Las amenazas avanzadas se mueven rápidamente y tienen los ojos puestos en el AD

¿Cómo proteger el AD? 

La protección del AD es multifacética y no se trata de hacer solo una cosa bien. Requiere mitigar riesgos, fortalecer los sistemas ligados al AD y detectar ataques en vivo de manera eficiente. Debido a que el AD también se gestiona comúnmente desde los equipos de seguridad y TI, esto puede aumentar su complejidad de administración. Algunas de las principales cosas que las organizaciones pueden hacer para mejorar su postura de seguridad de AD incluyen la implementación de privilegios mínimos y cuentas de administrador escalonadas con privilegios adicionales limitados. También pueden recopilar registros de auditoría y enviarlos a sistemas de correlación (como el sistema de gestión de eventos de información y seguridad, SIEM) o UBA, para encontrar amenazas de forma reactiva. 

La desventaja de este enfoque es que revisar los registros puede llevar mucho tiempo para hacerlo bien, y muchas instancias a nivel de SIEM no ingieren el Active Directory y los registros del controlador de dominio de forma nativa. Estas herramientas también son propensas a generar falsas alertas que son ruidosas y tienden a silenciar las importantes. Quizás el mayor desafío es que estas herramientas son reactivas y no identifican de manera proactiva las vulnerabilidades de AD que crean riesgos relacionados con las credenciales o el acceso al dominio desde los puntos finales. Tampoco están diseñados para la detección de ataques en vivo y, por lo general, surgirán problemas mucho después de que ocurra el evento. Esta detección posterior a los hechos es similar a alertar sobre un accidente automovilístico después de que sucedió, lo que, por supuesto, no es muy útil excepto para los esfuerzos de recuperación.  

La visualización de registros también puede pasar por alto ataques críticos como de password spraying, DCSync, DCshadow y los ataques Golden Ticket o Silver Ticket. 

Las organizaciones requieren soluciones con un nivel sin precedentes de visibilidad y prevención de ataques que simplemente no se había visto antes en el mercado. Incluso yendo un paso hacia atrás, muchas organizaciones ni siquiera tienen en el radar el hecho de “asegurar” el AD. La buena noticia es que hoy en día existen técnicas de Defensa Activa para ocultar credenciales y objetos AD de los atacantes, revelar las rutas de ataque y ofrecer métodos automatizados para encontrar vulnerabilidades en el AD que crean riesgo o demuestran que se está produciendo un ataque en vivo. 

El tiempo de valoración debe de ser casi instantáneo con el objetivo de mejorar los programas de aseguramiento del Directorio al: 

• Encontrar debilidades y configuraciones incorrectas en los bosques y dominios de AD. 
• Reducir la superficie de ataque eliminando privilegios excesivos e innecesarios. 
• Detectar la delegación peligrosa que los atacantes pueden explotar fácilmente. 
• Evaluación continua incluyendo puntajes de salud del entorno. 
• Recopilación automatizada de información y visualización de alto nivel 
• Visibilidad de los riesgos a nivel del dominio, usuario y dispositivo presentes en el AD. 
• Informar con fundamento y evidencia de los objetos involucrados incluyendo su relación con el reconocido MITRE ATT&CK. 

Algunos ejemplos específicos de exposiciones encontradas incluyen el encontrar puertas traseras de replicación de dominios, vulnerabilidades de llave maestra o “skeleton key”, ataques DCShadow, vulnerabilidades de Kerberos, delegaciones de Kerberos mal configuradas, identificador de seguridad oculto (SID) y configuraciones LDAP débiles. 

En algunas circunstancias, las organizaciones no pueden abordar fácilmente las rutas vulnerables como parte de estas evaluaciones o simplemente aplicar parches como se hace en otros escenarios. Para estas situaciones, la defensa activa se vuelve fundamental para la detección de ataques en vivo, tales como: 

• Detección/prevención de ataques de kerberoasting 
• Enumeración de privilegios de dominio 
• Detección de ataques Silver ticket y Golden ticket  
• Prevención de ataques DCSync, DCShadow 
• Ocultar grupos críticos, administradores de dominio, administradores empresariales, controladores del dominio, etc. 
• Evitar el descubrimiento de cuentas “Shadow Admin" 
• Ocultar servidores críticos de servicios como Exchange, servidores web IIS, MSSQLsvc. 

Recomendaciones finales 

No instalar “agentes” en los controladores de dominio, no usar cuentas privilegiadas para establecer conexión al directorio, no instalar sensores pasivos que solo generarán más eventos sin detectar oportunamente y mucho menos prevenir un ataque es algo que los administradores no desean hoy en día. La infraestructura central del AD es sensible y debe de ser tratada como tal en todo sentido. 

Poniendo todo esto en acción, aquí hay un par de casos de uso clave. 

• Ya sea que se centre en las vulnerabilidades de la cadena de suministro y la detección de puertas traseras, la protección de puntos finales y la detención del movimiento lateral, o la prevención de la escalación de privilegios, es claro que el AD juega un papel relevante en todo el “playbook” del atacante.  
• Las amenazas avanzadas se mueven rápidamente y tienen los ojos puestos en Active Directory, donde un ejemplo claro son los ataques de ransomware que se apalancan de la infraestructura de directorio y donde soluciones típicas de respuesta y detección de endpoints (EDR) solo registran la telemetría, pero no logran frustrar el progreso de atacante al no evitar la técnica empleada. 

Se dice por ahí que cuando un atacante obtiene el control del dominio, básicamente se acabó el juego para el defensor. Al final, la decisión es suya. 

Sobre el autor: Juan Carlos Vázquez es Regional Manager de Attivo Networks para Latinoamérica.