Facebook-f Twitter Youtube Linkedin-in

¿Cómo prevenir las fisuras de Active Directory?

Trata sobre: ataques Azure Active Directory Fisuras Microsoft AD Prevención Redes comerciales
¿Cómo prevenir las fisuras de Active Directory?

Hoy en día, los actores de amenazas utilizan una variedad de métodos para atacar a las organizaciones. Si bien el ransomware, el phishing, las botnets y otros programas maliciosos copan los titulares, Active Directory sigue siendo un importante vector de ataque. ¿Cómo prevenir las fisuras de Active Directory?

Más específicamente, los piratas usan rutas de ataque de AD, que son cadenas de privilegios y comportamientos de usuarios que vinculan usuario y ordenador. Los atacantes usan esto para robar datos confidenciales o lanzar ataques de malware. Están presentes en, prácticamente, todas las redes comerciales. Han frustrado a los defensores durante décadas.

¿Cómo prevenir las fisuras de Active Directory?

En 2009, Microsoft Research describió las rutas de ataque como «ataques de bola de nieve de identidad». Estos aprovechan los usuarios que iniciaron sesión en un primer host comprometido para lanzar ataques adicionales con los privilegios de esos usuarios en otros hosts».

Las rutas de ataque basadas en identidad son especialmente problemáticas en Microsoft AD y Azure AD. Estas plataformas brindan grandes recompensas a los atacantes con un riesgo relativamente bajo. Sin embargo, nos centraremos en Microsoft AD. Estos conceptos también se aplican a otros sistemas de administración de acceso de identidad como los de Google Suite y AWS.

La literatura defensiva existente sobre las rutas de ataque suele ser demasiado académica para la práctica. Las herramientas prácticas que existen se centran en las rutas de ataque desde la perspectiva del atacante. Los enfoques como la administración de niveles y el privilegio mínimo pueden reducir estos riesgos en teoría. Sin embargo, casi nunca se implementan correctamente por una variedad de razones.

La defensa contra este ataque requiere un descubrimiento, un mapeo y una evaluación de riesgos continuos en los cuellos de botella de AD Attack Path. Este enfoque puede eliminar, mitigar y administrar las rutas de ataque. Reduce significativamente la superficie de ataque que AD presenta al adversario.

Mapeo en tiempo real

El primer paso para detener las rutas de ataque es saber cuántas de ellas existen, en todo momento.

Las redes empresariales no son estáticas. Los usuarios privilegiados inician sesión en diferentes sistemas todos los días. Dejan tokens y credenciales de los que un adversario puede abusar. Las nuevas aplicaciones requieren permisos recién otorgados y las membresías de grupos de seguridad cambian para adaptarse a los requisitos comerciales.

Las mediciones únicas de las rutas de ataque o las mediciones a intervalos no son suficientemente buenas. El mapeo debe incluir todos los sistemas y usuarios posibles, desde controladores de dominio hasta los endpoint individuales. A medida que la nueva investigación encuentra nuevas técnicas para abusar de los privilegios de los usuarios, estas técnicas deben agregarse al mapa de ruta de ataque para que siga siendo completo.

Identificar y priorizar los puntos de estrangulamiento de la ruta de ataque

No es posible cerrar todas las rutas de ataque en un entorno. Simplemente hay demasiadas.

Una mejor solución es centrarse en los «cuellos de botella» que conducen a activos de alto valor como los controladores de dominio. Encontrar estos cuellos de botella reduce el alcance de aquello en lo que los defensores deben enfocarse.

¿Cómo prevenir las fisuras de Active Directory?

Hay muchas soluciones que otorgan a las configuraciones erróneas de AD un valor subjetivo de «evaluación de riesgos«. Esto puede ser útil o no, dependiendo de cómo evalúe el riesgo el proveedor de la solución. Un mejor enfoque es medir el riesgo de manera objetiva, en función de la cantidad de ordenadores y usuarios que tienen acceso por cada cuello de botella.

Guía de remediación procesable

Las rutas de ataque presentan un gran riesgo para todas las organizaciones. Sin embargo, cada organización debe elegir por sí misma cuánto tiempo, dinero y capital político gastará en administrarlas. Eliminar los permisos de los usuarios o intentar cambiar los comportamientos de los usuarios puede tener fácilmente consecuencias no deseadas que interfieren en los procesos comerciales legítimos.

Los administradores de AD son reacios a sacudir el barco sin un beneficio claro. Si la orientación no es clara o implica demasiado trabajo, es probable que los defensores vayan a lo seguro y no cambien nada. Debido a esto, las guías de remediación deben cumplir varios criterios para garantizar que sean prácticas, precisas y seguras.

Ser capaz de identificar cuellos de botella específicos de la ruta de ataque, evaluar el riesgo de cada uno de manera objetiva, resolver los problemas de forma rápida y medir cómo cambia el riesgo general de una organización con el tiempo puede mejorar y simplificar drásticamente la seguridad de AD para las organizaciones.

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments

Relacionados
Dropbox anuncia la integración con Microsoft 365
Soluciones 28/04/2024
Windows 11 ya está disponible para más equipos Intel con Windows 10
Actualidad 25/04/2024
Eurecat gana seguridad, eficacia y tiempo al digitalizar sus procesos internos con Power Platform
Soluciones 25/04/2024
Por fin puedes utilizar el nuevo Planner en Teams
Soluciones 24/04/2024
Microsoft trabaja en una tecnología que convierte los chats de grupo en ruido de fondo virtual
Soluciones 23/04/2024

Tendencias
Microsoft trabaja en I.A para detectar catástrofes naturales
Microsoft aumenta el límite de caracteres de Edge Copilot a 8.000
Novedades para Microsoft Teams en abril
Microsoft actualiza sus Máquinas Virtuales gratuitas a la versión 2403; esto es todo lo que necesita saber

Más leídos

Se habla de..

0
Would love your thoughts, please comment.x
()
x