Algunas de las mayores filtraciones de datos de los últimos tiempos evadieron la autenticación multifactor (AMF). LAPSUS$ y los agentes patrocinados por el Estado encontraron formas de atacar los puntos débiles del ciclo de vida de la identidad, filtrar datos y revelar por qué la MFA debe ser la primera línea de defensa, pero no la última.
Hablé de cada uno de estos ataques durante un reciente seminario web que puedes ver a petición. Al detallar la anatomía de los ataques, intenté explicar los métodos y exploits que utilizaron los actores de las amenazas.
Estas explicaciones suscitaron tantas preguntas como respuestas. Los asistentes hicieron grandes preguntas sobre las ventajas relativas de los distintos factores de autenticación, la confianza cero, la ausencia de contraseña, etc. He aquí algunas de las preguntas que no pudimos responder durante la conferencia y las respuestas que habría compartido si no se nos hubiera acabado el tiempo:
R: Es una pregunta fascinante que se debatirá durante muchos años. Tanto las contraseñas como los PIN entran en la categoría de autenticación de "algo que sabes" y, por tanto, son susceptibles de ataques de phishing. En comparación con las contraseñas, los PIN suelen tener una longitud más corta y utilizan un conjunto de caracteres restringido. Así que, desde una perspectiva entrópica, los PIN son más débil que las contraseñas, es decir, cuanto mayor sea el número de opciones posibles, más difícil será forzar una contraseña o un PIN.
Pero eso es sólo una parte de la historia. A diferencia de las contraseñas, los PIN (o al menos los PIN según la definición del NIST SP800-63) son validado localmente. Esto significa que nunca se transmiten ni se almacenan en un depósito centralizado. Esto hace que sea mucho menos probable que los PIN sean interceptados o robados en un ataque de asalto y robo.
Como suele ocurrir, el entorno, la configuración y la formación de los usuarios tienden a tener un mayor impacto en su postura general de ciberseguridad que los protocolos o las tecnologías.
R: Un sistema "abierto en caso de fallo" es aquel que se abre por defecto cuando los controles operativos estándar no funcionan. Aunque este es un principio de seguridad importante en la seguridad física (por ejemplo, en caso de incendio, todas las puertas exteriores deben desbloquearse inmediatamente), no lo es tanto cuando se trata de proteger el acceso a activos críticos.
En el caso de uso de la ONG, los atacantes consiguieron acceder al activo impidiendo que el sistema local se comunicara con el proveedor de MFA basado en la nube, eludiendo de hecho el control de MFA. Esto fue posible porque la solución de identidad instalada utilizaba por defecto una "fallo al abrirde seguridad").
Hay varias formas de evitarlo sin bloquear a los usuarios del sistema. La primera es emplear un sistema de autenticación híbrido que pueda recurrir a un nodo local (on-prem) en caso de fallo de Internet. La segunda es emplear un sistema de autenticación que pueda validarse sin conexión. RSA ID Plus admite ambas opciones.
R: Si respondo otra cosa que no sea "RSA ID Plus", estoy bastante seguro de que perderé mi trabajo.
Pero hablando en serio, yo me fijaría en varias cosas. En primer lugar, ¿tiene el proveedor un historial probado? En segundo lugar, ¿es la identidad el núcleo de su negocio o sólo una de las muchas cosas que hace? Tercero, ¿prioriza el proveedor la comodidad sobre la seguridad a la hora de tomar decisiones de diseño? En cuarto lugar, ¿ofrece la solución la flexibilidad necesaria para dar soporte a un amplio conjunto de usuarios y casos de uso, incluidas esas peludas aplicaciones heredadas en las entrañas de su centro de datos? Y por último, cuando las cosas salen mal (y saldrán mal), ¿el proveedor se responsabiliza con total transparencia o se ofusca y echa la culpa a otros?
La seguridad no es fácil y las amenazas identidad del objetivo más que cualquier otra parte de la superficie de ataque. Las organizaciones necesitan IDP que lo entiendan.
R: Zero Trust Network Access (ZTNA) es un concepto basado en el principio de que la confianza nunca debe ser supuesto basada únicamente en la conexión de un usuario a la intranet local: los usuarios deben autenticarse continuamente, deben tener permiso para acceder a un recurso específico y también deben tener una razón válida para hacerlo.
Aunque hoy en día existen muchos productos de "Confianza Cero" en el mercado, es importante señalar que la ZTNA es un marco conceptual y un conjunto de buenas prácticas. Cómo La forma en que usted emplee la tecnología, defina sus políticas y gestione su ecosistema determinará su postura ante la ZTNA. La tecnología puede ayudar, sin duda, pero si algún proveedor le dice que su producto le hará cumplir la ZTNA, busque a otro.
Si quieres saber más sobre Zero Trust, te recomiendo que empieces por los siete principios de Zero Trust definidos en NIST SP800-207.
R: Con opciones como el Face ID de Apple convirtiéndose en casi omnipresente para los usuarios móviles, la biometría es definitivamente una forma popular de autenticación sin contraseña, pero ciertamente no es la única. FIDO2 es una opción cada vez más común tanto para consumidores como para empresas. Los métodos sin contacto como el código QR, BLE y NFC también se utilizan, aunque en menor medida. Los principios de la IA, como las reglas inteligentes, el aprendizaje automático y el análisis del comportamiento, se utilizan cada vez más para aumentar la confianza en la identidad como factores invisibles de autenticación que introducen poca o ninguna fricción para el usuario final. RSA ID Plus admite todas estas opciones en la actualidad.
R: Creo que estos tres ataques demuestran que "Gestión de Identidades y Accesos" es, si no un término anticuado, tal vez insuficiente.
Estos ataques ponen de relieve que necesitamos proteger las identidades, no solo gestionarlas. Por ejemplo, no basta con proporcionar acceso: debemos empezar por preguntarnos "¿necesita el usuario acceso?". Si es así, ¿durante cuánto tiempo? ¿Le hemos proporcionado demasiado acceso o solo el suficiente? ¿Cómo podemos saberlo? En muchos casos, no creo que los administradores lo sepan, ni siquiera cómo averiguarlo.
Los actores de las amenazas saben que la identidad es mucho más que gestionarla. Los ataques que he analizado demuestran cómo los ciberdelincuentes atacan las brechas que la IAM no tiene en cuenta. Creo que la comprensión de la identidad por parte de las organizaciones debe ampliarse para tener en cuenta y proteger todo el ciclo de vida de la identidad.
En un plano más técnico, creo que la IA desempeñará un papel importante en el procesamiento de las enormes cantidades de datos de autenticación, derechos y uso. Disponer de una plataforma inteligente que pueda evaluar datos detallados con rapidez y a gran escala puede ser un activo real para mantener la seguridad de las organizaciones.
R: SecurID y YubiKey son autenticadores líderes en sus respectivas categorías. Y la buena noticia es que RSA ID Plus admite ambos (entre otras muchas opciones de autenticación).
Dejando a un lado las especificidades de cada proveedor, los autenticadores OTP y FIDO tienen cada uno sus propias ventajas. Aunque FIDO es cada vez más popular como opción segura y cómoda para iniciar sesión en Internet, las opciones de FIDO basadas en software siguen teniendo una versatilidad limitada, los dispositivos de hardware suelen requerir una conexión física y la compatibilidad real con FIDO más allá del navegador web es prácticamente inexistente. Mientras tanto, OTP tiene la ventaja de funcionar prácticamente en cualquier lugar, tanto en hardware como en software, sin necesidad de software cliente especializado ni de conexión física.
Sin embargo, cuando se comparan OTP y FIDO, la mejor respuesta suele ser "Y". Los dispositivos híbridos como el autenticador RSA DS100 combinan lo mejor de ambos mundos, ofreciendo OTP y FIDO2 en un único factor de forma para proporcionar la máxima flexibilidad y amplitud de soporte.
