Tras una etapa de 10 años en tecnologías de virtualización, me uní a Semperis y me sumergí en el mundo de Active Directory. A lo largo de los últimos tres años, en los que he sufrido algunos de los ataques de malware más atroces jamás documentados, creo que por fin me he puesto al día en esta parte del mundo de la IAM.
He aquí un par de conclusiones a las que he llegado. En primer lugar, los ataques a la seguridad no son una cuestión de "si", sino de "cuándo". Si quieres ponerlo en duda, consulta tus noticias. La segunda conclusión es que en casi todos los ataques, Active Directory es manipulado, cifrado o destruido. No importa si se trata de un pequeño gobierno municipal, un hospital de tamaño medio o una gran empresa: una vez que el atacante ha entrado, ahí es donde quiere llegar. Teniendo en cuenta el tesoro que supone "poseer" la columna vertebral de la seguridad de la organización, cómo podría resistirse ningún malhechor.
Lecturas relacionadas
Antes he dicho que estoy al día, lo cual debo admitir que quizá no sea del todo cierto. El mayor misterio sin resolver para mí es ¿qué le ocurre a una empresa cuando su Directorio Activo se ve comprometido? Permítanme aclarar lo que quiero decir con comprometido. Quiero decir que alguien ha conseguido los derechos de administrador del dominio. Pueden ver todo lo que hay en el bosque, pueden ir a cualquier sitio, pueden esconderse en cualquier sitio, pueden convertirse en cualquiera y hacer casi cualquier cosa.
Tras docenas de conversaciones con montones de expertos, sólo ha habido una respuesta concluyente: "¡Hazlo nuclear!". - es decir, borrar todo tu Directorio Activo y reconstruirlo desde cero. Este es el punto en el que nos encontramos en estas discusiones en las que todo el mundo bromea sobre que se trata de un "acontecimiento que cambia el currículum".
Ahora bien, seré el primero en decirle que no puedo hablar de la cantidad de trabajo que implica la reconstrucción de su AD, pero la palabra "prohibitivo" se utiliza a menudo cuando he preguntado. Lo que sí sé es que, sin la tecnología de Semperis, restaurar manualmente un bosque de Active Directory a partir de una copia de seguridad lleva entre varios días y varias semanas, dependiendo de la complejidad, el ancho de banda, etc. Entonces, ¿qué es reconstruir - Meses? ¿Años? ¿Puede una organización sobrevivir a esto?
Una posible respuesta es que es raro que un atacante consiga dominar un dominio y que la mayoría de los hackeos se producen en una parte mucho más baja de la pila de seguridad. (No me lo creo. Tras la Conferencia sobre Protección de Identidad Híbrida de este año, la Conferencia HIP del año pasado y todas las demás conferencias sobre este tema a las que he asistido, es demasiado fácil.
Mi opinión es que si han conseguido los datos financieros de tu empresa, la lista de clientes o cualquier otra cosa de valor, entonces también podrían tener las "joyas de la corona". ¿Puedes vivir con esa posibilidad?
Así que permítanme recapitular y pintar un cuadro desgraciadamente común. Usted es un fabricante con 20.000 empleados. Su Directorio Activo controla los robots de sus fábricas, todo el departamento de TI, los teléfonos VoIP y las tarjetas de identificación. Sin que usted lo sepa, alguien ha penetrado en su red y ha estado moviéndose lateralmente (y lentamente hacia arriba) durante ocho meses. Ahora tienen permiso para hacer cualquier cosa y lo han mapeado todo: pulsan EL botón y todo queda encriptado.
¿A qué te dedicas?
Voy a terminar aquí la primera parte. Me encantaría recibir sus comentarios. Ya sea aquí o vía PM.
Para los técnicos, añadiré un giro y les diré que asuman que hay un rootkit incrustado en sus controladores de dominio. Entonces, ¿el BMR o la restauración del estado del sistema no ayudarán ya que reintroducirán al atacante?