Académique Documents
Professionnel Documents
Culture Documents
PRÁCTICAS DE SEGURIDAD
DE ACTIVE DIRECTORY
Estudio detallado de una
amenaza interna y las mejores
estrategias de defensa
Introducción
"¿Quiere decir que este fue un trabajo interno?"
2
Ataques internos y su impacto
LOS ACTORES PRINCIPALES EN ATAQUES INTERNOS
Muchas empresas creen que acciones internas inadecuadas, ya sea accidentales o maliciosas,
pueden ser la causa de tantos daños, así como los ataques iniciados de forma externa. No solo los
centros de atención con exempleados y actuales empleados insatisfechos o poco capacitados,
sino también los proveedores de servicios y los socios empresariales
desempeñan un papel creciente en la comisión o facilitación de los delitos
cibernéticos. Además, el robo de credenciales de todos estos tipos de
personas con información privilegiada es cada vez más común.
El costo promedio total de una
infracción de datos en los EE. UU.
Los ataques internos toman muchas de las mismas formas que otros
delitos, entre los que se incluyen los siguientes:
¿A qué monto asciende esto? De acuerdo con el Ponemon Institute, el costo promedio total de una
filtración de datos en los EE. UU. es de USD 7,35 millones, mientras que el promedio mundial es
de USD 3,62 millones. Sin embargo, más de la mitad de las empresas admiten con ingenuidad que
no tienen idea de qué tan alta o baja es la estimación de sus pérdidas potenciales en caso de un
ataque interno.
3
Active Directory:
Las joyas de la corona
POR QUÉ AD ES UN BLANCO EXCELENTE
Porque Active Directory es el principal directorio de autenticación
y autorización para más del 90 % de las empresas del mundo y
500 millones de cuentas activas, lo que lo convierte en un blanco común
para los ataques cibernéticos. De hecho, más de 95 millones de cuentas
de AD reciben ataques cibernéticos a diario, según Microsoft.
Para abordar este problema, más del 75 % de los clientes con más
de 500 empleados que usan Office 365 sincronizan sus AD en las
instalaciones con Azure AD para permitir una autenticación única,
4
lo que crea un entorno de AD híbrido. Específicamente, al usar
Azure AD Connect, las empresas integran los dos directorios, lo que
mantiene a ambos entornos sincronizados y les da a los usuarios la
capacidad de iniciar sesión sin problemas en Office 365 mediante el
uso de sus credenciales en las instalaciones. Dado que se trata de una
sincronización de una sola vía hacia AAD, es importante recordar que el
entorno local de AD determina el contenido de AAD. Por lo tanto, su AD
local se convierte en el punto central para regir los controles de acceso,
crear controles de compensaciones de seguridad y determinar cómo se
otorga el acceso a AAD y las aplicaciones asociadas.
5
Los desafíos de
proteger AD
AD fue creado para ser seguro, pero la seguridad se quiebra cuando
el acceso elevado se encuentra en las manos incorrectas. Incluso en
entornos de AD híbridos, donde Microsoft promete un acuerdo de nivel
de servicio del 99,9 % con respaldo financiero para Office 365, el control
de cambios, la gestión de accesos y la seguridad general de los datos
aún son responsabilidad del cliente.
• No hay una vista completa de todos los cambios en los orígenes del
registro nativo. Por ejemplo, los DC y los servidores tienen múltiples
registros nativos. Por lo tanto, la búsqueda de un evento específico
consume mucho tiempo y puede generar errores.
6
La auditoría de Native Azure AD tiene sus propios desafíos, entre otros:
• No hay forma de monitorear las políticas de auditoría para saber si cambian o si otros Monitorear los registros
administradores las inhabilitan. de eventos de AD y Azure
• Los datos de auditoría son muy precarios y carecen de nombres descriptivos fáciles de AD es un comienzo, pero
usar, y el formato cambia constantemente. De hecho, no hay un formato normalizado 5W
(quién, qué, cuándo, dónde, estación de trabajo/origen) para todos los eventos.
muchas amenazas internas se
• Los datos de auditoría se conservan por un tiempo limitado antes de que se
aprovechan de los eventos
pierdan definitivamente. que no se registran.
Las herramientas tradicionales para la información de la seguridad y la administración de
eventos (SIEM) están sujetas a limitaciones de la auditoría de registros nativos. Por ejemplo,
el registro de auditoría nativo indica que se modificó un objeto de política grupal (GPO), pero
no registra qué configuración se cambió o sus valores antes y después del cambio, por lo tanto,
la solución SIEM no puede informar estos detalles críticos.
Pero, AD y Azure AD no permiten que las empresas apliquen un modelo verdadero de privilegios
mínimos, por lo que los usuarios a menudo tienen mayores privilegios y más acceso de los que
necesitan para realizar sus trabajos. Por ejemplo, si un administrador quisiera delegar la habilidad
en AD para que el empleado de la mesa de ayuda JSmith mueva los objetos de usuario desde
la unidad organizativa (OU) de planificación hasta la OU de ingeniería, el administrador tendría
que otorgarle a JSmith el derecho de eliminar cualquier objeto de usuario desde la OU de
planificación y escribir a ella. Eso abarca muchos más permisos que los que JSmith necesita (y que
el administrador realmente quisiera otorgar) para ejecutar el movimiento e incrementa de manera
considerable la exposición de la empresa a los riesgos.
7
FALTA DE CAPACIDADES DE AUTOMATIZACIÓN NATIVA
La seguridad exige que se evalúen y remedien continuamente los controles de acceso, pero AD
y AAD no proporcionan ninguna forma de automatizar estos procesos. Ofrecen solo una visibilidad
limitada de quién tiene acceso a qué, cómo recibieron el acceso, quién tiene permisos elevados,
y qué objetos y sistemas son vulnerables a las amenazas de seguridad.
Sin controles de cambios automatizados e integrados en AD y Azure AD, las empresas están
sujetas a accesos no autorizados y accidentales, e interrupciones costosas.
Además, por confianza y conveniencia de la empresa, es común que cada uno de los empleados,
los contratistas y los socios empresariales sepa y comparta las credenciales privilegiadas de AD de
los otros, lo que aumenta el riesgo de mal uso interno, ya sea accidental o malintencionado.
8
Observe cómo se
desarrolla un ataque
Considere esta historia ficticia en la que se describe cómo una amenaza
interna a causa de controles débiles de seguridad puede afectar a AD.
9
PASO 2. OBTENCIÓN DE PRIVILEGIOS DE Más tarde, localiza el servidor de archivos (FSRV1) donde Acme almacena
ADMINISTRADOR DEL DOMINIO información de identificación personal (PII) e inicia sesión en el servidor
de manera local. Nuevamente cubre su rastro, agrega su cuenta de
JSmith sabe que el sistema de monitoreo genérico de Acme está
administrador a un grupo anidado que es miembro del grupo integrado
configurado para monitorear los cambios directos que se realizan en
de administradores en FSRV1. En la carpeta Cuentas por cobrar
el grupo de administradores del dominio, por lo que no puede agregar
encuentra el archivo con PII. Para obtener acceso al archivo, agrega su
corpsvcbk1 a ese grupo a fin de obtener los privilegios que necesita para
cuenta de administrador al grupo Cuentas por cobrar; eso evita que su
robar datos confidenciales. En cambio, agrega corpsvcbk1 a un grupo
cuenta se muestre en la lista de control de acceso, pero sin embargo, le
que es miembro del grupo de administradores del dominio, que le otorga
da plenos derechos al archivo. Abre el archivo, se asegura de que es el
los mismos privilegios sin generar alertas.
deseado y lo copia a una unidad de red asignada en su equipo portátil.
PASO 3. ROBO DE LOS DATOS PASO 4. CONFIGURACIÓN DEL ESPIONAJE
Con la nueva cuenta de administrador, JSmith localiza el servidor SQL Después, JSmith modifica una clave de registro que disminuye el
(SQL1) donde Acme almacena los datos de tarjetas de crédito. Modifica LmCompatibilityLevel y la seguridad de las sesiones lo suficiente como
el GPO que evita que los administradores inicien sesión en ciertas bases para que él instale software malicioso (malware) que espíe cómo las
de datos y servidores de archivos, luego inicia sesión de manera local en credenciales de acceso SQL1 y FSRV1 se pasan las credenciales entre sí.
SQL1. Agrega su cuenta corpsvcbk1 al grupo de administradores locales Eso le permitirá descifrar credenciales adicionales en el futuro a medida
en SQL1 y le asigna el rol de administrador del sistema en SQL Server. que los administradores realicen la autenticación; de ese modo, incluso
Al echar un vistazo, encuentra la base de datos no cifrada de tarjetas de si Acme elimina su cuenta falsa corpsvcbk1, puede continuar robando
crédito y exporta todos los registros a través de la conexión remota a su más datos de tarjetas de crédito.
equipo portátil.
PASO 5. LIMPIEZA
JSmith elimina su cuenta corpsvcbk1 de los grupos de administradores,
limpia los registros para borrar la evidencia de su ataque y decide
Los controles de seguridad y las políticas mantener el software malicioso (malware) en la red para futuras hazañas.
de seguridad comunes de Acme no son Los controles de seguridad y las políticas de seguridad de Acme no
son suficientes para evitar el ataque interno contra Active Directory.
suficientes para evitar diversos ataques Las tácticas de JSmith garantizan que le llevará mucho tiempo a Acme
detectar la filtración de datos; para ese momento es probable que JSmith
internos contra Active Directory. haya recuperado el ingreso perdido y Acme esté en medio de una
recuperación de la filtración de datos.
10
Mejores prácticas
para la seguridad
de AD
No hay un enfoque contundente para
la seguridad de Active Directory, pero
las empresas pueden protegerse de las
amenazas internas a AD si siguen las
siguientes mejores prácticas clave:
1. REDUCIR EL ÁREA DE LA
SUPERFICIE DE ATAQUE
El primero paso para reducir los riesgos es
la limpieza. Comience por el entorno del
área de TI: Reduzca la cantidad de bosques
y dominios. Identifique y elimine los grupos
duplicados y otros grupos innecesarios.
Elimine el software innecesario instalado
en los controladores de dominio y en
servidores confidenciales.
11
2. REFUERCE EL CONTROL DE ACCESO A SISTEMAS
CON INFORMACIÓN CONFIDENCIAL Y CREDENCIALES
Para minimizar aún más el riesgo de que sus datos más valiosos puedan
verse comprometidos, requiera autenticación de múltiples factores
en sistemas con información confidencial y asegúrese de que los
administradores usen cuadros de salto cuando se conecten mediante
cuentas con privilegios, y que inicien sesión solo en estaciones de
trabajo con control reforzado.
Aún mejor, implemente una solución que pueda evitar que cualquiera
modifique los grupos de seguridad más críticos.
12
4. ALERTA DE ACTIVIDADES SOSPECHOSAS También informe periódicamente sobre cuentas inactivas y desactivadas,
y límpielas antes de que puedan ser explotadas.
Además de la escalación de privilegios, también debe buscar otras
señales de que hay atacantes activos en el entorno. Asegúrese de Por último, aunque no menos importante, informe con frecuencia sobre
alertar sobre los siguientes signos de acceso anormal o no autorizado: los sistemas que no tienen los parches de seguridad más recientes de
Microsoft y remedie esta vulnerabilidad.
• Inicios de sesión sospechosos en servidores con información
confidencial después del horario comercial normal. 6. AUTOMATICE, APLIQUE Y REMEDIE LAS POLÍTICAS
• Cambios de contraseñas realizados por terceros en cuentas VIP DE SEGURIDAD
y cuentas con información confidencial. Cuando se trata de seguridad, la automatización es su mejor amiga.
Complemente las herramientas nativas con soluciones que puedan
• Inicios de sesión exitosos después de varios intentos fallidos.
detectar y prevenir automáticamente intrusiones no autorizadas a cuentas
• Asignación directa de derechos administrativos a cualquier usuario. y grupos privilegiados y VIP, y que eviten la elusión de los controles
impidiendo el acceso basado en reglas a recursos confidenciales.
• Consultas de LDAP excesivas o anormales, que pueden ser un signo
de reconocimiento y recopilación de información.
13
Además, evite los cambios no autorizados a configuraciones de GPO y grupos empresariales
importantes mediante el uso de una lista blanca de usuarios autorizados. Con una lista blanca,
incluso si las personas con información privilegiada obtienen derechos de administrador por parte
de credenciales comprometidas, se negarán los intentos de cambios a las membresías en grupos
privilegiados, como Administradores de dominio y Administradores empresariales. La lista blanca
también se aplica para hacer cambios en configuraciones de GPO confidenciales, como deshabilitar
o negar el inicio de sesión a servidores importantes y debilitar la autenticación de NTLM.
Ponga a prueba el plan de continuidad de la empresa de forma permanente, incluidas todas las
etapas del plan de recuperación ante desastres. Asegúrese de incorporar la recuperación en su
proceso de respuesta ante incidentes de seguridad y valide que el proceso de recuperación ante
desastres cumple con los objetivos de tiempo de recuperación después de un desastre o infracción.
14
Conclusión
La amenaza interna a AD es real, generalizada y costosa. Un empleado
disgustado o avaro, especialmente uno con una cuenta administrativa,
o un atacante que comprometa esta cuenta puede explotar las
vulnerabilidades técnicas y los factores humanos para lanzar infracciones
de datos desde adentro hacia afuera.
El hecho es que los usuarios necesitan acceso a los recursos para hacer
su trabajo y, a veces, necesitan permisos de acceso privilegiado. La clave
de la seguridad de AD es equilibrar la necesidad de optimizar el acceso
de los usuarios, para maximizar la productividad frente a la necesidad
de proteger los datos y los sistemas con información confidencial contra
el abuso de privilegios accidental e intencional. Al seguir las mejores
prácticas de Active Directory descritas aquí, puede mejorar la seguridad
y minimizar las amenazas internas.
15
ACERCA DE QUEST © 2017 Quest Software Inc. TODOS LOS DERECHOS RESERVADOS.
En Quest, nuestro propósito es resolver problemas complejos con Esta guía contiene información de propiedad protegida por derechos de autor. El software
que se describe en esta guía se proporciona con licencia de software o acuerdo de no
soluciones simples. Logramos este propósito con una filosofía enfocada divulgación. Este software se puede usar o copiar de conformidad con los términos del
en productos excelentes, un servicio grandioso y el objetivo general acuerdo correspondiente. Ninguna parte de esta guía se puede reproducir o transmitir de
ninguna manera o medio, electrónico o mecánico, incluso la grabación o la fotocopia, para
de ser una empresa con la que hacer negocios resulte simple. Nuestra otro propósito que no sea el de uso personal del comprador, sin el consentimiento por
visión es ofrecer una tecnología que elimine la necesidad de elegir entre escrito de Quest Software Inc.
la eficiencia y la eficacia, lo que significa que usted y su empresa pueden La información presentada en este documento se proporciona en relación con
dedicar menos tiempo a la administración del área de TI y más tiempo a los productos de Quest Software. Con este documento no se garantiza ninguna
licencia, expresa o implícita, por doctrina de los propios actos o de algún otro
la innovación empresarial. modo, a ningún derecho de propiedad intelectual o en relación con la venta de los
productos de Quest Software. EXCEPTO LO ESTABLECIDO EN LOS TÉRMINOS
Si tiene alguna pregunta sobre el posible uso de este material, Y CONDICIONES ESPECIFICADOS EN EL ACUERDO DE LICENCIA PARA ESTE
PRODUCTO, QUEST SOFTWARE NO GARANTIZA RESPONSABILIDAD ALGUNA Y
comuníquese con:
RENUNCIA A CUALQUIER GARANTÍA EXPRESA, IMPLÍCITA O REGLAMENTARIA
RELACIONADA CON SUS PRODUCTOS, INCLUIDAS, ENTRE OTRAS, LA GARANTÍA
Quest Software Inc. IMPLÍCITA DE COMERCIABILIDAD, ADECUACIÓN PARA ALGÚN FIN EN PARTICULAR
Attn: LEGAL Dept O NO INFRACCIÓN. EN NINGÚN CASO QUEST SOFTWARE SE HARÁ RESPONSABLE
POR DAÑOS DIRECTOS, INDIRECTOS, DE CARÁCTER CONSECUENTE, PUNITIVOS,
4 Polaris Way ESPECIALES NI INCIDENTALES (INCLUIDOS, ENTRE OTROS, DAÑOS POR PÉRDIDA DE
Aliso Viejo, CA 92656 GANANCIAS, INTERRUPCIÓN DEL NEGOCIO O PÉRDIDA DE LA INFORMACIÓN) QUE
SURGIERAN POR EL USO O LA INCAPACIDAD DE USAR ESTE DOCUMENTO, INCLUSO
Visite nuestro sitio web (https://www.quest.com/mx-es) para obtener SI QUEST SOFTWARE LE HUBIERA ADVERTIDO SOBRE LA POSIBILIDAD DE TALES
DAÑOS. Quest Software no efectúa declaraciones ni garantías con respecto a la precisión
información sobre nuestras oficinas regionales e internacionales. o a la integridad de los contenidos de este documento y se reserva el derecho de
realizar modificaciones a las especificaciones y descripciones del producto en cualquier
momento sin previo aviso. Quest Software no se compromete a actualizar la información
que figura en este documento.
Patentes
Quest Software se enorgullece de nuestra tecnología avanzada. Pueden aplicarse
patentes y patentes pendientes a este producto. Para obtener la información más
actualizada sobre las patentes correspondientes para este producto, visite nuestro sitio
web en www.quest.com/legal.
Marcas comerciales
Quest y el logotipo de Quest son marcas comerciales y marcas comerciales registradas
de Quest Software Inc. Para obtener una lista completa de las marcas de Quest, visite
www.quest.com/legal/trademark-information.aspx. Todas las demás marcas comerciales
Ebook-InsiderThreats-US-GM-es_XL-WL-30924 son propiedad de sus respectivos dueños.
16