- Inicie sesión para enviar comentarios
El estudio destaca que cuanto más grande es la organización, más complejo es el problema.
Algunos sectores, como el de los seguros, la sanidad y el transporte, obtienen la puntuación más baja entre las empresas del sector privado, mientras que algunas organizaciones del sector público obtienen la puntuación más alta.
Según los resultados de una encuesta realizada a los líderes de TI y de seguridad que han implementado la herramienta gratuita de evaluación de seguridad Purple Knight de Semperis en sus entornos TI, las empresas y organizaciones de todos los tamaños y de todos los sectores no están abordando las brechas de seguridad de Active Directory (AD) que pueden dejarlas vulnerables ante los ciberataques.
Las organizaciones obtuvieron una media del 68% en cinco categorías de seguridad de Active Directory, una puntuación inaceptable si se tiene en cuenta que una puntuación inferior al 100% significa que deben existir vulnerabilidades en su entorno de AD. Las grandes organizaciones obtuvieron una puntuación media del 64%, lo que indica que los retos de seguridad de Active Directory se amplían con las aplicaciones heredadas y los entornos complejos.
Muchos de los encuestados afirmaron sentirse sorprendidos por las conclusiones de sus informes Purple Knight. En algunas entrevistas de seguimiento con dichos encuestados, la investigación también descubrió que las configuraciones erróneas proliferan en las organizaciones con implementaciones de Active Directory heredadas y, en general, las organizaciones luchan con la falta de experiencia en Active Directory.
En el momento de su lanzamiento, Microsoft Active Directory (AD) era una tecnología revolucionaria, y sigue apoyando gran parte de la vida laboral hiperconectada que tenemos en la era moderna porque es abierta. Esta apertura y la facilidad de integración hacen que AD siga siendo hoy en día una pieza fundamental de la infraestructura TI para el 90% de las empresas.
Sin embargo, su mayor fortaleza hace 21 años se ha convertido actualmente en su debilidad más preocupante. Teniendo en cuenta que un hacker puede utilizar cualquier cuenta de AD sin privilegios para leer casi todos los atributos y objetos de AD, incluidos sus permisos, lo que le permite encontrar cuentas de ordenador en cualquier dominio de un bosque de AD que estén configuradas con una delegación sin restricciones, es fácil ver por qué la apertura de AD por defecto se ha convertido en una vulnerabilidad.
Análisis de Purple Knight
El año pasado, Semperis, pionera en la gestión y protección de las credenciales de identidad de los entornos híbridos de las empresas y en la protección de AD, lanzó una herramienta gratuita de evaluación de la seguridad de AD, Purple Knight, y acaba de publicar las conclusiones de los datos de 1.000 responsables de TI y ciberseguridad de diversos sectores que han implementado la herramienta en sus propios sistemas corporativos.
Las principales conclusiones del análisis de datos son las siguientes:
- Las organizaciones obtuvieron una puntuación media del 68% en cinco categorías de seguridad de Active Directory: delegación de AD, seguridad de las cuentas, seguridad de la infraestructura de AD, seguridad de las políticas de grupo y seguridad de Kerberos. Se trata de una nota de apenas un aprobado.
- A las grandes organizaciones les fue aún peor, con una puntuación media del 64%, lo que indica que los retos de la seguridad de Active Directory se amplían con las aplicaciones heredadas y los entornos complejos, especialmente en las grandes organizaciones.
- La mayoría de las organizaciones obtuvieron la puntuación más baja en cuanto a la Seguridad de las Cuentas, que abarca la configuración de las cuentas individuales tales como las cuentas privilegiadas con una contraseña que nunca caduca.
Los datos también mostraron grandes diferencias entre los distintos sectores, y las organizaciones del sector público obtuvieron una puntuación mucho mejor que el sector privado. Por ejemplo:
- Las compañías de seguros obtuvieron las puntuaciones más bajas (55%), seguidas de las de sanidad (63%) y transporte (64%).
- Las empresas de transporte han obtenido la puntuación más baja en Política de Grupo (36%) y Seguridad de Cuentas (46%).
- Las empresas de infraestructuras públicas obtuvieron la puntuación más alta en general (71%), seguidas de las entidades gubernamentales (70%)
Semperis ha publicado un informe titulado "Facing the Unknown: Uncovering & Addressing Systemic Active Directory Security Failures" que incluye más información sobre los indicadores de seguridad que se señalaron, las respuestas de los responsables de TI y ciberseguridad sobre lo que reveló para su organización y, lo que es más importante, los pasos que están poniendo en marcha para cerrar estas brechas. Está disponible en inglés para su descarga gratuita en:
https://www.semperis.com/resources/2022-purple-knight-report/
