El 15 de marzo de 2022, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) publicó un alerta detallando un Ciberataque ruso contra una organización no gubernamental (ONG). El actor de la amenaza encadenó contraseñas débiles, una cuenta de usuario inactiva, configuraciones predeterminadas que privilegiaban la comodidad sobre la seguridad y una vulnerabilidad previa en Windows. Esto les permitió "acceder a la nube y a cuentas de correo electrónico para filtrar documentos".ación".
En Parte 1 de esta serie, Ingo Schubert, Arquitecto Global de Identidad en la Nube de RSA, revisó algunas de las mejores prácticas que RSA había compartido con los clientes a raíz de este ataque, discutiendo el propósito de la autenticación multifactor (MFA), inscribir a los usuarios en MFA y cómo minimizar el uso de contraseñas. En esta segunda parte de la serie, Ingo repasa los restablecimientos de autenticación, las medidas de seguridad y otros escenarios que podrían provocar incidentes de seguridad.
Digamos que ha completado la inscripción. Además, ha seguido nuestras mejores prácticas y ha creado inscripciones que dan como resultado un techo de confianza alto, lo que permite a los usuarios autenticarse con un alto grado de confianza mientras utilicen ese método de autenticación.
¿Ha terminado nuestro trabajo? Ni mucho menos. ¿Qué pasa si un usuario pierde o extravía su autenticador? ¿Qué pasa con un usuario que adquiere un nuevo teléfono inteligente y debe volver a instalar la aplicación?
Estas situaciones se producirán, y su organización debe estar preparada para afrontarlas de forma segura y sencilla.
¿Le suena familiar? Debería. Es probable que su organización sustituir autenticadores de una manera que se parezca a su inscripción inicial. En cada etapa, las organizaciones deben asegurarse de que no se abren a los ataques.
No rompa la confianza que estableció durante la inscripción cuando sustituya un autenticador. Recuerde: la inscripción de nuevos dispositivos, la sustitución de dispositivos inscritos y los restablecimientos de autenticación son algunos de los momentos favoritos de los hackers en el ciclo de vida de la identidad. Incurren en un grado de cambio más alto de lo habitual y, como resultado, representan algunas de las instancias más probables para que los atacantes obtengan acceso no autorizado.
No se lo permitas. Busque un autenticación multifactor (MFA) que pueda asegurar estos momentos, ofrezca integraciones API en su gestión de identidades y accesos (IAM) e integre las operaciones de su servicio de asistencia, todo en un mismo lugar.
Aunque lo haya hecho todo bien durante la fase de inscripción y haya garantizado la sustitución de la autenticación y el acceso de emergencia, pregúntese: ¿de qué sirve todo eso si no se utiliza la AMF en todas partes o si un atacante puede simplemente desactivarla y saltársela?
Resolver el primer escenario es fácil: utilizar MFA en todas partes (al menos para los usuarios adecuados).
Para hacerlo con éxito, su solución AMF debe proporcionar una variedad de métodos e interfaces que permitan a los usuarios autenticarse cuando sea y como sea que prefieran. También es posible que tenga que comprobar algunas aplicaciones heredadas y puede proporcionar las interfaces adecuadas y asegurarse de que pueden utilizar los nuevos métodos de autenticación, como sin contraseña basado en FIDO o si usted está atascado con el buen viejo RADIUS.
Supongamos que has protegido todas tus aplicaciones con MFA. También tendrás que asegurarte de que un atacante no pueda desactivar la MFA. En la reciente Alerta CISA, La ONG utilizaba una solución MFA que permitía a los usuarios iniciar sesión sin MFA si no podían conectarse a Internet. El actor de la amenaza se aprovechó de ello, ya que le permitía desactivar la AMF simplemente desconectando la conexión a Internet.
Por lo tanto, la solución MFA de su organización debe ser a prueba de fallos y/o disponer de un modo de conmutación por error fuera de línea que garantice la aplicación de la MFA incluso si no se puede acceder al backend MFA (en la nube o en las instalaciones).
Comprendo el razonamiento cuando se trata de fail-open: para mantener el negocio en marcha, es mejor permitir el inicio de sesión sólo con una contraseña en lugar de bloquear a todo el mundo.
Por muy comprensible que sea esta opción, crea vulnerabilidades significativas en su postura de seguridad. El enfoque mejor -y más seguro- es garantizar que la autenticación robusta funcione incluso si el backend MFA no está disponible. No debería importar si el backend MFA está basado en la nube o en las instalaciones: los proveedores de autenticación deberían ofrecer soluciones offline que funcionen para ambos casos.
Asegurar la autenticación MFA offline es algo que nos encontramos con frecuencia. Normalmente, aconsejamos a las empresas que proporcionen distintos métodos de autenticación en función de si el usuario está conectado o no. Por ejemplo, si un portátil está en línea, el inicio de sesión en Microsoft Windows se asegura mediante notificaciones push o biometría. Si el portátil está desconectado, Contraseña única (OTP).
Dado que OTP no es tan fácil de usar, en este escenario sacrificamos algo de comodidad por una mayor seguridad. De este modo, nos aseguramos de que no se produzcan fallos y de que un atacante no pueda desactivar la AMF.
El comportamiento a prueba de fallos no sólo es importante para el PC Windows de un usuario individual: también debe aplicarse a todas sus aplicaciones locales.
¿Y si el servicio en la nube de AMF que utiliza está fuera de línea? Eso puede ocurrir y ocurrirá. Puede que el proveedor de AMF sufra una interrupción o que su conexión a Internet esté caída. Puede que un atacante haya manipulado su servicio DNS de tal forma que el servicio en la nube de AMF parezca estar fuera de línea: sea cual sea la situación, planificar un comportamiento a prueba de fallos puede ayudar a su organización a mantener la continuidad y la seguridad de su negocio incluso cuando sus usuarios no puedan conectarse a Internet.
A configuración de AMF híbrida en local/nube de alta disponibilidad salvará el día. Normalmente tus aplicaciones hablarán con el componente MFA local, que a su vez reenviará las peticiones al servicio MFA en la nube. Si la nube MFA deja de estar disponible, todas las aplicaciones que hablen con el componente de conmutación por error del servicio MFA local podrán seguir autenticando firmemente a los usuarios.
Al igual que en el caso del PC con Windows, en este caso de uso, la autenticación offline se realizará únicamente mediante OTP porque las notificaciones push a los smartphones de los usuarios no estarán disponibles en caso de corte de Internet. Si existe la opción de aplicar OTPs en caso de cortes en la nube de MFA o por defecto a fail-open, entonces yo elegiría OTPs 10 de cada 10 veces.
Configurar correctamente la AMF desde el principio, pensar en la inscripción y eliminar la AMF abierta a fallos son algunas de las mejores formas de prepararse para todos estos escenarios.
Otro componente esencial es desarrollar una práctica de gobernanza que ayude a su equipo de seguridad a obtener visibilidad de las identidades a lo largo de sus ciclos de vida.
Gobernanza y ciclo de vida de SecurID garantiza que las cuentas y los derechos de los usuarios estén actualizados. Dado que las decisiones de autorización -incluidas las inscripciones en MFA- se basarán en datos de identidad, es fundamental que estos datos sean fiables.
Algo que no he tocado es la puntuación de la confianza en la identidad: SecurID puede evaluar la confianza en la transacción MFA actual de un usuario basándose en su contexto actual y su comportamiento pasado. La puntuación de la confianza en la identidad es algo que llevamos haciendo casi dos décadas. Forma parte del motor de riesgo de SecurID y análisis de riesgos.
SecurID es compatible con todas estas prácticas recomendadas: desde la seguridad de la inscripción inicial hasta el restablecimiento de las autenticaciones, pasando por la implantación de la autenticación híbrida o la gestión de la gobernanza de la identidad, nos hemos basado en nuestras décadas de experiencia en el diseño de soluciones inteligentes, sencillas y seguras.
Tanto si está en línea como si no lo está, tanto si está en sus instalaciones como en la nube, hay una forma de que usted y su equipo estén seguros. Le mostraremos cómo.
