Controlar la ciber-higiene del Directorio Activo: 11 pasos a seguir

Por Nuno Antunes Ferreira, director para España y Portugal de Semperis

El Directorio Activo (AD) suele ser el primer puerto de entrada en los ciberataques. La firma de analistas Mandiant estima que alrededor del 90% de los ataques involucran al AD de alguna manera, ya sea como vector de ataque inicial o con el objetivo de obtener privilegios o persistencia. Al ser el principal método de autenticación y autorización que afecta 9 de cada 10 de las empresas del mundo, AD contiene una gran cantidad de valiosos datos corporativos, incluidos los de los empleados. El AD proporciona a los atacantes la riqueza de información que necesitan para acceder a datos sensibles, distribuir ransomware y una serie de otras actividades maliciosas.

A pesar del altísimo volumen de ataques, AD sigue funcionando perfectamente para las empresas de todo el mundo que utilizan esta tecnología para gestionar los permisos y el acceso a la red. Además, con el creciente número de usuarios que trabajan desde casa con múltiples dispositivos y aplicaciones basadas en la nube, AD se ha convertido en un elemento fundamental para las arquitecturas de identidad híbrida existentes en toda la empresa, lo que hace que AD sea un activo aún más importante.

Dado que casi todos los ataques tienen que ver con el Directorio Activo, la mejora de la seguridad del mismo es esencial para todas las empresas. Afortunadamente, existen algunas buenas prácticas que las organizaciones pueden utilizar para combatir posibles ataques. Este artículo pretende dar una visión general de las principales acciones que cualquier organización puede llevar a cabo para proteger a AD de los ataques. Aquí tienes 11 consejos:

1. Implementar buenos procesos de identidad - Desde las pequeñas organizaciones hasta las grandes multinacionales, el aprovisionamiento de usuarios - el proceso de crear cuentas de usuario y añadirlas a grupos - es sencillo. Sin embargo, cuando se trata de eliminar usuarios inactivos que ya no son necesarios, la cosa cambia. Más del 10% de las cuentas de usuario en AD se han detectado como inactivas, lo que supone un riesgo de seguridad importante, ya que las amenazas externas podrían utilizar estas cuentas para infiltrarse en una organización. Con herramientas como PowerShell, las empresas pueden identificar y eliminar fácilmente los usuarios y ordenadores inactivos. La revisión periódica de los accesos sensibles, o grupos privilegiados, también ayudará a gestionar el acceso administrativo. A medida que se intensifica el uso de Kerberoasting, la actualización periódica de las cuentas de servicio con contraseñas fuertes y aleatorias también reducirá la amenaza de que los actores vulneren los entornos AD.
2. Creación de confianzas (Forest Trusts) seguras - Una confianza de bosque conecta dos dominios AD distintos (o bosques) para permitir que los usuarios de un dominio se autentiquen con los recursos del otro, proporcionando una experiencia de autenticación y autorización sin fisuras. Dentro de un bosque de AD, las relaciones de confianza entre dominios son normalmente bidireccionales y transitivas por defecto. Hay que asegurarse de que el filtrado de SID está activado en todas las confianzas entre los bosques AD para evitar que los grupos privilegiados sean suplantados. La activación de la autenticación selectiva proporciona un nivel diferente de seguridad al permitir que sólo los usuarios de un determinado departamento o grupo utilicen los recursos de la confianza.
3. Hacer una copia de seguridad de cada controlador de dominio para cada dominio, especialmente el dominio raíz - Aunque las organizaciones realizan copias de seguridad de todos los controladores de dominio y de sus dominios, a menudo se olvidan de realizar una copia de seguridad del dominio raíz, por lo que ya no pueden recuperar sus bosques. Además, la realización de copias de seguridad de dos o más controladores de dominio para cada dominio proporcionará más de una forma para que una organización pueda restaurar todo el dominio en caso de que un controlador de dominio no esté disponible. Al realizar las copias de seguridad, es importante utilizar métodos de copia de seguridad compatibles que garanticen que no contienen malware. Por último, nunca hay que olvidar mantener copias de seguridad sin conexión.
4. Testear regularmente las copias de seguridad - Las copias de seguridad son inútiles si una organización no puede (o no sabe) recuperarlas. Según un reciente estudio de Semperis, más del 50% de las organizaciones no tienen un plan de recuperación de desastres de AD o, si lo tienen, nunca lo han probado. Sin una evaluación periódica, los procesos de recuperación pueden contener información obsoleta sobre la topología de AD, lo que puede dificultar los tiempos de recuperación en caso de ataque.
5. Restablecer las contraseñas de las cuentas de KRBTGT - Cada bosque de AD tiene una cuenta KRBTGT asociada para cifrar y firmar todos los tickets Kerberos emitidos en el dominio. Cuando un usuario se autentifica en un dominio, se le proporciona un Ticket Granting Ticket (TGT) que le otorga la capacidad de solicitar un ticket de servicio al Centro de Distribución de Claves Kerberos para acceder a un servicio (por ejemplo, un servidor de archivos). El TGT actúa como prueba de identidad cuando un usuario se registra y proporciona detalles de su identidad y de los grupos a los que pertenece, lo que le permite acceder a otros servicios de la red. Aunque los TGT sólo son válidos durante un periodo de tiempo determinado, si un atacante se hace con el control de la cuenta KRBTGT, puede crear TGT fraudulentos para acceder a cualquier recurso que desee. Una forma de prevenir este tipo de ataque Golden Ticket es restablecer la contraseña de la cuenta KRBTGT en cada dominio con una frecuencia de 6 a 12 meses. El MVP de Microsoft Jorge de Almeida Pinto ha creado un script de restablecimiento de la contraseña de KRBTGT disponible en GitHub que se actualiza continuamente, lo que permite a las organizaciones restablecer la contraseña y las claves asociadas de la cuenta KRBTGT, minimizando la probabilidad de que la operación cause problemas de autenticación de Kerberos.
6. Evitar el movimiento lateral - Una de las características de los ciberataques actuales es el movimiento lateral. Tras obtener el acceso inicial al dominio de una organización, un atacante se desplaza por la red en busca de datos sensibles y otros recursos de gran valor. La implementación de la solución de contraseñas de administrador local (LAPS) de Microsoft desalienta el salto de una estación de trabajo a otra con la misma contraseña de administrador, generando contraseñas únicas y aleatorias para cada cuenta de administrador local, protegiéndolas para que sólo los usuarios apropiados puedan leerlas o solicitar su restablecimiento.
7. Minimizar la pertenencia a grupos privilegiados - Los grupos con privilegios son aquellos a los que se les conceden facultades, privilegios y permisos más amplios que les permiten realizar casi cualquier acción en el AD de una organización. Dentro de cualquier organización, sólo debería haber un puñado de administradores de dominio que sean responsables del funcionamiento del servicio AD. Al aplicar el principio del mínimo privilegio, los derechos de acceso de los usuarios se limitan a los estrictamente necesarios para realizar sus funciones laborales. Dado que la mayoría de los ataques avanzados se basan en la explotación de credenciales privilegiadas, proporcionar a los usuarios los niveles mínimos de acceso posibles disminuye drásticamente la superficie de ciberataque.
8. Proteger el acceso a los privilegios - Una vez que el equipo de seguridad ha cribado el número de cuentas administrativas, una buena práctica es utilizar cuentas administrativas que tengan nombres separados. Esto asegura que cualquier cosa que aparezca en el registro de auditoría se envíe a un usuario en particular en lugar de a una cuenta que puede incluir varios usuarios. Implementar un modelo administrativo de varios niveles es otra forma de prevenir la escalada de privilegios limitando lo que los administradores pueden controlar y a dónde pueden acceder. Esto es necesario para evitar, por ejemplo, el uso de una cuenta de administrador de dominio de nivel 0 para acceder a la estación de trabajo de un usuario de nivel 0, como ocurrió durante el catastrófico ciberataque a Maersk.
9. Limitar los privilegios de administración del hipervisor - A medida que las aplicaciones en la nube crecen en popularidad, es importante entender la infraestructura subyacente que soporta un entorno AD. Es seguro decir que la mayoría de las organizaciones operan en la nube y, por lo tanto, ejecutan su AD en al menos algunos controladores de dominio virtuales. Los administradores del hipervisor tienen la capacidad de apagar, eliminar, alterar o interferir con esos controladores de dominio, lo que significa que las organizaciones deben tener cuidado con quién tiene derechos de administración.
10. Reforzar los controladores de dominio - La configuración por defecto de los controladores de dominio no está protegida, lo que significa que existen diferentes vías de escalada de privilegios para el administrador del dominio. Con estos valores predeterminados, los controladores de dominio pueden ejecutar otros servicios que les den control sobre AD. Por ejemplo, el servicio Print Spooler en los controladores de dominio permite a cualquier usuario autentificado conectarse remotamente al servicio Print Spooler de un controlador de dominio y solicitar una actualización de los nuevos trabajos de impresión. Los usuarios también pueden solicitar al controlador de dominio que envíe la notificación al sistema con delegación no limitada, lo que hace que las credenciales de la cuenta del ordenador del controlador de dominio queden expuestas. Desactivar el servicio Print Spooler en todos los controladores de dominio y eliminar los roles de servidor y agentes innecesarios limita la capacidad de ser expuesto.
11. Vigilar la actividad inusual - A medida que las amenazas patrocinadas por gobiernos de otros paises siguen aumentando, la supervisión continua de AD en busca de actividad sospechosa es un componente clave para prevenir, detectar y detener la actividad maliciosa. La implantación de una solución de gestión de información y eventos de seguridad (SIEM) mediante el análisis del comportamiento de usuarios y entidades permite a las organizaciones agregar y analizar la actividad en toda su infraestructura de TI, incluidos los cambios en la pertenencia a cuentas y grupos privilegiados.

Mantener la seguridad y el buen mantenimiento de AD es fundamental para detener el despliegue de todas las tácticas que han dado lugar a algunos de los ciberataques más devastadores de la historia reciente. Sin embargo, la gestión y la seguridad de la AD es algo con lo que muchas organizaciones siguen luchando. Las mejores prácticas mencionadas en este artículo, pueden ayudar a las organizaciones a eliminar algunas de las vulnerabilidades más comunes de AD, frustrar los intentos de los atacantes de escalar privilegios, y permitir a las organizaciones una recuperación rápida, completa y limpia en caso de un ataque.