Cuando sufrimos el robo de ciertos objetos –como una cartera, una mochila o una agenda–, hay una fase de coraje que pronto evoluciona al miedo. Enojo por la pérdida material y temor por la información que ahora está en manos de un delincuente.
A través de distintos elementos como documentos de identificación, papeles, tarjetas bancarias, recibos de servicios, etc., el criminal ahora conoce varios datos: nuestro nombre completo, la dirección de casa (y hasta del trabajo, si halla un gafete o una tarjeta de presentación de la empresa donde trabajamos), el número del plástico bancario que usamos cotidianamente y el rostro de nuestros seres queridos (por las fotos que siempre nos acompañan) –y si la suerte le sonríe al delincuente, hasta podría encontrar un Post-It con la palabra “contraseña”, seguida de una serie de caracteres y números.
Cuando se reconoce esto, la revelación no tarda en llegar: el golpe material resulta irrelevante, la información perdida es lo que causa escalofríos, dado que puede usarse para causar mayores daños.
En la esfera de la ciberseguridad, los ataques al Directorio Activo (Active Directory, AD) tienen implicaciones similares. Cuando el atacante consigue controlar el AD de una organización, el ciberadversario obtiene recursos de información críticos que le otorgan la capacidad de un impacto superior y en donde el defensor poco puede hacer. El AD es la instancia donde se guarda la relación completa de todos los recursos disponibles en la red (equipos, usuarios, sistemas, sitios, aplicaciones, etc.), y que se encarga de gestionar y controlar dichos componentes, lo que abarca la administración de autenticaciones, identidades y accesos –a qué recursos puede tener acceso un usuario, con qué privilegios.
Con el AD bajo su poder, el criminal digital tiene un mapa detallado de la infraestructura, la cual, gracias a los datos de identidad y acceso extraídos, puede recorrer oculto, al realizar movimiento lateral, escalar privilegios, identificar objetivos potenciales y aprovechar errores de configuración.
Por eso, la gravedad de un ataque al Directorio Activo tiene mucho que ver con la información crítica que se pierde y que se puede aprovechar para concretar incontables desastres.
Un recurso deseado por los adversarios
El 90% de las organizaciones del mundo utiliza el Directorio Activo. Este nivel de penetración, al que se suma su rol estratégico en una infraestructura de red, coloca al AD en una situación complicada en términos de seguridad digital. Es un elemento difícil de proteger, ya que su resguardo demanda funciones especializadas de análisis y monitoreo (para detectar vulnerabilidades, errores de configuración y actividades sospechosas), las cuales tienden a no estar disponibles en las soluciones de ciberseguridad tradicionales.
Dicha situación le provee una gran ventaja a los ciberadversarios, quienes no están desperdiciando. Según algunos indicadores, en el 80% de los ataques se involucra al AD (abuso de acceso privilegiado); diariamente, 95 millones de cuentas de AD están en la mira de los criminales; fallas de configuración en el Directorio Activo, exponen al 90% de las compañías a fugas de datos.
Al mismo tiempo, el AD es un tema que preocupa cada vez más a las empresas, especialmente a los responsables de la protección digital corporativa. En tal sentido, vale la pena revisar los resultados de una encuesta entre líderes de ciberseguridad, la cual detectó situaciones como:
- 97% de las organizaciones considera al Directorio Activo como un componente de misión crítica.
- 47% de las firmas utiliza al AD como su principal depósito de identidades.
- 64% de la muestra afirmó que la caída de su Directorio Activo tendría un efecto “catastrófico” o “severo” para la compañía.
- +50% de las empresas nunca ha evaluado su programa de recuperación de AD, o no tiene un plan en ese ámbito.
Misión posible: proteger el Directorio Activo
Para enfrentar un desafío de ciberseguridad, la respuesta correcta nunca será el pánico, sino la búsqueda de soluciones que nos permitan enfrentar el reto con eficiencia y facilidad. Y el caso del Directorio Activo no debe ser la excepción.
Como se señaló, el AD no es fácil de proteger, pero eso, en buena medida, tiene que ver con tecnologías de ciberseguridad que no fueron diseñadas para atender los aspectos vitales de este componente. De ahí la importancia de explorar la innovación para encontrar las herramientas, stand-alone o miembros de una suite más amplia, que tienen su foco en el Directorio Activo.
Las soluciones más innovadoras en este campo brindan funciones que limitan la capacidad del adversario para explotar el AD, es decir, le impiden: identificar elementos críticos, comprometer configuraciones erróneas, moverse lateralmente, escalar privilegios o ganar persistencia. .
Para alcanzar dichas metas, estas innovaciones proveen habilidades y recursos como:
- Visibilidad continua de exposiciones y configuraciones incorrectasen el AD, con alertas a nivel de dominio, equipo y usuario.
- Detección inmediata de vulnerabilidades en un entorno de Directorio Activo, lo que incluye malas configuraciones, privilegios excesivos o exposición de datos críticos.
- Detección en tiempo real de una situación de escalamiento de privilegios, o de compromiso del dominio.
- Restricciones granulares para todo acceso a la información de AD, y, muy importante, sin causar problemas en la operación cotidiana de la organización.
- Mejorar la higiene cibernética del Active Directory.
–Juan Carlos Vázquez, Regional Sales Manager para Attivo Networks Networks