En un reciente seminario web que organicé junto con Semperis (los creadores de la herramienta de evaluación de la seguridad Purple Knight ), nos centramos en un denominador común clave de los recientes ataques de gran repercusión: Active Directory. En la sesión "How Attackers Exploit Active Directory: Lessons Learned from High-Profile Breaches", Sean Deuby y Ran Harel, de Semperis, se unieron a mí para hablar de cuatro ataques recientes que ocuparon titulares: SolarWinds, los ataques de día cero a Hafnium Exchange, el ataque a Colonial Pipeline y el ataque al Ireland Health Service. Aunque cada ataque fue diferente en términos de táctica y fue ejecutado por distintos delincuentes, todos tuvieron consecuencias devastadoras. En nuestro debate abordamos tres de las medidas preventivas más importantes que pueden adoptar las organizaciones para protegerse de los ciberataques.
"Habría que haber vivido bajo una roca durante el último año para no haberse enterado de los importantes sucesos de ciberseguridad que han tenido lugar semana tras semana. Pasamos mucho tiempo hablando de las nuevas formas de atacar de los malos. Pero en realidad, los actores de las amenazas no buscan formas novedosas; sólo quieren entrar, y la superautopista para los actores de las amenazas es Active Directory".
Sean Deuby, Director de Servicios de Semperis
1. Proteger el correo electrónico de las amenazas avanzadas
Uno de los puntos de entrada más comunes para los atacantes es el correo electrónico. Las campañas avanzadas de phishing resultan muy convincentes para los usuarios finales y ofrecen a los agresores una vía para obtener credenciales válidas o introducir programas maliciosos en los terminales. Es de vital importancia que las organizaciones adopten un enfoque polifacético para protegerse de estas amenazas. La formación sobre seguridad y las simulaciones de phishing son importantes para educar y medir el riesgo. Por mucha formación que se imparta, los atacantes seguirán teniendo éxito. Para combatir esto, una solución avanzada de protección contra amenazas del correo electrónico -una que suba el listón más allá de las herramientas antispam y antivirus- debe formar parte de su estrategia de defensa. Un servicio que utilice algoritmos de aprendizaje automático y otras detecciones avanzadas para detectar y bloquear mensajes de phishing y archivos adjuntos sospechosos debe estar presente en el panorama actual de amenazas.
2. Evitar el movimiento lateral
Una vez que un atacante compromete un ordenador cliente o un servidor miembro, buscará moverse lateralmente a través de la red y escalar privilegios. Impedir el movimiento lateral dificulta enormemente el trabajo del atacante. Puede establecer algunos controles técnicamente sencillos, aunque a veces difíciles desde el punto de vista operativo, para bloquear el movimiento lateral. En primer lugar, la contraseña de administrador local de cada endpoint debe ser diferente. Microsoft ofrece una solución gratuita llamada Local Administrator Password Solution (LAPS) para conseguirlo. En segundo lugar, no se pueden anidar cuentas de dominio en el grupo de administradores locales para facilitar el soporte de TI. El personal de TI debe utilizar LAPS para recuperar las credenciales administrativas de puntos finales específicos.
3. Acceso seguro a credenciales privilegiadas
Evitar que los adversarios obtengan acceso privilegiado -especialmente el Administrador de Dominio- es una defensa crítica. Si un adversario puede escalar sus privilegios, puede alcanzar un control superior o incluso completo de toda la red. Implementar controles efectivos que aíslen y protejan las credenciales de privilegio es extremadamente importante. Dos de los conjuntos de controles más comunes que implementamos en Ravenswood Technology Group son los conceptos de controles de seguridad por niveles y estaciones de trabajo con acceso privilegiado (PAW). Los controles de seguridad por niveles evitan que las credenciales con privilegios elevados queden expuestas a activos de mayor riesgo, como ordenadores cliente, donde las credenciales podrían ser robadas. Los PAW aíslan las tareas que un administrador realiza desde su estación de trabajo cotidiana a una estación de trabajo de alta seguridad, protegiendo la credencial y la sesión del administrador de vectores de amenaza como el correo electrónico, el acceso a Internet y algunos tipos de malware.
¿Está su AD preparado para el panorama actual de amenazas?
Los ataques de los que hablamos en este seminario web son solo cuatro de las innumerables brechas de seguridad que aparecen en los titulares a diario. Proteger el entorno de TI de su organización es fundamental y, para prácticamente cualquier empresa, Active Directory debe ser un componente central de su estrategia de protección. Para obtener una evaluación gratuita de los controles de seguridad de Active Directory, tome Purple Knight para obtener una versión de prueba gratuita para evaluar su Active Directory. Entre Ravenswood y Semperis, probablemente no haya dos organizaciones (fuera de la propia Microsoft) con más experiencia combinada en seguridad de AD. Tenemos una asociación extremadamente poderosa que ayuda a las organizaciones de todo el mundo a elevar el nivel de seguridad de la identidad híbrida.
Para obtener más consejos sobre cómo proteger su organización, consulte el seminario web a petición. Y, por supuesto, puede descargar Purple Knight de forma gratuita para identificar y abordar las brechas de seguridad de AD y ganar confianza en la seguridad de su entorno AD, independientemente de lo complejo, enrevesado o descuidado que sea.