Recientemente he tenido el placer de colaborar con Ran Harel, principal responsable de productos de seguridad de Semperis, en un seminario web centrado en hacer que el marco ATT&CK de MITRE sea relevante y práctico para las organizaciones que desean mejorar su seguridad. En el seminario web nos centramos en el objetivo más atacado - Active Directory - y demostramos cómo los atacantes explotan AD, cómo esos ataques se corresponden con el Marco MITRE y mostramos algunas herramientas valiosas que pueden ayudar a descubrir y combatir estos ataques implacables.
Un punto interesante que surgió del seminario web fue la falsa sensación de seguridad que la mayoría de los profesionales sienten hacia sus despliegues de AD. Comenzamos la sesión pidiendo a todos los participantes que calificaran el grado de seguridad de su AD. El cincuenta por ciento dijo que su AD era "muy segura", mientras que el 43% dijo que era "algo segura". Estos resultados están en conflicto directo con los datos del mundo real generados por cientos de evaluaciones de AD de Semperis Purple Knight . La puntuación media de la seguridad de AD en Purple Knight es del 64%, lo que supone un suspenso en todos los aspectos. Esto no es sorprendente, dado el estado actual de la protección de AD.
Lecturas relacionadas
Durante la sesión sugerí que muchas organizaciones han "renunciado" a la protección de AD. La mejor protección que existe en la actualidad son las directrices y buenas prácticas de Microsoft, que no bastan para proteger las llaves del reino. Las organizaciones dedican mucho tiempo y dinero a la auditoría y la gestión de AD, pero no a la protección y la detección. Yo diría que AD es el activo más desprotegido en la mayoría de las organizaciones. Para vulnerar AD sólo hace falta comprometer una cuenta de usuario.
Ran Harel hizo hincapié en este punto con una gran demostración de las tácticas de ataque de AD. Mostró cómo el actual exploit Print Nightmare se ejecuta en despliegues AD estándar, y si hubieras seguido los consejos de Microsoft habrías seguido siendo vulnerable. Desde entonces, Microsoft ha proporcionado parches para eliminar las vulnerabilidades, pero no antes de que miles de organizaciones fueran víctimas del ataque. Cuando se compara con el marco ATT&CK de MITRE, es fácil ver cómo incluso con las mejores intenciones, la mayoría de las organizaciones se encuentran en apuros para detectar y frustrar el movimiento lateral y las tácticas de escalada de privilegios que utilizan los atacantes, y que el marco ayuda a exponer.
El valor del marco ATT&CK de MITRE reside en que los profesionales lo utilizan no sólo como una visión teórica, sino como una guía para la prevención y la corrección práctica y práctica. Los actores de las amenazas piensan de forma diferente a los profesionales de la seguridad, y el Marco nos permite a todos pensar como el atacante y, por tanto, protegernos mejor.
Lo maravilloso de este paso de la teoría a la práctica es que hay organizaciones que pueden ayudarte. Mi organización, ISSQUARED, proporciona la información y el asesoramiento que le ayudarán a poner en práctica el marco. Y Semperis proporciona las herramientas más potentes del sector para todo el ciclo de vida de los ataques: antes, durante y después. Las herramientas de Semperis proporcionan supervisión continua de nivel empresarial y corrección automática a través de la solución Directory Services Protector (DSP) -que Ran ha demostrado su potencia- y evaluación puntual a través de Purple Knight, que es una herramienta gratuita para ayudar a generar una línea de base y proporcionar una visión realista de la seguridad real de su entorno AD. Ambas herramientas se ajustan perfectamente al marco ATT&CK de MITRE, así como a muchas normativas del sector y marcos de mejores prácticas como CIS y NIST.
Le invito a ver la grabación de este seminario web para obtener más información sobre el marco ATT&CK de MITRE y cómo pasarlo de la teoría a la práctica. Puede encontrar la grabación aquí. Y mientras lo hace, le recomiendo que descargue y ejecute Semperis Purple Knight para ver cuál es su posición actual y cómo se corresponde con el marco. Una vez que lo sepas, podrás empezar a defenderte.