Resolvendo Active Directory Lacuna de proteção com MFA para RDP, PsExec e PowerShell
Outubro 14th, 2021 Yiftach Keshet
Embora a transição para a nuvem e a transformação digital remodelem continuamente a TI, Active Directory (AD) ainda é um componente chave no ambiente de quase todas as organizações. A suposição comum é que, no futuro próximo, a maioria das organizações manterá um ambiente misto local/nuvem. Isso introduz uma lacuna crítica de segurança porque, diferentemente da nuvem, o AD não oferece suporte nativo a controles de proteção de identidade, como MFA, expondo-o de forma alarmante a um ataque que utiliza credenciais comprometidas para acessar recursos direcionados. Embora o MFA exista para logins locais e conexões RDP, ele está ausente nas principais interfaces de acesso, como PsExec, PowerShelle outros que são amplamente utilizados por agentes de ameaças em movimento lateral e ataques de ransomware. Silverforté unificado Proteção de identidade é a primeira solução que oferece proteção MFA completa para Active Directory ambientes, eliminando o risco de credenciais comprometidas e introduzindo proteção de identidade em nível de nuvem e MFA para ambientes locais.
Índice analítico
Uma breve recapitulação do MFA – como funciona e com que finalidade?
Na sua forma mais simples, a autenticação envolve um usuário fornecendo credenciais e um provedor de identidade que verifica se as credenciais correspondem e, com base no resultado, permite ou nega o acesso ao recurso solicitado. MFA atua como uma etapa adicional dentro este processo – após o resultado positivo da verificação de credenciais, o usuário é obrigado a fornecer prova adicional de sua identidade. Dessa forma, mesmo que as credenciais sejam comprometidas, elas não serão suficientes para possibilitar o acesso, reduzindo materialmente o risco potencial de tais cenários.
Então, qual é o problema com o MFA Active Directory?
Protocolos de autenticação que não suportam MFA
Desde o núcleo Active Directory Embora a infraestrutura de autenticação tenha sido projetada e construída muito antes mesmo de a MFA existir, não há como adicionar a etapa de MFA que descrevemos anteriormente ao processo de autenticação. Isso se aplica principalmente a interfaces de acesso remoto baseadas em linha de comando, como PsExec, Sessão PSEnter do PowerShell, WMI. Essas interfaces são a ferramenta preferida dos administradores de sistema e da equipe de suporte técnico para resolver problemas em máquinas remotas – mas também para invasores que buscam comprometer a rede por meio de movimentos laterais manuais ou automatizados.
Dependência de Agentes e Procuradores = Cobertura Parcial
O RDP destaca-se como uma alternativa de autenticação remota relativamente segura, uma vez que suporta a colocação do processo MFA dentro do seu fluxo de autenticação. No entanto, para colocar esta proteção, é necessário instalar um agente MFA em cada servidor protegido ou colocar um proxy na frente de cada segmento de rede. Isso quase sempre resulta em cobertura parcial porque os agentes nunca são implantados em 100% das máquinas e os proxies não conseguem cobrir hermeticamente as redes que excedem a topologia mais básica.
Silverfort Proteção MFA para Active Directory
A Silverfort A plataforma Unified Identity Protection oferece proteção completa AMF para Active Directory ambientes, superando as lacunas na aplicação tradicional de MFA. Utilizando tecnologia sem agente e sem proxy, Silverfort analisa cada Active Directory solicitação de autenticação e, se houver necessidade, envia notificação de MFA ao usuário solicitante. Somente após a verificação bem-sucedida é que Silverfort instruir Active Directory para permitir que o usuário acesse o recurso solicitado. Este processo é completamente independente do método de acesso, permitindo Silverfort para estender a proteção MFA ao seguinte:
MFA para PowerShell
O PowerShell se tornou cada vez mais a ferramenta preferida para administração de sistemas e inclui vários cmdlets e utilitários para acesso remoto. Infelizmente, a sua utilização em ataques cibernéticos aumentou em proporção direta. Silverfort permite que seus usuários imponham MFA no PowerShell conexões baseadas em regras ou na descoberta automatizada de indicadores de risco.
MFA para RDP
Ao contrário de seus pares, o RDP não é baseado em linha de comando, mas permite a interação direta com a GUI das máquinas remotas. Isso expande seu uso para uma grande parte dos membros não técnicos das organizações, especialmente na era da força de trabalho remota da COVID. Embora a MFA tradicional possa ser aplicada ao RDP, ela está sujeita às limitações de proxies e agentes que descrevemos anteriormente, resultando quase sempre em cobertura parcial que deixa uma lacuna para os invasores aproveitarem.
Em oposição a isso, SilverfortA tecnologia sem agente e sem proxy da empresa aplica perfeitamente AMF no RDP conexões no ambiente para fornecer segurança de ponta a ponta.
Legal, mas pode Silverfort Entregar MFA para outros métodos de acesso em Active Directory Ambientes?
O conceito é simples – se o recurso for autenticado Active Directory, Silverfort pode impor a AMF. Tão simples como isso. Isto é válido independentemente dos métodos de acesso. Dedicamos espaço ao PowerShell, MFA para PsExec e RDP, uma vez que são extremamente comuns, mas a mesma lógica de proteção se aplica igualmente a qualquer vetor de autenticação existente ou futuro que passe por Active Directory – WMI, conexões de banco de dados, aplicação local ou qualquer outro.
É hora de perceber que a proteção MFA para Active Directory é uma obrigação
Active Directory está aqui para ficar. Os ataques cibernéticos prosperam na ausência histórica de proteção de identidade ativa para Active Directory ambiente que, na prática, significa que se as credenciais das suas contas de usuário forem comprometidas, o jogo termina. A boa notícia é que não precisamos mais aceitar isso – Silverfort faz AMF para Active Directory acessível, abrangente e fácil de implementar, tornando a sua organização resiliente a ataques cibernéticos como nunca antes.
Saiba mais sobre Silverfort:
