Amenazas en constante evolución en Active Directory
Aunque no hay estadísticas oficiales que ilustren la cantidad de organizaciones que usan Active Directory y en las instalaciones, es seguro asumir que la mayoría lo hace de alguna manera o forma. Esta declaración no se basa solo en conjeturas, sino que es un reflejo de mi experiencia a través de múltiples compromisos a lo largo de los años, incluidas varias infracciones.
En el panorama actual de la seguridad cibernética, las organizaciones enfrentan una batalla cuesta arriba contra una amplia variedad de amenazas:
- Un número creciente, sofisticación y variedad de ataques.
- Más y más ataques a la cadena de suministro, en los que los proveedores comprometidos conducen a un mayor riesgo de seguridad.
- Mantener la seguridad (en la nube); La complejidad, la diversidad y la proliferación de soluciones en la nube utilizadas en una organización aumentan el riesgo de mala configuración, la falta de visibilidad y, por lo tanto, aumentan el riesgo general para el medio ambiente.
- Mantenga seguros los dispositivos IoT y OT, ya que estos se convierten en un objetivo de ataque cada vez más importante.
- El auge de la IA utilizada tanto para elementos ofensivos como defensivos de la ciberseguridad.
- La escasez de habilidades.
- Mayores regulaciones y demanda de cumplimiento.
Active Directory existe desde hace casi 25 años. Como tal, uno podría esperar que, a estas alturas, nos hubiéramos dado cuenta de mantenerlo a salvo de los ataques. Sin embargo, sigue siendo un punto débil en las defensas de ciberseguridad de muchas organizaciones. Cuando se combina con los desafíos mencionados anteriormente, esto puede ser una receta para el desastre. ¿Por qué es este el caso?
Aquí hay algunos problemas comunes con los que me encuentro con frecuencia:
Valores predeterminados inseguros
Muchas organizaciones usan, o han usado, la configuración predeterminada al implementar o configurar Active Directory. Si bien esto puede ser funcional, hay varios elementos que podrían modificarse para mejorar su postura de seguridad. Por ejemplo, es recomendable delegar el acceso al directorio, limitar el acceso a los usuarios habituales, mejorar el registro y deshabilitar las funciones no utilizadas y los protocolos heredados (inseguros).
Deuda técnica
Con casi 25 años de antigüedad, muchos directorios activos locales se instalaron hace mucho tiempo. A menudo, por personas que ya no están en la organización, lo que deja un posible vacío en la configuración de Active Directory o, lo que es más importante, el contexto de por qué algunos elementos se han configurado de cierta manera. La información faltante y los elementos inseguros, como el uso de protocolos más antiguos, a menudo dejan inertes a las organizaciones por temor a romper los sistemas que pueden depender de ellas. El departamento de TI a menudo no prioriza la investigación de los sistemas que dependen de configuraciones específicas que, junto con los restos de migraciones y consolidaciones pasadas, a menudo crean fuentes desconocidas y no detectadas de infracciones.
Demasiados administradores de dominio
Según mi experiencia, muchos clientes tienen varias cuentas con privilegios de administrador de dominio o de administrador empresarial, incluidas las propias cuentas del departamento de TI. Las cuentas de servicio también reciben con frecuencia estos privilegios, a menudo por razones equivocadas, ya que los proveedores no invierten tiempo ni recursos en la definición de los permisos específicos que necesitan. Esto se debe principalmente a que los permisos de administrador de dominio tienden a «simplemente funcionar». Otorgar una cantidad excesiva de estos privilegios aumenta el riesgo de abuso de la cuenta, especialmente cuando las contraseñas no se cambian con frecuencia, lo que suele ser el caso de las cuentas de servicio.
Sistemas sin parchear
En la mayoría de los casos, los atacantes aprovechan las vulnerabilidades para iniciar un compromiso de la seguridad de una organización, a menos que las credenciales de la cuenta sean accesibles y se puedan usar desde fuera de la organización, por ejemplo, para iniciar sesión en una VPN. Estas vulnerabilidades pueden ser del lado del cliente o del lado del servidor. Luego, los atacantes pueden moverse lateralmente de un sistema a otro a través del movimiento lateral y, en última instancia, obtener el control de todo el entorno. Mantener sus sistemas actualizados reduce el riesgo de explotar vulnerabilidades, pero no descarta las vulnerabilidades de día cero. Sin embargo, hace que sea significativamente más difícil para los atacantes infiltrarse o moverse en primer lugar.
Falta de administración escalonada
Para pasar de un sistema a otro, los atacantes deben explotar las vulnerabilidades o los privilegios que han adquirido anteriormente en su ataque. Desafortunadamente, las cuentas con credenciales de administrador de dominio a menudo se usan para administrar varios sistemas en todo el entorno. Sin embargo, esta práctica es probablemente la cosa más peligrosa que se puede hacer. Un sistema a través del cual se exponen las credenciales del administrador del dominio se convierte en un objetivo principal y simplifica significativamente las actividades de los atacantes o su capacidad para pasar de un sistema a otro.
La implementación de la administración por niveles, donde el acceso y la gestión de los sistemas están segregados en diferentes niveles y donde los administradores de dominio solo pueden gestionar y acceder a los recursos de Nivel 0, mejora significativamente la seguridad, a pesar del esfuerzo adicional que impone a los administradores. Muchas organizaciones temen que la introducción de un modelo de administración por niveles aumente la complejidad y los costos. Si bien un modelo de administración por niveles puede convertirse rápidamente en una carga, existen algunas ganancias rápidas a través de un puñado de GPO o el uso de una herramienta de administración de acceso privilegiado de terceros.
Creciente falta de habilidades
Hace años, cuando comencé en TI, parecía que casi todos los que conocía tenían al menos algunas habilidades de Active Directory. Sin embargo, con el auge de la tecnología en la nube y el atractivo de las nuevas tecnologías, está surgiendo una brecha de habilidades para este producto crítico. A pesar de que muchas organizaciones continúan confiando en Active Directory en el futuro previsible, las personas que ingresan a la fuerza laboral a menudo tienen poco o ningún conocimiento sobre Active Directory, por no hablar de las complejidades de cómo funciona y cómo protegerlo adecuadamente. La experiencia requerida para administrar Active Directory de manera efectiva no se obtiene de la noche a la mañana, lo que deja a las organizaciones vulnerables no solo desde el punto de vista técnico sino también en términos de recursos humanos.
Falta de monitoreo
Debido a los valores predeterminados de configuración y la funcionalidad faltante, monitorear Active Directory, incluido cómo se usa, se abusa o se configura incorrectamente, es uno de los principales riesgos asociados con él. Para mitigar estos desafíos, las organizaciones deben confiar en herramientas adicionales. Por ejemplo, usar Microsoft Defender for Identity puede ayudar a detectar actividades anómalas en el entorno. El aumento de los registros de eventos de seguridad en los servidores y la configuración de alertas cuando alguien borra dichos registros puede ayudar con el análisis forense y la detección de manipulaciones. Finalmente, revisar regularmente la postura de seguridad a través de soluciones como BloodHound puede proporcionar la información que necesita para priorizar actividades para aumentar la postura de seguridad general.
Evite estas deficiencias
Aunque esto es solo una breve descripción general de algunos de los problemas comunes que he visto en el campo, es un excelente punto de partida para abordarlos. Si está interesado en escuchar algunas ideas sobre qué hacer contra estas deficiencias, únase a nuestra próxima charla TEC: Active Directory, cuando la vejez es tanto una maldición como una bendición, el 27 de abril de 2023.
