Active Directory es uno de los componentes más importantes de su red. Sin embargo, proteger Active Directory puede ser una de las tareas más complicadas de su lista de tareas pendientes.
El problema es que AD cambia tan a menudo y a tan gran escala que es inmune a la gestión ordinaria del cambio. También es una especie de estudio de contrastes: Se necesita flexibilidad para cambiar AD rápidamente, pero incluso un pequeño cambio puede tener ramificaciones en toda la organización. Por último, a medida que AD sigue evolucionando, los malos descubren constantemente nuevas vías de ataque.
Si los atacantes saben lo que buscan, AD es un libro abierto. Una vez que los atacantes conocen el terreno, sólo es cuestión de utilizar esa información para moverse por la red. ¿Qué se puede hacer para evitar estos ataques?
1. Comprender el ciclo de ataque de Active Directory
Si sufre un ataque, Active Directory formará parte de esa cadena mortal. En algunos casos, es incluso el primer objetivo de los actores de amenazas debido a su importancia en la mayoría de las organizaciones. Dado que la mayoría de las empresas medianas y grandes utilizan actualmente AD, es poco probable que esto cambie pronto.
Aunque los actores maliciosos pueden lanzar muchos tipos de ataques, normalmente utilizan AD para reconocimiento. Una vez que los atacantes entran en el sistema, buscan cualquier cosa que puedan utilizar para conseguir sus objetivos. Personas de interés, sistemas de interés, configuraciones erróneas: todo es visible, lo que facilita a los atacantes acelerar su tiempo de tránsito por la red.
2. Ver más allá de los privilegios de administrador escalada de privilegios
Mucha gente comete el error de considerar las cuentas de administrador de dominio como el objetivo. Sin embargo, los atacantes inteligentes saben que existen muchas cuentas no administrativas valiosas. Un usuario de nivel de servicio que tiene acceso a una base de datos que contiene información de identificación personal puede ser tan interesante para un atacante como una cuenta de administrador de dominio.
En este sentido, una cuenta de administrador de dominio no es más que un anillo de bronce para acceder a activos valiosos. Es la forma más fácil de robar credenciales y filtrar datos, pero no es ni mucho menos la única.
3. Piense como un atacante a la hora de proteger Active Directory
Existe la idea errónea de que los ataques como el ransomware son automatizados, que operan con un libro de jugadas predefinido sin mucha inteligencia humana detrás. Esta visión es inexacta. En realidad, los atacantes dedican mucho tiempo a estudiar el entorno, buscando determinados patrones y señales de configuración, como grupos privilegiados o recursos importantes vinculados a unidades organizativas (OU) conocidas.
No se limitan a crear robots automatizados para destruir. Ejecutan scripts de forma activa en busca de vulnerabilidades y hacen suposiciones inteligentes sobre la forma en que las tiendas operan su entorno de Active Directory. El resultado de todo este esfuerzo es la proliferación de herramientas que hacen que los ataques sean más fáciles de ejecutar que nunca.
4. Hacer la vida más difícil a los actores de las amenazas
Hay muchas historias sobre ataques muy sofisticados como el de SolarWinds. No cabe duda de que existen amenazas de Estado-nación con este nivel de sofisticación, pero la mayoría de las bandas de ransomware no son tan avanzadas. La probabilidad de que sufras un ataque avanzado en lugar de ser el objetivo de un oportunista es bastante baja.
La mayoría de las bandas de ransomware, especialmente las que compran ransomware como servicio (RaaS), buscan ganar dinero rápido. Utilizan comandos básicos, se aprovechan de vulnerabilidades conocidas y de las herramientas de "disposición del terreno", y emplean rutas de ataque sencillas para recopilar información. De ello se deduce que no quieren trabajar duro.
Por eso debes hacerles trabajar duro. Atráigalos a honeypots que les obliguen a cometer errores detectables. Proporciónales objetivos falsos e implanta defensas que les dificulten moverse lateralmente.
En algún momento, muchos decidirán que no vales la pena y seguirán adelante.
5. Trabajar en torno a la naturaleza de libro abierto de AD
Un consejo común de seguridad para Active Directory es denegar el acceso de lectura a ciertos grupos privilegiados. Desafortunadamente, esto no funciona en la mayoría de las organizaciones. AD fue diseñado hace muchos años para ser un libro abierto a los usuarios legítimos, y cada unidad instalada tiene acceso de lectura en casi todo fuera de la caja.
Es extremadamente difícil desactivar eso sin romper algo. Tienes que enfrentarte a la realidad de que si un atacante entra en tu red e imita a un usuario legítimo, ese atacante será capaz de ver lo que está pasando. Por lo tanto, en lugar de intentar restringir la visibilidad e impedir el reconocimiento, ofusca la red mediante el aprovisionamiento justo a tiempo y el cambio de nombre de las OU.
6. Considere la posibilidad de utilizar algo distinto de la directiva de grupo (a veces)
En Active Directory, los objetos de directiva de grupo (GPO) se utilizan generalmente para reforzar la seguridad. En realidad, los únicos que necesitan leer los GPO son los equipos del dominio. Los usuarios autenticados no suelen necesitar acceso. Y al restringir el acceso de los usuarios, puede reducir la visibilidad de su postura de refuerzo para los atacantes.
Otra opción es utilizar tecnologías no estándar en lugar de GPO. Todo atacante mira la política de dominio por defecto para determinar cómo se establece la política de contraseñas. Si en su lugar utiliza una política de contraseñas detallada, el atacante no sabrá dónde buscar.
7. Limpie su higiene de acceso
Todos los consejos habituales sobre contraseñas se aplican a Active Directory. Cree contraseñas complejas, guárdelas en una cámara acorazada y renuévelas con regularidad. Si tu objetivo es la seguridad, incorpora también algunas buenas prácticas adicionales:
- Las contraseñas de las preferencias de las Políticas de Grupo no deberían existir en ningún lugar de su SYSVOL. Lo único para lo que sirven es para ayudar a los atacantes.
- Trate cualquier cuenta que tenga definidos nombres principales de servicio como altamente privilegiada, y asegúrela en consecuencia.
- Pase a agrupar las cuentas gestionadas por servicios. Si eso no es posible, asegúrese de que las cuentas de servicio no tienen privilegios.
8. Utilizar la jerarquización y el privilegio mínimo
El mínimo privilegio es uno de los principios más importantes en lo que respecta a Active Directory. Ninguna cuenta debe tener acceso a nada que no sea absolutamente necesario para su funcionalidad. Para ello, ten en cuenta que los proveedores no siempre saben lo que necesitan sus cuentas.
Más allá de eso, recomiendo encarecidamente implementar un modelo rígido de "nivel cero" en el que cualquiera que sea administrador de un controlador de dominio pueda iniciar sesión en los equipos del controlador de dominio. No hace falta decir que esto requiere desactivar la delegación sin restricciones y restringir la creación de cuentas. Lo ideal sería utilizar Kerberos sólo para la delegación en este modelo.
9. Desactivar NTLM
En general, New Technology Lan Manager (NTLM) es la raíz de todos los males dentro de Windows y Active Directory. Por ejemplo, el recientemente descubierto DFSCoerce es un ataque NTLM de Windows.
Desactivar NTLM no le librará de todos sus problemas, pero solucionará muchos de ellos. Sin embargo, ma mayoría de las organizaciones son reacias a deshabilitar NTLM; tienen miedo de lo que puedan romper. Puede empezar habilitando la auditoría dentro de la directiva de grupo en sus controladores de dominio para obtener información sobre cuánta actividad NTLM se produce en el entorno de dominio.
Cuanto más pueda desactivar, más cerca estará de proteger Active Directory.
Sea práctico a la hora de proteger Active Directory
Si desea explorar estos consejos con más detalle, sumérjase en mi presentación de la Conferencia HIP, Consejos prácticos para proteger Active Directorydisponible bajo demanda. A continuación, ponga en práctica estas estrategias: cuanto antes, mejor.