Recientemente, investigadores de organismos nacionales de ciberseguridad de Australia, Canadá, Nueva Zelanda, Estados Unidos y Reino Unido publicaron un importante informe titulado Detecting and Mitigating Active Directory Compromises (Detección y mitigación de las vulneraciones de Active Directory). Cuando vaya a leerlo, prepárese para reforzar su seguridad.
El informe analiza en profundidad la complejidad de Active Directory (AD) y los retos de seguridad asociados. Sus conclusiones son brutales e inflexibles. Y si su empresa lleva varios años utilizando Active Directory, es probable que este informe suscite preocupación por las vulnerabilidades y errores de configuración que acechan su instancia de AD. Obviamente, ahora que conoce la existencia de estos fallos, probablemente debería tomar las medidas oportunas.
La clave del éxito de los ciberdelincuentes
En el sector de la ciberseguridad, a menudo se bromea diciendo que AD es tan útil para los ciberdelincuentes (o agentes de amenazas) que probablemente debería considerarse una de sus principales herramientas, al mismo nivel que Mimikatz, BloodHound o Impacket. Esta broma revela una verdad más amplia, que los autores subrayan en su introducción:
“Los ciberdelincuentes suelen realizar enumeraciones de Active Directory para extraer información tras obtener acceso inicial a un entorno con Active Directory. A partir de la información recopilada, tratan de determinar la estructura, los objetos, las configuraciones y las relaciones propias de cada organización. Al hacerlo, los ciberdelincuentes a veces son capaces de obtener una mejor comprensión del entorno Active Directory de la organización que la propia organización”.
¿Por qué son tan importantes la seguridad y las buenas prácticas de uso de AD? Sencillamente porque los ciberdelincuentes nos demuestran una y otra vez que lo son. Solo este año, muchas de las amenazas a gran escala que se han hecho públicas estaban relacionadas con la explotación y el uso de AD para el desplazamiento lateral y el escalamiento de privilegios. La lista de fugas o filtraciones de datos a gran escala incluye:
- Ataque a Microsoft de Midnight Blizzard
- Ataque a TeamViewer de Cozy Bear
- Ataques de ransomwares de Black Basta
Los ciberdelincuentes necesitan desplazarse lateralmente desde el punto de entrada inicial, a lo largo de la cadena de ataque hasta que alcanzan su objetivo final, casi siempre la filtración de datos o el despliegue de ransomware. Teniendo esto en cuenta, es fácil ver por qué acceder y explotar al AD es fundamental para el éxito de un ataque.
Obstáculos para sortear AD
¿Está pensando en deshacerse de AD y migrar a la nube para resolver todos estos problemas de seguridad relacionados con AD? Esta es la elección que están haciendo algunas empresas. Para las empresas de nueva creación y las pequeñas empresas, un enfoque 100 % en la nube puede ser una estrategia viable.
Sin embargo, la mera complejidad de la migración puede convertirla en una tarea complicadísima. La gestión de identidades y accesos debe replantearse por completo. Hay que cumplir los requisitos normativos y de cumplimiento, sobre todo en cuanto a la residencia de los datos. Por no hablar de los grandes retos que plantean el tiempo que tardan los empleados en adaptarse y los trastornos operativos que provoca la transición. Además, es evidente que todo esto tiene un coste. Con tantas barreras al cambio, es probable que AD y sus problemas de seguridad asociados persistan en la mayoría de las empresas en un futuro previsible.
Un camino a seguir
Una de las causas de esta difícil situación en la que se encuentran las empresas es una falta histórica de gobernanza sobre las implementaciones de AD. El problema ha ido creciendo durante años, incluso décadas en la mayoría de las organizaciones, alimentada por una serie de retos relacionados. Los administradores de AD van y vienen. Las prioridades empresariales y las aplicaciones asociadas están cambiando. Los atajos de derechos se implementan y nunca se eliminan. Se producen fusiones y adquisiciones. En medio de todo esto, la limpieza del AD rara vez es una prioridad.
Como resultado, sus autorizaciones y configuraciones se vuelven tan complejas e interdependientes que los administradores a menudo temen iniciar el proceso de limpieza. Esto se debe a que no tienen visibilidad de los procesos empresariales que corren el riesgo de interrumpir en el proceso. Tampoco saben qué riesgos tienen prioridad y qué cuentas y derechos dan acceso directo a sus activos de TI más valiosos.
Lo que realmente necesitan las empresas es un sistema que descubra, priorice y corrija en tiempo real sus riesgos relacionados con AD, así como sus riesgos de seguridad relacionados con la identidad. Eso es exactamente lo que pueden hacer las soluciones de detección y respuesta a de amenazas basadas para la identidad (ITDR). Proofpoint Identity Threat Defense es un buen ejemplo.
La perspectiva de Proofpoint
El único defecto de este informe, desde mi punto de vista, es que me hubiera gustado que los autores hubieran dado más importancia a la categoría de seguridad emergente ITDR. Aunque es normal que los representantes de los poderes públicos no muestren favoritismo hacia los distintos proveedores, sigo pensando que una referencia a ITDR y a sus puntos fuertes para contrarrestar las vulnerabilidades de AD habría sido beneficiosa para el lector.
Para Proofpoint, una solución ITDR debe ofrecer una cobertura continua y una visibilidad total de las vulnerabilidades relacionadas con la identidad y los errores de configuración del AD. Pero eso no es todo. También debe abarcar los endpoints y emplear otros sistemas de identidad, como los PAM, para ofrecer la visión más completa de la seguridad de las identidades.
Al mismo tiempo, los sistemas ITDR deben apoyar la detección y la respuesta. En otras palabras, deben ser capaces de detectar a los ciberdelincuentes que intentan desplazarse lateralmente y escalar privilegios sin su conocimiento. Además, los responsables de las investigaciones digitales necesitan acceder a datos en tiempo real para poder expulsar al ciberdelincuente antes de que cause daños reales.
Más información
Para obtener una perspectiva experta y objetiva sobre los riesgos que plantea Active Directory para una organización, consulte esta nueva publicación.
Para obtener más información sobre cómo Proofpoint puede ayudarle a poner en orden su implementación de AD, visite nuestra página web sobre Proofpoint Identity Threat Defense.