Pesquisar

Língua

O ponto cego do MFA em aplicativos legados

9 de Novembro de 2022

Início » Blog » O ponto cego do MFA em aplicativos legados

Apesar do aumento nos últimos anos na migração de todos os recursos para a nuvem, o uso de aplicativos locais legados não está desaparecendo. Numa empresa típica, estas aplicações suportam os processos operacionais diários em quase todos os setores verticais, desde finanças e produção até saúde e hospitalidade.

Embora os aplicativos legados sejam vitais para o funcionamento das organizações, eles apresentam riscos de segurança. Um dos mais proeminentes está na identidade superfície de ataque, já que os aplicativos legados normalmente não oferecem suporte à proteção MFA. Isso torna os aplicativos legados um ponto cego na arquitetura de segurança da organização, expondo seus dados confidenciais a qualquer agente de ameaça que obtenha credenciais de usuário comprometidas.

Esta postagem examina as implicações de segurança de identidade de aplicativos legados e como corrigir o ponto cego do MFA com esses aplicativos.

Índice analítico

  • O que são aplicativos legados?
  • Por que os aplicativos legados não podem ser protegidos com MFA?
  • A falta de MFA em aplicativos legados expõe as organizações à perda de dados e à interrupção das operações
  • As alternativas atuais de proteção de identidade não são suficientes
  • A solução: SilverfortMFA de proteção de identidade unificada

    • O que são aplicativos legados?

    A organização típica usa muitos tipos diferentes de aplicativos para executar suas operações diárias. Uma quantidade considerável destas aplicações é conhecida como “herdada”, que – embora baseada em tecnologias mais antigas – ainda faz parte das operações da organização. Em muitos casos, a sobrecarga operacional e o custo de migração destas aplicações para a nuvem são demasiado elevados, tornando-as num recurso local permanente. Além disso, eles introduzem vários problemas de segurança, pois não foram projetados para os controles e práticas recomendadas de segurança atuais.

    De Proteção de identidade Nesse aspecto, os aplicativos legados não oferecem suporte à proteção MFA, tornando-os expostos a agentes de ameaças que empregam credenciais comprometidas em seus ataques. Esta lacuna de MFA cria um ponto cego na arquitetura de segurança das organizações, impedindo-as de proteger de forma eficiente os dados sensíveis nestas aplicações e a continuidade operacional que delas depende contra ataques recebidos. Este risco chama agora cada vez mais a atenção das partes interessadas em segurança para a necessidade de proteção abrangente de MFA para aplicações legadas.  

    Por que os aplicativos legados não podem ser protegidos com MFA?

    Aplicativos legados foram desenvolvidos muito antes Tecnologia MFA estava amplamente disponível, portanto, eles não oferecem suporte nativo à sua implementação em seu processo de autenticação padrão. Para integrar a MFA numa aplicação legada, as organizações precisariam de fazer alterações no código da aplicação, o que poderia causar atritos na sua continuidade operacional. Portanto, não é considerada uma opção viável pela maioria das organizações.

    Além disso, os aplicativos legados normalmente são autenticados em Active Directory sobre NTLM e Kerberos protocolos, que – ao contrário dos protocolos de autenticação modernos usados ​​por SaaS e aplicativos da web – também não oferecem suporte a MFA. Isso deixa os aplicativos legados sem uma opção prática de proteção de MFA.

    A falta de MFA em aplicativos legados expõe as organizações à perda de dados e à interrupção das operações

    A MFA é a medida de segurança mais eficaz para impedir que agentes de ameaças usem credenciais comprometidas para acesso malicioso. De acordo com a Microsoft, a MFA pode bloquear mais de 99.9% dos ataques de comprometimento de contas. O aumento acentuado deste tipo de ataque – que é observado em 82% das violações de dados e ransomware ataques – torna a falta de proteção MFA para aplicativos legados uma superfície de ataque criticamente exposta.

    Como essa exposição se traduz em um cenário real? Depois que um agente de ameaça se infiltrar em um ambiente alvo e comprometer um conjunto de credenciais válidas, ele obterá acesso ininterrupto aos aplicativos legados e a tudo o que eles contêm. Este acesso seria seguido por exfiltração de IP sensível ou extorsão sob ameaça de encerramento de operações.

    Além disso, não colocar proteção MFA para aplicações legadas pode criar problemas de conformidade para organizações que procuram cumprir os quadros regulamentares da sua indústria e requisitos de seguro cibernético

    As alternativas atuais de proteção de identidade não são suficientes

    Algumas organizações tentam compensar o défice na cobertura de MFA monitorizando de perto o acesso e a atividade dos utilizadores nas suas aplicações legadas para capturar quaisquer anomalias que possam indicar um comprometimento. No entanto, esta abordagem tem duas falhas principais. Primeiro, é reativo por natureza, sempre respondendo às ameaças detectadas em vez de preveni-las. Em segundo lugar, exige muitos recursos, exigindo uma integração manual do aplicativo legado a um SIEM ou algum outro coletor de log centralizado, bem como uma equipe de segurança totalmente equipada para realizar o monitoramento real. Isso o torna uma escolha impraticável para a maioria das organizações.

    Como explicamos anteriormente, reescrever o código dos apps ou migrá-los para a nuvem também não é uma opção. Assim, parece que chegámos a um impasse: por um lado, a AMF é necessária, mas por outro parece impossível. Como isso pode ser resolvido?

    A solução: SilverfortMFA de proteção de identidade unificada

    Silverfort foi pioneira no primeiro mundo Proteção de identidade unificada plataforma que estende a MFA e a segurança de identidade moderna a qualquer usuário e recurso, incluindo os aplicativos legados que não poderia ser protegido antes.

    Essa arquitetura evita a questão de saber se o aplicativo suporta MFA nativamente ou não, porque a única coisa que importa é se ele é autenticado no AD. Se isso acontecer - o que é o caso para a maioria dos aplicativos legados - então Silverfort pode analisá-lo, acionar o MFA se necessário e passar o veredicto ao AD conforme explicamos acima.

    Uma vez que o Silverfort plataforma está instalada no ambiente, Active Directory encaminha todas as solicitações de acesso recebidas para análise de risco antes de permitir ou negar o acesso. SilverfortO mecanismo de risco do inspeciona a tentativa de acesso e determina se ela é confiável ou se a verificação de MFA é necessária. Se for necessária uma verificação adicional, Silverfort conecta-se ao serviço MFA – próprio ou de terceiros – e desafia o usuário a provar sua identidade. Com base na resposta, Silverfort informa ao AD se a solicitação de acesso pode ser confiável ou não.

    Desta forma, Silverfort supera todos os desafios que descrevemos nas seções anteriores:

    • Não requer nenhuma alteração de código no próprio aplicativo.
    • Não requer a instalação de nenhum agente nos servidores do aplicativo.
    • Abrange todas as tentativas de acesso que utilizam Active Directory.
    • Ele fornece prevenção proativa e em tempo real contra qualquer tentativa de uso de credenciais comprometidas para acessar o aplicativo legado.

    Saiba mais sobre os pontos cegos do MFA e como protegê-los em Silverforte-book de: Reavalie sua proteção MFA.

    Pronto para uma demonstração?
    Inscreva-se hoje.

    Postagens recentes

    2 de maio de 2024

    Silverfort revelará pesquisa na RSA 2024: usando MITM para ignorar métodos modernos de autenticação para SSO

    24 de abril de 2024

    5 maneiras de melhorar sua higiene AD com Silverfort  

    Março 26th, 2024

    The Identity Underground Report: uma visão aprofundada das lacunas de segurança de identidade mais críticas  

    Março 2nd, 2024

    Proteção MFA para redes air-gapped
    Ver mais

    Siga-nos

    Pare as ameaças à identidade agora