Cofundador de Semperis. Lidera la visión e implementación estratégicas generales de la empresa.

Desde sus inicios en 2014, mi equipo ha estado en primera línea muchas veces, ayudando a las empresas a combatir los ciberataques dirigidos a sistemas de identidad como Active Directory de Microsoft, un cada vez más común vector de ataque. (Divulgación completa: Microsoft es un socio de Semperis).

Pero mientras ayudaba recientemente a una compañía de atención médica masiva a navegar por un ataque de ransomware particularmente desgarrador, recordé tres elementos de acción centrales que todo líder empresarial debe validar con sus líderes de tecnología para ayudar a evitar un desastre cibernético relacionado con AD.

No descuide los fundamentos de seguridad de AD.

La observación más desalentadora que noté en la primera sesión informativa en la sala de guerra con la compañía víctima fue que los ciberdelincuentes obtuvieron acceso a sistemas críticos a través de algunas tácticas relativamente poco sofisticadas: los intrusos ya habían ejecutado herramientas de robo de credenciales y secuestraron con éxito uno de los administradores de dominio de la compañía. cuentas. La cuenta comprometida se usó para crear primero una nueva cuenta dedicada oculta, y luego el atacante la conectó al grupo de administración de dominio del dominio comprometido, esencialmente siguiendo la guía sobre cómo atacar un dominio AD y permanecer persistente.

La razón por la que los intrusos tuvieron tanto éxito en esta infracción inicial se remonta finalmente a algunos fundamentos de seguridad que se descuidaron:

• Se configuró una computadora con delegación ilimitada, un objetivo valioso para los atacantes.

• La cuenta de administrador incorporada de un dominio se estaba utilizando incorrectamente como una cuenta de servicio para varias bases de datos SQL, lo que se hizo evidente debido a todos los nombres principales de servicio registrados en la cuenta.

• Se configuraron varios permisos de riesgo a nivel de dominio.

• Las contraseñas no se cambiaban con regularidad en las cuentas administrativas (de las cuales había demasiadas en primer lugar).

Asegurarse de que se cumplan los fundamentos de seguridad de AD, como revisar los permisos que se establecieron hace años, requiere mucho tiempo y muchos recursos. Pero ese esfuerzo es una ganga en comparación con el precio que un ciberataque a gran escala puede tener en las operaciones comerciales de una empresa.

Comprenda la diferencia entre reanudar operaciones y recuperar operaciones.

Estoy descubriendo que los ciberdelincuentes utilizan cada vez más la AD como vector de ataque principal porque saben que es el corazón del negocio. Muchas empresas todavía utilizan AD como su almacén de identidad principal y, como tal, es la fuente desde la que sincronizar otros almacenes de identidad. Incluso en un entorno híbrido, los almacenes de identidad en la nube normalmente se sincronizan desde AD local. Entonces, si AD no funciona, el negocio está muerto.

En el fragor de una crisis de ciberseguridad, es comprensible que muchas empresas se centren en reanudar las operaciones comerciales lo más rápido posible. Si bien el objetivo inmediato debe ser volver al modo operativo lo más rápido posible, el énfasis de la siguiente etapa inmediata debe estar en la recuperación total de las operaciones. Esto significa asegurarse de que la empresa no sea vulnerable a ataques repetidos que exploten las mismas debilidades que tuvieron éxito la primera vez.

Una recuperación completa también significa que AD se restaura completamente sin reintroducir malware en el sistema. Pero durante un ataque, la búsqueda de una copia de seguridad limpia o la reconstrucción de AD desde cero consume horas y días preciosos mientras su negocio está paralizado. En el caso del cliente al que estábamos ayudando, nadie podía identificar con seguridad una copia de seguridad actual libre de malware. Ayudamos a la empresa a configurar las copias de seguridad del controlador de dominio en las que se podía confiar para que no contuvieran el malware, y corregimos algunas exposiciones de seguridad problemáticas en uno de los dominios AD del cliente, mejorando aún más la resistencia del dominio.

A continuación, ayudamos a la empresa a crear una copia de sus bosques de AD de producción en un entorno de zona de pruebas completamente aislado con máquinas virtuales recién implementadas que estábamos seguros de que estaban libres de malware. Con este enfoque, la empresa no solo podría realizar copias de seguridad de los bosques de AD, sino también recuperarlos por completo en caso de otro ataque.

Una estrategia de seguridad de AD sólida debe incluir un plan de recuperación de AD completo y libre de malware que demore minutos o, como máximo, unas pocas horas en ejecutarse, en lugar de días o semanas.

Evalúe continuamente sus debilidades de seguridad de AD.

Muchas empresas cuentan con herramientas de seguridad que evalúan la seguridad de los terminales, pero no protegen AD desde adentro. Para protegerse adecuadamente contra los ataques cibernéticos que tienen como objetivo AD, las empresas deben saber cuándo se producen cambios en los grupos y cuentas con privilegios, como el grupo de administradores de dominio. Con una advertencia suficiente, puede responder a una actividad sospechosa de robo de credenciales, como notificaciones sobre la creación de una nueva cuenta de administrador de dominio utilizando una cuenta comprometida. Idealmente, querrá tener un sistema que no solo le notifique, sino que también tome medidas para evitar que el atacante se expanda en su red.

La evaluación continua y el tratamiento de las vulnerabilidades de seguridad de AD mantendrán a su empresa en una posición proactiva para prevenir ciberataques o mitigar el daño que podría causar si se produce un ataque. Asegúrese de evaluar las brechas que aún existen en su postura de seguridad.

¿Tiene su empresa un plan de acción para hacer frente a los ciberataques?

Con el aumento de los ciberataques, es posible que se sienta impotente para proteger su empresa de los desastres cibernéticos de tierra arrasada. Pero según la experiencia de mi equipo ayudando a las empresas a responder a los ciberataques, animaría a cualquier empresa a tomar medidas proactivas para prevenir, mitigar y recuperarse por completo de la actividad maliciosa. Invertir en los fundamentos de seguridad de AD; garantizar que su empresa pueda recuperar por completo, no solo reanudar, las operaciones comerciales posteriores al ataque; y la evaluación continua de su entorno en busca de debilidades fortalecerá drásticamente su postura de seguridad contra los ciberataques.


Consejo Empresarial de Forbes es la principal organización de crecimiento y creación de redes para empresarios y líderes. ¿Califico?


Dejar respuesta

Please enter your comment!
Please enter your name here