Si algo ha enseñado el año 2022 a la ciberseguridad es que la autenticación multifactor (AMF) debe ser la primera línea de defensa para proteger una organización. último línea de defensa.
El año pasado se produjeron importantes ataques que acapararon titulares y lograron eludir la AMF. Un grupo patrocinado por un Estado ONG en marzo de 2022. Entonces LAPSUS$ incumplió un proveedor tecnológico antes de pasar a Uber, entre otros ataques de gran repercusión el año pasado.
Algunos de esos ataques eran sofisticados. Otros no. Pero todos ofrecen lecciones importantes sobre cómo y por qué la ciberseguridad debe proteger todo el ciclo de vida de la identidad.
Voy a detallar los pasos que se dieron en estos ataques MFA y las principales conclusiones que las organizaciones deben aprender de ellos en Conferencia RSA mañana, 25 de abril, a las 9:40 AM PT.
Un hack que no voy a discutir es el SolarWinds brecha. Y aunque no estará en mi presentación, el ataque a SolarWinds demuestra la misma necesidad de defender todo el ciclo de vida de la identidad. En ese caso, los autores de la amenaza utilizaron SolarWinds para lanzar un ataque a la cadena de suministro y obtener acceso a agencias federales, empresas de ciberseguridad e incluso Microsoft durante meses.
La brecha de SolarWinds demostró que si una organización no prioriza la seguridad de su identidad, los actores de amenazas lo harán. En la autopsia del ataque, los investigadores descubrieron que los atacantes eludieron la MFA utilizando una tecnología de cookies web obsoleta que se había clasificado erróneamente como MFA.
Pero esa no fue la única vulnerabilidad que explotaron los atacantes: también robaron contraseñas, utilizaron certificados SAML para "habilitar la autenticación de identidad por servicios en la nube" y crearon "nuevas cuentas en el servidor Active Directory". Cada paso daba a los atacantes más control y métodos para moverse lateralmente por toda la red SolarWinds Orion, y de ahí a sus clientes.
No había un único talón de Aquiles de identidad al que los hackers dieran prioridad. En su lugar, "se centraron principalmente en atacar el infraestructura de identidad [énfasis añadido]", porque "[l]as centidades son el tejido conectivo que los atacantes utilizan para desplazarse lateralmente".
SolarWinds -y los exitosos ataques a la AMF de 2022- demostraron por qué las organizaciones deben comprender que "la infraestructura de identidad es un objetivo".
No me malinterpreten: MFA sigue siendo la mejor primera línea de defensa. Protege contra los ataques más frecuentes a las contraseñas, incluidas las tácticas de ingeniería social como el phishing y el relleno de credenciales, los ataques de escucha, los ataques de fuerza bruta, etc.
Pero la AMF por sí sola no es suficiente para prevenir los riesgos o responder a las amenazas. La AMF debe trabajar en coordinación con capacidades adicionales a lo largo del ciclo de vida de la identidad para mantener seguras a las organizaciones.
En Oleoducto Colonial demuestra cómo las amenazas atacan las brechas en la infraestructura de identidad de una organización. y el papel vital que sigue desempeñando la AMF: DarkSide entró en los sistemas de Colonial Pipeline utilizando una cuenta VPN huérfana que ya no estaba en uso.
Esa cuenta huérfana no servía para nada a Colonial Pipeline: era un pasivo de seguridad. sólo. Un buen programa de gobierno y administración de identidades (IGA) habría eliminado por completo esa cuenta del directorio de la empresa.
Pero el componente de gobernanza era sólo un fallo: La cuenta VPN huérfana de Colonial Pipeline tampoco estaba protegida por MFA. Probablemente una capacidad IGA o MFA habría evitado que se produjera la brecha. Tanto juntos habría dado lugar a una arquitectura de ciberseguridad mucho más sólida e inteligente.
La AMF sigue siendo una de las partes más importantes de la arquitectura de seguridad de toda organización. Pero aporta más valor -y crea una ciberseguridad más sólida- cuando funciona en coordinación con otros componentes de seguridad a lo largo del ciclo de vida de la identidad.
Existen muchas vulnerabilidades a lo largo del ciclo de vida de la identidad. Y, por desgracia, los actores de amenazas son expertos en explotarlas todas.
Mientras que Colonial Pipeline y SolarWinds demostraron algunas de esas vulnerabilidades, LAPSUS$ y un hacker patrocinado por el Estado encontraron otras formas de explotar las debilidades a través de la identidad para violar las organizaciones en 2022.
Podemos aprender mucho de cada atentado contra la identidad y encontrar formas de prevenir el próximo. Si puede, únase a mi Sesión RSAC mañana para saber más sobre estas vulnerabilidades y lo que la ciberseguridad puede hacer para solucionarlas.
###
Participe en la sesión de Dave Taku en la Conferencia RSA, "Anatomía del atentado: Auge y caída del AMF"mañana, 25 de abril a las 9:40 AM PT.
