La gestión de privilegios y la auditoría son capacidades complementarias para la seguridad de Active Directory (AD). En um seminario web reciente para BeyondTrust, expliqué cómo los hackers aprovechan AD para reconocer y descubrir vulnerabilidades de configuración o privilegios que permiten el movimiento lateral hacia el objetivo final. También hablé sobre incidentes en los que el ransomware puso en peligro la propia AD, lo que prácticamente detuvo a toda una empresa.

¿Y adivina qué? La mayoría de estos exploits implican explotar cuentas privilegiadas. Afortunadamente, los defensores pueden implementar la administración de acceso privilegiado de AD (PAM) y auditar como un poderoso recurso para reducir la superficie de ataque de una organización y detener a los ciberatacantes.


Controles

El NIST Cybersecurity Framework para el gráfico de AD anterior muestra los controles que los defensores deben colocar alrededor de AD a un alto nivel. Los controles de "protección", como la autenticación multifactor para administradores de dominio (DA), los firewalls basados en host para controladores de dominio (DC) y las líneas de base de configuración de DC, forman la base para la defensa. Los “controles de detección”, como la auditoría de Active Directory, ayudan a las empresas a dar al equipo de defensa una segunda oportunidad incluso ante cuentas privilegiadas comprometidas.

Hoy, los clientes inteligentes están construyendo los siguientes controles trifecta:

Proteger: gestión de acceso privilegiado y controles de procedimiento para ajustar la configuración de los sistemas y privilegios

Detectar: auditoría de AD y monitoreo de cambios para detectar cualquier violación de los controles de procedimiento, como la creación no autorizada de nuevos DA u otras cuentas privilegiadas.

Responder: Revierta el cambio no autorizado inmediatamente después de la detección.

Utilice la administración de acceso privilegiado (PAM) para reducir la superficie de ataque

Se requieren cuentas privilegiadas para administrar AD. Se puede abusar (o piratear) para aprovechar las vulnerabilidades de configuración presentes en las implementaciones de muchas organizaciones. Tradicionalmente, los DA de los clientes y los usuarios privilegiados han utilizado la misma cuenta tanto para el trabajo de oficina de rutina (piense en el correo electrónico, la navegación web) como para la administración de AD. Demasiadas cuentas privilegiadas están expuestas de esta manera, y los privilegios que tienen estas cuentas están siempre activos, incluso cuando no están en uso.

No es de extrañar que los sistemas PAM de BeyondTrust y otros hayan existido durante años para llenar los vacíos en la protección de cuentas privilegiadas, cuentas raíz Unix / Linux y otras cuentas de sistema operativo privilegiadas. El producto típico proporciona uma bóveda de credencialesdesde la cual los superusuarios deben consultar el nombre de usuario y la contraseña de la cuenta privilegiada antes de comenzar su sesión de administrador. Los productos "Just-in-time PAM" o "JIT PAM", como los proporcionados por BeyondTrust, también pueden controlar privilegios a nivel granular, a través de funciones de elevación de privilegios.

Los controles de procedimiento deberían estipular el uso de las capacidades PAM

Cualquiera que sea el producto PAM (o combinación de productos) que esté utilizando, se requieren controles de procedimiento. Estos controles deben garantizar que todo DA o acceso privilegiado pase por el proceso de pago de producto PAM o de elevación de privilegios.

Sin controles de procedimiento en un entorno de TI, como un bosque de Windows, todo vale y los clientes no pueden mirar una entrada de registro anómala y decir si se trata de un ataque cibernético o una actividad de TI legítima (aunque quizás equivocada) que puede ser crítica para el negocio.

Use AD Audit para cerrar el loop

Un informante de DA malintencionado o que infringe las políticas, o un atacante con privilegios de DA, generalmente puede encontrar una manera de evadir los controles de PAM. Es necesario establecer controles PAM y controles de procedimiento en su lugar, pero no es suficiente.

La defensa de Active Directory debe incluir el monitoreo continuo de AD para detectar cambios que violen las políticas por parte de usuarios privilegiados. Desafortunadamente, monitorear AD usando solo herramientas nativas de AD es doloroso, involucrando muchas configuraciones y pantallas de configuración. Los defensores deben considerar herramientas de terceros para manejar gran parte del trabajo duro involucrado en la configuración, recopilación, enriquecimiento y alerta sobre eventos de AD.

Algunas herramientas de auditoría de AD son configurables para generar alertas basadas en la ocurrencia de eventos de cambio específicos, como la adición de un nuevo script de elevación de privilegios de administración suficiente (JEA) o un nuevo DA al grupo de Administradores de dominio. Siempre que los controles de procedimiento sean estrictos, se puede confiar en la suite de administración de AD para revertir el cambio sin afectar la actividad comercial legítima, tal como se muestra en la figura al comienzo de este artículo.

Próximos pasos

La auditoría de AD es más importante que nunca, y los privilegios de AD están en la mira. Use la auditoría para identificar problemas (como cuentas inactivas), monitorear el funcionamiento de los controles y detectar acciones maliciosas o violaciones de políticas contra el directorio.

Para una inmersión más profunda sobre este tema, consulte mi seminario web a pedido: Cómo auditar Active Directory para reducir los riesgos de seguridad de TI de los usuarios privilegiados.

Temas Relacionados

Effectively Administer Windows without Domain Admin Privileges

Hybrid Active Directory Auditing: Same AD Security Challenges, Different Landscape

Active Directory Security Explained & 7 Best Practices

Is Active Directory Your Organization’s Kryptonite?