Gracias a la diversidad de datos sensibles que contiene, el Active Directory suele ser uno de los objetivos preferidos de los cibercriminales. La peor parte es que gracias a prácticas inadecuadas como el uso de contraseñas poco complejas para cuentas administrativas, el acceso de usuarios administrativos inapropiados o el establecimiento de la configuración por defecto, las empresas facilitan el trabajo de estos delincuentes.
Por suerte, en pro de ayudar a las empresas a proteger mejor sus sistemas, expertos en el área se han esforzado en crear un conjunto de mejores prácticas dirigidas a garantizar la seguridad del AD. Acciones tan simples como Limitar el número de cuentas con privilegio; o utilizar un modelo de tipo Red Forest, pueden hacer la diferencia a la hora de mantener a loas ciberdelincuentes a raya. Sigue leyendo y conoce todos los detalles.
¿Qué es exactamente un Active Directory?
Un Active Directory es una herramienta que permite centralizar todos los datos relacionados con los usuarios y recursos de una empresa. Introducido por primera vez por Windows 2000 server; este directorio brinda mecanismos de identificación y de autentificación que protegen el acceso a la información.
¿A qué riesgos se enfrenta?
El Active Directory es uno de los directorios más populares que existen. Por esta razón, los cibercriminales han dedicado mucho tiempo a desarrollar técnicas que les permitan piratearlo.
Una vez que logra los derechos de administración de dominio; un atacante es libre de llevar a cabo todas las operaciones deseadas, como la extracción de datos o el sabotaje del sistema.
Una cuenta con derechos privilegiados que sea comprometida; puede llevar a la pérdida del control total del sistema de información. Desafortunadamente, la reconstrucción de un sistema que ha sido comprometido requiere de recursos financieros y humanos importantes.
La complejidad de este directorio es tal que un individuo malicioso puede ocultar su presencia en él de formas más o menos sutiles y, difíciles de detectar. Tal individuo es entonces capaz de dejar atrás las puertas traseras en múltiples servicios y aplicaciones del sistema de información. Esto quiere decir que los riesgos potenciales a los que se expone el AD son significativos y complejos.
Estos son algunos de los factores que pueden aumentar el nivel de vulnerabilidad del AD:
Mantener la configuración de seguridad por defecto
Como ya dijimos anteriormente, AD es uno de los directorios más populares que existen. Esto hace que su configuración de seguridad por defecto sea bastante conocida por los cibercriminales. Lo que quiere decir que mantenerla, aumenta la facilidad de acceso a los sistemas de la empresa.
Demasiadas cuentas con acceso privilegiado
Tomando en cuenta que el componente humano es uno de los principales puertos de entrada de amenazas; resulta lógico que el hecho de brindar demasiados permisos a muchos usuarios facilite el trabajo de los hackers.
Contraseñas débiles
Este factor de riesgo no está presente sólo en el Active Directory sino en cualquier otro contexto en el que aplica el establecimiento de contraseñas de acceso. Las contraseñas simples, sin duda alguna incrementan el riesgo de intrusión en el sistema; pues son fáciles de determinar y no requieren de mucho esfuerzo para ser identificadas.
Mejores Prácticas parala protección del Active Directory
#1 Limita el número de cuentas de privilegio
Debes controlar estrictamente los miembros con cuentas privilegiadas. Antes de brindar acceso a una cuenta con privilegios; es importante que determines si realmente el usuario necesita realmente todos los derechos que le estas ofreciendo para poder llevar a cabo sus actividades.
Es necesario que utilices un modelo de delegación de derechos con el menor poder posible para las cuentas de usuario. Esta precaución limita el riesgo de que los privilegios de un atacante se vean incrementados por rebotes sucesivos en las máquinas.
#2 Utiliza un modelo Red Forest
En este contexto el Red Forest es un modelo que propone mantener las cuentas en un bosque administrativo dedicado. Su principal función es la de limitar la exposición de credenciales administrativas. El mismo divide las cuentas en tres niveles de seguridad: Nivel 0: Autoridad administrativa de todo el bosque (administradores de la empresa), Nivel 1: Autoridad administrativa de servidores, aplicaciones y servicios en la nube, Nivel 2: Control administrativo de puestos de trabajo y terminales.
Una de las medidas de seguridad más efectivas que pueden tomarse a través del Red Forest; es la ubicación de todas las cuentas nivel 0 en un bosque separado. De esta manera es posible monitorearlas mejor y aplicar más fácilmente medidas de seguridad adicionales; como obligarlas a conectarse desde una estación de trabajo más segura o aplicar autenticación de dos factores.
#3 Controla el acceso a distancia
Es importante que tomes medidas para permitir que solo algunos equipos determinados puedan tener acceso a una conexión remota. Para esto puedes firltrar las conexiones entrantes de cada equipo con ayuda de el cortafuegos local de Windows.
#4 Promueve el uso de contraseñas seguras
Es vital que cada cuenta de acceso al AD tenga una contraseña creada en bases a normas de seguridad estrictas. Para esto, puedes establecer una política de seguridad de contraseñas que imponga un nivel específico de complejidad en función de la criticidad de la cuenta.
Te recomendamos también que configures una política de expiración de contraseñas que se aplique a todos los tipos de cuentas, incluidas las cuentas administrativas.
#5 Sensibiliza a los miembros involucrados
Es importante que todas las personas involucradas en la administración del AD, tengan conocimientos suficientes acerca de los niveles de peligro a los que este directorio se encuentra expuesto; así como también las medidas que pueden tomar en caso de algún incidente.
También, para limitar las malas prácticas, es necesario que el equipo reciba formación continua relacionada con la administración del AD.
¿Qué esperas? Da los primeros pasos hacia un sistema de seguridad más seguro. Recuerda que soluciones de acceso remoto seguro como las de Beyondtrust pueden ayudarte a construir ecosistemas digitales mejor protegidos.
Si quieres más información acerca de herramientas de seguridad de alto nivel, no dudes en contactarnos. En GB Advisors nos esforzamos por ayudar a nuestros clientes a alcanzar todas sus metas a través de herramientas de última tecnología.