Por mi experiencia en el Equipo de Detección y Respuesta de Microsoft (DART), sé que los operadores de ransomware casi siempre tienen como objetivo las identidades con privilegios elevados. Una vez que los atacantes obtienen el control, utilizan esas identidades para propagar el ransomware; por ejemplo, a través de Group Policy o PsExec. Los ataques de ransomware suelen ser ruidosos y destructivos, con el objetivo de causar el máximo impacto en el menor tiempo posible. Por eso es importante no sólo recuperar los sistemas de identidad después de un ataque, sino también asegurarse de que se puede volver a confiar en el entorno para evitar ataques posteriores.
La respuesta a incidentes (IR) se ha centrado tradicionalmente en la caza de amenazas y el análisis forense para comprender cómo se produjo un ataque, identificando las cuentas y máquinas comprometidas, analizando el malware y rastreando las actividades del atacante. Sin embargo, cuando los sistemas de identidad como Active Directory (AD) y Entra ID se ven comprometidos, la investigación estándar no es suficiente. Para reducir el riesgo de que los atacantes recuperen el acceso, la contención, el análisis forense específico de la identidad y la recuperación segura se vuelven igual de críticos. Aquí es donde Identity Forensics & Incident Response (IFIR) destaca.
¿Qué es IFIR?
IFIR da prioridad a la resistencia de los sistemas de identidad reduciendo la superficie de ataque y eliminando las amenazas a la seguridad antes, durante y después de un ataque. Nuestro enfoque incluye la búsqueda de puertas traseras AD y configuraciones erróneas que los atacantes pueden explotar para entrar o volver a entrar en un entorno objetivo: Persistencia basada en ACL, inyección del historial de SID, malware en SYSVOL, abuso de la delegación de Kerberos, manipulación de directivas de grupo, puertas traseras relacionadas con ADCS y PKI, y muchas más.
En la era del ransomware, las funciones de respuesta a incidentes se están ampliando. Matt Zorich, un profesional de IR, tuiteó sobre cómo el análisis forense digital y la respuesta a incidentes (DFIR) tradicionales incluyen ahora la contención y la recuperación, destacando que estos pasos son tan importantes como la propia investigación(Figura 1). Este cambio es cada vez más común en el sector. El personal de respuesta a incidentes no solo debe determinar lo que ha ocurrido, sino también ayudar en la contención y la recuperación.
Cuando los atacantes van tras sistemas de identidad como Active Directory y Entra ID, la investigación por sí sola no es suficiente. Las organizaciones necesitan una forma de restaurar su entorno de identidad con confianza, y ahí es exactamente donde entra Semperis.
Conseguir que los controladores de dominio (DC) vuelvan a estar en línea después de un ataque es sólo una parte de la ecuación. El verdadero reto es garantizar que los sistemas de identidad permanezcan seguros y resistentes para evitar ataques posteriores. Nuestro equipo IFIR se especializa no sólo en la contención y recuperación, sino también en la limpieza del entorno de las migas de pan dejadas por los atacantes y en la identificación proactiva de configuraciones débiles en AD, reforzando las defensas y reduciendo el riesgo de futuros ataques basados en identidades(Figura 2).
Muchas organizaciones operan en un modelo de identidad híbrido, en el que el AD local está estrechamente integrado con proveedores de identidad basados en la nube (IdP) como Entra ID. Esta configuración permite una autenticación sin fisuras y el acceso a aplicaciones SaaS como Office 365, Salesforce y Zoom, pero también amplía la superficie de ataque. Una vulneración de AD no solo afecta a los sistemas locales, sino que también puede afectar directamente a la seguridad en la nube, por lo que es fundamental desplegar capacidades IFIR lo antes posible.
IFIR no sólo se centra en la recuperación de AD. Semperis también investiga Entra ID en busca de debilidades y mecanismos de persistencia que los atacantes podrían utilizar para mantener el control a largo plazo sobre las identidades en la nube. Los atacantes que obtienen acceso a AD on-prem pueden escalar su posición en la nube, lo que hace que la seguridad de la identidad híbrida sea una preocupación crítica (Figura 3).
La figura 3 ilustra la complejidad de la arquitectura de identidad empresarial, en la que están interconectados múltiples sistemas, como bases de datos locales, IdP en la nube y aplicaciones SaaS. Cuando los atacantes comprometen AD, pueden pivotar en entornos de nube, escalar privilegios o establecer persistencia.
Despliegue en zonas industriales abandonadas frente a zonas verdes
Un despliegue de Active Directory totalmente nuevo comienza de cero, con un entorno de AD totalmente nuevo. En teoría, este enfoque parece ideal después de un compromiso importante, ya que elimina cualquier amenaza persistente del entorno antiguo. Pero en un entorno empresarial, la recuperación desde cero rara vez resulta práctica.
Un despliegue brownfield restaura y protege el entorno AD existente en lugar de reconstruirlo desde cero. Una recuperación completa requiere migrar usuarios, reconfigurar aplicaciones y asegurarse de que todo se integra correctamente, lo que supone un enorme esfuerzo que puede resultar costoso y perjudicial. Por otro lado, una recuperación brownfield se centra en remediar las amenazas y reforzar la seguridad mientras se mantienen las operaciones empresariales en marcha.
El análisis forense de identidades y la respuesta a incidentes desempeñan un papel fundamental. Restaurar AD sin identificar y abordar a fondo las configuraciones erróneas, puertas traseras y otras brechas de seguridad puede dejar a las organizaciones vulnerables a la reinfección.
Aunque en casos extremos puede ser necesaria una reconstrucción completa, una recuperación completa es a menudo el mejor equilibrio entre seguridad, coste y continuidad del negocio. Con IFIR, las organizaciones pueden restaurar y proteger AD, al tiempo que reducen el riesgo de volver a poner en peligro la seguridad mediante la identificación y eliminación de errores de configuración y puntos débiles antes de volver a poner los sistemas en producción.
Obtenga ayuda de los expertos del IFIR
Durante la respuesta a un incidente, las organizaciones suelen recurrir a especialistas en DFIR para investigar lo ocurrido. Pero la investigación es sólo una parte de la ecuación. La recuperación y la contención son igual de importantes. Restablecer las operaciones de forma segura y minimizar la posibilidad de que los atacantes vuelvan a acceder requiere un conjunto de habilidades diferente.
El equipo IFIR de Semperis marca la diferencia. Estamos especializados en la recuperación de Active Directory y Entra ID, garantizando que sus sistemas de identidad vuelvan a estar en línea de forma segura. Si necesita contener una amenaza activa, eliminar configuraciones inseguras, desarrollar un plan de recuperación ante desastres o reforzar su postura general de seguridad de identidades, estamos aquí para ayudarle.
Semperis también puede trabajar junto a su equipo DFIR preferido, proporcionando la experiencia especializada en recuperación de identidades necesaria para proteger completamente su entorno.
Si su organización se enfrenta a un incidente relacionado con la identidad, póngase en contacto con nuestro equipo IFIR para una recuperación segura y fiable.
Más información sobre los servicios IFIR de Semperis
