El directorio activo sigue siendo el elemento más crítico de las redes corporativas

Detrás de cada titular de filtración de datos en las noticias hay una implementación de Active Directory insegura. El directorio activo sigue siendo el elemento más crítico de las redes corporativas y los ciberatacantes siguen centrando sus esfuerzos en hacerse con su control. De hecho, en los últimos años, se ha convertido en el blanco favorito de los atacantes para elevar privilegios y facilitar el movimiento lateral. Tanto es así que el 60% de los ataques malware se dirigen contra el Directorio Activo. 

No olvidemos que, desde su introducción en Windows 2000, esta tecnología se utiliza para administrar recursos y servicios de red en un entorno empresarial y se ha convertido en una herramienta fundamental para la gestión de identidades y acceso en redes empresariales.

El Active Directory permite a los administradores de red definir y controlar el acceso a los recursos de la red haciendo posible la organización en base a una estructura jerárquica llamada árbol de dominio, que puede incluir varios dominios y subdominios por lo que no cabe duda de que el directorio activo juega un papel crucial dentro de nuestra red, contiene información sensible y una vez es comprometido, los intrusos pueden moverse lateralmente sin ser detectados o escalar sus privilegios. Tal y como apunta José Luis Pozo, técnico de preventa de Dotforce: “Active Directory es una de las joyas de la corona, especialmente por lo valiosos que son los recursos a los que da acceso. Active Directory gobierna el acceso a la información, a recursos, aplicaciones y servicios que deben estar protegidos y no deben verse comprometidos”.

Por esta razón el directorio activo debe ser protegido y administrado de manera muy cuidadosa.Para ello debemos tener en cuenta tres pilares según el directivo de Dotforce:

- Herramientas de auditoría y gobierno de datos, que nos permitan detectar configuraciones tóxicas que supongan un punto débil de entrada o elevación de privilegios.

- Herramientas de detección y respuesta para abortar ataques en tiempo real.

- Herramientas de gestión de cuentras privilegiadas, para reducir los privilegios permanentes a casi 0.

Otras herramientas genéricas, no especializadas en AD, que debemos incorporar son EDR, NDR, SIEM, SOAR o VA (Vulnerability Assessment).

Así, podrán aprovecharse de forma segura todas las ventajas que ofrece el Active Directory:

-Autenticación centralizada: Active Directory proporciona una única fuente de autenticación para los usuarios de la red, lo que permite a los usuarios acceder a múltiples recursos utilizando las mismas credenciales.

-Políticas de seguridad: Los administradores pueden establecer políticas de seguridad para limitar el acceso a los recursos de la red en función de la pertenencia a grupos, roles o privilegios.

-Gestión de recursos: Active Directory permite a los administradores gestionar los recursos de la red, como impresoras, servidores y estaciones de trabajo, mediante la creación de objetos de directorio correspondientes.

-Integración con otros servicios de Microsoft: Active Directory se integra con otros servicios de Microsoft, como Exchange, SharePoint y Lync, para proporcionar una experiencia de usuario más coherente y simplificar la administración.

En resumen, Active Directory es una herramienta clave para la gestión de identidades y acceso en redes empresariales (de hecho el 90 % de las compañías incluidas en la lista Fortune 1000 utilice los servicios de Directorio Activo de Microsoft como principal punto de autenticación y acceso) y es por ello que los cibercriminales han puesto su foco en los servicios de directorio activo con el objetivo de hacerse con los datos empresariales.

Tal y como afirma Juan Carlos Vázquez, director para Latinoamérica de Attivo Networks, parte de SentinelOne, “el Directorio Activo es uno de los objetivos más preciados por los atacantes. Saben que una vez que logran entrar a él, tienen pase directo al resto de la red”.

Con su estructura jerárquica y su conjunto de características y funcionalidades, permite a los administradores de red definir y controlar el acceso a los recursos de la red de manera centralizada y eficiente, pero, como vemos, también puede ser utilizado por los cibercriminales para hacerse con el control de los datos de la empresa.

¿Cuáles son los ataques que más afectan a este tipo de infraestructuras?

Desde Dorforce apuntan a que “el robo de credenciales es el ataque más realizado y es por donde empieza un ataque la mayoría de las veces”. Después, señalan, “el movimiento lateral y la escalada de privilegios se realiza mediante diversas técnicas, tanto para obtener credenciales de cuentas más valiosas y/o secuestrar sesiones como para quebrantar sistemas que tengan vulnerabilidades o debilidades fruto de una configuración inadecuada para finalmente propagar un ransomware o filtrar información valiosa y confidencial”. Aunque, como bien añaden desde la compañía, “también se pueden realizar ataques de denegación de servicio que pueden ser muy perjudiciales en muchas organizaciones”.

Más allá de lo dicho anteriormente, existen varias medidas importantes a tener en cuenta a la hora de mejorar la seguridad con Active Directory:

-Configurar una política de contraseñas robusta: establecer una política de contraseñas fuertes para los usuarios que utilicen Active Directory es esencial. Esto incluye requisitos como la longitud de la contraseña, la complejidad de la misma y la frecuencia con la que deben cambiarla.

-Limitar el acceso: es importante limitar el acceso a Active Directory a solo aquellos usuarios que necesiten tenerlo para llevar a cabo sus tareas diarias. También es recomendable limitar el acceso a los servidores de Active Directory solo a los administradores autorizados.

-Utilizar autenticación multifactor: utilizar autenticación multifactor para la autenticación de usuarios en Active Directory puede ayudar a aumentar la seguridad. De esta manera, se requiere que los usuarios proporcionen más de un factor de autenticación (como una contraseña y un token físico) para acceder a la red.

-Controlar los permisos: es importante asegurarse de que los permisos en Active Directory estén configurados correctamente y que los usuarios solo tengan acceso a los recursos que necesitan. Esto ayuda a evitar que los usuarios accedan a recursos a los que no tienen permiso y reducir el riesgo de ataques internos.

-Auditar y monitorizar el directorio activo: realizar auditorías y monitorear el directorio activo puede ayudar a detectar posibles amenazas y riesgos de seguridad. Es importante registrar los eventos de inicio de sesión, cambios de contraseñas y otras actividades relevantes para identificar posibles brechas de seguridad.

-Actualizar y parchear el sistema: es esencial mantener el sistema actualizado y parcheado para evitar vulnerabilidades conocidas y posibles amenazas. Es importante mantenerse al día con las actualizaciones y parches para garantizar la seguridad del directorio activo.

En conclusión, el directorio activo es una de las herramientas más críticas en la infraestructura de TI de una organización a día de hoy ya que permite la autenticación y autorización de usuarios y recursos, pero, en malas manos, puede suponer un gran problema. En palabras de Vázquez, “los atacantes reconocen que la naturaleza única del DA lo hace altamente valioso y difícil de asegurar, y explotarlo es una prioridad para ellos”. 

Es necesario, entonces, aplicar medidas de seguridad específicas para protegerlo como la segmentación de redes y la monitorización de la actividad de los usuarios. Establecer políticas de contraseñas robustas, limitar el acceso, utilizar autenticación multifactor, controlar los permisos, auditar y monitorear el directorio activo, y mantener el sistema actualizado y parcheado son medidas fundamentales para mejorar la seguridad en un momento en el que el robo de credenciales se ha convertido en uno de los ataques predilectos para los cibercriminales que luego aprovechan ese acceso para hacerse con los datos de la empresa y realizar nuevos ataques.