En este blog se explica por qué es necesaria la auditoría de Active Directory.
Quién movió mi objeto y otros misterios de AD
Active Directory se creó para simplificar los servicios de identidad en la empresa y facilitar la vida de los administradores de sistemas de todo el mundo, pero la falta de visibilidad de las operaciones de AD sigue siendo uno de los principales problemas. Para alguien a cargo del mantenimiento de AD, no hay nada más frustrante que no ser capaz de entender quién hizo un cambio en Active Directory y cuál fue ese cambio. Puede pasarse literalmente horas intentando comprender por qué un objeto de directiva de grupo se encuentra en estado de advertencia y no encontrar nunca la causa raíz. Además, si el privilegio excesivo es común en un entorno, y más usuarios tienen derechos de administrador de dominio, conduce a más preguntas sobre quién hizo qué en Active Directory. Más recientemente, los malos actores que desean infiltrarse en su red están utilizando cada vez más Active Directory como punto de pivote para tipos de ataques más persistentes.
Lecturas relacionadas
Aparte de la molestia que supone, no auditar su entorno de Active Directory pone en peligro a su organización, tanto desde el punto de vista operativo como legal.
He aquí algunas razones por las que es crucial auditar Active Directory:
- Estado del sistema: Active Directory no dispone de herramientas de alerta nativas para informarle sobre el estado de su sistema. Si una de las muchas funciones de replicación de AD se degrada, es posible que no se entere hasta que los usuarios finales se vean afectados. La supervisión proactiva del estado del sistema proporciona alertas en tiempo real para que pueda tomar medidas antes de que nadie se dé cuenta.
- Actividad sospechosa: Los actores de amenazas a menudo residen en un entorno durante meses antes de llevar a cabo un ciberataque. Si audita activamente su entorno de Active Directory, es muy probable que reciba alertas de actividad sospechosa antes de que se produzca un ataque en toda regla.
- Conformidad: Para algunas instituciones, ahora es ley que deben auditar sus servicios de Active Directory. Las normativas, como la SOX 404, obligan a las organizaciones a implantar controles que garanticen la identificación y corrección de los errores de aplicación.
El asistente de auditoría de Active Directory detrás de la cortina
La mayoría de las soluciones de auditoría de Active Directory se limitan a supervisar los cambios realizados en el sistema. Sin embargo, este tipo de auditoría no es exhaustiva por dos razones:
- Si el seguimiento se desactiva durante un solo minuto, ya sea de forma accidental o intencionada, podría perder de vista los eventos críticos que tienen lugar en Active Directory.
- Si un ciberatacante consigue acceder a AD, podría modificar o borrar los registros de seguridad y ocultar su rastro. Las investigaciones post mortem de las brechas de Target y Sony mostraron que los atacantes modificaron los registros de seguridad, lo que les permitió permanecer sin ser detectados en el sistema durante más de 200 días.
Es importante que considere algo más que un mecanismo de seguimiento de cambios para sus fines de auditoría de AD. Semperis Directory Services Protector (DSP) proporciona una visión fiable de sus modificaciones de Active Directory, correlacionando información de dos fuentes y comparando estados en tiempo real para garantizar que ningún evento pase desapercibido. A continuación, los eventos se registran en la base de datos backend, lo que permite realizar búsquedas de texto libre y ver un "ticker" de todas las actividades que han tenido lugar en el periodo de tiempo deseado.
DSP también cuenta con recuperación puntual, para que pueda revertir rápidamente Active Directory a un estado anterior cuando sea necesario. Tanto si necesita deshacer un cambio masivo de grupo de seguridad que ha causado estragos en sus aplicaciones, como si necesita restaurar un sitio AD eliminado que ha destrozado la replicación AD, DSP puede hacer que estos procesos sean tan fáciles como un clic de ratón.
Visibilidad de los servicios de Active Directory
Microsoft diseñó Active Directory para dar cabida a muchos cambios en toda una organización, y es fundamental detectar y registrar esos cambios para una implantación segura y bien gestionada. Una solución completa de auditoría de Active Directory no sólo proporcionará visibilidad de los cambios realizados en AD, sino que también hará que su organización sea más eficiente al alertarle de las operaciones degradadas y eliminar las horas dedicadas al análisis de la causa raíz y la restauración. Y, además de la visibilidad y la eficiencia, la auditoría de Active Directory es esencial para mantener el cumplimiento en muchas industrias.