Los entornos heredados de Active Directory (AD) suelen ser focos de vulnerabilidades de ciberseguridad debido a errores de configuración acumulados a lo largo del tiempo. En las organizaciones educativas, los retos que plantea la seguridad de AD se ven agravados por la constante entrada y salida de estudiantes y profesores. Descubrir vulnerabilidades desconocidas en el entorno de AD que heredó fue un factor clave para que Jim Shakespear, director de seguridad de TI de la Southern Utah University (SUU), explorara Purple Knightla herramienta de seguridad AD gratuita de Semperis.
"Heredé la gestión de nuestro entorno Active Directory hace bastantes años", explica Shakespear. "Ya estaba en marcha cuando llegué hace diez años. Una de las razones por las que investigué inicialmente Purple Knight es porque estoy muy interesado en la seguridad de Active Directory..... He utilizado otras herramientas en el pasado y quería ver qué me ofrecía Purple Knight ".
Vea la charla de Shakespear con Petri IT Knowledgebase sobre la experiencia de la SUU utilizando Purple Knight para proteger AD.
Lecturas relacionadas
Los retos de la tecnología heredada para proteger la AD
Configurar ese antiguo entorno para gestionar de forma segura las cuentas de usuario de los estudiantes, profesores y personal informático de la universidad ha sido, cuando menos, un reto. La gestión de cuentas requiere un esfuerzo especialmente notable, incluso con las mejores prácticas necesarias implantadas. La presencia de tecnología heredada como NTLM, que Shakespear está intentando eliminar, complica aún más la tarea.
"Como somos una universidad, la mayoría de nuestros usuarios son estudiantes", explica Shakespear. "Tradicionalmente, uno de nuestros mayores problemas era dar de alta y de baja a los estudiantes. Lo tenemos automatizado en gran medida, así que me siento bastante cómodo con la situación en la que nos encontramos".
Ventajas de la automatización
La automatización es la base de gran parte de lo que hace la SUU con Active Directory. Aprovecha en gran medida los informes automatizados de PingCastle, y Shakespear ha participado regularmente en pruebas de penetración con BloodHound para encontrar ideas que puedan relacionarse con su propio entorno. Purple Knight ha encajado perfectamente con este enfoque.
"Me gusta Purple Knight porque analiza muy rápidamente los distintos indicadores de peligro y proporciona un informe fácil de seguir", afirma Shakespear. "Uno de mis informes más recientes, que me abrió los ojos, fue que hacía tiempo que no cambiaba la contraseña de KRBTGT. Tenía un proceso para automatizarlo y no funcionaba correctamente".
La rapidez no es ni mucho menos la única ventaja que Purple Knight ha aportado a la universidad en términos de seguridad de su despliegue de Active Directory. Cuando Shakespear y su equipo empezaron a realizar análisis con la herramienta hace un año, Purple Knight detectó varios SID vinculados a cuentas huérfanas y eliminadas. Desde entonces se han eliminado, y Shakespear trabaja actualmente en la automatización del escaneado y la generación de informes.
Obtener una base de referencia
"Purple Knight es fácil de usar, con una interfaz excelente, y el mero hecho de poder compartir el cuadro de mando con los miembros de TI para que se hagan una idea general de dónde estamos en Active Directory es muy beneficioso", afirma Shakespear. "Poder ejecutar esos informes rápidamente y obtener esa línea de base también nos da una buena idea de hacia dónde dirigir nuestras pruebas de penetración. Y cuando hablamos con nuestros clientes, podemos darles una visión rápida y sencilla de los elementos en los que pueden trabajar de inmediato para mejorar su postura de seguridad".
"Sin duda recomendaría Purple Knight a otras organizaciones", afirma. "Yo ya lo he hecho - he presentado en conferencias, hablado con colegas, y mencionado la herramienta a otros probadores de penetración. Es una gran herramienta, especialmente para entornos Active Directory".