La autenticaci\u00f3n multifactor (MFA) se ha convertido hace mucho tiempo en una pr\u00e1ctica de seguridad est\u00e1ndar. Con un amplio consenso sobre su capacidad para defenderse de m\u00e1s del 99 % de los ataques de apropiaci\u00f3n de cuentas, no es de extra\u00f1ar que los arquitectos de seguridad lo consideren imprescindible en sus entornos. Sin embargo, lo que parece menos conocido son las limitaciones de cobertura inherentes a las soluciones MFA tradicionales. Si bien es compatible con la conexi\u00f3n RDP y los inicios de sesi\u00f3n de escritorio locales, no ofrecen protecci\u00f3n a las herramientas de acceso remoto a la l\u00ednea de comandos como PsExec, Remote PowerShell y similares.<\/strong><\/p>\n En la pr\u00e1ctica, significa que las estaciones de trabajo y los servidores siguen siendo vulnerables al movimiento lateral, la propagaci\u00f3n del ransomware y otras amenazas de identidad a pesar de tener una soluci\u00f3n MFA en pleno funcionamiento. Para el adversario, solo es cuesti\u00f3n de tomar la ruta de la l\u00ednea de comando en lugar del RDP para iniciar sesi\u00f3n como si no hubiera ninguna protecci\u00f3n instalada. En este art\u00edculo, exploraremos este punto ciego, comprenderemos su causa ra\u00edz y sus implicaciones, y veremos las diferentes opciones que los equipos de seguridad pueden superar para mantener sus entornos protegidos. <\/p>\n MFA, la medida de seguridad m\u00e1s eficiente contra la apropiaci\u00f3n de cuentas. La raz\u00f3n por la que tenemos MFA en primer lugar es para evitar que los adversarios accedan a nuestros recursos con credenciales comprometidas. Entonces, incluso si un atacante pudiera apoderarse de nuestro nombre de usuario y contrase\u00f1a, que es un escenario m\u00e1s que plausible, a\u00fan no podr\u00e1 aprovecharlos para el acceso malicioso en nuestro nombre. Por lo tanto, es la \u00faltima l\u00ednea de defensa definitiva contra el compromiso de credenciales, que tiene como objetivo anular este compromiso de cualquier ganancia. <\/p>\n Si bien MFA puede cubrir completamente el acceso a SaaS y aplicaciones web, es significativamente m\u00e1s limitado cuando se trata del entorno administrado de Active Directory. Esto se debe a que los protocolos de autenticaci\u00f3n clave que se utilizan en este entorno, NTLM y Kerberos, se escribieron mucho antes de que existiera MFA y no lo admiten de forma nativa. Lo que significa es que todos los m\u00e9todos de autenticaci\u00f3n que implementan estos protocolos no se pueden proteger con MFA. Eso incluye todas las herramientas de acceso remoto basadas en CMD y PowerShell, de las cuales las m\u00e1s destacadas son PsExec y Remote PowerShell. Estas son las herramientas predeterminadas que usan los administradores para conectarse de forma remota a las m\u00e1quinas de los usuarios con fines de resoluci\u00f3n de problemas y mantenimiento y, por lo tanto, se encuentran pr\u00e1cticamente en cualquier entorno de AD. <\/p>\n Esta ruta de conexi\u00f3n remota principal est\u00e1, por definici\u00f3n, desprotegida de un escenario de credenciales comprometidas y, como resultado, se usa en la mayor\u00eda de los ataques de propagaci\u00f3n de ransomware y movimiento lateral. No importa que haya una soluci\u00f3n MFA que proteja la conexi\u00f3n RDP y evite que se abuse de ella. Para un atacante, pasar de la m\u00e1quina del paciente cero a otras estaciones de trabajo en el entorno con PsExec o Remote PowerShell es tan f\u00e1cil como hacerlo con RDP. Es solo cuesti\u00f3n de usar una puerta en lugar de la otra. <\/p>\n \u00bfEst\u00e1s tan protegido como deber\u00edas estarlo? Tal vez sea hora de que vuelva a evaluar su MFA. Como seguimiento, explore este libro electr\u00f3nico para aprender<\/b><\/a> Obtenga m\u00e1s informaci\u00f3n sobre el enfoque de protecci\u00f3n de identidad unificada de Silverfort para MFA y obtenga informaci\u00f3n sobre c\u00f3mo evaluar sus protecciones existentes y la exposici\u00f3n al riesgo relativo.<\/p>\n<\/div>\n Por lo tanto, si ha pasado por el dolor de instalar agentes MFA en todos sus servidores y estaciones de trabajo cr\u00edticos, lo m\u00e1s probable es que haya logrado poco para protegerlos de las amenazas de identidad. Este es uno de los casos en los que no puedes ir a la mitad. O est\u00e1s protegido o no lo est\u00e1s. Cuando hay un agujero en el fondo del bote, poco importa que todo el resto sea de madera maciza. Y de la misma manera, si los atacantes pueden moverse lateralmente en su entorno proporcionando credenciales comprometidas a las herramientas de acceso a la l\u00ednea de comandos, ya no importa que tenga protecci\u00f3n MFA para RDP e inicio de sesi\u00f3n de escritorio. <\/p>\n A pesar del cambio a la nube, m\u00e1s del 90 % de las organizaciones mantienen una infraestructura de identidad h\u00edbrida con estaciones de trabajo y servidores administrados por AD, as\u00ed como aplicaciones SaaS y cargas de trabajo en la nube. Por lo tanto, no solo los recursos locales centrales, como las aplicaciones heredadas y los recursos compartidos de archivos, est\u00e1n expuestos al uso de credenciales comprometidas debido a la falta de protecci\u00f3n MFA, sino tambi\u00e9n las aplicaciones SaaS. <\/p>\n La pr\u00e1ctica com\u00fan hoy en d\u00eda es sincronizar contrase\u00f1as entre todos estos recursos, por lo que se usa el mismo nombre de usuario y contrase\u00f1a para acceder tanto a un servidor de archivos local como a una aplicaci\u00f3n SaaS organizacional. Esto significa que cualquier ataque local que incluya el compromiso y el uso de las credenciales de los usuarios puede cambiar f\u00e1cilmente para acceder a los recursos de SaaS directamente desde las m\u00e1quinas atacadas.<\/p>\n La brecha que hemos descrito se deriva de c\u00f3mo se dise\u00f1a e implementa la MFA tradicional. La limitaci\u00f3n clave es que las soluciones MFA de hoy se conectan al proceso de autenticaci\u00f3n de cada recurso individual, por lo que si el software que realiza esta autenticaci\u00f3n no es compatible con MFA, como en las herramientas de acceso a la l\u00ednea de comandos de AD, no puede haber protecci\u00f3n en blanco.<\/p>\n Sin embargo, hoy existe un nuevo enfoque que cambia el enfoque de colocar MFA en cada recurso individual al directorio, superando as\u00ed la barrera por completo.<\/p>\n Silverfort es pionera en la primera plataforma de Protecci\u00f3n de Identidad Unificada que puede extender MFA a cualquier recurso, independientemente de si admite MFA de forma nativa o no. Utilizando una tecnolog\u00eda sin agente y sin proxy, Silverfort se integra directamente con AD. Con esta integraci\u00f3n, cada vez que AD recibe una solicitud de acceso, espera su veredicto y lo reenv\u00eda a Silverfort. Luego, Silverfort analiza la solicitud de acceso y, si es necesario, desaf\u00eda al usuario con MFA. Seg\u00fan la respuesta del usuario, Silverfort determina si confiar o no en el usuario y pasa el veredicto a AD que concede o deniega el acceso, respectivamente. <\/p>\n La innovaci\u00f3n en este enfoque es que ya no importa si esta solicitud de acceso se realiz\u00f3 a trav\u00e9s de RDP o l\u00ednea de comando y si es compatible con MFA o no. Siempre que se haya hecho a AD, AD puede pas\u00e1rselo a Silverfort. Por lo tanto, al pasar de la protecci\u00f3n MFA a nivel de recursos a la protecci\u00f3n MFA a nivel de directorio, el punto ciego del que abusan los adversarios durante a\u00f1os finalmente se resuelve y protege. <\/p>\n \u00bfDesea obtener m\u00e1s informaci\u00f3n sobre c\u00f3mo aplicar MFA a todos sus recursos? Visitanos en https:\/\/www.silverfort.com\/<\/a> <\/p>\n <\/p>\nEl prop\u00f3sito principal de MFA: evitar que los adversarios accedan a sus recursos con credenciales comprometidas <\/h2>\n
El punto ciego: MFA no es compatible con las herramientas de acceso a la l\u00ednea de comandos en el entorno de Active Directory<\/h2>\n
Las implicaciones de seguridad cibern\u00e9tica: el movimiento lateral y los ataques de ransomware no encuentran resistencia. <\/h2>\n
La dura verdad: la protecci\u00f3n parcial de MFA es ninguna protecci\u00f3n en absoluto<\/h2>\n
Las limitaciones de MFA en el entorno local tambi\u00e9n ponen en riesgo los recursos de la nube<\/h2>\n
El cambio de paradigma: de la MFA tradicional a la protecci\u00f3n de identidad unificada <\/h2>\n