[Nota del editor: Este artículo ha sido escrito por Ed Amoroso, CEO y fundador de TAG].
Cualquier observador de la ciberseguridad del sector público reconocerá los serios retos en materia de protección de las tecnologías de la información (TI) para las agencias del sector público estadounidense en las últimas décadas. Incidentes graves, como la filtración de datos de 2015 en la Oficina de Gestión de Personal de Estados Unidos (OPM), así como las filtraciones por parte de estados-nación de importantes organismos, como el Departamento de Estado de Estados Unidos, ilustran el desafío constante para los funcionarios del sector público.
¿Cómo afecta Active Directory a la ciberseguridad del sector público?
No debería sorprender que los organismos del sector público sean susceptibles a las mismas vulnerabilidades de ciberseguridad que cualquier otro sector. Pertenecer al sector público no parece ofrecer grandes ventajas en términos de evasión de amenazas o ciberprotección. En este sentido, es razonable suponer que una de las vulnerabilidades de ciberseguridad más comunes e intensas del sector público tiene que ver con debilidades en Microsoft Active Directory (AD).
AD es la base de la gestión de identidades y el control de acceso en la mayoría de los organismos del sector público.
- La integridad de AD es vital para garantizar que sólo el personal autorizado pueda acceder a información gubernamental sensible, sistemas críticos y recursos clasificados.
- Una brecha en la seguridad de las AD puede comprometer la seguridad nacional, exponer los datos de los ciudadanos e interrumpir servicios públicos esenciales.
- Los organismos del sector público se enfrentan a estrictos mandatos de cumplimiento y regulación que exigen protocolos de seguridad AD.
- La complejidad de los ecosistemas informáticos de las administraciones públicas y el auge de los entornos de trabajo híbridos acentúan aún más la necesidad de medidas avanzadas de seguridad de AD.
Por lo tanto, las organizaciones del sector público deben dar prioridad a la protección de AD para evitar accesos no autorizados, garantizar el cumplimiento de la normativa y mantener la continuidad operativa frente a las cambiantes ciberamenazas.
Más información sobre la protección de Active Directory
¿Qué es la detección de ataques AD?
Alcanzar un nivel suficiente de seguridad de AD depende de una amplia gama de funciones, controles y servicios. A su vez, éstos dependen no sólo de unas buenas capacidades de seguridad, sino también de una correcta administración diaria. Dicho esto, nuestra observación es que el aspecto más intensamente difícil de la seguridad de AD para el sector público implica la detección y mitigación de ataques antes, durante y después de su inicio en un objetivo vivo.
La detección de ataques AD implica la identificación de actividades maliciosas dirigidas a los sistemas AD. Dichas actividades incluyen:
- Accesos no autorizados
- Escalada de privilegios
- Modificaciones de las estructuras de directorios
La detección eficaz de ataques a AD se basa en la supervisión continua, el uso de inteligencia artificial y el análisis del comportamiento para señalar actividades sospechosas. Estas capacidades permiten detectar rápidamente anomalías, como un aumento inusual de los privilegios de acceso o cambios en las directivas de grupo.
Dado el papel fundamental de AD en la gestión del acceso a los sistemas gubernamentales, la detección de ataques en tiempo real es esencial para minimizar el impacto de los ciberataques. La detección temprana mejora significativamente los esfuerzos de respuesta a incidentes, minimizando el riesgo de brechas mayores. Al identificar proactivamente las amenazas, los organismos del sector público pueden:
- Reducir el tiempo de permanencia
- Limitar los movimientos de los atacantes dentro de las redes
- Tome medidas inmediatas para proteger los datos y servicios sensibles
Amenazas actuales relacionadas con la identidad para la ciberseguridad del sector público
Como se ha sugerido anteriormente, los organismos del sector público son objetivos debido al valor de sus recursos. Los ataques de ransomware se encuentran entre las amenazas más frecuentes, y a menudo aprovechan las vulnerabilidades de AD para propagarse por los sistemas gubernamentales e interrumpir los servicios.
Estos ataques suelen tener como objetivo paralizar la infraestructura o extorsionar a las agencias para que paguen grandes sumas a cambio de descifrar datos esenciales. El espionaje de credenciales AD por parte de Estados-nación también es motivo de grave preocupación.
Además, muchos entornos de TI del sector público son sistemas heredados, que a menudo contienen vulnerabilidades sin parches y configuraciones erróneas que los atacantes aprovechan. El cambio al trabajo remoto ha complicado aún más los esfuerzos de seguridad, ampliando la superficie de ataque y exponiendo la AD a posibles brechas. Esta evolución de las amenazas subraya la urgente necesidad de una seguridad AD robusta en los organismos del sector público.
En términos más generales, el problema de la ciberseguridad del sector público apunta a debilidades generales en los ecosistemas de gestión de identidades y accesos (IAM) puestos en marcha para gestionar las identidades de los usuarios e integrarse con AD. Este reto no debería sorprender a los profesionales, ya que la IAM representa uno de los aspectos más difíciles de la seguridad de las empresas modernas. La seguridad del sector público no es diferente.
Mandatos federales para la ciberseguridad del sector público
En Estados Unidos existen varios mandatos federales para hacer cumplir las medidas de ciberseguridad del sector público, especialmente dentro de la IAM y los sistemas relacionados, como los servicios de directorio. Uno de los principales marcos legislativos es la Ley Federal de Modernización de la Seguridad de la Información (FISMA), que obliga a los organismos federales a proteger los sistemas de información y los datos de los usuarios , incluida la gestión de identidades.
En virtud de la FISMA, los organismos deben implantar salvaguardias como la autenticación multifactor (MFA) y controles de acceso de los usuarios para garantizar un acceso seguro a los recursos gubernamentales. Además, la Orden Ejecutiva 14028 (Mejora de la ciberseguridad de la nación) ha impulsado la adopción de la Arquitectura de Confianza Cero (ZTA), que obliga a los organismos a pasar de una seguridad basada en el perímetro a un enfoque más centrado en la identidad que asume que cada solicitud de acceso no es de confianza hasta que se verifique.
Los sistemas IAM del sector público también están regulados por mandatos como la Publicación Especial 800-63 del NIST sobre Directrices de Identidad Digital, que establece las mejores prácticas para la comprobación de la identidad, la autenticación y la gestión del ciclo de vida de los usuarios federales. Estas directrices afectan directamente a la seguridad de los sistemas de identidad y servicios de directorio del sector público, incluyendo la aplicación de procesos de verificación estrictos y la mejora de los mecanismos de federación de identidades.
Por lo tanto, aunque los mandatos para mejorar la AD no están explícitamente presentes, las implicaciones más amplias de estas políticas sugieren un impulso para asegurar los sistemas de identidad empresarial. La AD desempeña un papel crucial en la gestión de identidades y la aplicación de políticas en todo el sector público, incluidos los contratistas. Como parte del énfasis del gobierno en la Confianza Cero, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) ha publicado las mejores prácticas para asegurar los controles de identidad y acceso, animando a las agencias y contratistas a adoptar estrategias de seguridad de directorios más robustas.
Utilización de Semperis para la seguridad AD en el sector público
Una buena noticia es que, aunque la IAM seguirá siendo una tarea compleja (cuyas soluciones quedan fuera del alcance de este documento), podemos informar de que existen opciones eficaces para que los grupos del sector público, incluidas las agencias federales, reduzcan los riesgos asociados a su implantación de AD. Esta situación debería ser bienvenida, dado el importante papel que AD desempeña en el entorno de identidad general de la mayoría de las agencias.
En concreto, la empresa de ciberseguridad Semperis ofrece un conjunto de soluciones de seguridad de AD adaptadas a las necesidades de las organizaciones del sector público, centradas en la supervisión en tiempo real, la detección rápida de ataques y la recuperación ante desastres. Su plataforma detecta cambios no autorizados en AD, como escaladas de privilegios o modificaciones en las políticas de grupo, y proporciona alertas automatizadas a los equipos de seguridad, garantizando que se puedan tomar medidas inmediatas.
Semperis proporciona a los organismos del sector público sólidas herramientas de recuperación de AD que minimizan el tiempo de inactividad y evitan la propagación de ransomware. Si un entorno AD se ve comprometido, las capacidades de recuperación automatizada de Semperis permiten a las organizaciones restaurar rápidamente los directorios afectados a un estado anterior al compromiso. Para los organismos sujetos a estrictos requisitos de cumplimiento y tiempo de actividad, es esencial una respuesta y recuperación rápidas ante los ataques a AD.
Refuerce la ciberseguridad del sector público con un plan de acción de endurecimiento de la AD
TAG aconseja que los CISO del sector público desarrollen una estrategia de seguridad que haga hincapié en el fortalecimiento de AD, la supervisión continua y la respuesta a incidentes. Un primer paso clave es realizar evaluaciones de seguridad periódicas para identificar errores de configuración de AD, vulnerabilidades sin parches y áreas que podrían ser explotadas. El despliegue de soluciones avanzadas de seguridad de AD, como la plataforma de Semperis, puede permitir a los organismos detectar ataques en tiempo real, garantizando una respuesta y mitigación rápidas. Los organismos interesados en colaborar con Semperis deben ponerse en contacto directamente con la empresa para identificar el mejor vehículo contractual disponible para el despliegue de pruebas de concepto (POC).
Explore las estrategias de los expertos para reforzar Active Directory
Acerca de TAG: Reconocida por Fast Company, TAG es una empresa de asesoramiento e investigación de nueva generación de confianza que utiliza una plataforma SaaS impulsada por IA para proporcionar perspectivas, orientación y recomendaciones a la carta a equipos empresariales, agencias gubernamentales y proveedores comerciales en ciberseguridad, inteligencia artificial y ciencia climática.