Active Directory (AD) es un objetivo muy valioso para los atacantes, que con frecuencia intentan comprometerlo para escalar sus privilegios y ampliar su acceso. Desafortunadamente, su necesidad operativa significa que AD debe ser fácilmente accesible para los usuarios de toda la empresa, lo que lo hace muy difícil de proteger. Microsoft ha declarado que más de 95 millones de cuentas de AD son objeto de ataques cada día, lo que subraya la gravedad del problema.
Aunque proteger AD es un reto, no es imposible, solo se necesitan las herramientas y tácticas adecuadas. A continuación se ofrecen diez consejos que las empresas pueden utilizar para proteger AD de forma más eficaz contra algunas de las tácticas de ataque más comunes en la actualidad.
1. Prevenir y detectar la enumeración de sesiones privilegiadas, de administración delegada, de servicio y de red
Una vez que un adversario ha penetrado las defensas perimetrales y se ha establecido dentro de la red, llevará a cabo un reconocimiento para identificar los activos potencialmente valiosos y cómo puede acceder a ellos. Una de las mejores formas de hacerlo es atacar el AD, ya que pueden disfrazarlo como actividades comerciales normales con pocas posibilidades de ser detectadas.
La capacidad de detectar y prevenir la enumeración de privilegios, administradores delegados y cuentas de servicio puede alertar a los defensores de la presencia de un adversario en una fase temprana del ciclo de ataque. La implementación de cuentas y credenciales de dominio engañosas en los puntos finales también puede hacer tropezar a los atacantes y permitir a los defensores redirigirlos a señuelos para que se involucren.
2. Identificar y remediar las exposiciones de cuentas privilegiadas
Los usuarios suelen almacenar las credenciales en sus estaciones de trabajo. A veces lo hacen accidentalmente, mientras que otras veces lo hacen voluntariamente, normalmente por comodidad. Los atacantes lo saben y se centran en esas credenciales almacenadas para obtener acceso al entorno de red. El conjunto adecuado de credenciales puede ser muy útil, y los intrusos siempre buscarán ampliar sus privilegios y acceder a más información. Las empresas pueden evitar que los atacantes accedan fácilmente a la red identificando las exposiciones de cuentas con privilegios, corrigiendo las configuraciones incorrectas y eliminando las credenciales guardadas, las carpetas compartidas y otras vulnerabilidades. 3. Proteja y detecte los ataques "Golden Ticket" y "Silver Ticket"
Los ataques "Pass-the-Ticket" Los ataques (PTT) se encuentran entre las técnicas más poderosas que utilizan los adversarios para moverse lateralmente por la red y escalar sus privilegios. La estrategia de diseño sin estado de Kerberos facilita su uso indebido, lo que significa que los atacantes pueden falsificar fácilmente tickets dentro del sistema. "Golden Ticket" y "Silver Ticket" son dos de los tipos más graves de ataques PTT que utilizan los adversarios para comprometer el dominio y lograr la persistencia en el mismo.
Para abordar esto, es necesario poder detectar los tickets de concesión de tickets (TGT) de Kerberos y las cuentas de servicio informático vulnerables, identificando y alertando sobre las configuraciones erróneas que podrían dar lugar a ataques PTT. Además, una solución como Singularity Identity puede impedir el uso de tickets falsificados en los puntos finales.
4. Protección contra ataques Kerberoasting, DCSync y DCShadow
Un ataque "Kerberoasting" es una forma fácil para que los adversarios obtengan acceso privilegiado, mientras que los ataques DCSync y DCShadow mantienen la persistencia del dominio dentro de una empresa.
Los defensores necesitan la capacidad de realizar una evaluación continua de AD que proporcione un análisis en tiempo real de los ataques a AD y alerte sobre las configuraciones incorrectas que dan lugar a esos ataques. Además, una solución capaz de aprovechar la presencia de los puntos finales para evitar que los malos actores descubran cuentas a las que atacar puede inhibir su capacidad para llevar a cabo estas incursiones.
5. Evitar la recopilación de credenciales de recursos compartidos de dominio
Los adversarios suelen atacar contraseñas en texto plano o reversibles almacenadas en scripts o archivos de directivas de grupo almacenados en recursos compartidos de dominio como Sysvol o Netlogon.
Una solución como Singularity Identity Posture Management puede ayudar a detectar estas contraseñas, lo que permite a los defensores remediar las exposiciones antes de que los atacantes puedan atacarlas. Mecanismos como los de la solución Singularity Identity también pueden implementar objetos de política de grupo Sysvol engañosos en el AD de producción, lo que ayuda a perturbar aún más al atacante al desviarlo de los activos de producción.
Singularidad™ Identidad
Detecte y responda a los ataques en tiempo real con soluciones integrales para Active Directory y Entra ID.
Demostración6. Identificar cuentas con SID privilegiados ocultos
Mediante la técnica de inyección de identificadores de seguridad (SID) de Windows, los adversarios pueden aprovechar el atributo "historial" del SID, lo que les permite moverse lateralmente dentro del entorno AD y escalar aún más sus privilegios.
Para evitarlo, es necesario detectar las cuentas configuradas con valores SID privilegiados conocidos en el atributo de historial SID y en los informes.
7. Detectar la delegación de derechos de acceso peligrosos en objetos críticos
La delegación es una característica de AD que permite a una cuenta de usuario o de equipo suplantar a otra cuenta. Por ejemplo, cuando un usuario llama a una aplicación web alojada en un servidor web, la aplicación puede imitar las credenciales del usuario para acceder a recursos alojados en un servidor diferente. Cualquier equipo del dominio con la delegación sin restricciones habilitada puede suplantar las credenciales del usuario en cualquier otro servicio del dominio. Desafortunadamente, los atacantes pueden aprovechar esta función para obtener acceso a diferentes áreas de la red.
La supervisión continua de las vulnerabilidades de AD y las exposiciones de delegación puede ayudar a los defensores a identificar y remediar estas vulnerabilidades antes de que los adversarios puedan aprovecharlas.
8. Identificar cuentas privilegiadas con delegación habilitada
Hablando de delegación, las cuentas privilegiadas configuradas con delegación sin restricciones pueden conducir directamente a ataques Kerberoasting y Silver Ticket. Las empresas necesitan la capacidad de detectar e informar sobre las cuentas privilegiadas con delegación habilitada.
Una lista completa de usuarios privilegiados, administradores delegados y cuentas de servicio puede ayudar a los defensores a evaluar las posibles vulnerabilidades. En este caso, la delegación no es automáticamente mala. A menudo es necesaria por motivos operativos, pero los defensores pueden utilizar una herramienta como Singularity Identity para evitar que los atacantes descubran esas cuentas.
9. Identificar usuarios sin privilegios en AdminSDHolder ACL
Los Servicios de dominio de Active Directory (AD DS) utilizan el objeto AdminSDHolder y el proceso propagador del descriptor de seguridad (SDProp) para proteger a los usuarios y grupos con privilegios. El objeto AdminSDHolder tiene una lista de control de acceso (ACL) única, que controla los permisos de los entes de seguridad que son miembros de grupos AD privilegiados integrados. Para habilitar el movimiento lateral, los atacantes pueden agregar cuentas al AdminSDHolder, otorgándoles el mismo acceso privilegiado que otras cuentas protegidas.
Las organizaciones pueden evitar esta actividad con una herramienta como Singularity Identity Posture Management para detectar y alertar sobre la presencia de cuentas inusuales dentro de la ACL de AdminSDHolder.
10. Identificar cambios recientes en la política de dominio predeterminada o en la política de controladores de dominio predeterminados
Dentro de AD, las organizaciones utilizan políticas de grupo para gestionar varias configuraciones operativas mediante la definición de ajustes de seguridad específicos para el entorno. A menudo, estos configuran grupos administrativos e incluyen scripts de inicio y apagado. Los administradores los configuran para establecer los requisitos de seguridad definidos por la organización en cada nivel, instalar software y establecer permisos de archivos y registros. Desafortunadamente, los atacantes pueden cambiar estas políticas para lograr la persistencia del dominio dentro de la red.
La supervisión de los cambios en las políticas de grupo predeterminadas puede ayudar a los defensores a detectar rápidamente a estos atacantes, mitigando los riesgos de seguridad y ayudando a prevenir el acceso privilegiado a AD.
Reduzca el riesgo de identidad en toda su organización
Detecte y responda a los ataques en tiempo real con soluciones integrales para Active Directory y Entra ID.
DemostraciónImplementar las herramientas adecuadas
Comprender las tácticas más comunes que utilizan los adversarios para atacar AD puede ayudar a las empresas a defenderse. Al desarrollar herramientas como Singularity Identity Posture Management y Singularity Identity, tuvimos en cuenta muchos vectores de ataque e identificamos la mejor manera de detectarlos y frustrarlos.
Con estas herramientas, las empresas actuales pueden identificar eficazmente las vulnerabilidades, detectar actividades maliciosas de forma temprana y remediar los incidentes de seguridad antes de que los intrusos puedan escalar sus privilegios y convertir un ataque a pequeña escala en una brecha importante. Proteger AD es un reto, pero no es insuperable gracias a las herramientas de protección de AD actuales.
"Preguntas frecuentes sobre prácticas recomendadas de seguridad de Active Directory
La seguridad de Active Directory es el conjunto de medidas y prácticas que puede utilizar para proteger su entorno de Microsoft Active Directory frente a amenazas cibernéticas. Controla quién puede acceder a qué recursos de su red mediante la gestión de cuentas de usuario, equipos y permisos desde una ubicación central. Básicamente, es el guardián que verifica que los usuarios son quienes dicen ser y decide qué pueden hacer una vez que entran.
Esto incluye la autenticación, la autorización, los controles de acceso y la supervisión para evitar que usuarios no autorizados interfieran en sus sistemas y datos.
La seguridad de Active Directory es fundamental porque, si los atacantes acceden a su AD, básicamente tienen las llaves de todo su reino. Su AD controla el acceso a todos los sistemas, aplicaciones y datos confidenciales de su red. Un AD comprometido puede provocar violaciones masivas de datos, corrupción del sistema e incluso apagones completos de la red.
Actualmente se producen 25 000 millones de ataques a Azure AD al año, y si no se protege este centro neurálgico, los actores maliciosos pueden escalar privilegios, moverse lateralmente por su red e implementar ransomware o robar credenciales. El daño puede paralizar sus operaciones comerciales y provocar pérdidas económicas sustanciales.
Debe mantener un número mínimo de usuarios con privilegios y utilizar grupos para asignar el acceso en lugar de permisos individuales. Aplique políticas de contraseñas seguras con requisitos modernos e imponga la autenticación multifactor en todas las cuentas de administrador. Desactive los servicios innecesarios, como Print Spooler, desactive SMBv1 y restrinja NTLM siempre que sea posible. Realice evaluaciones de seguridad periódicas para encontrar cuentas inactivas y eliminarlas antes de que se conviertan en vectores de ataque.
Supervise continuamente su AD en busca de actividades sospechosas, especialmente en torno a cambios en grupos con privilegios e intentos de inicio de sesión fallidos. Mantenga los controladores de dominio físicamente seguros y mantenga planes adecuados de copia de seguridad y recuperación.
La MFA hace que su AD sea mucho más seguro al añadir pasos de verificación adicionales más allá de las contraseñas. Incluso si los atacantes roban sus credenciales mediante phishing o ataques de fuerza bruta, no pueden entrar sin el segundo factor, como una aplicación móvil o un token de hardware. La MFA bloquea más del 99,9 % de los ataques automatizados y reduce el riesgo de violaciones en un 98,56 %, incluso cuando se filtran las credenciales.
Puede utilizar varios métodos, como Microsoft Authenticator, claves FIDO2, datos biométricos y plataformas como SentinelOne, para dificultar que los actores maliciosos comprometan las cuentas. La MFA también proporciona mejores registros de auditoría para el análisis forense si algo sale mal.
Su lista de comprobación de seguridad de AD debe comenzar con la auditoría del estado de seguridad actual y la identificación de las cuentas obsoletas que deben eliminarse. Se revisarán y reforzarán las políticas de contraseñas y, a continuación, se implementarán políticas de bloqueo de cuentas para detener los intentos de fuerza bruta. Otro elemento es implementar la autenticación multifactor para todas las cuentas con privilegios y establecer políticas de control de acceso seguro basadas en el privilegio mínimo. Configure una gestión regular de parches, realice evaluaciones de vulnerabilidad y lleve a cabo auditorías de AD para detectar problemas de configuración.
Habilite el registro y la supervisión adecuados de los eventos críticos, especialmente en lo que respecta a los cambios en el grupo de administradores de dominio y las autenticaciones fallidas. Documente sus políticas de seguridad, forme al personal en las mejores prácticas y pruebe regularmente sus procesos de recuperación de AD.
Debe supervisar los ID de eventos específicos en sus registros de seguridad, en particular los inicios de sesión fallidos (4625), los bloqueos de cuentas (4740) y los intentos de escalada de privilegios (4672). Esté atento a los cambios no autorizados en grupos con privilegios, como administradores de dominio y administradores empresariales, ya que a menudo son señal de brechas de seguridad. Configure alertas en tiempo real para patrones de inicio de sesión inusuales, como múltiples intentos fallidos desde direcciones IP únicas o inicios de sesión fuera del horario laboral habitual.
Supervise los cambios en la política de grupo, los restablecimientos de contraseña en las cuentas de administrador y cualquier modificación en la configuración del controlador de dominio. SentinelOne puede ayudarle a realizar un seguimiento de estas actividades y asistirle con la detección y las alertas automatizadas
