En 2019, la Autoridad de Conducta Financiera (FCA) propuso cambios en la forma en que las instituciones del sector financiero del Reino Unido garantizan la resiliencia operativa, en particular contra la amenaza de ciberataques. La FCA comenzará a aplicar las directrices el 31 de marzo de 2022. Todas las organizaciones reguladas por la FCA se enfrentarán a auditorías para demostrar su cumplimiento y dispondrán de un plazo ajustado para abordar los problemas de cumplimiento. Un paso clave para cumplir con la nueva normativa de la FCA es garantizar la ciberresiliencia de su entorno de Microsoft Active Directory (AD), ya que AD desempeña un papel fundamental en la autenticación de usuarios y el acceso a aplicaciones y servicios críticos para la empresa.
Las orientaciones de la FCA detallan los requisitos para que las entidades establezcan tolerancias de impacto para los servicios de negocio importantes, ordenando que "las empresas deben establecer sus tolerancias de impacto en el primer punto en el que una interrupción de un servicio de negocio importante causaría niveles intolerables de daño a los consumidores o riesgo para la integridad del mercado". La normativa también establece que "las empresas deben probar su capacidad para mantenerse dentro de sus tolerancias de impacto para cada uno de sus servicios empresariales importantes en caso de una serie de escenarios adversos, incluida la interrupción grave pero plausible de sus operaciones".
La prevención de la interrupción de los servicios empresariales comienza con la protección del sistema de identidad de la organización. La mayoría de las organizaciones dependen de AD para los servicios de identidad básicos, que a su vez controla el acceso a la mayoría de los demás sistemas. Por tanto, garantizar que se definen y prueban las tolerancias de impacto de AD es clave para cumplir las directrices de la FCA.
El fortalecimiento de la AD contra los ciberataques debe ser una prioridad para todas las organizaciones, a pesar de las normas de la FCA. AD es altamente vulnerable y un objetivo principal para los actores de amenazas:
- Los consultores de Mandiant estiman que el 90 por ciento de los incidentes que investigan tienen que ver con la AD de una forma u otra.
- Enterprise Management Associates (EMA) descubrió que el 50% de las organizaciones sufrieron un ataque contra AD en los últimos 1 ó 2 años, y que el 40% de esos ataques tuvieron éxito.
- En una encuesta realizada a organizaciones empresariales, el 97% afirmó que AD es fundamental para las operaciones de la empresa y que una interrupción de AD tendría un impacto "grave" o "catastrófico".
Dado que AD controla el acceso de los usuarios a las aplicaciones y servicios, posee las llaves del reino. Si consiguen entrar a través de una configuración arriesgada o un fallo de seguridad, los ciberdelincuentes pueden moverse lateralmente por el entorno, utilizando AD como un mapa del tesoro que les guíe hasta los datos confidenciales que pueden aprovecharse para pedir un rescate. Y AD es una vía a menudo explotada para propagar malware.
Proteger la AD ayuda a cumplir los requisitos de la FCA
Proteger la AD de las amenazas y crear un plan de recuperación de la AD probado y centrado en la cibernética es el elemento fundamental de una estrategia de seguridad que satisfaga las exigencias de la normativa de la FCA. Las acciones clave incluyen:
- Mejora de la resistencia operativa garantizando que AD pueda recuperarse rápidamente a un estado seguro conocido.
- Superación de la desviación de la configuración mediante la identificación y corrección automática de cambios peligrosos y malintencionados en AD.
- Cubrir las lagunas de competencias especializadas mediante la contratación de personal y la implantación de tecnología especializada en AD.
- Establecer un punto de referencia de "apetito de riesgo" para medir su nivel de riesgo aceptable en relación con la aplicación de parches de vulnerabilidad, identificar y abordar los indicadores de exposición y compromiso en AD, y establecer plazos y procesos de recuperación.
- Utilización de información oportuna y procesable sobre amenazas para protegerse contra las amenazas emergentes dirigidas a AD.
Lamentablemente, algunas tecnologías de seguridad (como los SIEM) son ciegas a muchas de las vulnerabilidades de AD, y la mayoría de las soluciones de copia de seguridad tradicionales no satisfacen las tolerancias de impacto para AD. El analista de Gartner Nik Simpson señaló recientemente la necesidad de que las organizaciones implementen soluciones de recuperación específicas de AD para combatir el reciente aumento de ciberataques dirigidos a AD, afirmando que los líderes centrados en asegurar la infraestructura del centro de datos deberían "acelerar la recuperación de los ataques añadiendo una herramienta dedicada para la copia de seguridad y recuperación de Microsoft Active Directory."
Dado que un ataque exitoso a AD puede paralizar las operaciones comerciales, las organizaciones necesitan soluciones que protejan AD antes, durante y después de un ataque. Las organizaciones pueden alinearse con los requisitos de la FCA para la resiliencia operativa mediante la implementación de una estrategia de seguridad por capas que incluya:
- Medidas previas al ataque para identificar el riesgo y proteger el servicio mediante la supervisión de AD para Indicators of Exposure (IOEs) y Indicators of Compromise (IOCs)
- Capacidades para detectar y responder a ataques en cursoincluyendo:
- Detección de amenazas y visibilidad de las acciones de los atacantes
- Reparación automática de cambios no deseados o maliciosos
- Respuesta a incidentes específicos de AD
- Después del ataque capacidades para recuperar todo el bosque AD a un estado libre de malware, incluyendo:
- Un enfoque "ciberprimero" de la recuperación en caso de catástrofe, que garantiza que no se reintroduzca el malware.
- Copia de seguridad y recuperación de AD automatizadas, rápidas y comprobables
- Análisis forense posterior al ataque para evitar que se repita
Cumplir la normativa de la FCA es una cuestión de higiene de seguridad AD
En realidad, el mandato de la FCA no pide nada más que la seguridad adecuada de los sistemas críticos para el negocio, que ya es una prioridad máxima para cualquier organización. Pero si, como muchas organizaciones, tiene lagunas sin abordar en su postura de seguridad AD, el desarrollo de un plan documentado para abordar esas vulnerabilidades es un primer paso esencial para satisfacer los requisitos de la FCA para la resistencia operativa.