El 90 % de las empresas utiliza Active Directory (AD) como fuente principal de confianza para la identidad y el acceso. Pero también puede ser un eslabón débil, explotado en muchos ciberataques modernos.
Hablamos con Ran Harel, director sénior de administración de productos en Semperis, para explorar los desafíos en la protección de un entorno AD híbrido y cómo las organizaciones pueden defender mejor esta superficie de ataque ampliada.
BN: ¿Qué son Active Directory y Azure Active Directory?
RH: Active Directory (AD) es una tecnología de Microsoft utilizada para administrar cuentas de usuario, sistemas informáticos y otros recursos dentro de una red. AD proporciona autenticación y autorización centralizadas para computadoras basadas en Windows y se puede usar para administrar una variedad de recursos de red, como impresoras y servidores de archivos.
Azure Active Directory (Azure AD) es una versión basada en la nube de AD que proporciona administración de acceso e identidad para aplicaciones basadas en la nube, incluidos los propios servicios en línea de Microsoft, como Office 365 y Microsoft 365. Azure AD se puede usar para administrar y asegurar el acceso a recursos locales, en la nube e híbridos, e integra con una variedad de plataformas y lenguajes de programación.
BN: ¿Por qué el salto a los sistemas basados en la nube para satisfacer las demandas de un entorno de trabajo híbrido ha creado mayores vulnerabilidades?
RH: La rápida adopción de sistemas basados en la nube para admitir entornos de trabajo híbridos ha aumentado las vulnerabilidades de varias maneras:
Falta de familiaridad con la seguridad en la nube: muchas organizaciones carecen de la experiencia interna para proteger adecuadamente la nube. basados en sistemas, lo que lleva a configuraciones incorrectas o descuidos que los ciberatacantes pueden explotar. Mayor superficie de ataque: los sistemas basados en la nube a menudo tienen una mayor superficie de ataque que los sistemas locales tradicionales, ya que se puede acceder a ellos desde cualquier lugar con una conexión a Internet. Esto puede convertirlos en objetivos más atractivos para los atacantes. Responsabilidad compartida: con los sistemas basados en la nube, la responsabilidad de la seguridad a menudo se comparte entre el cliente y el proveedor de la nube. Esto puede generar confusión sobre quién es responsable de proteger aspectos específicos del sistema, lo que genera brechas de seguridad. Privacidad de datos: las organizaciones pueden tener dificultades para mantener el control sobre los datos confidenciales que se almacenan en la nube y pueden ser vulnerables a accesos no autorizados o filtraciones de datos. Dependencia de la conectividad a Internet: los sistemas basados en la nube dependen de una conectividad a Internet confiable, lo que deja a las organizaciones vulnerables al tiempo de inactividad o la pérdida de datos durante una interrupción de Internet.
En resumen, el cambio a sistemas basados en la nube ha creado nuevas vulnerabilidades que deben abordarse adecuadamente para garantizar la seguridad de la información confidencial y la continuidad de las operaciones comerciales.
BN: Qué brechas en seguridad son los más importantes para que las empresas se centren cuando operan en un entorno híbrido?
RH: Las empresas deben centrarse en cinco áreas críticas:
Identidad: Gestión adecuada de identidad y acceso (IAM ) implica implementar métodos seguros de autenticación y autorización, como la autenticación multifactor (MFA), y controlar el acceso a los recursos en función de las funciones y responsabilidades de los usuarios. Infraestructura de red: asegurar la infraestructura de red ayuda a evitar el acceso no autorizado a recursos y datos. Esto incluye la implementación de firewalls, redes privadas virtuales (VPN) y otras medidas de seguridad para proteger tanto los sistemas locales como los basados en la nube. Datos confidenciales: la protección de datos confidenciales incluye la implementación de soluciones de cifrado de datos, copia de seguridad y recuperación ante desastres. Controlar el acceso a los datos a través de IAM y las medidas de seguridad de la red también es fundamental. Puntos finales: proteger los puntos finales (portátiles, teléfonos inteligentes y otros dispositivos) incluye implementar soluciones antivirus y antimalware, proteger las configuraciones de los dispositivos y controlar el acceso a los recursos corporativos. Aplicaciones: Proteger las aplicaciones, a menudo el medio principal para acceder y manipular datos confidenciales, implica implementar medidas de seguridad, como firewalls de aplicaciones, validación de entrada y prácticas de codificación segura.
Al centrarse en estas brechas potenciales, las empresas pueden proteger mejor la información confidencial y garantizar la continuidad de las operaciones en un entorno de trabajo híbrido.
BN: ¿Cuáles son los vectores típicos que ve que utilizan los ciberdelincuentes? como una forma de acceder al AD de una organización?
RH: Los ciberdelincuentes suelen utilizar los siguientes vectores para obtener acceso no autorizado al AD de una organización:
Ataques de phishing: estos ataques suelen implicar el envío de correos electrónicos que parecen provenir de una fuente confiable y que contienen enlaces o archivos adjuntos maliciosos que instalan malware en el dispositivo del usuario. Malware: el malware, como virus, gusanos y troyanos, puede infectar la red de una organización y permitir que los ciberdelincuentes obtengan acceso al AD de la organización. Contraseñas débiles o comprometidas: las contraseñas débiles, o la reutilización de contraseñas, pueden facilitar que los ciberdelincuentes obtengan acceso al AD de una organización a través de ataques de fuerza bruta. Aumento de privilegios: los ciberdelincuentes pueden usar vulnerabilidades en los sistemas o aplicaciones de una organización para obtener privilegios elevados y acceso al AD de la organización. Insiders: las amenazas internas, ya sean maliciosas o accidentales, pueden representar un riesgo significativo para el AD de una organización. Tales amenazas pueden involucrar a empleados, contratistas o proveedores externos con acceso a información confidencial.
Al implementar medidas de seguridad sólidas, como detección y respuesta a amenazas de identidad (ITDR), MFA, actualizaciones regulares de software y capacitación de los empleados sobre las mejores prácticas de ciberseguridad, las organizaciones pueden reducir el riesgo de que estos vectores se utilicen para comprometer su AD.
BN: ¿Puede explicarnos uno de los ataques de mayor perfil, por ejemplo, SolarWinds y qué salió mal allí?
RH: El ataque de SolarWinds en 2020 afectó múltiples agencias gubernamentales y organizaciones privadas. Los atacantes usaron un ataque a la cadena de suministro para infiltrarse en los sistemas de SolarWinds, un proveedor de software de administración de TI ampliamente utilizado.
Los atacantes modificaron el software de SolarWinds y distribuyeron la versión maliciosa a los clientes, quienes luego instalaron el software infectado en sus sistemas Esto les dio a los atacantes una puerta trasera en las redes de los clientes, lo que les permitió llevar a cabo más ataques y robar información confidencial.
Qué salió mal en el ataque de SolarWinds:
Ataque a la cadena de suministro: los atacantes pudieron comprometer la cadena de suministro de software, lo que permitió la distribución de software malicioso a miles de organizaciones. Falta de visibilidad: muchas organizaciones tenían una visibilidad inadecuada de la actividad en sus redes, lo que dificultaba detectar el ataque y responder de manera oportuna. Sistemas mal configurados: algunos las organizaciones habían desconfigurado sus sistemas, lo que facilitó que los atacantes obtuvieran acceso y persistieran dentro de la red. Respuesta lenta: algunas organizaciones tardaron varios meses en detectar el ataque, lo que les dio a los atacantes tiempo suficiente para filtrar información confidencial. Subestimación del riesgo: Muchas organizaciones podrían haber subestimado el riesgo que representan los ataques a la cadena de suministro y no implementar medidas suficientes para protegerse.
Otros ciberataques a gran escala en los últimos años se han dirigido a AD, incluidos:
Ataques a Microsoft Exchange Server (2021): se descubrieron múltiples vulnerabilidades de día cero en Microsoft Exchange Server. Las vulnerabilidades permitieron a los atacantes comprometer los servidores de Exchange y acceder a información confidencial, incluidos los datos almacenados en AD. Ataques de ransomware NetWalker (2021): el grupo de ransomware NetWalker se ha dirigido a varias organizaciones, utilizando tácticas como phishing y explotando vulnerabilidades en sistemas como AD para obtener acceso inicial. acceso a la red del objetivo. Ataques de ransomware Ryuk (2021): los ataques de ransomware Ryuk han sido una amenaza creciente. Se sabe que el grupo apunta a AD para obtener acceso a información confidencial y claves de cifrado, que luego se pueden usar para cifrar los datos de una organización y exigir el pago de un rescate.
Estos ejemplos ilustran la necesidad de que las organizaciones monitoreen y aseguren continuamente su AD y otra infraestructura de identidad con soluciones ITDR, y que implementen medidas de seguridad sólidas para protegerse contra ataques maliciosos contra sus usuarios, sistemas y redes.
BN: ¿Cómo pueden los profesionales de TI realizar la transición de las instalaciones a la nube de la forma más segura?
RH: Los profesionales de TI pueden realizar la transición de las instalaciones a la nube de forma segura siguiendo estas prácticas recomendadas:
Planifique y evalúe: comience por planificar la transición, incluida la identificación de las cargas de trabajo que se van a mover, la determinación de los recursos necesarios y el establecimiento del cronograma de migración. Evalúe los requisitos de seguridad y realice un análisis de riesgos para identificar posibles amenazas a la seguridad. Proteja su entorno de nube: implemente medidas de seguridad, como segmentación de red, IAM y cifrado de datos, para proteger el entorno de nube. Utilice herramientas y servicios de seguridad como ITDR para monitorear y proteger su entorno continuamente. Administre el acceso y los permisos: implemente el control de acceso basado en roles (RBAC) para administrar los permisos de los usuarios. Asegúrese de que solo los usuarios autorizados tengan acceso a datos y recursos confidenciales. Implemente MFA para mejorar la seguridad. Implemente un plan de recuperación ante desastres: asegúrese de tener un plan de recuperación ante desastres para restaurar sistemas y datos en caso de falla o pérdida de datos. Este plan podría incluir la copia de seguridad de los datos y la implementación de la recuperación ante desastres como servicio. Pruebe regularmente el plan. Supervise y audite: Supervise continuamente su entorno de nube en busca de actividad inusual y audite sus registros y eventos de seguridad para detectar posibles incidentes de seguridad. Responda con prontitud a cualquier incidente de seguridad e implemente las contramedidas apropiadas.
Al seguir estas prácticas recomendadas, los profesionales de TI pueden garantizar una transición segura de las instalaciones a la nube y reducir el riesgo de incidentes de seguridad y filtraciones de datos.
Crédito de la imagen: IgorVetushko/depositphotos.com