En este artículo, brindaremos una breve descripción general de la plataforma de Silverfort, la primera (y actualmente única) plataforma unificada de protección de identidad en el mercado. La tecnología patentada de Silverfort tiene como objetivo proteger a las organizaciones de ataques basados en identidad integrándose con soluciones de gestión de acceso e identidad existentes, como AD (Active Directory) y servicios basados en la nube, y ampliando controles de acceso seguro como autenticación basada en riesgos y MFA (Multi- Autenticación de factor) a todos sus recursos. Esto incluye recursos locales y en la nube, sistemas heredados, herramientas de línea de comandos y cuentas de servicio.
Un informe reciente de Silverfort y Osterman Research reveló que El 83% de las organizaciones en todo el mundo han experimentado violaciones de datos debido a credenciales comprometidas.. Muchas organizaciones admiten que están desprotegidas contra ataques basados en identidad, como el movimiento lateral y el ransomware. Recursos como las herramientas de acceso a la línea de comandos y los sistemas heredados, que se utilizan ampliamente, son particularmente difíciles de proteger.
Primeros pasos: uso del panel
A continuación se muestra una captura de pantalla del tablero de Silverfort (figura 1). En general, tiene una interfaz de usuario muy intuitiva. A la izquierda hay una lista de tipos de usuarios: usuarios privilegiados, usuarios estándar y cuentas de servicio, y cómo acceden a los recursos: a través de directorios locales y basados en la nube (AD, Azure AD, Okta), servidores de federación (Ping, ADFS ) y conexiones VPN (RADIUS). El lado derecho de la pantalla muestra una lista de los diferentes tipos de recursos a los que los usuarios intentan acceder. Los intentos de acceso están representados por puntos brillantes.
Esta pantalla muestra el diferenciador único de la plataforma: es la única solución actual que es capaz de integrarse con toda la infraestructura de identidad en el entorno híbrido. Con esta integración implementada, los diferentes directorios locales y en la nube reenvían cada intento de autenticación y acceso a Silverfort para su análisis y veredicto sobre si permitir o denegar el acceso. De esta manera se consigue protección en tiempo real para cualquier usuario y recurso, como veremos con más detalle próximamente.
El panel también muestra agregaciones de datos valiosos relacionados con la identidad: número de intentos de autenticación por protocolos y directorios, proporción de autenticaciones verificadas, número de usuarios y cuentas de servicio protegidas con éxito y un desglose de los usuarios por nivel de riesgo (medio, alto, crítico). .
La plataforma incluye varios módulos y cada uno de ellos aborda un problema de protección de identidad diferente. Ahora exploraremos dos de ellos: Advanced MFA y Service Account Protection.
Protección de recursos con MFA avanzada
MFA ha demostrado ser una de las formas más efectivas de protegerse contra ataques basados en identidad. Sin embargo, tener protección MFA en todos los activos de la red es bastante difícil.
MFA tradicionalmente depende de agentes y proxies, lo que significa que algunas computadoras nunca estarán cubiertas por él. Ya sea porque su red es demasiado grande para tener servidores proxy en cada computadora o porque no todas las computadoras son capaces de instalar agentes.
¿Quieres ver a Silverfort en acción? Programe una demostración gratuita ¡Con nuestro equipo de expertos hoy!
Además, las herramientas de acceso a la línea de comandos, como PsExec, PowerShell y WMI, a pesar de ser ampliamente utilizadas por los administradores de red, no son compatibles de forma nativa con MFA. Estas y otras autenticaciones locales son administradas por AD, pero los protocolos de autenticación de AD (Kerberos, NTLM) simplemente no fueron diseñados para MFA, y los atacantes lo saben. AD solo verifica si los nombres de usuario y las contraseñas coinciden, por lo que los atacantes que usan credenciales legítimas (que pueden estar comprometidas o no) pueden acceder a la red y lanzar movimientos laterales y ataques de ransomware sin que AD lo sepa. La principal ventaja de Silverfort es que puede aplicar MFA a todos estos, algo que otras soluciones no pueden.
En la pantalla de políticas (figura 2) puede ver las políticas existentes o crear otras nuevas.
Figura 2: Pantalla de política |
Crear una nueva política parece bastante intuitivo, como se ve en la figura 3. Necesitamos determinar el tipo de autenticación, los protocolos relevantes, qué usuarios, fuentes y destinos cubre la política, y la acción requerida. Lo que sucede aquí es bastante simple, pero sorprendentemente inteligente. AD envía todas las solicitudes de autenticación y acceso a Silverfort. Para cada solicitud, Silverfort analiza su riesgo y las políticas asociadas para determinar si se requiere MFA o no. Dependiendo del veredicto, al usuario se le concede acceso, se le bloquea o se le solicita que proporcione MFA. En otras palabras, la política básicamente pasa por alto las limitaciones inherentes de los protocolos más antiguos y les impone la MFA.
Figura 3: Creación de una política |
Descubrir y proteger cuentas de servicio
Las cuentas de servicio son un desafío de seguridad crítico debido a sus altos privilegios de acceso y su visibilidad baja o nula. Además, las cuentas de servicio no son humanas, por lo que MFA no es una opción, al igual que la rotación de contraseñas con PAM, que puede bloquear procesos críticos si fallan sus inicios de sesión. De hecho, todas las organizaciones tienen múltiples cuentas de servicio, a veces hasta el 50% de sus usuarios totales, y muchas de ellas no están supervisadas. Es por eso que a los atacantes les encantan las cuentas de servicios comprometidas: pueden usarlas para movimientos laterales sin ser detectados y obtener acceso a una gran cantidad de máquinas sin ser detectados.
La Figura 4 muestra la pantalla Cuentas de servicio. Como Silverfort recibe todas las solicitudes de autenticación y acceso, puede identificar cuentas de servicio analizando comportamientos repetitivos de la máquina.
Figura 4: Pantalla Cuentas de servicio |
Parece que tenemos 162 cuentas de máquina a máquina. Podemos filtrarlos en función de una variedad de parámetros. La previsibilidad, por ejemplo, mide el acceso repetido al mismo origen o destino. Las desviaciones de este patrón pueden indicar actividad maliciosa.
En la figura 5, podemos ver información adicional sobre nuestras cuentas de servicio, como fuentes, destinos, indicadores de riesgo, niveles de privilegios y uso.
Figura 5: Pantalla de investigación de cuenta de servicio |
Para cada cuenta de servicio, las políticas se crean automáticamente en función de su comportamiento. Todo lo que tenemos que hacer es elegir entre ‘alertar’, ‘bloquear’ y ‘alertar a SIEM’ y habilitar la política (figura 6).
Figura 6: Políticas de cuentas de servicio |
Pensamientos finales
La plataforma de Silverfort realmente logra su objetivo de protección de identidad unificada. Su capacidad para aplicar MFA en prácticamente cualquier recurso (como herramientas de línea de comandos, aplicaciones heredadas, archivos compartidos y muchos otros) y crear políticas en segundos no tiene paralelo. Tener visibilidad completa de todas las cuentas de servicio y finalmente poder protegerlas es extremadamente valioso. En conclusión, la plataforma de Silverfort ofrece capacidades innovadoras de protección de identidad que son cada día más necesarias.