Thomas Leduc

He abordado el privilegio excesivo de Active Directory en el pasado como parte de otros temas más amplios. Pero recientemente he empezado a pensar que es un buen momento para dedicarle un artículo entero. No se trata de un pensamiento al azar por mi parte. Basta con echar un vistazo a algunos hechos para entender por qué deberías revisar los privilegios de AD en tu organización pronto, si no hoy mismo:

  • El privilegio excesivo de Active Directory existe en la mayoría de las empresas, incluso en la actualidad
  • Los errores (que pueden ser devastadoramente costosos) son mucho más probables con un número innecesariamente grande de usuarios que PUEDEN hacer cambios que no deberían poder hacer.
  • Como sabe, los ciberataques centrados en AD utilizan la escalada de privilegios como método principal, y con muchos usuarios privilegiados en su sistema, los atacantes pueden permanecer literalmente invisibles, incluso si intenta supervisar las actividades de AD.
  • No querrás darte cuenta de que tienes un empleado descontento con demasiados privilegios (sobre todo cuando ya es demasiado tarde). No es tan raro como crees. El DBIR 2016 de Verizon informa de que casi el 8% de las violaciones de datos de las organizaciones proceden de fuentes internas intencionadas (empleado o antiguo empleado malintencionado).

Y ahora ya sabes por qué quise hacer de esto el tema de mi post.

Si todo el mundo sabe que es malo, ¿por qué es tan común el exceso de privilegios en Active Directory?

Ocurre que determinados empleados necesitan realizar tareas que requieren más privilegios. Es normal que los administradores permitan estos privilegios, pero ¿alguien se acuerda de eliminar los privilegios adicionales más adelante? En la mayoría de los casos, no. Y es importante recordar que es probable que los empleados señalen que necesitan un privilegio que no tienen, pero no es probable que se quejen de tener un privilegio que no usan. De este modo, el exceso de privilegios puede acumularse con el tiempo.

En cuanto a los grupos con privilegios, los roles más privilegiados en AD suelen ser los administradores de empresa, los administradores de dominio y los administradores. Y hay otros roles que conllevan privilegios que a veces se otorgan automáticamente a los empleados y que casi nunca se revisan. En primer lugar, es importante tener en cuenta que no todas las personas asignadas a grupos específicos necesitan todos los privilegios de su grupo. En segundo lugar, piensa en la última vez que revisaste el número de personas de tu organización que tenían cuentas con privilegios. Probablemente fue hace tiempo y puede que ahora haya demasiadas personas en la lista.

Otra razón, que puede ser el factor clave: aunque muchos de ustedes saben por qué el exceso de privilegios es arriesgado, ponerse a revisar todos los privilegios de la organización puede ser una tarea descorazonadora. Puede requerir mucho tiempo y recursos, y a usted no le sobra ni lo uno ni lo otro. Es algo importante que hay que hacer, pero rara vez parece urgente, por lo que en muchas organizaciones se etiqueta como una prioridad menor.

¿Qué puede pasar si no haces nada al respecto
?

Hemos mencionado la posibilidad de encontrarse con un escenario de empleado descontento. Es fácil entender por qué querrías asegurarte de que tus datos están más seguros y de que todos tus empleados tienen SÓLO los privilegios que necesitan para trabajar en ese momento (mínimo privilegio). Nunca puedes saber cuál de tus empleados se volverá rebelde, por lo que limitar el acceso de todos al mínimo necesario es una gran manera de evitar sorpresas.

Por supuesto, no todos los problemas tienen su origen en intenciones maliciosas. Todos somos humanos y a veces cometemos errores. Aunque se sabe que Active Directory es un sistema muy estable, todos hemos escuchado al menos una terrible historia de "oops-momentos" en algún momento. Cuando eliminas privilegios innecesarios, puedes minimizar la posibilidad de que ocurran esos "oops-momentos" que de otro modo podrían suceder.

También mencionamos la posibilidad de un ciberataque. No es exactamente una noticia de última hora que Active Directory sea cada vez más atacado por piratas informáticos externos porque es una puerta fabulosa a través de la cual un atacante puede obtener mucha información. Si tiene más cuentas privilegiadas de las que debe, si los piratas informáticos obtienen acceso a su sistema, serán más difíciles de descubrir. Incluso cuando supervisa la actividad en Active Directory todo el tiempo, no querrá tener que encontrar una "aguja en un pajar". Para aumentar su capacidad de detectar atacantes, es posible que desee minimizar los privilegios tanto como pueda. Y para agregar otra razón, imagina que uno de tus usuarios inadvertidamente hace clic o descarga algo que no debería y termina lanzando un código malicioso. Si el usuario ha iniciado sesión con privilegios de administrador, el virus puede acceder a una gran cantidad de datos de su organización. Si el malware se ejecuta bajo una cuenta sin privilegios, al menos al principio, solo accederá a los datos de un solo usuario.

¿Cómo resolver responsablemente el exceso de privilegios?

Hay muchas cosas que puede hacer para evitar el exceso de privilegios, y es importante encontrar el equilibrio adecuado para su equipo y su organización. Implantar las políticas más estrictas suena tentador como forma de pecar de precavido, pero también puede añadir una gran carga de trabajo al equipo de TI, así que evalúe sus necesidades y sus capacidades para elegir el plan adecuado. Veamos algunas de las opciones más manejables.

Puedes implantar controles de acceso granulares que apliquen los mínimos privilegios. De hecho, Microsoft observó privilegios excesivos en muchos de sus clientes y decidió publicar una guía para ayudarle en la tarea de implantar modelos administrativos de mínimo privilegio.

Además, cuando añadas privilegios, asegúrate de que sean temporales para los empleados que los soliciten (limítalos a una semana o un mes). En el peor de los casos, los empleados volverán a solicitar los mismos privilegios en el futuro. En el mejor de los casos, puede evitar a su organización un desastre innecesario.

Dado que el proceso de eliminar los privilegios excesivos en la organización puede parecer desalentador, intente dividirlo y vencerlo. Empiece por ocuparse de las cuentas que tienen privilegios que entrañan mayor riesgo. Es tan sencillo como el Principio de Pareto (o la regla 80/20). A veces se puede eliminar el 80% del riesgo abordando el 20% de las causas.

La lista de métodos posibles es interminable, hasta llegar al enfoque más radical de no tener ninguna cuenta AD privilegiada en la organización. Esto se mantiene permitiendo a los administradores acceder a hosts administrativos seguros, donde se les permitirá realizar todas las tareas de administración. La razón por la que lo llamo un enfoque radical es que, como debes saber, aumentará la seguridad, pero hará que la tarea de mantener un funcionamiento sin problemas sea mucho más difícil. En las organizaciones actuales, la carga de trabajo de los profesionales de AD no deja de crecer. Además, los recursos para gestionar las necesidades de AD de las organizaciones no crecen necesariamente tan rápido como deberían. Así que añadir esta capa de obstáculos puede parecer un poco improductivo.

Y cuando buscas un plan de respaldo...

Hay otros factores que pueden causar un desastre de AD, más allá de la cuestión del exceso de privilegios. Probablemente esté pensando en actualizaciones de AD, ataques dirigidos con malas intenciones o incluso desastres naturales. Por ello, siempre es más seguro contar con una sólida solución de automatización de recuperación ante desastres de Active Directory en su "caja de herramientas". Estas tecnologías de automatización/orquestación no diferencian entre las causas de los desastres: No importará qué causó que la organización tuviera un fallo en AD, sólo importa que la recuperación pueda ser rápida y fácil. Un buen ejemplo de solución que puede aprovechar es Semperis Active Directory Forest Recovery, que minimiza los tiempos de recuperación y simplifica significativamente el proceso de salida de desastres de AD.

También querrá tener SIEMPRE una buena copia de seguridad de Active Directory a la que recurrir. En caso de que aún no disponga de una tecnología AD DR a la que pueda recurrir, aún puede mejorar sus copias de seguridad de Active Directory. Esto proporcionará una red de seguridad muy necesaria para cualquier escenario de desastre. Puede ver este tutorial de 20 minutos sobre las mejores prácticas de copia de seguridad de AD para comprobar si su estrategia de copia de seguridad actual responde a todas sus necesidades (suba el volumen de los altavoces :).

Todo lo que he mencionado aquí sobre las ventajas de reducir los privilegios de los usuarios también se aplica a los servidores, las estaciones de trabajo y las aplicaciones, por motivos similares. Lo importante es recordar que, si bien el proceso de abordar el problema del exceso de privilegios es largo, existen mejores prácticas para ayudarle a empezar, y tecnologías para ayudar a asegurar su AD - antes, durante y después de completar el proceso.