Active Directory ha sido una de las principales herramientas de ciberseguridad durante más de dos décadas. El problema de proteger AD -utilizado por aproximadamente el 90% de las empresas de la lista Fortune 1000- delos ataques de ransomware es sencillamente que no se diseñó para el panorama de seguridad actual. Muchas organizaciones ni siquiera conocen el mapa completo de su despliegue, lo que convierte a AD en el objetivo perfecto para los actores de amenazas.
Las organizaciones sanitarias, en particular, se enfrentan a un riesgo significativo. Este sector, que antes se consideraba "fuera del alcance" de los atacantes, está cada vez más en el punto de mira. Qué pueden hacer las organizaciones sanitarias para protegerse?
¿Qué hace que Active Directory sea un objetivo tan atractivo?
En lo que respecta a la infraestructura de TI, Active Directory es la base de toda la infraestructura de TI. Piénselo de este modo: Cuando una implementación de AD se ve comprometida, el atacante no sólo tiene las llaves del reino: ahora tiene un mapa del tesoro que le indica dónde encontrar cualquier cosa valiosa, además de una autopista para llegar hasta allí.
"Hay mucha información almacenada en Active Directory", dice Matt Sickles, Arquitecto Estratégico de Sirius Healthcare. "Un mapa de la red, una lista de sitios y servicios, las ubicaciones y detalles de todos los administradores, incluso un organigrama. Esto permite a los atacantes utilizar Active Directory como arma para ataques muy sofisticados".
La prevención empieza por lo básico
Los ciberataques sofisticados como el de SolarWinds pueden tener mucha repercusión en la prensa, pero estos casos de gran repercusión no son la norma. La mayoría de los atacantes buscan la fruta madura. Quieren encontrar objetivos que les proporcionen la mejor relación esfuerzo-rendimiento posible.
La mayoría de los ataques implican que un atacante aproveche un descuido, como un servidor sin parches. Las medidas de seguridad básicas pueden contribuir en gran medida a eliminar este tipo de amenazas, incluido el ransomware.
"Dado que muchos ataques se basan en credenciales elevadas comprometidas, el mínimo privilegio es un concepto importante a la hora de proteger Active Directory", explica Sickles. "Limite los permisos, asegúrese de tener un catálogo de sus políticas de grupo y controle cualquier cambio. También es imprescindible asegurarse de que todas las cuentas de servicio tengan una contraseña segura.
"Las empresas también necesitan una forma de filtrar las alertas de seguridad de AD y gestionar o controlar las cuentas de servicio", añade. "Por último, la autenticación multifactor es una de las mejores defensas contra el ransomware que tienes".
Por qué la seguridad "tradicional" se queda corta
Cuando se trata de ciberseguridad, Active Directory resulta ser especialmente difícil. Debido a la complejidad inherente de AD y la naturaleza de las cuentas de servicio, la detección de indicadores de compromiso y la protección proactiva de AD contra las amenazas puede ser difícil, especialmente si la detección se basa en la revisión de los registros de seguridad.
"Cuando se obtiene una contraseña para una cuenta de servicio con permisos elevados, a menudo parece una actividad normal", señala Sickles. Normalmente no se sabe que está comprometida hasta que se produce algún tipo de entrega de carga útil o ataque directo". Además, aunque existen algunas herramientas proporcionadas por Microsoft para ayudar a proteger Active Directory, no hay una única descarga que cubra fácilmente los problemas básicos de seguridad."
"Abordar las complejidades de Active Directory es muy difícil", continúa. "Al ser un proveedor especializado, Semperis tiene unos conjuntos de herramientas excelentes para ello".
Las copias de seguridad, cada vez más en el punto de mira de los delincuentes
Las copias de seguridad son la mejor defensa contra el ransomware. Por desgracia, los delincuentes lo saben. Como resultado, muchos de ellos esperan semanas o incluso meses para activar su carga útil. Y lo que es peor, muchos atacan directamente a las copias de seguridad de Active Directory.
Cuando se realiza una copia de seguridad convencional de un controlador de dominio AD, se está realizando una copia de seguridad de todo el servidor y de todo lo que contiene, incluido cualquier malware al acecho.
"Uno de los mayores riesgos para toda organización es conectar el SSO de Active Directory a su sistema de copias de seguridad", afirma Sickles. "Por lo tanto, sus copias de seguridad deben ser dominios separados y completamente aislados o cuentas locales. Mi mayor recomendación, sin embargo, es asegurarse de que las copias de seguridad son realmente inmutables y mantener copias con separación de aire de todos los sistemas críticos, no sólo de Active Directory."
Conozca su implantación de Active Directory
Muchas organizaciones dan por sentado que Active Directory existe. O no comprenden su importancia o carecen de visibilidad de AD. También asumen que su plan de recuperación ante desastres cubre Active Directory, lo que a menudo no es el caso.
"Active Directory es uno de los servicios básicos de la organización", señala Sickles. "Es importante contar con una red de seguridad para cuando esté desconectado: un controlador de dominio en modo puerto seguro, por ejemplo. Y es imprescindible que las empresas sepan cómo encaja todo".
No se limite a desplegar soluciones de seguridad; tenga un plan
Las soluciones de seguridad por sí solas nunca serán suficientes. Para que las empresas se protejan de verdad, también deben examinar los procesos organizativos.
La diferencia entre una respuesta rápida y una lenta -entre detener con éxito un ataque o recuperarse de él y caer víctima de los atacantes- a menudo se reduce a lo bien que se haya planificado con antelación.
"Las organizaciones deben preguntarse cómo recuperarán su Active Directory si pierden su sistema de copia de seguridad", afirma Sickles. "Eso empieza por asegurarse de que el centro de operaciones de seguridad ha planificado y practicado los casos y escenarios de uso adecuados. Necesitan ejecutar tabletops de forma recurrente para asegurarse de que sus planes y herramientas realmente funcionan."
Hacer frente a las mayores amenazas de AD en la atención sanitaria
Proteger a las organizaciones sanitarias de la ciberdelincuencia implica evaluar proactivamente las amenazas, mitigar los ciberataques y disponer de un plan probado para restaurar Active Directory. Herramientas de evaluación gratuitas como Purple Knight pueden escanear en busca de indicadores de exposición y compromiso y son un excelente punto de partida para mejorar su postura de seguridad de AD. Herramientas y servicios de copia de seguridad y recuperación centrados en AD, como Semperis Directory Services Protector (DSP) y Active Directory Forest Recovery (ADFR), pueden proporcionar copias de seguridad fiables de AD e incluso automatizar el proceso de corrección de cambios sospechosos en AD.