La seguridad del directorio activo sigue en entredicho

  • Actualidad

Datos 101 ciberseguridad

Según datos de Semperis la mayoría de las organizaciones siguen luchando por cerrar las brechas en la seguridad de sus Directorios Activos.

La mayoría de las organizaciones no logran proteger adecuadamente los entornos de AD principalmente porque carecen de visibilidad de las configuraciones arriesgadas. Esta es una de las conclusiones que recoge un estudio de Semperis entre usuarios de Purple Knight, una herramienta gratuita para la evaluación de la seguridad del directorio activo.

Según los datos del informe, las organizaciones obtuvieron una media del 68% en cinco categorías de seguridad de Active Directory, una puntuación que pone en evidencia la seguridad el AD si se tiene en cuenta que una puntuación inferior al 100% significa que deben existir vulnerabilidades en estos entornos.

Muchos de los encuestados afirmaron sentirse sorprendidos por las conclusiones de sus informes Purple Knight. En algunas entrevistas de seguimiento con dichos encuestados, la investigación también descubrió que las configuraciones erróneas proliferan en las organizaciones con implementaciones de Active Directory heredadas y, en general, las organizaciones luchan con la falta de experiencia en Active Directory.

Las principales conclusiones del análisis de datos son las siguientes:

- Las organizaciones obtuvieron una puntuación media del 68% en cinco categorías de seguridad de Active Directory: delegación de AD, seguridad de las cuentas, seguridad de la infraestructura de AD, seguridad de las políticas de grupo y seguridad de Kerberos. Se trata de una nota de apenas un aprobado.
- A las grandes organizaciones les fue aún peor, con una puntuación media del 64%, lo que indica que los retos de la seguridad de Active Directory se amplían con las aplicaciones heredadas y los entornos complejos, especialmente en las grandes organizaciones.
- La mayoría de las organizaciones obtuvieron la puntuación más baja en cuanto a la Seguridad de las Cuentas, que abarca la configuración de las cuentas individuales tales como las cuentas privilegiadas con una contraseña que nunca caduca.

Los datos también mostraron grandes diferencias entre los distintos sectores, y las organizaciones del sector público obtuvieron una puntuación mucho mejor que el sector privado. Por ejemplo:

- Las compañías de seguros obtuvieron las puntuaciones más bajas (55%), seguidas de las de sanidad (63%) y transporte (64%).
- Las empresas de transporte han obtenido la puntuación más baja en Política de Grupo (36%) y Seguridad de Cuentas (46%).
- Las empresas de infraestructuras públicas obtuvieron la puntuación más alta en general (71%), seguidas de las entidades gubernamentales (70%)