Huy Kha | Arquitecto Senior de Identidad y Seguridad

Forest Druid es una herramienta gratuita de descubrimiento de rutas de ataque para entornos de identidad híbridos, como Active Directory y Entra ID. A diferencia de las herramientas tradicionales que trazan rutas de ataque desde el perímetro externo hacia el interior, Forest Druid se centra en proteger primero los activos más críticos.

Este método da prioridad a la identificación y protección de los activos de Nivel 0, que son las partes más privilegiadas y sensibles de la red(Figura 1). Estos activos incluyen cuentas administrativas y servidores con control sobre sistemas de gestión de identidades como Active Directory. Al proteger estos activos de nivel 0, las organizaciones pueden proteger mejor su infraestructura informática general.

Figura 1. Activos de nivel 0 preconfigurados de riesgo conocido.

El reto de las identidades comprometidas

La respuesta a incidentes puede ser abrumadora, especialmente cuando se trata de identidades comprometidas en un entorno de Active Directory. Durante una respuesta a incidentes en curso, como un incidente de ransomware, es fundamental identificar el riesgo que suponen las nuevas identidades comprometidas y comprender cómo los atacantes podrían escalar privilegios para acceder a los activos de nivel 0.

Los atacantes suelen dirigirse a estas cuentas con privilegios elevados para hacerse con el control de la red y poder propagar su ransomware. Por lo tanto, es esencial priorizar la seguridad de estos activos para mitigar el impacto de un ataque de este tipo.

La vista visualizada que proporciona Forest Druid facilita la comprensión del impacto potencial de una cuenta comprometida, ofreciendo una mejor comprensión de los riesgos asociados.

En el siguiente ejemplo, puede ver que la identidad especificada tardaría tres saltos en elevar sus privilegios a un activo de nivel 0(Figura 2). Al identificar el número de saltos que necesitaría una identidad comprometida para llegar a sus activos de nivel 0, puede evaluar mejor el nivel de exposición de dichos activos. Esto le ayuda a priorizar las rutas de ataque críticas que necesitan reparación y a comprender el esfuerzo necesario para que un atacante alcance el nivel 0.

Figura 2. Resumen visualizado del número de saltos que tardaría esta identidad comprometida en llegar al Nivel 0.

Supongamos que observas otra identidad comprometida. Puedes configurar esta cuenta como filtro de origen para trazar todas las rutas de ataque directas que tiene hacia el Nivel 0(Figura 3).

Figura 3. Al establecer una cuenta como filtro de origen, se asignan todas las rutas de ataque desde esa cuenta a los activos críticos, como el Nivel 0.

Una vez configurada una cuenta como filtro de origen, Forest Druid comienza a trazar visualmente todas las rutas de ataque que conducen de esa cuenta al Nivel 0(Figura 4).

Figura 4. Al establecer un filtro de origen se muestran todas las rutas de ataque desde esa cuenta al Nivel 0.

Respuesta a incidentes junto con contención y recuperación

Con el aumento de los ataques de ransomware, las funciones de respuesta a incidentes se han ampliado para incluir la contención y la recuperación. Este cambio pone de manifiesto la necesidad de gestionar al mismo tiempo los esfuerzos de investigación y contención. La contención se centra en detener la propagación de un ataque, minimizar los daños, reducir la superficie de ataque de los activos de nivel 0 y reforzar los sistemas críticos, como Active Directory. La recuperación implica restablecer el funcionamiento normal de los sistemas y los datos -especialmente los sistemas de identidad críticos, como Active Directory- y garantizar que sean seguros y funcionales.

El personal de respuesta a incidentes puede utilizar Forest Druid como parte de su conjunto de herramientas. Aunque no es una solución para todo, Forest Druid proporciona una visión visualizada de la red y del impacto potencial de las cuentas comprometidas. La herramienta traza conexiones y rutas de ataque, lo que puede ayudar al personal de respuesta a incidentes a identificar y corregir rápidamente las rutas a los activos más críticos (por ejemplo, el nivel 0) y a reforzar Active Directory(Figura 5). La herramienta añade valor tanto a los esfuerzos de contención como a los de recuperación.

Figura 5. Al establecer un filtro de destino en el Contexto de Nombres de Dominio, por ejemplo, se muestran las rutas de ataque comunes de los grupos y cuentas integrados que deberían revisarse.

Cómo recopilar datos con Forest Druid

Cuando ejecuta Forest Druid por primera vez, la herramienta le pide que seleccione el tipo de datos que desea recopilar: de Active Directory o de Entra ID. En este ejemplo, he seleccionado Active Directory.

Forest Druid comienza a ejecutar consultas LDAP en segundo plano, recopilando toda la información del entorno(Figura 6). Esta recopilación de datos puntual permite a Forest Druid empezar a visualizar las rutas de los ataques.

Figura 6. Durante esta etapa, las consultas LDAP se ejecutan en segundo plano para recopilar datos.

Todos los datos recopilados se almacenan en una subcarpeta llamada Database dentro de la carpeta Backend de Forest Druid (Figura 7). Los datos recopilados en la carpeta Database pueden comprimirse en un archivo ZIP y compartirse de forma segura con el equipo de respuesta a incidentes para su análisis.

Figura 7. Los datos recogidos en Forest Druid se guardan en una carpeta denominada Database.

Para analizar los datos sin conexión, el equipo sólo tiene que copiar los archivos en su propia carpeta Database dentro del directorio Forest Druid . Esta acción proporciona la misma vista del bosque de Active Directory que cuando se ejecutó inicialmente Forest Druid .

Descargue Forest Druid y empiece a trazar rutas de ataque a sus activos de nivel 0.

Más recursos de análisis de rutas de ataque en Forest Druid