La revelación del ataque a la cadena de suministro contra SolarWinds a finales de 2020 fue una llamada de atención para los organismos federales responsables de proteger los activos de información de Estados Unidos y para el sector de la seguridad. A medida que salen a la luz más detalles sobre el ataque, una de las revelaciones más significativas es que los atacantes utilizaron métodos probados para obtener el acceso inicial, a través de Active Directory (AD) local.
Como Sean Deuby, Director de Servicios de Semperis, escribió en un reciente artículo de InfoSecurity Magazine, si un atacante puede eludir los controles de autenticación y obtener acceso de administrador a AD, entonces el actor de la amenaza puede obtener visibilidad total del entorno AD, tanto en las instalaciones como en la nube. A medida que aumentan las amenazas patrocinadas por el Estado, la supervisión continua de AD en busca de actividades sospechosas es un componente clave para prevenir, detectar y detener las actividades maliciosas.
El ataque de SolarWinds indica que los recursos de identidad locales se utilizarán cada vez más como punto de entrada a los entornos en nube. Sin embargo, unas buenas prácticas de seguridad pueden ayudar a mitigar incluso los ataques más complejos. Deuby señala recursos recientes, incluida una entrada en el blog de Microsoft que proporciona directrices para proteger Azure AD, así como directrices actualizadas de CISA.
El uso de un enfoque por capas para proteger Active Directory que incluya una supervisión continua de los indicadores de exposición que podrían comprometer Active Directory ayudará a las organizaciones a proteger sus activos de información. Aunque los ciberataques son cada vez más sofisticados, proteger Active Directory es un paso fundamental en el plan de defensa contra ciberataques de una organización.