Daniel Lattimer | Vicepresidente de Área - EMEA Oeste

Esta semana entra en vigor la Ley de Resiliencia Operativa Digital (DORA) de la Unión Europea, en un esfuerzo por proporcionar una hoja de ruta clara para mejorar la ciberseguridad en el sector de los servicios financieros. Todas las entidades financieras que operan en o con la UE -así como los proveedores de tecnologías de la información y la comunicación (TIC) que prestan apoyo a dichas entidades- están ahora obligados a cumplir la DORA.

Si los requisitos del DORA se aplican a su organización y aún no ha evaluado su efecto en su estrategia y procedimientos de detección y respuesta ante amenazas de identidad (ITDR), no hay tiempo que perder.

¿Por qué es necesario el DORA?

La rápida digitalización ha acelerado drásticamente la innovación en el sector de los servicios financieros. Las expectativas de los clientes han aumentado a medida que se desarrollaba la tecnología, y los agentes del sector tratan ahora de alinearse y aprovechar las oportunidades de cuota de mercado mediante la prestación de servicios instantáneos y personalizados.

Tanto para las empresas como para sus negocios, las oportunidades abundan. Sin embargo, desde el punto de vista de la seguridad, estos avances tecnológicos plantean retos que hacen que el sector financiero sea más vulnerable a una creciente variedad de ciberamenazas sofisticadas.

3 pasos que debe incluir en su lista de comprobación del cumplimiento del DORA

Anteriormente, ofrecimos una visión general de los cinco pilares de la resistencia esbozados por DORA y su aplicación en el contexto de Active Directory (AD). Para adoptar estos pilares de forma eficaz, es vital incluir los tres pasos siguientes en su lista de comprobación de cumplimiento de DORA:

  1. Identifique al responsable de garantizar que la seguridad de su Directorio Activo cumple los requisitos de resistencia de DORA.
  2. Identifique con precisión los riesgos para su entorno híbrido de Active Directory.
  3. Gestione los riesgos de forma eficaz garantizando su capacidad para remediar automáticamente los cambios sospechosos en Active Directory y Entra ID para recuperar Active Directory y Entra ID de forma rápida y segura en caso de que los atacantes traspasen sus defensas.

Paso 1: ¿Quién es responsable del cumplimiento del RIDT y el DORA?

La creciente prevalencia de las ciberamenazas está empujando a Active Directory fuera de las competencias de los equipos de infraestructura de TI y hacia profesionales dedicados a la seguridad o a la gestión de acceso a identidades (IAM).

Active Directory se integra fácilmente con las aplicaciones y proporciona capacidades de inicio de sesión único en todo el entorno empresarial. AD ha seguido siendo omnipresente como servicio de directorio crítico que conecta a los usuarios con los recursos de red que necesitan para realizar sus tareas en el cuarto de siglo transcurrido desde su implantación. De hecho, hoy en día sigue simplificando la vida de los administradores al proporcionar una plataforma centralizada para la configuración de ordenadores y usuarios, y la gestión de derechos.

Dada esta función, la AD ha sido tradicionalmente competencia de los equipos de infraestructura de TI responsables de desarrollar, gestionar y mantener los procesos y servicios digitales que mantienen el buen funcionamiento de una empresa. Pero en los últimos tiempos, el dial ha cambiado.

El mundo moderno ha traído consigo una complejidad mucho mayor, ya que muchas empresas dependen ahora de una amplia gama de aplicaciones críticas, datos y otros activos que residen en paisajes digitales cada vez más complejos. Al mismo tiempo, las ciberamenazas y los ataques han aumentado exponencialmente, y empresas de todas las formas y tamaños se enfrentan ahora a amenazas que abarcan desde fugas de propiedad intelectual hasta ataques de denegación de servicio (DDoS) y ransomware.

Como resultado, AD ya no es simplemente una herramienta de red. Hoy en día, se ha convertido en una cuestión crítica de seguridad y gestión de identidades.

Al servir como plataforma centralizada que permite a los administradores gestionar los permisos y controlar el acceso a los recursos de red, AD posee efectivamente las "llaves del reino" para las empresas. En consecuencia, se ha convertido en un objetivo prioritario para los ciberatacantes. Comprometer AD puede conceder acceso a casi todos los sistemas, aplicaciones y recursos de una organización.

"Debido a que Active Directory proporciona una rica identidad y capacidades de gestión de acceso para usuarios, servidores, estaciones de trabajo y aplicaciones, es invariablemente el objetivo de los atacantes. Si un atacante obtiene acceso altamente privilegiado a un dominio o controlador de dominio de Active Directory, ese acceso puede ser aprovechado para acceder, controlar o incluso destruir todo el bosque de Active Directory".1

Planificar el compromiso (Microsoft)

Esta transición ha planteado una cuestión importante: ¿dónde debe situarse ahora la gestión de la AD y quién debe supervisarla?

Cada vez más, especialmente en el contexto de DORA, vemos cómo las empresas transfieren la propiedad de AD a los equipos de gestión de acceso a identidades (IAM) y de seguridad, un cambio impulsado por las posibles repercusiones de largo alcance de los ataques, errores o tiempos de inactividad en AD y, a su vez, en las operaciones empresariales.

Paso 2: Identificar los riesgos para la infraestructura de identidad

Piense en las aplicaciones críticas para la empresa y orientadas al cliente. Éstas dependen de varios componentes, incluidas las cuentas de servicio y DNS, que se gestionan dentro de Active Directory. Si AD no funciona correctamente o no se gestiona y protege de forma eficaz, la aplicación puede quedar expuesta, lo que puede tener consecuencias que afecten a la reputación de la empresa, los ingresos y el cumplimiento de DORA.

Las empresas reconocen cada vez más estos riesgos y comprenden la necesidad de dar prioridad a la gestión eficaz y la seguridad de la AD. Sin embargo, comprender los riesgos reales asociados a la AD puede resultar complejo.

No siempre estamos hablando de problemas cibernéticos; las vulnerabilidades y los problemas también pueden surgir de errores humanos. AD está gestionado por personas, y las personas cometen errores.

Un escenario común involucra a individuos que accidentalmente borran componentes críticos. Por ejemplo, un administrador podría eliminar inadvertidamente cientos de usuarios al intentar modificar un grupo de usuarios. Otro problema frecuente es la eliminación de cuentas de servicio percibidas como amenazas para la seguridad. Sin comprender plenamente sus funciones o relevancia, la eliminación de estas cuentas puede descarrilar las operaciones en otras partes de la empresa.

Para mitigar estas amenazas -tanto internas como externas; maliciosas y accidentales- las organizaciones necesitan tener un conocimiento completo de su entorno AD, sus asociaciones y dependencias relevantes, y las vulnerabilidades asociadas al mismo.

"Para conocer mejor el entorno de una organización, los ciberdelincuentes suelen enumerar Active Directory en busca de información después de obtener el acceso inicial a un entorno... De este modo, los ciberdelincuentes a veces conocen mejor el entorno Active Directory de la organización que la propia organización. Esto les permite atacar Active Directory con mayores probabilidades de éxito. Los actores maliciosos utilizan su conocimiento del entorno para explotar debilidades y errores de configuración para escalar sus privilegios, moverse lateralmente y obtener el control total del dominio de Active Directory .... Para mejorar Active Directory, las organizaciones deben comprender en profundidad su propia configuración de Active Directory".2

Detecting and Mitigating Active Directory Compromise (informe de Five Eyes Alliance)

Afortunadamente, existen varias herramientas gratuitas que proporcionan visibilidad inmediata de las configuraciones de AD, ayudando a las organizaciones a mitigar sus riesgos más críticos.

  • Purple Knight: Nombrada específicamente como herramienta de auditoría de AD por el Centro Nacional de Ciberseguridad y otras agencias de ciberseguridad de la alianza Five Eyes, esta herramienta ofrece evaluaciones de seguridad para AD, Entra ID y Okta. Ayuda a las organizaciones a identificar indicadores de exposición (IOE) e indicadores de compromiso (IOC) en sus entornos híbridos de AD, mejorando la seguridad y la resistencia generales.
  • Forest Druid: Diseñado para abordar el reto del exceso de permisos en Active Directory y Entra ID, Forest Druid adopta una gestión única de las rutas de ataque. En lugar de examinar manualmente cada relación de grupo y usuario, prioriza las rutas de ataque que conducen al perímetro de nivel 0 en entornos de identidad híbrida. Este enfoque en los activos críticos ahorra tiempo y mejora la seguridad al abordar primero las vulnerabilidades más significativas.

Obtener visibilidad de su entorno actual de esta manera es crucial. Estas herramientas proporcionan una base sólida para identificar las vulnerabilidades clave y las posibles vías de ataque a los activos críticos para la empresa, ofreciendo una visión general instantánea de sus riesgos potenciales en un momento específico.

Paso 3: Adoptar la automatización para la gestión continua de riesgos

Aunque Purple Knight y Forest Druid pueden proporcionar un buen punto de partida, es importante tratar estas herramientas como el principio de un análisis continuo y de esfuerzos de corrección. Cualquier medida puntual suele ser inadecuada para mitigar los riesgos potenciales asociados a la EA de forma continuada.

Considere la naturaleza dinámica de la mayoría de las empresas: las adquisiciones traen consigo nuevas estructuras de Active Directory, los usuarios se añaden o eliminan a diario, los roles de trabajo cambian y las aplicaciones y configuraciones de red se actualizan continuamente. En otras palabras, AD es un entorno vivo en el que las políticas cambian constantemente.

Trazar una línea hoy no garantiza que se mantenga la misma postura de seguridad mañana. Por el contrario, para gestionar y capturar este riesgo en evolución a lo largo del tiempo de manera eficaz y seguir cumpliendo con DORA, las empresas necesitan un medio para capturar su perfil de riesgo, ya sea regularmente o en tiempo real.

En este caso, las herramientas automatizadas se erigen como la solución más potente y lógica. Intentar supervisar AD y corregir cambios sospechosos manualmente puede llevar mucho tiempo y estar sujeto a errores humanos. Las soluciones automatizadas pueden ofrecer una supervisión y evaluación continuas, garantizando que se mantenga por delante de las amenazas emergentes.

Y si ocurriera lo peor -como suele ser el caso debido a la frecuencia, persistencia y sofisticación de las ciberamenazas modernas-, la capacidad de recuperar Active Directory y Entra ID de forma rápida y segura es primordial. Hasta que el Directorio Activo no esté en funcionamiento, las operaciones normales del negocio simplemente no pueden recuperarse.

Semperis dispone de varias herramientas de apoyo a estos procesos:

  • Directory Services Protector (DSP): Reconocida por Gartner, esta solución de detección y respuesta a amenazas de identidad (ITDR) pone la seguridad híbrida de Active Directory en piloto automático. Ofrece una supervisión continua y una visibilidad sin precedentes de los entornos locales de AD y Entra ID. Entre sus funciones se incluyen el seguimiento a prueba de manipulaciones y la reversión automática de cambios malintencionados, lo que garantiza una protección sólida y una recuperación rápida.
  • Lightning IRP: esta herramienta basada en ML detecta sofisticados ataques a la identidad que las soluciones tradicionales pasan por alto, como ataques de fuerza bruta, ataques de pulverización de contraseñas y actividades anómalas.
  • Active Directory Forest Recovery (ADFR): Esta herramienta ayuda a las organizaciones a prepararse para los peores escenarios garantizando una recuperación rápida y libre de malware del bosque AD en caso de un desastre cibernético. Permite configurar fácilmente una réplica del entorno AD de producción para simulacros de recuperación de desastres y automatiza todo el proceso de recuperación del bosque AD para minimizar el tiempo de inactividad. Además, ADFR permite la recuperación de AD a un estado seguro conocido, evitando ataques posteriores y garantizando la continuidad del negocio.

Complete hoy mismo la lista de comprobación del cumplimiento de la DORA

Dado que AD es un sistema crítico que se utiliza para almacenar información de usuarios, gestionar el acceso y la autenticación de usuarios y asignar recursos a servicios, activos y datos, es fundamental que las empresas de servicios financieros trabajen para garantizar su protección.

No sólo lo exige el cumplimiento de la DORA, sino que la seguridad y la integridad de su negocio y de sus clientes dependen de ello. Por lo tanto, es fundamental tomar las medidas necesarias para mitigar las posibles vulnerabilidades y riesgos de forma continua.

  1. Asegúrese de que su organización comprende el impacto significativo que una única identidad puede tener en varios aspectos de la empresa, incluidas las aplicaciones, los procesos y las cadenas de suministro críticos. Dada esta interdependencia, puede ser necesario reevaluar la propiedad y la gestión de AD para garantizar que se alinea con las prioridades empresariales y las necesidades de seguridad.
  2. Aproveche herramientas de código abierto como Forest Knight y Purple Druid para obtener una valiosa visibilidad del estado actual de su entorno de AD e identificar vulnerabilidades y posibles rutas de ataque a activos críticos para la empresa. Esta evaluación inicial es fundamental para diseñar estrategias que gestionen y mitiguen eficazmente los riesgos clave.
  3. Establezca mecanismos que garanticen que está mitigando activamente los riesgos AD de forma continua. En el caso de las empresas con entornos de TI dinámicos, merece la pena invertir en herramientas automatizadas que ayuden a agilizar este proceso y, al mismo tiempo, a demostrar a los auditores el cumplimiento y la preparación para el DORA.

Siguiendo estos pasos, las organizaciones pueden mejorar la postura de seguridad de sus entornos de AD, reducir los riesgos de ciberamenazas y lograr y mantener el cumplimiento de la DORA en un panorama de TI en constante evolución.

Obtenga ayuda para evaluar el cumplimiento de la seguridad de su AD

Notas finales

  1. Planificar el compromiso | Microsoft Learn
  2. Detección y mitigación de compromisos de Active Directory