[21/10/2021] Los ataques actuales basados en credenciales son mucho más sofisticados. Ya sean técnicas avanzadas de phishing, relleno de credenciales, o incluso credenciales comprometidas a través de la ingeniería social o violaciones de un servicio de terceros, las credenciales son fácilmente el punto más vulnerable en la defensa de los sistemas corporativos. Todos estos ataques se centran en las credenciales tradicionales, los nombres de usuario y las contraseñas, que ya han pasado su fecha de caducidad como medida de seguridad legítima. Una forma obvia de mejorar la seguridad de acceso es la autenticación multifactor (MFA, por sus siglas en inglés).
Los profesionales de la seguridad necesitan control. En la seguridad física, esto se consigue a menudo limitando los puntos de entrada, lo que permite al personal de seguridad comprobar las identificaciones, o hacer que las personas pasen por los detectores de metales. Antes de la explosión de Internet y las aplicaciones basadas en la web, el único punto de entrada digital era el directorio corporativo. Los empleados utilizaban un único conjunto de credenciales para autenticarse en los recursos corporativos y acceder a las aplicaciones empresariales.
La infraestructura moderna y las aplicaciones empresariales basadas en la web hacen que mantener este punto único de entrada sea mucho más difícil, sin herramientas especializadas para mantener la postura de seguridad. La MFA ofrece importantes mejoras en el proceso de autenticación, la primera de las cuales es el factor adicional en sí mismo: un smartphone, un token MFA de hardware, o un código de autenticación basado en SMS o correo electrónico. El proceso de autenticación ya no depende de elementos basados en el conocimiento, como el nombre de usuario y la contraseña, que pueden verse comprometidos a través del phishing u otras técnicas maliciosas. Los intentos de autenticación que aprovechan los factores adicionales de MFA requieren la interacción de un usuario con un dispositivo registrado o un dispositivo de hardware físico, lo que minimiza el impacto de un nombre de usuario y una contraseña comprometidos.
Elegir una solución MFA
La parte más complicada de cualquier medida de seguridad es que sea conveniente, o al menos eficiente, para los usuarios finales. Lo peor que se puede hacer es aumentar tanto los requisitos de seguridad que los usuarios no puedan (o no quieran) acceder a los recursos de la empresa, o que encuentren formas de saltarse y comprometer las medidas de seguridad que se han establecido.
Los factores MFA son una característica clave a la hora de seleccionar un proveedor de autenticación. Los códigos de seguridad basados en SMS y en el correo electrónico son lo mínimo y son mejor que nada, pero considere si estos factores proporcionan el nivel de seguridad que necesita. Tanto el correo electrónico como los SMS son potencialmente vulnerables a los ataques. Los estándares de MFA, como las contraseñas de un solo uso basadas en el tiempo (TOTP), suelen ser compatibles con aplicaciones de autenticación como Google Authenticator y otras; pero en última instancia, dependen de un único token de autenticación que conocen tanto el servicio de autenticación como el dispositivo de autenticación del usuario. Muchos proveedores de MFA se basan en protocolos propios que ofrecen tanto una fuerte seguridad, como un cómodo flujo de autenticación mediante notificaciones push a un dispositivo móvil registrado.
Los proveedores de MFA para empresas ofrecen herramientas y capacidades adicionales para mejorar la seguridad de la autenticación. Si se implementan correctamente, los servicios MFA pueden ayudarle a conseguir un único punto central para la autenticación en una variedad de aplicaciones y recursos corporativos. Disponer de este punto central para el tráfico de autenticación le permite implementar capacidades adicionales, como la mejora del registro y el análisis, las políticas de autenticación, e incluso la IA y el acceso condicional basado en el riesgo.
Otro aspecto a tener en cuenta a la hora de seleccionar una solución MFA es el tipo de recursos corporativos que se quiere proteger. Las aplicaciones en la nube, como Office 365, Google Workspaces o Salesforce, son objetivos obvios y una victoria fácil para la MFA. La VPN corporativa es otro caso de uso común para la MFA, ¿y por qué no? Su VPN es esencialmente la puerta de entrada a su red y debería estar protegida al menos tan bien como el acceso físico a las instalaciones corporativas. Aprovechar la MFA con aplicaciones empresariales internas o personalizadas es una victoria un poco más difícil, y depende en gran medida de la madurez de la aplicación que se quiere proteger. Por último, hay razones sólidas para implementar la MFA para la autenticación en los escritorios y servidores corporativos, especialmente en una época en la que cada vez más usuarios trabajan de forma remota.
La infraestructura necesaria para vincular esos recursos con el repositorio de identidades existente está estrechamente relacionada con los recursos que se protegen con la MFA. Independientemente de su caso de uso, es muy probable que quiera vincular su proveedor de MFA a su repositorio de identidades corporativas. A menudo, esto implicará la integración con un directorio LDAP (Lightweight Directory Access Protocol) local. Muchos proveedores de MFA lo hacen mediante un agente de software que se instala en su red local o a través de LDAPS (LDAP sobre SSL).
En cuanto a la infraestructura específica para cada caso de uso, las aplicaciones en la nube suelen ser una victoria fácil, ya que muchas se integran sin problemas utilizando estándares como el Lenguaje de Marcado de Aserción de Seguridad (SAML, por sus siglas en inglés). La mayoría de las soluciones de VPN admiten la integración con el Servicio de Autenticación Remota de Usuarios (RADIUS), que puede utilizarse para canalizar la autenticación a un servidor RADIUS existente y luego a su proveedor de MFA, o en algunos casos puede comunicarse directamente con su proveedor de MFA utilizando protocolos RADIUS estándar. Las aplicaciones empresariales personalizadas o alojadas internamente pueden requerir la interacción con el proveedor de MFA a través de la API o, potencialmente, se puede aprovechar SAML. La MFA para computadoras de escritorio y servidores requerirá un software instalado en cada punto final para insertarse en el flujo de trabajo de autenticación.
8 productos de autenticación multifactorial
El segmento de MFA es un mercado de compradores. Hay varias opciones muy sólidas, cada una con un amplio conjunto de características y bastante flexibilidad. Esta lista de servicios no es exhaustiva, y su inclusión no constituye un respaldo.
Cisco Duo: Duo es uno de los grandes nombres de la MFA. Se ofrece como punto de integración para los competidores, y cuenta con una de las opciones más populares de MFA basada en push en Duo Push. Duo también se integra estrechamente con los factores biométricos de su dispositivo, lo que proporciona seguridad adicional al confirmar que el usuario registrado está en posesión del dispositivo.
ESET Secure Authentication: ESET es más conocido por sus ofertas de protección antimalware y de puntos finales, pero ESET Secure Authentication es una solución MFA completa con un conjunto de características que rivaliza con cualquier solución de la competencia en esta lista. ¿Soporte para VPN y RADIUS? Sí. ¿Consola de gestión basada en navegador? También lo tiene cubierto. ¿Integración con un directorio LDAP existente o con almacenes de identidad basados en la nube? Sí, por supuesto. ¿Factores flexibles de MFA, como notificaciones push o tokens de hardware? También. ESET ofrece además una API y un SDK para las empresas que deseen integrar sus aplicaciones más estrechamente con el servicio.
HID Approve: HID Global, junto con RSA, es una de las entidades más consolidadas en el ámbito de las grandes empresas y la administración pública. De hecho, HID tenía una posición importante incluso antes de que la MFA se convirtiera en una consideración generalizada, debido a sus soluciones para la seguridad física (tarjetas de proximidad/limpieza y lectores de tarjetas). A medida que los requisitos de autenticación de las empresas para los sistemas informáticos han ido madurando, HID estaba bien posicionada para satisfacer las necesidades de sus clientes empresariales.
Además de sus soluciones de hardware y tarjetas inteligentes, HID cuenta con una solución MFA basada en software en HID Approve que permite un rápido despliegue sin necesidad de invertir en hardware. HID Approve admite la autenticación push y las políticas de seguridad, y el servicio cuenta con la autoprotección de aplicaciones en tiempo de ejecución (RASP), que supervisa los intentos de autenticación y ayuda a prevenir los ataques sobre la marcha.
LastPass MFA: LastPass es más conocido por sus gestores de contraseñas, pero dado que la MFA es un primo cercano en el ámbito de la seguridad de la autenticación, tiene sentido que LastPass participe también en ese espacio. De hecho, LastPass aprovecha la misma aplicación móvil de autenticación de LastPass tanto para sus gestores de contraseñas como para LastPass MFA, lo cual es algo positivo. El servicio LastPass MFA es compatible con todos los casos de uso mencionados anteriormente: VPN, aplicaciones web, escritorio, aplicaciones locales, y se integra estrechamente con plataformas de gestión de identidades comunes como Azure AD y Okta.
Okta Adaptive MFA: Hablando de Okta, ha sido uno de los nombres más populares en el mundo de la autenticación durante un tiempo por varias razones, pero la más importante puede ser la potencia que incluye en su cartera de herramientas. Okta Adaptive MFA comienza con una plataforma segura que protege automáticamente contra los ataques a la identidad utilizando los datos recogidos de los ataques anteriores, tanto los que se producen contra los servicios de Okta como los datos de amenazas de terceros. Okta también puede aprovechar estos datos sobre amenazas para puntuar el riesgo que suponen los intentos de autenticación legítimos para gestionar la necesidad de factores de autenticación más robustos de forma dinámica.
Además de las defensas proactivas basadas en el análisis, Okta también permite que los usuarios informen de forma simplificada sobre las amenazas, lo que puede desencadenar notificaciones a los administradores o acciones de mitigación automatizadas. El uso de Okta como su servicio MFA también le da una amplia gama de opciones y flexibilidad para cuando sus necesidades de autenticación inevitablemente maduren.
RSA SecurID: RSA fue otro pionero en el espacio MFA. Los tokens de hardware de RSA, con sus claves numéricas rotativas, fueron una de las soluciones originales de MFA para asegurar las VPN corporativas y el acceso remoto. Toda esta historia, junto con una cartera de productos de seguridad que rivaliza con Okta, hace que RSA sea un candidato ideal para ayudar a asegurar la autenticación de sus recursos empresariales críticos. RSA SecurID no solo admite factores de autenticación móviles y basados en hardware, sino que también admite una ruta de autenticación sin fisuras incluso si se encuentra sin servicio de Internet (como en un avión). RSA también admite políticas de autenticación dinámicas basadas en el riesgo para equilibrar la necesidad de seguridad adicional con la necesidad de un proceso de autenticación eficiente para los usuarios finales.
Silverfort: Silverfort es un nombre que tal vez no haya oído antes, pero su oferta de MFA marca bastantes casillas en la lista de lo que hay que tener. La detección de comportamientos anómalos, la detección de amenazas basada en patrones y los factores de autenticación escalonados basados en las puntuaciones de riesgo son solo algunas de las características que Silverfort pone sobre la mesa. Mi característica personal favorita de Silverfort es la capacidad de imponer la MFA en herramientas administrativas comunes como las sesiones remotas de PowerShell, Remote Desktop y SSH.
Twilio Authy: Twilio Authy es un servicio que ha existido durante algún tiempo, aunque no siempre bajo el paraguas de Twilio. Como se puede esperar de un servicio de autenticación ofrecido por Twilio, el principal punto de venta de Authy es la flexibilidad a través de una fuerte API respaldada por una gran cantidad de documentación y apoyo de la comunidad. Definitivamente, Authy no es la misma solución "plug-and-play" que otras de nuestra lista, pero si necesitas una solución altamente flexible y escalable para aplicaciones empresariales personalizadas, puede ser exactamente el servicio que necesitas.
Basado en el artículo de Tim Ferrill (CSO) y editado por CIO Perú