Por qué hay que replantearse la seguridad de Active Directory

Por qué hay que replantearse la seguridad de Active Directory

José Antonio Lorenzo

Cuando se produce un ciberataque, Active Directory a veces se descarta como un servicio más que debe recuperarse, y su seguridad es una idea que se considera en el último momento. No obstante, la dura realidad nos muestra que cuando la seguridad de Active Directory se ve superada, entonces lo está la de todo su entorno. Hoy en RedesZone os vamos a explicar por qué hay que replantarse la seguridad de Active Directory para proteger a todos los equipos de la red local empresarial.

La importancia de Active Directory en la actualidad

Hoy en día, el 90% de las empresas utilizan Active Directory como su herramienta principal para la autenticación de empleados, la gestión de identidades y el control de acceso. En la actualidad, cada vez es más frecuente que las organizaciones opten por un enfoque híbrido de la identidad, y entonces, se centran en las interdependencias y complejidades que resultan de la nube. No obstante, es necesario entender que la identidad en la nube aún depende de la integridad de Active Directory local.

Si tenemos en cuenta que usamos Active Directory como una fuente, desde la cual sincronizar con otros almacenes de identidad, cualquier manipulación puede causar un efecto dominó devastador en su infraestructura de identidad. Por ese motivo, la seguridad de Active Directory es muy importante, y debemos tomárnosla muy en serio si queremos proteger nuestra organización.

Consecuencias de la pérdida de seguridad de Active Directory

Sin duda alguna, un ataque a Active Directory por parte de un ciberdelincuente le puede proporcionar un acceso mayor que los propios recursos locales que está atacando. Por ejemplo, este atacante puede cambiar una cuenta de usuario local comprometida en miembro de un grupo con más permisos en Active Directory. Así, perteneciendo a este grupo, posiblemente tendría acceso a sistemas, aplicaciones y datos críticos locales.

Además, Active Directory frecuentemente se asocia con aplicaciones en la nube a través de un IDP externo, como, por ejemplo, Azure AD. Así, es razonable suponer que este cambio en la membresía de grupo podría obtener acceso a un entorno CRM basado en la nube. Por lo tanto, sería posible que los datos de clientes y la organización junto con los contenidos de la cuenta violada y otros recursos pudiesen caer en manos del atacante.

Por otra parte, es muy posible que los ataques afecten a varias cuentas y se realicen muchos cambios dentro de Active Directory. Como consecuencia de esto, el atacante obtiene acceso a los recursos en cualquier lugar dentro del entorno lógico, sin importar dónde resida.

Hay que aumentar la seguridad de Active Directory

El concepto de anillo 0 para algunas arquitecturas en desarrollo es donde se encuentra el kernel del sistema operativo, y se disfruta de acceso completo a todos los recursos. Por lo tanto, lo que deben hacer las empresas es considerar la seguridad de Active Directory como su anillo 0, dotándolo de la máxima protección para que no sea vulnerado.

El trabajo para dotarlo de la seguridad necesaria va más allá de las herramientas de monitoreo tradicionales, ya que son incapaces de detectar los ataques de identidad más sofisticados. En el caso de que se consiga modificar Active Directory, los ciberdelincuentes pueden acceder a cualquier recurso de la red. En este sentido, para solucionarlo deben existir disposiciones de seguridad específicas para monitorizar y prevenir cambios no autorizados dentro de Active Directory. Pero eso no es lo único, también en caso de que fallen los esfuerzos de prevención, deben tener la capacidad de regresar a un estado seguro conocido.

Un dato muy importante a tener en cuenta, es que si un atacante pone en riesgo el Active Directory de su organización, no habrá nada a lo que no pueda acceder a largo plazo. Esto hace que requiera de la implementación de medidas específicas para garantizar su protección.

Una forma de obtener la seguridad de Active Directory, sería escaneando continuamente sus directorios en busca de vulnerabilidades de seguridad, interceptando ciberataques en curso, y recuperándose rápidamente de ataques ransomware y otras emergencias de integridad de datos. En este sentido, siguiendo esta estrategia, estaremos preparados para hacer frente a los ciberdelincuentes. Así, conseguimos reducir los riesgos de que Active Directory se vea comprometido y lleve a su empresa a unas pérdidas económicas importantes.