Michele Crockett

Según un nuevo informe de Enterprise Management Associates (EMA), las vulnerabilidades desconocidas son la principal preocupación de los profesionales de la seguridad informática. Le siguen de cerca las vulnerabilidades conocidas pero no abordadas.

Los riesgos más preocupantes para la postura general de seguridad citados por los encuestados fueron:

  • Fallos de seguridad nativos de Microsoft
  • Ataques de ingeniería social, como el phishing
  • Los atacantes se mueven entre AD local y Azure AD

Dada la gran atención que los medios de comunicación y las empresas de investigación, como 451 Research y Gartner, prestan a la AD, no es de extrañar que las vulnerabilidades desconocidas fueran una de las principales preocupaciones de los encuestados, entre los que se encontraban directores y gestores de TI, arquitectos de TI, profesionales de DevOps y directores de seguridad.

El año 2021 supuso un cambio radical en la concienciación sobre Active Directory -el principal almacén de identidades para el 90% de las empresas de todo el mundo- como vector de ataque para los ciberdelincuentes. Una de las mayores señales de alarma fue el ataque de SolarWinds. Aunque los investigadores tardaron algún tiempo en desentrañar este sofisticado ataque, el papel de Active Directory era evidente. (Para más detalles sobre cómo AD intervino en el ataque a SolarWinds, lea el post de Guido Grillenmeier "Ahora es el momento de replantearse la seguridad de Active Directory"). A medida que se produjeron más infracciones de gran repercusión relacionadas con AD -incluido el ataque a Colonial Pipeline-, las vulnerabilidades de AD se convirtieron en el centro de atención.

Los hallazgos de los consultores de Mandiant corroboran la frecuente explotación de AD: informaron de que en el 90 por ciento de los ataques que investigan, AD está implicado de alguna forma como punto de entrada inicial o como parte de un esfuerzo de escalada de privilegios. Como Paula Musich, Directora de Investigación de EMA, escribió en la introducción del informe, los profesionales de la seguridad se enfrentan a una amplia gama de riesgos en la gestión de AD.

"Debido a que la configuración de Active Directory está en un continuo estado de cambio, los malos actores encuentran perpetuamente nuevas formas de explotar las vulnerabilidades para lograr sus objetivos ilícitos."

Fallos tan sonados como la vulnerabilidad del servicio Windows Print Spooler descubierta en junio de 2021 sirvieron de catalizador para que los profesionales de TI y seguridad investigaran la seguridad de los entornos AD de sus organizaciones. Desde su lanzamiento inicial en marzo de 2021, más de 5.000 usuarios han descargado Purple Knightuna herramienta gratuita de evaluación de la seguridad de Semperis que escanea el entorno AD en busca de indicadores de exposición y compromiso y genera un informe que proporciona una puntuación de seguridad global, así como orientación experta para remediar los defectos. Las organizaciones han informado de una puntuación inicial media de alrededor del 68%, una nota de aprobado por los pelos.

En entrevistas individuales, muchos usuarios de Purple Knight se declararon sorprendidos por las conclusiones del informe.

"Sé que tengo Active Directory", dijo un CISO de una empresa manufacturera canadiense. "Pero no sabía que tenía estos problemas. Y soy bastante consciente de la seguridad. Así que fue una buena bofetada en la cabeza".

La preocupación por la recuperación de la AD se cierne sobre el sector

Además de preocuparse por las vulnerabilidades de AD desconocidas y sin abordar, los encuestados también dijeron que les preocupan sus planes de recuperación de AD, entre otras cosas:

  • No disponer de un plan de recuperación tras un ciberataque
  • La incapacidad de recuperarse rápidamente
  • No tener una responsabilidad definida para la recuperación de AD

La mayoría de los encuestados afirmó que el impacto de un ataque que derribara sus controladores de dominio oscilaría entre "significativo" y "catastrófico", lo que aviva la preocupación por un plan de respuesta inadecuado. Sólo en los últimos años las organizaciones han pasado de centrarse en planes de continuidad de negocio que abordan desastres naturales o errores humanos a planes que proporcionan una respuesta adecuada a un ciberataque malicioso.

Como escribieron Gil Kirkpatrick (arquitecto jefe de Semperis) y Guido Grillenmeier (tecnólogo jefe) en su libro blanco "Does Your Active Directory Disaster Recovery Plan Cover Cyberattacks?" (¿Cubre su plan de recuperación ante desastres de Active Directory los ciberataques?), en los primeros tiempos de AD, los equipos de TI estaban preparados para recuperar AD de diversos problemas, como la eliminación involuntaria de objetos de AD, las configuraciones erróneas de las políticas de grupo y los controladores de dominio averiados. Pero las posibilidades de tener que recuperarse de un apagón completo de AD -como pueden causar los ciberataques- eran "muy pequeñas".

El panorama de las amenazas ha cambiado drásticamente desde los primeros días de AD, pero los retos de recuperar un bosque completo de AD no lo han hecho. Como señalan los autores del informe, "sigue siendo un proceso complejo y propenso a errores que requiere planificación y práctica para todas las implantaciones de AD, salvo las más triviales".

Los resultados del informe de la EMA indican que los equipos de TI y seguridad conocen y están preocupados por los retos que plantea la recuperación de AD tras un ciberdesastre.

Los entornos híbridos añaden complejidad a la seguridad de los servicios de identidad

El traslado de cargas de trabajo y aplicaciones a la nube será un proceso continuo y prolongado, según el informe de la EMA (y corroborado por un informe reciente de Gartner), que dejará a los equipos de TI y seguridad la tarea de gestionar la seguridad en un entorno híbrido en un futuro previsible. Mientras que el 47% de los encuestados en el estudio de la EMA calificó de "muy competente" su propia capacidad para gestionar y proteger AD en las instalaciones, sólo el 37% de los encuestados se otorgó esa calificación para los entornos de identidad híbridos. Alrededor de un tercio de los encuestados calificó su habilidad para gestionar y asegurar un entorno híbrido como "adecuada".

La confianza de los encuestados en la recuperación de recursos de Azure AD (como usuarios, grupos y roles) tras un ciberataque no era tranquilizadora: Alrededor del 55% de los participantes expresaron un nivel de confianza "medio". Gestionar adecuadamente la seguridad en un entorno de identidad híbrida podría ser una de esas situaciones en las que los profesionales aún no saben lo que no saben: Integrar Active Directory local con la autenticación de Azure AD requiere una mentalidad diferente, y no comprender algunas de las diferencias clave puede exponer a las organizaciones a riesgos de seguridad.

Cómo abordan las organizaciones los problemas de seguridad de AD

Con el aumento de la concienciación sobre los ataques relacionados con AD, las organizaciones están realizando cambios para reforzar sus defensas en respuesta a ataques de gran repercusión como la brecha de SolarWinds. Según el informe de la EMA:

  • El 45% de las organizaciones aumentó la colaboración entre los equipos operativos y de seguridad
  • El 44% se centra más en cerrar las brechas de seguridad de AD, detectar ataques y garantizar copias de seguridad sin malware.
  • El 37% añadió profesionales cualificados para subsanar las deficiencias de seguridad de la AD.

La constatación de que las organizaciones están fomentando la colaboración entre los equipos operativos y de seguridad coincide con la de un informe de 2021 de la Identity Defined Security Alliance (IDSA), "2021 Trends in Securing Digital Identities", según el cual el 64% de las organizaciones han realizado cambios para alinear mejor las funciones de seguridad e identidad en los dos últimos años. Las organizaciones reconocen ahora que un sistema de identidad seguro es el punto de partida para proteger todos los demás activos de la organización.

Estos cambios organizativos allanarán el camino para afrontar los retos y la urgencia de identificar y abordar las vulnerabilidades de AD, la principal preocupación citada por los encuestados en el informe de la EMA. A medida que los equipos de identidad y seguridad compartan conocimientos y colaboren en la búsqueda de soluciones, las organizaciones reforzarán sus defensas contra los ataques relacionados con la identidad. Sólo el 3% de los encuestados afirmó que sus organizaciones siguen considerando y gestionando AD como un recurso operativo. Como señala Musich en el informe de la EMA: "Esos rezagados tendrán una cuesta arriba para alcanzar al 56% de las organizaciones encuestadas que hacen de Active Directory el núcleo de su estrategia global de seguridad."

Más recursos