Por Nuno Antunes Ferreira, director para España y Portugal de Semperis
Active Directory está recibiendo mucha atención en los medios de comunicación últimamente, pero no en el buen sentido. AD sigue siendo un objetivo principal para los ciberdelincuentes: algunos ejemplos recientes son los ataques relacionados con AD a Sinclair Broadcast Group, al fabricante de cámaras Olympus y a una filial de Nokia. AD es un objetivo jugoso porque es el principal almacén de identidades utilizado para autenticar a los usuarios y conceder acceso a los datos de las organizaciones, incluidos los datos de los clientes de gran valor.
El creciente número de casos publicitados de ataques contra AD ha aumentado la conciencia de AD como un vector de ataque. Un nuevo informe de la firma de analistas Enterprise Management Associates (EMA) - "El Auge de los Ataques al AD: ¿Es hora de hacer sonar la alarma?", explora el impacto en las organizaciones de las vulnerabilidades de seguridad de AD y cómo están respondiendo. Contiene un hallazgo clave que ilustra el nivel de preocupación por las amenazas a la seguridad de AD: el 86% de las organizaciones encuestadas dijo que estaba planeando aumentar su inversión en la protección del Directorio Activo.
Como señala el informe, atacar al AD es el medio que justifica el fin para los autores de las amenazas. Los atacantes utilizan AD para violar las redes de las organizaciones, y luego se mueven a través del sistema de información comprometido para obtener acceso a activos valiosos. Por ejemplo, en la reciente serie de ataques de ‘Golden Ticket’, incluido el ataque Golden SAML lanzado contra la empresa de software SolarWinds, los ciberdelincuentes crearon credenciales de usuario falsas, imitaron a usuarios reales y eludieron la autenticación de dos factores.
En el caso de SolarWinds, los atacantes escalaron privilegios explotando el acceso no autorizado en las listas de control de acceso de AD. Este enfoque les permitió moverse lateralmente dentro de las redes de las víctimas -bajo la cobertura de esos niveles de permiso elevados robados- para acceder y extraer datos sensibles. Este tipo de ataques está impulsando a las organizaciones a redoblar la seguridad de AD.
Aunque los ataques a AD han aumentado tanto en gravedad como en costes en el último año, no son nada nuevo. Los investigadores de seguridad identificaron por primera vez los ataques de Golden Ticket en 2017, y los atacantes han apuntado a Directorio Activo durante años con la esperanza de obtener acceso a recursos empresariales de alto valor.
Cómo responden las organizaciones a las amenazas de Active Directory
Para comprender mejor el creciente número de ataques a AD, EMA encuestó a 250 profesionales y ejecutivos de TI sobre cómo están respondiendo sus organizaciones al creciente riesgo y cómo están cambiando sus prioridades de seguridad de AD. Las 4 principales conclusiones pintaron un panorama alarmante de cómo las debilidades de seguridad de AD están afectando a la postura de seguridad general de las organizaciones.
- El 50% de las organizaciones ha sufrido un ataque a Active Directory en los últimos 1-2 años. Dado el aumento de la prevalencia de los ataques a AD, es sorprendente que sólo el 50% de los encuestados haya indicado que sus organizaciones han sufrido un ataque a su sistema AD en el último año o dos. Según los cálculos de Microsoft, 95 millones de cuentas AD son objeto de ciberataques cada día, pero es posible que una parte significativa de estos ataques podría haber pasado desapercibida: el 25% de los encuestados dijo que la detección de ataques en vivo es el mayor desafío de seguridad de AD. Esta clara falta de visibilidad y el alto índice de ataques a la AD sugieren que las organizaciones podrían estar pasando por alto a atacantes sigilosos que han logrado cubrir sus huellas. También es posible que algunos profesionales de la seguridad no se den cuenta de que AD desempeña con frecuencia un papel en los ataques de ransomware.
- Más del 40% de los ataques a Active Directory tuvieron éxito. La empresa de ciberseguridad Mandiant estima que el 90% de los incidentes que investigan para sus clientes involucran a AD de alguna manera, ya sea que AD sea el vector de ataque inicial o el medio por el cual los atacantes pueden lograr persistencia o privilegios. Este hallazgo hace que la alta tasa de éxito de los ataques a AD sea particularmente alarmante.
- Los probadores de penetración explotaron con éxito las exposiciones de Directorio Activo el 82% de las veces. Aunque los equipos de operaciones de TI y de seguridad son los principales grupos encargados de realizar evaluaciones, su trabajo se ve reforzado en ocasiones por evaluaciones realizadas por equipos de pruebas internos. Para el 29% de las organizaciones encuestadas que llevan a cabo ejercicios internos o pruebas de penetración contra AD, el intento de explotar las exposiciones de AD es una parte común del programa. Para las organizaciones que realizan pruebas de explotación de AD, la tasa de éxito es sorprendentemente alta, del 82%.
Dado el profundo nivel de experiencia que se requiere para encontrar vulnerabilidades y entender los tipos de errores que pueden conducir a tales exposiciones, muchas organizaciones no tienen los recursos para llevar a cabo frecuentemente evaluaciones de AD. Y las herramientas automatizadas de pruebas de penetración ofrecen capacidades limitadas para mantener una buena postura de seguridad de AD. Incluso con la experiencia necesaria, remediar las exposiciones y vulnerabilidades sigue siendo un proceso engorroso debido a la compleja estructura de AD. Factores como la falta de visibilidad de las exposiciones de AD y los requisitos para investigar la exposición suponen un reto para el 38% y el 37% de los encuestados, respectivamente.
- El 86% de las organizaciones tiene previsto aumentar la inversión en la protección de Active Directory. Con el creciente número de menciones en la prensa sobre ataques al AD, no es de extrañar que los equipos de ciberseguridad sitúen la seguridad de AD en lo más alto de la lista de prioridades. El aumento de los ataques a AD impulsó al mayor porcentaje de organizaciones a planificar un aumento del gasto en seguridad, pero otros problemas también están impulsando esas decisiones. La pandemia provocó dos grandes cambios interrelacionados en la actividad de TI: la necesidad de dar soporte a actividades remotas o de trabajo desde casa a gran escala y la aceleración de los planes de migración a la nube.
No se vislumbra el fin de los ataques a AD
Aunque Microsoft sigue publicando actualizaciones de seguridad para AD, nada impedirá que se produzcan ataques a AD. Para proteger a sus organizaciones de las amenazas actuales, los equipos de seguridad deben aumentar su visibilidad en la interfaz de ataque de AD y tener un plan probado para responder una vez que se detecta un ataque en vivo.
Además, las auditorías siguen siendo un método primario para identificar y asegurar las exposiciones, pero no son la única herramienta que los equipos de seguridad pueden o deben utilizar, especialmente dada su naturaleza instantánea. Hoy en día, las nuevas herramientas pueden detectar patrones de actividad maliciosa en tiempo real, ya que los atacantes intentan acceder a cuentas privilegiadas y crear puertas traseras.
