Alert icon Keyboard navigation enabled.
Alert icon TAB or Shift+TAB to navigate across. Down ↓ to open menu. ESC to close menu.
Alert icon Down ↓ to select section. Right → to activate. Up ↑ / Down ↓ / Tab to traverse all. ESC to exit.
BeyondTrust
Skip to content Use space or enter to skip.

¿En qué podemos ayudarte hoy?

Resultados instantáneos
  • Resultados del sitio web
  • Documentacion tecnica

Opciones de filtro

Refina tu búsqueda

Filtrando por

Tus búsquedas recientes:

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
  • Home
  • Recursos
  • Blog
  • Combine Privilege Access Management (Pam) Y Active Directory Audit Para Una Ciberdefensa Más Fuerte current page
Link copied

Combine Privilege Access Management (Pam) Y Active Directory Audit Para Una Ciberdefensa Más Fuerte

25 sept 2019
Author:
Dan Blum Headshot 2021 Square
Dan Blum
Managing Partner and Principal Consultant at Security Architects Partners
Blog banner default
Combine Privilege Access Management (Pam) Y Active Directory Audit Para Una Ciberdefensa Más Fuerte
Dan Blum Headshot 2021 Square
Dan Blum
Managing Partner and Principal Consultant at Security Architects Partners

La gestión de privilegios y la auditoría son capacidades complementarias para la seguridad de Active Directory (AD). En um seminario web reciente para BeyondTrust, expliqué cómo los hackers aprovechan AD para reconocer y descubrir vulnerabilidades de configuración o privilegios que permiten el movimiento lateral hacia el objetivo final. También hablé sobre incidentes en los que el ransomware puso en peligro la propia AD, lo que prácticamente detuvo a toda una empresa.

¿Y adivina qué? La mayoría de estos exploits implican explotar cuentas privilegiadas. Afortunadamente, los defensores pueden implementar la administración de acceso privilegiado de AD (PAM) y auditar como un poderoso recurso para reducir la superficie de ataque de una organización y detener a los ciberatacantes.


Controles

El NIST Cybersecurity Framework para el gráfico de AD anterior muestra los controles que los defensores deben colocar alrededor de AD a un alto nivel. Los controles de "protección", como la autenticación multifactor para administradores de dominio (DA), los firewalls basados en host para controladores de dominio (DC) y las líneas de base de configuración de DC, forman la base para la defensa. Los “controles de detección”, como la auditoría de Active Directory, ayudan a las empresas a dar al equipo de defensa una segunda oportunidad incluso ante cuentas privilegiadas comprometidas.

Hoy, los clientes inteligentes están construyendo los siguientes controles trifecta:

• Proteger: gestión de acceso privilegiado y controles de procedimiento para ajustar la configuración de los sistemas y privilegios

• Detectar: auditoría de AD y monitoreo de cambios para detectar cualquier violación de los controles de procedimiento, como la creación no autorizada de nuevos DA u otras cuentas privilegiadas.

• Responder: Revierta el cambio no autorizado inmediatamente después de la detección.

Utilice la administración de acceso privilegiado (PAM) para reducir la superficie de ataque

Se requieren cuentas privilegiadas para administrar AD. Se puede abusar (o piratear) para aprovechar las vulnerabilidades de configuración presentes en las implementaciones de muchas organizaciones. Tradicionalmente, los DA de los clientes y los usuarios privilegiados han utilizado la misma cuenta tanto para el trabajo de oficina de rutina (piense en el correo electrónico, la navegación web) como para la administración de AD. Demasiadas cuentas privilegiadas están expuestas de esta manera, y los privilegios que tienen estas cuentas están siempre activos, incluso cuando no están en uso.

No es de extrañar que los sistemas PAM de BeyondTrust y otros hayan existido durante años para llenar los vacíos en la protección de cuentas privilegiadas, cuentas raíz Unix / Linux y otras cuentas de sistema operativo privilegiadas. El producto típico proporciona uma bóveda de credencialesdesde la cual los superusuarios deben consultar el nombre de usuario y la contraseña de la cuenta privilegiada antes de comenzar su sesión de administrador. Los productos "Just-in-time PAM" o "JIT PAM", como los proporcionados por BeyondTrust, también pueden controlar privilegios a nivel granular, a través de funciones de elevación de privilegios.

Los controles de procedimiento deberían estipular el uso de las capacidades PAM

Cualquiera que sea el producto PAM (o combinación de productos) que esté utilizando, se requieren controles de procedimiento. Estos controles deben garantizar que todo DA o acceso privilegiado pase por el proceso de pago de producto PAM o de elevación de privilegios.

Sin controles de procedimiento en un entorno de TI, como un bosque de Windows, todo vale y los clientes no pueden mirar una entrada de registro anómala y decir si se trata de un ataque cibernético o una actividad de TI legítima (aunque quizás equivocada) que puede ser crítica para el negocio.

Use AD Audit para cerrar el loop

Un informante de DA malintencionado o que infringe las políticas, o un atacante con privilegios de DA, generalmente puede encontrar una manera de evadir los controles de PAM. Es necesario establecer controles PAM y controles de procedimiento en su lugar, pero no es suficiente.

La defensa de Active Directory debe incluir el monitoreo continuo de AD para detectar cambios que violen las políticas por parte de usuarios privilegiados. Desafortunadamente, monitorear AD usando solo herramientas nativas de AD es doloroso, involucrando muchas configuraciones y pantallas de configuración. Los defensores deben considerar herramientas de terceros para manejar gran parte del trabajo duro involucrado en la configuración, recopilación, enriquecimiento y alerta sobre eventos de AD.

Algunas herramientas de auditoría de AD son configurables para generar alertas basadas en la ocurrencia de eventos de cambio específicos, como la adición de un nuevo script de elevación de privilegios de administración suficiente (JEA) o un nuevo DA al grupo de Administradores de dominio. Siempre que los controles de procedimiento sean estrictos, se puede confiar en la suite de administración de AD para revertir el cambio sin afectar la actividad comercial legítima, tal como se muestra en la figura al comienzo de este artículo.

Próximos pasos

La auditoría de AD es más importante que nunca, y los privilegios de AD están en la mira. Use la auditoría para identificar problemas (como cuentas inactivas), monitorear el funcionamiento de los controles y detectar acciones maliciosas o violaciones de políticas contra el directorio.

Para una inmersión más profunda sobre este tema, consulte mi seminario web a pedido: Cómo auditar Active Directory para reducir los riesgos de seguridad de TI de los usuarios privilegiados.

Temas Relacionados

Effectively Administer Windows without Domain Admin Privileges

Hybrid Active Directory Auditing: Same AD Security Challenges, Different Landscape

Active Directory Security Explained & 7 Best Practices

Is Active Directory Your Organization’s Kryptonite?

Últimas publicaciones
  • Principales Predicciones de Tendencias de Ciberseguridad para 2024
    oct 30, 2023 Principales Predicciones de Tendencias de Ciberseguridad para 2024
    Blog
    1m
  • Cómo una importante recomendación de seguridad ayuda a resolver un problema antiguo
    may 4, 2023 Cómo una importante recomendación de seguridad ayuda a resolver un problema antiguo
    Blog
    1m
  • BeyondTrust es nombrada líder en el Cuadrante Mágico™ de Gartner® de 2022 para la Gestión de Accesos Privilegiados
    sept 1, 2022 BeyondTrust es nombrada líder en el Cuadrante Mágico™ de Gartner® de 2022 para la Gestión de Accesos Privilegiados
    Blog
    1m
  • Tendencias de ciberseguridad de BeyondTrust para los próximos años
    oct 19, 2021 Tendencias de ciberseguridad de BeyondTrust para los próximos años
    Blog
    1m
  • Seguridad SCADA e IoT: ¿Qué está fallando y se puede arreglar?
    may 28, 2021 Seguridad SCADA e IoT: ¿Qué está fallando y se puede arreglar?
    Blog
    1m
Relacionado
  • Predicciones de Seguridad de BeyondTrust para 2020
    oct 30, 2019 Predicciones de Seguridad de BeyondTrust para 2020
    Blog
    1m
  • RDP: El riesgo del Remote Desktop Protocol Dista Mucho de ser "Remoto"
    ago 19, 2019 RDP: El riesgo del Remote Desktop Protocol Dista Mucho de ser "Remoto"
    Blog
    1m
Compartir este artículo
  • Link
Etiquetas
  • Active Directory
  • Active Directory Audit
  • Audit Logs
  • Authentication Security
  • Cyber Defense Strategy
  • Cyber Security Framework
  • Cyberattack Detection
  • Cybersecurity Defense
  • Cybersecurity Strategy
  • Defense Controls
Mantente actualizado
Recibe las últimas noticias, ideas y tácticas de BeyondTrust. Puedes darte de baja en cualquier momento.

Manténgase actualizado

Atención al cliente Contáctese con Ventas
  • LinkedIn
  • X
  • Facebook
  • Instagram
  • Add BeyondTrust as a preferred source on Google
  • Privacidad
  • Security
  • Administrar toda la configuración de cookies
  • Do Not Sell My Data
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.

Prefers reduced motion setting detected. Animations will now be reduced as a result.