ITDR: 11 acciones para proteger el directorio activo

Juan Carlos Vázquez*

Dentro de las siete tendencias de ciberseguridad que no deben de dejar pasar los tomadores de decisión para este 2022, Gartner acuñó el concepto “detección y respuesta de amenazas a la identidad” (ITDR, por sus siglas en inglés).

Este parte de la premisa de defender los sistemas de identidad en niveles endémicos de ataques, en los que el directorio activo (AD, por sus siglas en inglés) de Microsoft es uno de los objetivos más preciados por los atacantes.

Una vez que logran entrar a él, tienen pase directo a múltiples recursos sensibles de la red. A través de AD se proveen los servicios necesarios para que los administradores gestionen los permisos y controlen el acceso a los recursos de la red, necesarios para la operación efectiva de las organizaciones mediante procesos de autenticación y autorización.

Ahí radica el mayor reto. Por un lado, es vital que los usuarios tengan un acceso sencillo al AD para realizar su trabajo diario; por otro, eso puede dificultar su protección en un momento dado por su complejidad.

De acuerdo con estimaciones de Microsoft, todos los días más de 95 millones de cuentas del directorio activo son atacadas. Ese número va en aumento, así como más de 90% de las organizaciones a nivel mundial emplean el AD.

Los ataques de ransomware tienen mucho éxito gracias a su apalancamiento sobre este durante la intrusión de los ciberactores. No obstante, protegerlo efectivamente no es una misión imposible.

A través de procesos y herramientas dedicadas, los responsables de la seguridad empresarial pueden elevar el nivel de protección y prevenir los ataques a los que, como repositorio de identidades y superficie, está expuesto permanentemente.

Gartner recomienda hacer uso de tecnologías denominadas “AD TDR”, detección y respuesta de amenazas a la identidad aplicadas al directorio activo, mediante la protección de la infraestructura de identidad de ataques maliciosos, detectar e investigar posibles incursiones y restaurar funcionamiento normal en caso de manipulación.

Acciones ITDR para proteger el directorio activo

Las siguientes acciones pueden ponerse en práctica para mejorar la protección del directorio activo en las organizaciones bajo dicho concepto:

  1. Prevenir y detectar la enumeración de sesiones privilegiadas, delegadas, de administración y servicios en la red. Una vez que logra infiltrarse en la red, un atacante identifica los recursos valiosos y accede a ellos realizando actividades aparentemente normales que difícilmente son detectadas. Identificar y prevenir las enumeraciones de los objetos privilegiados, de administración delegada, de las cuentas de servicio y de los controladores de dominio puede alertar sobre su presencia al inicio del ataque. Mediante cuentas de dominio y credenciales falsas es posible detener a los atacantes en su proceso y desviarlos hacia una superficie señuelo.
  1. Identificar y remediar las exposiciones de cuentas privilegiadas. Los atacantes saben que los usuarios almacenan sus credenciales en sus estaciones de trabajo y buscan obtenerlas para tener acceso a la red. Las empresas pueden evitarlo al identificar las exposiciones de cuentas privilegiadas, remediar errores de configuración y eliminar credenciales guardadas, carpetas compartidas y otras vulnerabilidades.
  1. Detectar y proteger contra ataques tipo Golden Ticket y Silver Ticket. Los ataques Pass-the-Ticket (PTT) son una técnica que usan los cibercriminales para desplazarse lateralmente por la red y escalar sus privilegios. Golden y Silver Ticket son los tipos de ataques del tipo PTT más severos que se utilizan para comprometer los dominios. Para detenerlos, es necesario detectar cuentas de servicios de cómputo y Kerberos Ticket Granting Ticket (TGT) vulnerables, así como identificar y alertar sobre errores de configuración que podrían detonar dichos ataques.
  1. Proteger contra ataques de Keberoasting, DCSync y DCShadow. Un ataque de Kerberoasting permite tener acceso privilegiado, mientras que los ataques de DCSync y DCShadow permiten mantener persistencia dentro del dominio de la empresa. Para prevenirlos hay que realizar una evaluación continua del AD a fin de hacer un análisis en tiempo real y alertar de los errores de configuración. También es conveniente tener una solución capaz de prevenir que los atacantes descubran cuentas a las que atacar y de reducir su capacidad para realizar estas incursiones. La integración de soluciones MFA y AD TDR ofrece autenticación en respuesta a eventos que se consideran como de riesgo,
  1. Evitar la extracción de credenciales de porciones de dominios. Los atacantes tienen en la mira contraseñas de texto sencillo o reversibles que se encuentran almacenadas en scripts o archivos de políticas ubicados en porciones de dominios (domain shares) como Sysvol o Netlogon. Se recomienda el uso de soluciones que ayuden a detectar estas contraseñas y remediar las exposiciones antes de que los atacantes las comprometan, además de implementar objetos de políticas de grupos de Sysvol engañosos en el DA, lo que ayuda a alejar a los atacantes de los recursos de producción.
  1. Identificar cuentas con SID privilegiado. Mediante la técnica de inyección Windows Security Identifier (SID), los adversarios pueden utilizar el atributo “historia” del SID para moverse lateralmente dentro del DA y escalar sus privilegios. Para prevenirlo es necesario detectar una de cuentas con valores de SID privilegiados en el atributo de historia y los reportes de SID.
  1. Detectar la peligrosa delegación de derechos de acceso en objetos crítivos. La delegación es una característica del directorio activo que permite a un usuario o cuenta hacerse pasar por otra cuenta. Los atacantes pueden aprovecharla para tener acceso a distintas áreas de la red. Monitorear continuamente las vulnerabilidades del AD y la exposición de la delegación puede ayudar a identificar y remediar estas vulnerabilidades antes de que los adversarios las aprovechen.
  1. Identificar cuentas privilegiadas con delegación habilitada. Las cuentas privilegiadas que estén configuradas con delegación ilimitada pueden dar paso a ataques de Kerberoasting y Silver Ticket. De ahí que las empresas puedan detectar y reportar las cuentas privilegiadas que tienen la función de delegación habilitada. A los encargados de la seguridad les puede ser útil tener una lista completa de los usuarios privilegiados, administradores delegados y cuentas de servicios para hacer un inventario de las vulnerabilidades potenciales.
  1. Identificar usuarios no privilegiados con ACL de AdminSDHolder. Para moverse lateralmente, los atacantes pueden añadir cuentas al objeto AdminSDHolder que se utiliza para asegurar usuarios y grupos privilegiados. A su vez, éste tiene una Access Control List (ACL) que controla los permisos de los directores de seguridad que son miembros de los grupos privilegiados de AD. Cuando los adversarios añaden cuentas, obtienen el mismo acceso privilegiado que otras cuentas protegidas. Las organizaciones pueden utilizar herramientas que puedan detectar y alertar sobre la presencia de cuentas inusuales dentro de ACL de AdminSDHolder.
  1. Identificar cambios recientes a la política de dominios o a la política de controladores de dominios. Las organizaciones utilizan políticas de grupos dentro del directorio activo para gestionar las configuraciones operativas al definir los parámetros de seguridad para dicho entorno. Con ellas, los administradores instalan software, definen la seguridad y establecen permisos de archivos y registros. Los atacantes, sin embargo, pueden modificar estas políticas para lograr la persistencia de dominios dentro de la red. Estar al tanto de los cambios a las políticas de grupo predeterminadas puede ayudar a detectar rápidamente a estos atacantes, y mitigar así lo riesgos para la seguridad y prevenir el acceso privilegiado al AD.
  1. Implementar mecanismos para evitar la extracción o el dumping de credenciales. Un consejo extra que va más allá de la seguridad del directorio activo es la implementación de mecanismos para evitar el acceso no autorizado a las credenciales como vector de ataque, no solo de las bóvedas que almacenan las propias del sistema operativo, sino de otros aplicativos críticos que los atacantes explotan durante una intrusión como clientes VPN, herramientas de acceso remoto, navegadores, entre otros. Lograr esta función interrumpirá otra táctica esencial consiguiendo que los ciber actores desconfíen de la efectividad de sus herramientas.

El playbook de los atacantes

Los atacantes han aprendido a evadir los controles de seguridad a lo largo de los años. Comprometer un punto final y usar credenciales almacenadas, consultar el  directorio activo, moverse lateralmente y escalar los privilegios son características básicas del playbook de los atacantes.

La buena noticia es que los responsables de la seguridad en las empresas pueden asegurar sus servicios de directorio cuando entienden los riesgos a los que están expuestos y saber de inmediato cuándo esos recursos están bajo ataque.

Gartner recomienda en ese sentido como parte de las acciones hacia los defensores, hacer uso del marco MITRE ATT&CK para correlacionar las técnicas de ITDR con escenarios de ataque comunes.

Al aplicar las recomendaciones anteriores, las empresas pueden además identificar proactivamente las vulnerabilidades para reducir la superficie de ataque, detectar oportunamente la actividad maliciosa y remediar los incidentes relacionados con ITDR antes de que los usuarios puedan elevar sus privilegios y convertir un ataque de pequeña escala en una brecha importante.

*Director para América Latina de Attivo Networks, una compañía de SentinelOne

Related posts

Deja un comentario