executivos, provavelmente nem sequer a consideram como uma lacuna de segurança, mas sim como uma realidade com a qual temos de conviver. Silverfort está aqui para mudar esta realidade.
Saiba mais sobre Silverfort SUA PARTICIPAÇÃO FAZ A DIFERENÇA
