Het Unified Identity Protection-platform van Silverfort

Cyberbeveiliging
Silverfort's Unified Identity Protection Platform

In dit artikel geven we een kort overzicht van het Silverfort-platform, het eerste (en momenteel enige) uniforme identiteitsbeschermingsplatform op de markt. De gepatenteerde technologie van Silverfort heeft tot doel organisaties te beschermen tegen identiteitsgebaseerde aanvallen door te integreren met bestaande oplossingen voor identiteits- en toegangsbeheer, zoals AD (Active Directory) en cloudgebaseerde services, en door veilige toegangscontroles uit te breiden, zoals Risk-Based Authentication en MFA (Multi- Factorauthenticatie) voor al hun bronnen. Dit omvat bronnen op locatie en in de cloud, oudere systemen, opdrachtregelprogramma’s en serviceaccounts.

Uit een recent rapport van Silverfort en Osterman Research blijkt dat 83% van de organisaties wereldwijd te maken heeft gehad met datalekken als gevolg van gecompromitteerde inloggegevens. Veel organisaties geven toe dat ze onvoldoende beschermd zijn tegen op identiteit gebaseerde aanvallen, zoals laterale verplaatsing en ransomware. Hulpbronnen zoals opdrachtregeltoegangstools en oudere systemen, die op grote schaal worden gebruikt, zijn bijzonder lastig te beschermen.

Aan de slag: het dashboard gebruiken

Hieronder ziet u een screenshot van het dashboard van Silverfort (figuur 1). Over het algemeen heeft het een zeer intuïtieve gebruikersinterface. Aan de linkerkant staat een lijst met gebruikerstypen: bevoorrechte gebruikers, standaardgebruikers en serviceaccounts, en hoe ze toegang krijgen tot bronnen: via lokale en cloudgebaseerde mappen (AD, Azure AD, Okta), federatieservers (Ping, ADFS ) en VPN-verbindingen (RADIUS). Aan de rechterkant van het scherm wordt een lijst weergegeven met de verschillende soorten bronnen waartoe gebruikers toegang proberen te krijgen. De toegangspogingen worden weergegeven door gloeiende stippen.

Dit display toont de unieke differentiator van het platform: het is momenteel de enige oplossing die kan worden geïntegreerd met de gehele identiteitsinfrastructuur in de hybride omgeving. Met deze integratie sturen de verschillende lokale en clouddirectory’s elke authenticatie- en toegangspoging door naar Silverfort voor analyse en beoordeling of toegang moet worden toegestaan ​​of geweigerd. Op die manier wordt real-time bescherming voor elke gebruiker en bron bereikt, zoals we binnenkort in meer detail zullen zien.

Het dashboard toont ook aggregaties van waardevolle identiteitsgerelateerde gegevens: aantal authenticatiepogingen door protocollen en directory’s, percentage geverifieerde authenticaties, aantal gebruikers en serviceaccounts dat met succes is beveiligd, en een uitsplitsing van gebruikers naar risiconiveau (gemiddeld, hoog, kritisch) .

Het platform omvat verschillende modules, waarbij elke module een ander identiteitsbeschermingsprobleem aanpakt. We zullen er nu twee verkennen: geavanceerde MFA en serviceaccountbescherming.

Hulpbronnen beschermen met geavanceerde MFA

MFA is een van de meest effectieve manieren gebleken om bescherming te bieden tegen op identiteit gebaseerde aanvallen. Het is echter behoorlijk moeilijk om MFA-bescherming op alle netwerkmiddelen te hebben.

MFA vertrouwt traditioneel op agenten en proxy’s, wat betekent dat sommige computers er nooit onder zullen vallen. Ofwel omdat uw netwerk te groot is om proxy’s op elke afzonderlijke computer te hebben, ofwel omdat niet alle computers in staat zijn agenten te installeren.

Wil je Silverfort in actie zien? Plan vandaag nog een gratis demo met ons team van experts!

Bovendien ondersteunen hulpprogramma’s voor opdrachtregeltoegang, zoals PsExec, PowerShell en WMI, ondanks dat ze op grote schaal worden gebruikt door netwerkbeheerders, niet standaard MFA. Deze en andere authenticaties op locatie worden beheerd door AD, maar AD-authenticatieprotocollen (Kerberos, NTLM) zijn simpelweg niet ontworpen voor MFA, en aanvallers weten dat. AD controleert alleen of gebruikersnamen en wachtwoorden overeenkomen, zodat aanvallers die legitieme inloggegevens gebruiken (die al dan niet zijn aangetast) toegang kunnen krijgen tot het netwerk en laterale bewegings- en ransomware-aanvallen kunnen lanceren zonder dat AD het weet. Het grote voordeel van Silverfort is dat het op al deze gebieden daadwerkelijk MFA kan afdwingen, iets wat andere oplossingen niet kunnen.

Op het beleidsscherm (figuur 2) kunt u bestaand beleid bekijken of nieuw beleid aanmaken.

Het creëren van een nieuw beleid lijkt behoorlijk intuïtief, zoals te zien is in figuur 3. We moeten het authenticatietype, de relevante protocollen, welke gebruikers, bronnen en bestemmingen het beleid dekt, en de vereiste actie bepalen. Wat hier gebeurt is eigenlijk vrij eenvoudig, maar verrassend slim. AD stuurt alle authenticatie- en toegangsverzoeken naar Silverfort. Voor elk verzoek analyseert Silverfort het risico en het bijbehorende beleid om te bepalen of MFA vereist is of niet. Afhankelijk van het oordeel krijgt de gebruiker toegang, wordt hij geblokkeerd of wordt hij verzocht om MFA te leveren. Met andere woorden: het beleid omzeilt feitelijk de inherente beperkingen van oudere protocollen en dwingt daarop MFA af.

Serviceaccounts ontdekken en beveiligen

Serviceaccounts vormen een kritieke beveiligingsuitdaging vanwege hun hoge toegangsrechten en lage tot nul zichtbaarheid. Bovendien zijn serviceaccounts geen mensen, dus MFA is geen optie, net als wachtwoordrotatie met PAM, waardoor kritieke processen kunnen crashen als het inloggen mislukt. In feite hebben alle organisaties meerdere serviceaccounts, soms wel 50% van hun totale gebruikers, en veel daarvan worden niet gecontroleerd. Dat is de reden waarom aanvallers dol zijn op gecompromitteerde serviceaccounts: ze kunnen deze gebruiken voor laterale verplaatsing onder de radar en toegang krijgen tot een groot aantal machines zonder opgemerkt te worden.

Figuur 4 toont het scherm Serviceaccounts. Omdat Silverfort alle authenticatie- en toegangsverzoeken ontvangt, kan het serviceaccounts identificeren door repetitief machinegedrag te analyseren.

Het lijkt erop dat we 162 accounts hebben onder machine-to-machine. We kunnen ze filteren op basis van verschillende parameters. Voorspelbaarheid meet bijvoorbeeld herhaalde toegang tot dezelfde bron of bestemming. Afwijkingen van dit patroon kunnen duiden op kwaadaardige activiteiten.

In figuur 5 kunnen we aanvullende informatie over onze serviceaccounts zien, zoals bronnen, bestemmingen, risico-indicatoren, privilegeniveaus en gebruik.

Voor elk serviceaccount wordt automatisch beleid gemaakt op basis van het gedrag ervan. Het enige wat we hoeven te doen is kiezen tussen ‘alert’, ‘block’ en ‘alert to SIEM’, en het beleid inschakelen (figuur 6).

Laatste gedachten

Het platform van Silverfort bereikt echt zijn doel van uniforme identiteitsbescherming. Het vermogen om MFA af te dwingen op vrijwel elke bron (zoals opdrachtregelprogramma’s, oudere apps, bestandsshares en vele andere) en binnen enkele seconden beleid te creëren, is ongeëvenaard. Het is uiterst waardevol om volledig inzicht te hebben in alle serviceaccounts en deze eindelijk te kunnen beschermen. Tot slot biedt het platform van Silverfort innovatieve identiteitsbeschermingsmogelijkheden die elke dag steeds noodzakelijker worden.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Apple Vision Pro zou in maart 2024 gelanceerd kunnen worden, naast nieuwe MacBooks

Sam Altman neemt afscheid van OpenAI en hallo tegen Microsoft

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]