'Nadie está haciendo foco en proteger el Directorio Activo' (Jesús Barrajón, Alsid)

¿Quién no ha oído hablar del Directorio Activo? Existe desde Windows 2000 y es una pieza fundamental para autorizar usuarios, accesos y aplicaciones en toda una organización, lo que le convierte en un objetivo prioritario para los atacantes. Si un ciberdelincuente es capaz de acceder al Directorio Activo podrá acceder a todas las cuentas de usuario, bases de datos, aplicaciones y todo tipo de información. Por lo tanto, un compromiso del Active Directory, particularmente cuando tarda en detectarse, es, sencillamente, un desastre.

Este contenido fue publicado en el número de mayo de la revista IT Digital Security, que puedes descargar desde este enlace.

Alsid es una compañía francesa, fundada en 2016, que en abril de 2019 obtuvo 13 millones euros en una ronda de financiación liderada por Idinvest Partners y en la que también participaron 360 Capital Partners y Axeleo Capital. Con un crecimiento en 2018 del 500%, año en el que duplicó su base de clientes (Orange, Lagardère, Groupe Accor, Orange, Saint-Gobain…), Alsid se dedica, precisamente a proteger el Directorio Activo con una tecnología que llega a España de la mano de Exclusive Networks y de Jesús Barajón González, quien durante más de seis años estuvo dirigiendo Aerohive, empresa que Extreme Networks compró en junio de 2019 por 272 millones de dólares [https://www.itdigitalsecurity.es/cloud/2019/06/extreme-networks-compra-aerohive-por-272-millones].

Actualmente Alsid proporciona a los clientes recomendaciones personalizadas paso a paso para fortalecer su Directorio Activo, así como un motor de detección de ataques en tiempo real, y capacidades para investigar infracciones de AD cuando desafortunadamente ocurren. La compañía protege a más de tres millones de usuarios en más de seis países.

El Directorio Activo, dice Jesús Barrajón, es una pieza muy sensible dentro de las administraciones, y través de donde se administra el acceso a cada activo importante de la empresa. Sin embargo, asegura, no se protege adecuadamente a pesar de que en la mayoría de las brechas de seguridad el denominador común es el compromiso de ese directorio activo. De forma que uno de los principales retos a los que se enfrenta ese proceso de securización es una falta de concienciación; “lo de proteger director activo no suena exótico, y de hecho en los últimos años prácticamente no se ha invertido nada”, asegura Barrajón. “La principal herramienta que utilizan los hacker para los compromisos y los ataques es el directorio activo, y, sin embargo, nadie está haciendo foco en securizarlo”, mantiene El responsable de Alsid en España.

Cabe preguntarse cómo puede ser que una empresa con menos de cuatro años de vida dé con la clave; se acuerde de proteger un activo fundamental de las empresas. Resulta cuanto menos curioso que un mercado tan fragmentado como el de la seguridad, con cientos de empresas, las referencias sobre la protección del Directorio Activo sean mínimas. Conseguir 13 millones de euros, un récord para una empresa de seguridad europea avala el proyecto. ¿Cuál es el secreto? ¿protege algo que nadie estaba protegiendo o la solución es completamente revolucionaria?

El directorio activo es algo que todos conocemos bien, dice Jesús Barrajón, añadiendo que durante años no ha sufrido prácticamente evolución, ni a nivel de estructura, ni a nivel de securización. La gente de fundó Alsid, Emmanuel Gras y Luc Delsalle, ambos expertos en ANSSI, la agencia de ciberseguridad de Francia, se dieron cuenta del problema mientras trabajaban en dar respuesta a los ciberataques. Se dieron cuenta de “lo poco seguro que era el Directorio Activo y cómo los ciberdelincuentes estaban sofisticando sus ataques para ir contra él”, explica Jesús Barrajón. Afrontaron el problema sobre el principio de que es complicado prevenir y mitigar la primera infección, “con lo cual vamos a ir a lo siguiente que utilizan los ciberdelincuentes, que es el escalado de privilegios y el movimiento lateral”.

Se trata, en definitiva, de cambiar, de pasar de un modo reactivo a uno proactivo, “de trabajar en la parte preventiva”. Dice Barrajón que en el mercado hay distintas soluciones que se enfocan en la detección, que es algo bueno pero que se centra en algo que ya ha sucedido. “La aproximación de Alsid es totalmente contraria. Nosotros vamos a aportar visibilidad y seguridad al directorio activo para identificar todos sus errores, sus problemas de configuración y caminos ocultos que un hacker podría utilizar para entrar”, explica Jesús Barrajón, añadiendo que la compañía ofrece guías para resolver los problemas, “con lo cual estamos ayudando de un modo proactivo a proteger y securizar el Directorio Activo para que no acabe siendo comprometido”.

En todo caso la propuesta de Alsid va más allá, porque “estamos viendo todos el tráfico que está pasando por el directorio activo y lo estamos analizando, de forma que también somos capaces de ver en tiempo real si te están atacando y lanzar alertas en tiempo real a las herramientas de SIEM, a los equipos de SOC; y en la fase después de investigación y resolución de la incidencia también nos integramos en las herramienta de SOAR para toda esa esa respuesta ante ese ataque y dar esa información concreta y en términos de Directorio Activo para entender por dónde les están atacando y cómo resolverlo”.

¿Qué relación tendría la solución de Alsid con las tecnologías de gestión de identidades? ¿Está muy ligada? “No decimos que no sea necesaria la gestión de identidades, o las soluciones de PAM, obviamente son necesarias. Lo que pasa es que nosotros estamos mirando al nivel de seguridad del Directorio Activo, a nivel de configuración”. Explica Jesús Barrajón que si hay un problema de configuración a nivel de Directorio Activo del que no se tiene conciencia “por mucha solución que tengamos de PAM no vamos a ser capaces de resolver eso, no vamos a tener visibilidad de eso. No podemos olvidar que la securización del directorio activo es algo mucho más amplio”.

Perfil de cliente

El directorio activo es un elemento común en la gran mayoría de las empresas que, al parecer, no le prestan mucha atención a nivel de seguridad. ¿Cuál es el perfil de cliente de Alsid? Independientemente de que, desde el momento en que el Directorio Activo está presente en la mayoría de las empresas, todas son susceptibles de ser clientes, lo cierto es que normalmente las más pequeñas piensan que no están en el objetivo de los ciberdelincuentes. En empresas medianas y grandes esa concienciación cambia “porque en los últimos diez años la inmensa mayoría de los ataques se han producido vulnerando el directorio activo. Un CISO, o empresas que tengan un departamento de seguridad, un departamento de respuesta, van a entender la propuesta de Alsid, van a darse cuenta de que no tienen ninguna solución implementada para securizar el directorio activo”. Lo habitual, explica Barrajón es hacer un pentesting, una auditoría una vez al año, pero esto no está dando una protección continua, sino una puntual que se queda obsoleta al cabo de una semana, “porque el directorio sigue moviéndose, se siguen creando cuentas, se siguen creando privilegios”.

De forma que “cualquier empresa mediana y grande debería entender que tiene un problema serio no securizando el Directorio Activo y además debería darse cuenta de que probablemente hoy por hoy, dentro de su plan de seguridad no hay nada orientado a securizar el Directorio Activo, cuando es la piedra angular del departamento IT. Ahora lo que hay que hacer es evangelizar mucho en el mercado para que entienda esto”.

España

“Evangelizar, evangelizar y evangelizar” es el comienzo de Alsid en España con Jesús Barrajón a la cabeza. Asegura que “queda mucho por evangelizar en los clientes”, y que cuando “cuando hablas con ellos sobre el tema, al final todos los entienden”, porque los movimientos laterales cuando se produce un ataque son comunes, “y muchas veces no lo relacionan con el directorio activo y con que hay que securizarlo”.

La llegada al mercado se hará a través de canal con un mayorista a la cabeza, Exclusive Networks, conocido por traer tecnologías pioneras a nuestro mercado. “Nos orientaremos hacia un canal especializado y certificado, porque para que un canal pueda aportar valor a los clientes, entienda su problemática y se puedan integrar en esta cadena de flujo de trabajo tienen que ser partners especializados”, asegura el directivo.

Entre las claves de la propuesta de Alsid con las que puede contar ese canal de partners especializados, ese valor diferencial es “que no utilizamos ni agentes ni cuentas privilegiados, es una solución totalmente no intrusiva”. Y esto es importante porque, asegura Barrajón, “otras soluciones te van a pedir desplegar un agente en todos tus controladores de dominio y además una cuenta privilegia. Nosotros no, en la medida en que sólo estamos escuchando y leyendo lo que está pasando en el directorio activo para lanzar esos indicadores y esas alertas, nosotros no somos nada intrusivos”.

La última pregunta que plateamos a Jesús Barrajón hace referencia a una conversación mantenida recientemente con Luis Miguel Velasco, CEO de Aiuken, en la que aseguraba que la gestión de las cuentas con privilegios es una asignatura “súper pendiente” de las empresas españolas. Ya que esas cuentas estás recogidas en el Directorio Activo, ¿qué le parece a Jesús Barrajón esa afirmación? “Juan Miguel Velasco confirma lo que ocurre y nosotros somos esa pieza que hace falta”, asegura el director de Alsid.

Claro que ya que nos metemos a hablar de cuentas privilegias, ya que nos adentramos en el mercado de PAM (Privileged Access Management), ¿no sería posible que empresas de la talla de CyberArk, o en menor medida Thycotic o incluso Beyond Trust, tengan interés por una joven empresa como Alsid? “El riesgo, o la oportunidad, están ahí”, asegura Barrajón. Asegura que en el caso de Alsid no hay nadie más ahí haciendo algo tan específico, “con lo cual yo creo que tenemos nuestro hueco. Nosotros en vez de ser reactivos, somos proactivos. Nosotros, en vez de usar agentes y cuentas privilegiadas, no usamos agentes, no usamos cuentas privilegiadas, con lo cual somos, por concepto, la aproximación totalmente contraria a lo que está haciendo el mercado”.

En todo caso apunta discretamente que la idea de Alsid no es quedarse en un producto único, sino en seguir expandiendo su oferta; “somos capaces de desarrollar otros productos totalmente complementarios”, dice. Estaremos atentos.

La responsabilidad de la seguridad del Directorio Activo en entredicho

Hace unos meses Alsid publicaba los resultados de una encuesta [https://alsid.com/company/news/one-third-companies-more-vulnerable-threats-five-years-ago-and-it-jobs-more-difficult] en la que, de manera genérica, un 36% aseguraba que sus organizaciones son más vulnerables a una amenaza de seguridad ahora que hace cinco años.

En lo que se refiere al Directorio Activo, un 24% dijeron no saber quién es el responsable de la seguridad del mismo dentro de su organización. Además, sólo un 21% dijeron haber seguido las mejores prácticas de seguridad al probar una restauración completa del Directorio Activo para después incorporar los hallazgos en su política de ciberseguridad.

El 16% de los encuestados cuyas organizaciones tienen un Directorio Activo aseguraron que éste no se trata como una prioridad en su organización, frente a un 31% que dice que sí que es una prioridad, aunque no una prioridad top.

Decía en el informe Jérôme Robert, CMO de Alsid, que el Directorio Activo es ahora el objetivo principal de los ataques a gran escala, particularmente en empresas medianas y grandes y que la creciente popularidad del Directorio Activo como vector de ataque “está impulsando la conciencia y obligando a las empresas a actuar. Las empresas también están descubriendo que la protección AD es una inversión valiosa debido a su capacidad para interrumpir muchos tipos diferentes de ataques”.