El Directorio Activo (AD) es uno de los principales objetivos de los delincuentes digitales, esto se debe a que es uno de los accesos a las redes empresariales, también son un factor crítico ya que proveen servicios de operación a los administradores para gestionar permisos o control de acceso a todos los recursos de la infraestructura. Estos componentes son necesarios para la operación eficaz de las organizaciones, así el objetivo es proteger sin afectar su funcionamiento.
“Es vital que los usuarios tengan acceso al directorio activo para realizar sus actividades laborales cotidianas pero también es necesario proteger estas plataformas contra amenazas digitales, de acuerdo con cifras de Microsoft, diario más de 95 millones de cuentas son atacadas. Así a través de estrategias y herramientas dedicadas, es posible elevar el nivel de protección para prevenir estas amenazas”, declaró Carlos Vázquez, director en AL de Attivo Networks de SentinelOne.
Diez recomendaciones de la firma para proteger DA
1-Prevenir y detectar el número de sesiones privilegiadas: Ya sean delegadas, servicios de red o de administración estas cuentas representan un alto riesgo por ello su monitoreo puede alertar sobre la presencia de criminales que se infiltraron
2-Identificar y remediar exposiciones de cuentas privilegiadas: Los criminales buscan credenciales de acceso en estaciones de trabajo para tener acceso a la red, con este análisis se pueden solucionar errores de configuración
3-Protección contra ataques “Golden/Silver Ticket”: Las amenazas tipo Pass-the-Ticket (PTT) permiten desplazarse lateralmente por la red y escalar privilegios, así pueden comprometer dominios por ello es necesario monitorear cuentas de servicios y TGT
4-Protección contra Keberoasting, DCSync y DCShadow: Al ser amenazas de acceso privilegiado y persistencia del dominio, es necesario realizar una evaluación continua y en tiempo real del AD, así es posible identificar errores de configuración
5-Evitar extracción de credenciales de porciones de dominios: Los atacantes buscan contraseñas de texto sencillo o reversibles almacenadas en scripts o archivos de políticas en porciones de dominio, por ello hay soluciones puntuales
6-Identificar cuentas de SID privilegiado: Con técnicas de inyección Windows Security Identifier (SID), los delincuentes pueden moverse lateralmente dentro del DÁ, por ello es necesario detectar cuentas con valores de este tipo así como reportes puntuales
7-Delegación de derechos de acceso en objetos críticos: Con estas técnicas es posible hacerse pasar por otra cuenta, por ello su exposición ayuda a identificar y remediar vulnerabilidades antes de ser aprovechadas
8-Cuentas privilegiadas con delegación habilitada: Este tipo de cuentas pueden dar paso a ataques de Kerberoasting y Silver Ticket, así los responsables de la seguridad pueden tener una lista completa para hacer un inventario de riesgos potenciales
9-Usuarios no privilegiados en ACL de AdminSDHolder: Para moverse lateralmente, los atacantes pueden añadir cuentas a dicho objeto, ante esto, en el mercado hay herramientas tecnológicas que pueden identificar cuentas sospechosas
10-Cambios recientes a política de dominios y controladores: Dichas medidas permiten gestionar configuraciones operativas para definir parámetros de seguridad en estos parámetros, así los administradores establecen permisos de archivos y registros
Los delincuentes reconocen que la naturaleza del DA lo hace valioso y vulnerable, por su parte los responsables de seguridad pueden proteger estos servicios cuando entienden los riesgos a los que se exponen. Con estas recomendaciones, las empresas pueden identificar efectivamente las amenazas y detectar oportunamente actividad sospechosa, con ello es posible remediar los incidentes de seguridad, con ello minimizar su impacto.
