JumalaSika ltd - Fotolia
Las amenazas avanzadas se mueven rápidamente y tienen los ojos puestos en el AD
Debido a que el AD también se gestiona comúnmente desde los equipos de seguridad y TI, esto puede aumentar su complejidad de administración, por lo que las organizaciones requieren soluciones con un nivel sin precedentes de visibilidad y prevención de ataques.
Cuando Microsoft dio a conocer Active Directory (AD) allá por 1999, ¿alguien podría haber sabido lo importante que sería? Utilizado actualmente por aproximadamente nueve de cada diez empresas de las Global Fortune 1000, AD es el estándar en autenticación, administración de identidad y control de acceso.
Independientemente de si el compromiso inicial de un ciberataque se origina desde el típico phishing o con la explotación de vulnerabilidades, todos tienen un punto de referencia común en mente, el Directorio Activo de la empresa. Es un tesoro de datos y almacena la información crítica necesaria para elevar los privilegios de un adversario y avanzar en sus ataques. Desafortunadamente, el AD es complejo y, por lo general, tiene políticas heredadas; además, existe un sobre aprovisionamiento en los derechos de muchas cuentas, problemas derivados del crecimiento desarticulado, la rotación, y las fusiones y adquisiciones. Todo esto hace que la monitorización y la clasificación de las malas y buenas actividades sea muy difícil de detectar.
Lamentablemente, la pérdida o el uso indebido del control de dominio puede ser devastador, como se vio en los recientes ataques de alto perfil del conocido caso Solarwinds, de Microsoft Exchange, y los ya “comunes” eventos de ransomware. Estos incidentes deberían servir como un megáfono para cada CISO y CIO de que proteger el Active Directory debe ser una prioridad máxima.
“Uno de los mayores retos para los equipos defensivos de ciberseguridad es proteger la infraestructura del Active Directory, ya que se debe contar con la visibilidad adecuada, y una vez que se adquiere, como defensores debemos de ser capaces de detectar, identificar y diferenciar las actividades normales de las maliciosas”, afirma Rhett Nieto, gerente de seguridad TI de FEMSA. “Siendo un servicio crítico con el que generalmente interactúan todos los usuarios de una organización y otros servicios y procesos, debemos ser muy cuidadosos con las decisiones que tomamos sobre cómo asegurar dicha infraestructura debido a su sensibilidad”, aconseja Nieto.
El ejecutivo de FEMSA recalca la importancia de contar con herramientas que ayuden a contener y responder de forma ágil a un posible ataque, ya que, de no tenerlas, “es solo cuestión de tiempo para que la organización sea vulnerada por alguna de las múltiples campañas actuales que cada vez se enfocan más en explotar malas configuraciones y vulnerabilidades en esta plataforma”.
¿Cómo proteger el AD?
La protección del AD es multifacética y no se trata de hacer solo una cosa bien. Requiere mitigar riesgos, fortalecer los sistemas ligados al AD y detectar ataques en vivo de manera eficiente. Debido a que el AD también se gestiona comúnmente desde los equipos de seguridad y TI, esto puede aumentar su complejidad de administración. Algunas de las principales cosas que las organizaciones pueden hacer para mejorar su postura de seguridad de AD incluyen la implementación de privilegios mínimos y cuentas de administrador escalonadas con privilegios adicionales limitados. También pueden recopilar registros de auditoría y enviarlos a sistemas de correlación (como el sistema de gestión de eventos de información y seguridad, SIEM) o UBA, para encontrar amenazas de forma reactiva.
La desventaja de este enfoque es que revisar los registros puede llevar mucho tiempo para hacerlo bien, y muchas instancias a nivel de SIEM no ingieren el Active Directory y los registros del controlador de dominio de forma nativa. Estas herramientas también son propensas a generar falsas alertas que son ruidosas y tienden a silenciar las importantes. Quizás el mayor desafío es que estas herramientas son reactivas y no identifican de manera proactiva las vulnerabilidades de AD que crean riesgos relacionados con las credenciales o el acceso al dominio desde los puntos finales. Tampoco están diseñados para la detección de ataques en vivo y, por lo general, surgirán problemas mucho después de que ocurra el evento. Esta detección posterior a los hechos es similar a alertar sobre un accidente automovilístico después de que sucedió, lo que, por supuesto, no es muy útil excepto para los esfuerzos de recuperación.
La visualización de registros también puede pasar por alto ataques críticos como de password spraying, DCSync, DCshadow y los ataques Golden Ticket o Silver Ticket.
Las organizaciones requieren soluciones con un nivel sin precedentes de visibilidad y prevención de ataques que simplemente no se había visto antes en el mercado. Incluso yendo un paso hacia atrás, muchas organizaciones ni siquiera tienen en el radar el hecho de “asegurar” el AD. La buena noticia es que hoy en día existen técnicas de Defensa Activa para ocultar credenciales y objetos AD de los atacantes, revelar las rutas de ataque y ofrecer métodos automatizados para encontrar vulnerabilidades en el AD que crean riesgo o demuestran que se está produciendo un ataque en vivo.
El tiempo de valoración debe de ser casi instantáneo con el objetivo de mejorar los programas de aseguramiento del Directorio al:
- Encontrar debilidades y configuraciones incorrectas en los bosques y dominios de AD.
- Reducir la superficie de ataque eliminando privilegios excesivos e innecesarios.
- Detectar la delegación peligrosa que los atacantes pueden explotar fácilmente.
- Evaluación continua incluyendo puntajes de salud del entorno.
- Recopilación automatizada de información y visualización de alto nivel
- Visibilidad de los riesgos a nivel del dominio, usuario y dispositivo presentes en el AD.
- Informar con fundamento y evidencia de los objetos involucrados incluyendo su relación con el reconocido MITRE ATT&CK.
Algunos ejemplos específicos de exposiciones encontradas incluyen el encontrar puertas traseras de replicación de dominios, vulnerabilidades de llave maestra o “skeleton key”, ataques DCShadow, vulnerabilidades de Kerberos, delegaciones de Kerberos mal configuradas, identificador de seguridad oculto (SID) y configuraciones LDAP débiles.
En algunas circunstancias, las organizaciones no pueden abordar fácilmente las rutas vulnerables como parte de estas evaluaciones o simplemente aplicar parches como se hace en otros escenarios. Para estas situaciones, la defensa activa se vuelve fundamental para la detección de ataques en vivo, tales como:
- Detección/prevención de ataques de kerberoasting
- Enumeración de privilegios de dominio
- Detección de ataques Silver ticket y Golden ticket
- Prevención de ataques DCSync, DCShadow
- Ocultar grupos críticos, administradores de dominio, administradores empresariales, controladores del dominio, etc.
- Evitar el descubrimiento de cuentas “Shadow Admin"
- Ocultar servidores críticos de servicios como Exchange, servidores web IIS, MSSQLsvc.
Recomendaciones finales
No instalar “agentes” en los controladores de dominio, no usar cuentas privilegiadas para establecer conexión al directorio, no instalar sensores pasivos que solo generarán más eventos sin detectar oportunamente y mucho menos prevenir un ataque es algo que los administradores no desean hoy en día. La infraestructura central del AD es sensible y debe de ser tratada como tal en todo sentido.
Poniendo todo esto en acción, aquí hay un par de casos de uso clave.
- Ya sea que se centre en las vulnerabilidades de la cadena de suministro y la detección de puertas traseras, la protección de puntos finales y la detención del movimiento lateral, o la prevención de la escalación de privilegios, es claro que el AD juega un papel relevante en todo el “playbook” del atacante.
- Las amenazas avanzadas se mueven rápidamente y tienen los ojos puestos en Active Directory, donde un ejemplo claro son los ataques de ransomware que se apalancan de la infraestructura de directorio y donde soluciones típicas de respuesta y detección de endpoints (EDR) solo registran la telemetría, pero no logran frustrar el progreso de atacante al no evitar la técnica empleada.
Se dice por ahí que cuando un atacante obtiene el control del dominio, básicamente se acabó el juego para el defensor. Al final, la decisión es suya.
Sobre el autor: Juan Carlos Vázquez es Regional Manager de Attivo Networks para Latinoamérica.