Seguridad de directorio activo 101

La mayoría de las empresas de hoy confían en Microsoft Active Directory (AD) para mantener sus operaciones en funcionamiento. Pero, ¿qué es exactamente la AD?

AD es, en esencia, la puerta de enlace que conecta a los empleados con sus recursos en la red de una empresa (como el correo electrónico o los recursos compartidos de archivos de red). Los administradores lo utilizan para administrar los permisos de cada usuario, autenticándolos cuando inician sesión y determinando a qué recursos pueden acceder.

AD tiene muchos beneficios. Es fácil de usar, existe desde hace muchos años y es extremadamente confiable. Sin embargo, muchas empresas simplemente no conocen los riesgos de seguridad que conlleva.

Una breve historia de la EA

Antes del lanzamiento de AD en 2000, los servidores de directorio de TI de Microsoft no escalaban para satisfacer adecuadamente las necesidades de las medianas y grandes empresas, y se requerían muchos servidores. Una empresa de aproximadamente 1000 personas podría haber necesitado 200 servidores diferentes, por ejemplo.

Este fue un gran punto de dolor para las empresas. No solo era difícil administrar todos estos servidores individuales, cada uno de los cuales requería credenciales de inicio de sesión únicas, sino que también dificultaba actividades como el intercambio de archivos, ya que no podían comunicarse fácilmente entre sí.

AD resolvió este desafío. Al integrarse fácilmente con las aplicaciones y proporcionar capacidades de inicio de sesión único en todo un entorno empresarial, transformó la experiencia de la red y se volvió omnipresente rápidamente.

Su prevalencia no ha cambiado en dos décadas. En lugar de desaparecer, esta tecnología de casi un cuarto de siglo ahora es más importante que nunca y actúa como la base para la mayoría de los sistemas de identidad en la nube que utilizan las empresas en todo el mundo.

Sin embargo, aunque AD sigue siendo esencial para la mayoría de las organizaciones en todo el mundo, también se ha convertido en un problema de seguridad.

Por qué AD es un problema hoy

AD es vulnerable por varias razones.

En primer lugar, no fue diseñado para hacer frente a amenazas de seguridad complejas. Se lanzó en una era anterior al ransomware, los equipos cibernéticos sofisticados respaldados por el estado nacional y la adopción generalizada de la computación en la nube. Es una tecnología de una época diferente y, por lo tanto, no puede enfrentar de manera efectiva muchas de las amenazas avanzadas que enfrentamos hoy.

En segundo lugar, AD fue diseñado para ser abierto y facilitar su uso. Confía en aquellos usuarios que iniciaron sesión en una red para priorizar una experiencia de usuario perfecta. Sin embargo, esta apertura hoy en día es un desafío complicado para los defensores, ya que presenta pocas barreras para los infiltrados exitosos.

En tercer lugar, su edad significa que, en muchos casos, ha albergado más de 20 años de malas decisiones de seguridad tomadas originalmente por conveniencia que se han acumulado para crear un objetivo masivo que incluso los atacantes aficionados tendrían dificultades para pasar por alto.

Es por esta razón que aproximadamente el 90% de todas las empresas están expuestas a brechas de seguridad como resultado de vulnerabilidades de AD, y nueve de cada 10 de todos los ataques cibernéticos involucran AD de alguna manera.

Tales estadísticas son realmente aterradoras, al igual que la simplicidad de los métodos de ataque utilizados para apuntar a AD. Veamos el proceso paso a paso…

1. Un atacante pondrá en peligro una PC a través de phishing : un atacante enviará un mensaje o correo electrónico fraudulento diseñado para engañar a su objetivo para que revele información confidencial, como sus credenciales de inicio de sesión para AD.
2. Luego trabajan para obtener privilegios en esa máquina local : Los atacantes pueden elevar sus privilegios en la máquina de varias maneras, aprovechando las vulnerabilidades del dispositivo.
   Usan AD para encontrar otros dispositivos : Luego, los atacantes usan AD para encontrar otras computadoras, mapeando todas las máquinas conectadas y utilizadas dentro de esa red.
3. Luego, los atacantes se concentran en más dispositivos : desde aquí, los atacantes se mueven por una red realizando un reconocimiento difícil de detectar, atacando muchas máquinas para encontrar una que tenga derechos de administrador de AD.
4. Y, por último, acceso seguro a una cuenta privilegiada : finalmente, obtienen acceso a las credenciales de una cuenta privilegiada o de administrador. Una vez que tienen eso, tienen el control total de AD y todo lo que depende de él.

Un ejemplo de un ataque AD popular es el llamado ataque Golden Ticket. Todos estamos familiarizados con el billete dorado de la novela Charlie y la fábrica de chocolate de Roald Dahl. En el mundo digital, los Golden Tickets también brindan acceso al entorno de TI de su organización. Un ataque Golden Ticket brinda a los actores de amenazas acceso sin restricciones a los recursos de la red y la capacidad de residir en las redes indefinidamente, disfrazados como usuarios de nivel de administrador con credenciales.

Delineando la amenaza

AD no es simplemente un problema porque es fácil de atacar. Igualmente, las recompensas para los atacantes son significativas.

AD esencialmente tiene las llaves de tu reino. Imagínese una caja fuerte donde guarda las llaves físicas de su oficina: AD es exactamente como esa caja fuerte. Es el eje central de acceso a sus sistemas críticos: sus computadoras, aplicaciones de software y otros recursos.

Es peligroso porque es simple y lucrativo. En 2021, una empresa pagó un rescate de hasta 40 millones de dólares para recuperar el acceso a su red.

Al mismo tiempo, las barreras de entrada para los atacantes se están reduciendo. Gracias al floreciente mercado de ransomware como servicio (RaaS), ya no necesitan ser expertos en tecnología. En su lugar, simplemente compran herramientas y servicios de quienes lo son.

Es un ciclo devastador. Las recompensas para los atacantes aumentan, mientras que el conocimiento técnico necesario sigue disminuyendo, lo que amplía exponencialmente el panorama de los ataques.

Por lo tanto, es fácil ver por qué un estudio de ransomware de 2021 de International Data Corporation reveló recientemente que más de un tercio (37 %) de las organizaciones globales fueron víctimas de un ataque de ransomware en 2021. De hecho, las probabilidades están firmemente inclinadas a favor de los atacantes. .

¿Cómo pueden responder las empresas?

Las empresas deben responder para cambiar esta marea creciente.

Para minimizar sus vulnerabilidades, primero necesita saber dónde es vulnerable. Para muchas empresas, tratar de obtener esta comprensión puede ser abrumador, especialmente para aquellas con poco o ningún conocimiento sobre seguridad cibernética. Sin embargo, tenga la seguridad de que hay soluciones y soporte disponibles para ayudar.

Purple Knight es un buen punto de partida. Una herramienta gratuita de evaluación de seguridad de Active Directory creada y administrada por un grupo líder de expertos en identidad de Microsoft, puede ayudarlo a detectar puntos débiles en su Active Directory antes de que lo hagan los atacantes, destacando las vulnerabilidades comunes que deben abordarse.

En el último informe de Purple Knight se enumera una gama completa de vulnerabilidades potenciales. Pero para empezar, algunos ejemplos comunes incluyen:

• Desviación de la configuración: la desviación de la configuración es el resultado de años de malas prácticas de AD. Las aplicaciones deben configurarse en AD para funcionar, pero esto lleva tiempo. Una solución rápida a esto es otorgar demasiados derechos administrativos a la aplicación, algo que las empresas han hecho históricamente, queriendo tener su nueva y brillante herramienta en funcionamiento lo antes posible. Como resultado, las cuentas administrativas comienzan a acumularse en AD. Sin embargo, solo se necesita que uno de estos sea atacado para que se produzcan consecuencias catastróficas.
  
• Cuentas de administrador heredadas: las cuentas de administrador heredadas plantean problemas similares. Son esqueletos en el armario. Si un atacante logra acceder a estas cuentas privilegiadas, volverán para perseguirte.
  
• Contraseñas débiles o comunes : los atacantes también intentarán acceder a varias cuentas probando una variedad de contraseñas de uso común. Esto se conoce como rociado de contraseñas, una técnica que puede frustrarse fácilmente al eliminar el uso de contraseñas débiles o comunes en su red.

Por supuesto, identificar y abordar estas vulnerabilidades es solo una pequeña parte del rompecabezas. Para combatir con eficacia la creciente amenaza del delito cibernético a largo plazo, las organizaciones deben adoptar activamente una variedad de mejores prácticas.

Estos pueden incluir cualquier cosa, desde realizar auditorías internas periódicas de seguridad y realizar mejoras operativas breves hasta brindar capacitación regular al personal sobre phishing e invertir en procesos de recuperación para garantizar una recuperación rápida en caso de que se produzca un ataque.

Para obtener apoyo u orientación en el desarrollo de una defensa sólida en todos los ámbitos, vale la pena consultar a profesionales dedicados que se especializan en seguridad de AD para comprender los cambios principales que debe realizar. Los ataques de Active Directory ya no son una cuestión de si, sino de cuándo. Si las empresas abordan sus vulnerabilidades críticas de AD, tienen una oportunidad de luchar. De lo contrario, seguirán siendo blancos fáciles preparados para enfrentar los peores resultados posibles.