5 razones por las que Active Directory es el talón de Aquiles del CISO

A pesar de la gran dependencia que TI tiene del Active Directory (AD), una tecnología con más de 20 años, los equipos de ciberseguridad parecen pasar por alto que el AD es un objetivo obvio y frecuente para los ciberdelincuentes, lo que expone a las organizaciones a un mayor riesgo.

Estamos en un momento muy interesante, asistiendo a la batalla del bien y el mal cibernéticos. En general, el sector de la ciberseguridad está actualizando las soluciones constantemente y se centra en las características específicas de los ataques, no sólo para detectarlos, sino para prevenirlos con eficacia. Estamos viendo soluciones de próxima generación para cada capa de la infraestructura de seguridad y miles de proveedores entre los que elegir.

A pesar de estos avances, Active Directory sigue siendo una de las partes del entorno de una organización que recibe menos atención en materia de ciberseguridad. Aunque la mayoría de los programas de seguridad tienen una solución SIEM que supervisa los registros para detectar cualquier cosa fuera de lo normal, no es suficiente.

Todos conocemos la historia de Aquiles, el más grande de los guerreros griegos que estaba protegido y se consideraba “invulnerable” en todo su cuerpo excepto en uno de sus talones. Fue justo en ese talón dónde le alcanzó una flecha y le derribó.

Al igual que Aquiles, se supone que Active Directory es invulnerable porque existen muchas medidas de protección. Pero al igual que el talón de Aquiles, una vez que un atacante llega hasta él, se acabó el juego. Incluso un atacante novato puede hacer una búsqueda en la web y encontrar vulnerabilidades, procedimientos y herramientas disponibles para comprometer el Active Directory.

  1. Es la piedra angular de la mayoría de las operaciones – A pesar de que la mayoría de las organizaciones utilizan un directorio de nube híbrida con Azure AD y Office 365, el sistema de registro, hoy en día, para la mayoría de las organizaciones, sigue siendo Active Directory in-situ. Por lo tanto, todos los servicios, aplicaciones, conjuntos de datos y recursos, tanto locales como en la nube, dependen indirecta o directamente de Active Directory para obtener acceso. Si Active Directory se ve comprometido, todas las partes de las operaciones que dependen de él se detienen.
  2. No está diseñado para la seguridad: hace 20 años, Microsoft construyó una forma de proporcionar acceso de forma centralizada y no estaban pensando en el principio de mínimo privilegio o en el zero trust. Claro que tiene algunos elementos relacionados con la seguridad de un entorno, pero piénsalo: no hay ningún detalle de permisos para los recursos almacenados en Active Directory; es simplemente un proveedor de identidad en el que todas las demás partes del ecosistema Microsoft confían para validar la identidad de un usuario. La seguridad se encuentra en cada servicio, aplicación, etc. En esencia, Active Directory no es más que una plataforma de inicio de sesión única adelantada a su tiempo. Esto es un problema porque no está diseñada para hacer frente a las amenazas actuales. Y las amenazas vienen directamente a por ella.
  3. Ahora es un objetivo común para los ciberataques – Aunque generalmente nunca oímos hablar de detalles técnicos en las noticias sobre ciberataques, estamos empezando a ver que Active Directory se menciona con mucha más regularidad que antes. El Directorio Activo de Virgin Mobile se vio comprometido y sus datos se vendieron en la Dark Web. NTT Communication admitió que su Directorio Activo se vio comprometido como parte de una violación de datos. Se ha demostrado que el ransomware Ryuk modifica la Política de Grupo para propagarse a los puntos finales a través de un script de inicio de sesión. A decir verdad, siempre pudimos trazar la línea de puntos sabiendo que era muy probable que Active Directory sufriese un ataque; ahora tenemos datos que lo demuestran.
  4. Los planes estándar de recuperación de desastres no son suficientes – Tener la capacidad de recuperar simplemente Active Directory como parte de los esfuerzos mayores de recuperación de desastres es un gran comienzo. Pero como cualquier buen plan de recuperación de desastres, la recuperación necesita alinearse con el “desastre”. En caso de que un ciberataque provoque controladores de dominio infectados, un directorio modificado o ambos, es necesario tener la capacidad no sólo de recuperar los datos que residen en Active Directory, sino de devolverlos a un estado seguro conocido. Eso significa un sistema operativo Windows Server subyacente libre de malware, así como un estado recuperado de Active Directory que se sepa que es anterior a cualquier modificación maliciosa. Sin abordar específicamente estas dos preocupaciones, los actuales planes de recuperación de desastres para Active Directory son poco mejores que una simple recuperación a ciegas de las copias de seguridad.
  5. La estrategia de seguridad no se centra en la protección de AD antes, durante y después de un ataque – Los planes de recuperación de desastres mencionados anteriormente ciertamente ayudan con los esfuerzos de respuesta. Pero fuera de eso, supongo que el resto de la estrategia tiene poco o nada que ver con Active Directory específicamente. Y eso es un problema, dadas las 4 razones anteriores. Para ser claros, esto va más allá de las herramientas tradicionales de monitorización, que un número creciente de ataques tipo DC Shadow puede eludir. Las herramientas de seguridad centradas en el Active Directory son necesarias para detectar ataques de identidad más sofisticados que, de otro modo, dejarían a su SIEM ciego. Modificando el Directorio Activo, los atacantes pueden obtener acceso a cualquier cosa en la red. Por lo tanto, se deben establecer disposiciones de seguridad específicas para supervisar y evitar cambios no autorizados dentro del propio Active Directory.

Active Directory sigue desempeñando un papel fundamental en la mayoría de las organizaciones actuales. Las empresas deben adoptar una estrategia de seguridad por capas que incluya la protección de Active Directory mediante conjuntos de herramientas específicamente diseñados para prevenir, detectar y remediar los ataques a los directorios.

Asumir que la seguridad en capas que se interpone entre el ciberdelincuente y el Active Directory es suficiente para proteger a la empresa es arriesgarse a tener un cese en las operaciones y a la organización en los titulares.

Noticias Relacionadas
3 Comentarios
  1. 5 razones por las que Active Directory es el talón de Aquiles del CISO https://t.co/jKu78tPGgY #cloudcomputing https://t.co/Grnw6Gz2F3

  2. 5 razones por las que Active Directory es el talón de Aquiles del CISO https://t.co/8cBRTNrYw9 https://t.co/Yq5g2wFcVi

  3. StackedCloud (@StackedCloud) dice

    5 razones por las que Active Directory es el talón de Aquiles del CISO: Por Nuno Antunes Ferreira, director para Es… https://t.co/ENsJwVijuZ

Deja una respuesta

Su dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.