Implementando ITDR: diez acciones para proteger el Directorio Activo
Por Juan Carlos Vázquez, Director para Latinoamérica de Attivo Networks, una compañía de SentinelOne
Dentro de las siete tendencias de ciberseguridad que no deben de dejar pasar los tomadores de decisión para este 2022, el analista Gartner acuñó el concepto denominado Detección y respuesta de amenazas a la identidad o ITDR por sus siglas en inglés, bajo la premisa de defender los sistemas de identidad de niveles endémicos de ataques y donde el ya conocido Directorio Activo (DA) de Microsoft tiene mucho que ver.
El Directorio Activo es uno de los objetivos más preciados por los atacantes. Saben que una vez que logran entrar en él, tienen pase directo a múltiples recursos sensibles de la red. También se trata de un componente fundamental, pues a través de él se proveen los servicios necesarios para que los administradores gestionen los permisos y controlen el acceso a los recursos de la red, necesarios para la operación efectiva de las organizaciones mediante procesos de autenticación y autorización.
Ahí radica el mayor reto. Por un lado, es vital que los usuarios tengan un acceso sencillo al DA para realizar su trabajo diario; por otro, eso puede dificultar su protección en un momento dado debido a su complejidad. De acuerdo con estimaciones de Microsoft, todos los días más de 95 millones de cuentas del DA son atacadas, y ese número va en aumento, así como más del 90% de las organizaciones a nivel mundial emplean el DA. Si te preguntas por qué el ransomware tiene mucho éxito en su materialización, esto se debe a su apalancamiento sobre el DA durante la intrusión de los ciberactores.
Pero proteger efectivamente el DA no es una misión imposible. Por medio de procesos y herramientas dedicadas, los responsables de la seguridad empresarial pueden elevar el nivel de protección y prevenir los ataques a los que el DA, como repositorio de identidades y superficie, está expuesto permanentemente.
Gartner recomienda usar tecnologías denominadas bajo las siglas en inglés AD TDR, que es la detección y respuesta de amenazas a la identidad aplicadas al AD, mediante la protección de la infraestructura de identidad de ataques maliciosos, detectar e investigar posibles incursiones y restaurar funcionamiento normal en caso de manipulación.
A continuación compartimos diez acciones que puedes poner en práctica para mejorar la protección del DA en tus organizaciones bajo dicho concepto:
- Prevenir y detectar la enumeración de sesiones privilegiadas, delegadas, de administración y servicios en la red. Una vez que logra infiltrarse en la red, un atacante identifica los recursos valiosos y accede a ellos realizando actividades aparentemente normales que difícilmente son detectadas. Identificar y prevenir las enumeraciones de los objetos privilegiados, de administración delegada, de las cuentas de servicio y de los controladores de dominio puede alertar sobre su presencia al inicio del ataque. Mediante cuentas de dominio, de equipo y credenciales falsas es posible detener a los atacantes en su proceso y desviarlos hacia una superficie señuelo. El uso del Deception es uno de los mecanismos descritos por el analista en su análisis de ITDR.
- Identificar y remediar las exposiciones de cuentas privilegiadas. Los atacantes saben que los usuarios almacenan sus credenciales en sus estaciones de trabajo y buscan obtenerlas para tener acceso a la red. Las empresas pueden evitarlo al identificar las exposiciones de cuentas privilegiadas, remediar errores de configuración y eliminar credenciales guardadas, carpetas compartidas y otras vulnerabilidades.
- Detectar y proteger contra ataques tipo Golden Ticket y Silver Ticket. Los ataques Pass-the-Ticket (PTT) son una técnica que usan los cibercriminales para desplazarse lateralmente por la red y escalar sus privilegios. Golden Ticket y Silver Ticket son los tipos de ataques del tipo PTT más severos que se utilizan para comprometer los dominios. Para detenerlos, es necesario detectar cuentas de servicios de cómputo y Kerberos Ticket Granting Ticket (TGT) vulnerables, así como identificar y alertar sobre errores de configuración que podrían detonar dichos ataques.
- Proteger contra ataques de Keberoasting, DCSync y DCShadow. Un ataque de Kerberoasting permite tener acceso privilegiado, mientras que los ataques de DCSync y DCShadow permiten mantener persistencia en el dominio de la empresa. Para prevenirlos hay que evaluar de manera continua el AD a fin de hacer un análisis en tiempo real y alertar de los errores de configuración. También conviene tener una solución capaz de prevenir que los atacantes descubran cuentas a las que atacar y de reducir su capacidad para realizar estas incursiones. La integración con soluciones MFA de las soluciones AD TDR ofrece autenticación en respuesta a eventos que se consideran como de riesgo.
- Evitar la extracción de credenciales de porciones de dominios. Los atacantes tienen en la mira contraseñas de texto sencillo o reversibles que se encuentran almacenadas en scripts o archivos de políticas ubicados en porciones de dominios (domain shares), como Sysvol o Netlogon. Se recomienda el uso de soluciones que ayuden a detectar estas contraseñas y remediar las exposiciones antes de que los atacantes las comprometan, además de implementar objetos de políticas de grupos de Sysvol engañosos en el DA, lo que ayuda a alejar a los atacantes de los recursos de producción.
- Identificar cuentas con SID privilegiado. Mediante la técnica de inyección Windows Security Identifier (SID), los adversarios pueden utilizar el atributo “historia” del SID para moverse lateralmente dentro del DA y escalar sus privilegios. Para prevenirlo es necesario detectar una de cuentas con valores de SID privilegiados en el atributo de historia y los reportes de SID.
- Detectar la peligrosa delegación de derechos de acceso en objetos críticos. La delegación es una característica del DA que permite a un usuario o cuenta hacerse pasar por otra cuenta. Los atacantes pueden aprovecharla para tener acceso a distintas áreas de la red. Monitorear continuamente las vulnerabilidades del DA y la exposición de la delegación puede ayudar a identificar y remediar estas vulnerabilidades antes de que los adversarios las aprovechen.
- Identificar cuentas privilegiadas con delegación habilitada. Las cuentas privilegiadas que estén configuradas con delegación ilimitada pueden dar paso a ataques de Kerberoasting y Silver Ticket. De ahí que las empresas puedan detectar y reportar las cuentas privilegiadas que tienen la función de delegación habilitada. A los encargados de la seguridad les puede ser útil tener una lista completa de los usuarios privilegiados, administradores delegados y cuentas de servicios para hacer un inventario de las vulnerabilidades potenciales.
- Identificar usuarios no privilegiados con ACL de AdminSDHolder. Para moverse lateralmente, los atacantes pueden añadir cuentas al objeto AdminSDHolder que se utiliza para asegurar usuarios y grupos privilegiados. A su vez, este tiene una Access Control List (ACL) que controla los permisos de los directores de seguridad que son miembros de los grupos privilegiados de DA. Cuando los adversarios añaden cuentas, obtienen el mismo acceso privilegiado que otras cuentas protegidas. Las organizaciones pueden utilizar herramientas que puedan detectar y alertar sobre la presencia de cuentas inusuales dentro de ACL de AdminSDHolder.
- Identificar cambios recientes a la política de dominios o a la política de controladores de dominios. Las organizaciones utilizan políticas de grupos dentro de DA para gestionar las configuraciones operativas al definir los parámetros de seguridad para dicho entorno. Con ellas, los administradores instalan software, definen la seguridad y establecen permisos de archivos y registros. Los atacantes, sin embargo, pueden modificar estas políticas para lograr la persistencia de dominios en la red. Estar al tanto de los cambios a las políticas de grupo predeterminadas puede ayudar a detectar rápidamente a estos atacantes, y mitigar así lo riesgos para la seguridad y prevenir el acceso privilegiado al DA.
- Implemente mecanismos para evitar la extracción o el “dumping” de credenciales. Un consejo extra que va más allá de la seguridad del DA es la implementación de mecanismos para evitar el acceso no autorizado a las credenciales como vector de ataque, no solo de las bóvedas que almacenan las propias del sistema operativo, sino de otros aplicativos críticos que los atacantes explotan durante una intrusión como clientes VPN, herramientas de acceso remoto, navegadores, entre otros. Lograr esta función interrumpirá otra táctica esencial consiguiendo que los ciberactores desconfíen de la efectividad de sus herramientas.
Los atacantes han aprendido a evadir los controles de seguridad a lo largo de los años. Comprometer un punto final y usar credenciales almacenadas, consultar el Active Directory, moverse lateralmente y escalar los privilegios son características básicas del “playbook” de los atacantes.
La buena noticia es que los responsables de la seguridad en las empresas pueden asegurar sus servicios de directorio cuando entienden los riesgos a los que están expuestos y saber de inmediato cuándo esos recursos están bajo ataque. Gartner recomienda en ese sentido, como parte de las acciones hacia los defensores, emplear el marco MITRE ATT&CK para correlacionar las técnicas de ITDR con escenarios de ataque comunes.
Al aplicar las recomendaciones anteriores, las empresas pueden identificar proactivamente las vulnerabilidades para reducir la superficie de ataque, detectar de forma oportuna la actividad maliciosa y remediar los incidentes relacionados con ITDR antes de que los usuarios puedan elevar sus privilegios y convertir un ataque de escala pequeña en una brecha importante.
Referencias:
- Implement IAM Best Practices for Your Active Directory, Gartner - Published 14 March 2022 - ID G00762644
- Top Trends in Cybersecurity 2022, Gartner - Published 18 February 2022 - ID G00760806