Active Directory (AD) se encuentra entre las piezas de software más antiguas que aún se utilizan en el entorno de producción y se pueden encontrar en la mayoría de las organizaciones en la actualidad. Esto es a pesar del hecho de que sus brechas de seguridad históricas nunca se han modificado. Por ejemplo, debido a su incapacidad para aplicar cualquier medida de seguridad más allá de verificar una coincidencia de contraseña y nombre de usuario, AD (así como los recursos que administra) está peligrosamente expuesto al uso de credenciales comprometidas. Además, esta exposición no se limita al entorno local. La práctica común de sincronizar contraseñas entre AD y el proveedor de identidad en la nube significa que cualquier infracción de AD también es un riesgo potencial para el entorno SaaS.
En este artículo, exploraremos las debilidades de seguridad inherentes de AD y examinaremos su alcance e impacto potencial. Luego, aprenderemos cómo la plataforma de protección de identidad unificada de Silverfort puede abordar estas debilidades desde la raíz y proporcionar a las organizaciones que usan AD la capacidad de recuperación que necesitan para frustrar las amenazas de identidad y mitigar los riesgos de las cuentas de usuario comprometidas.
¿Qué nube? Por qué AD seguirá siendo parte del entorno híbrido
Si bien la computación en la nube ha desencadenado un cambio tectónico en la TI, no ha reemplazado por completo el entorno local, sino que vive junto a él. La ruta pragmática que la mayoría de las organizaciones ha elegido es mantener un entorno híbrido, donde el acceso de los usuarios a SaaS y los recursos web es administrado por un proveedor de identidad dedicado, mientras que AD aún administra los recursos locales.
Desde el punto de vista de las operaciones, esta estrategia es razonable ya que existen múltiples recursos que se pueden migrar a la nube o intercambiar con aplicaciones SaaS. Sin embargo, es importante tener en cuenta que este enfoque significa que las debilidades de seguridad ignoradas durante mucho tiempo de AD todavía están en general.
Para obtener más información sobre cómo Silverfort aborda las debilidades en su postura de seguridad de identidad, consulte nuestro recurso, Silverfort MFA: Proteger a los desprotegidos.
Talón de Aquiles de AD: Incapaz de detectar y prevenir intentos de acceso malicioso utilizando credenciales comprometidas
Cuando un usuario inicia una solicitud de acceso, AD solo sabe cómo hacer una cosa: verificar si el nombre de usuario y la contraseña coinciden. Si no lo hacen, AD bloquea el acceso; si lo hacen, se concede el acceso. Pero, ¿qué puede hacer AD si el nombre de usuario y la contraseña coinciden pero están siendo utilizados por un adversario que los obtuvo? Desafortunadamente, la respuesta es absolutamente nada.
Por extraño que parezca, desde la perspectiva de AD no hay diferencia entre un usuario legítimo que proporcione el nombre de usuario y la contraseña correctos y un adversario malicioso que haga lo mismo. A ambos se les concede el mismo acceso.
Entonces, ¿por qué el MFA tradicional no puede resolver este problema?
En este punto, es posible que se pregunte por qué MFA no se puede agregar simplemente al proceso de autenticación de AD, como se hace con las aplicaciones SaaS. La respuesta, desafortunadamente, es que no es tan simple. AD y sus protocolos de autenticación (NTLM y Kerberos) se crearon y diseñaron hace más de dos décadas, mucho antes de que existiera MFA. Como resultado, a diferencia de los protocolos de autenticación modernos que usan las aplicaciones SaaS, no pueden admitir MFA en absoluto. Tampoco hay planes de Microsoft para abrir estos protocolos y reescribirlos para que tengan esta capacidad.
Esto significa que volvimos al punto de partida, donde un atacante que usa credenciales comprometidas en un entorno de AD puede conectarse literalmente a cualquier estación de trabajo, servidor o aplicación que desee, sin medidas de seguridad que lo impidan.
Una infracción de AD AD allana el camino del adversario hacia sus recursos en la nube
Lo que muchas partes interesadas en la seguridad suelen olvidar es que los entornos locales y en la nube están entrelazados. De hecho, muchos atacantes que buscan acceder a las aplicaciones SaaS optan por acceder a ellas a través de un compromiso del entorno local, en lugar de atacarlas directamente a través de un navegador. El patrón común de este tipo de ataque es obtener el control del punto final de un empleado mediante la ingeniería social y, una vez allí, esforzarse por comprometer los nombres de usuario y las contraseñas para usarlos para el acceso malicioso a las aplicaciones SaaS. Alternativamente, si hay un servidor de federación, los adversarios pueden simplemente comprometerlo como lo harían con cualquier otro recurso local y obtener acceso SaaS desde allí.
De una forma u otra, es importante darse cuenta de que cuando hablamos de brechas de seguridad de AD, esto no significa que solo el entorno administrado por AD está en riesgo, sino todo el entorno híbrido con todos sus usuarios y recursos.
Silverfort Unified Identity Protection: supere las brechas de AD con protección en tiempo real
Silverfort ha sido pionera en la primera plataforma diseñada específicamente para proteger contra amenazas de identidad, en tiempo real, haciendo uso de credenciales comprometidas para acceder a recursos específicos. Silverfort proporciona monitoreo continuo, análisis de riesgos y aplicación activa de políticas en cada solicitud de acceso y autenticación entrante realizada por cualquier usuario a cualquier recurso, tanto en las instalaciones como en la nube.
De esta manera, Silverfort puede resolver las brechas de seguridad de AD en su raíz a través de una integración con el flujo de autenticación nativo de AD, asumiendo así el papel de decidir para AD si se puede confiar plenamente en un usuario al acceder a un recurso o no.
Protección AD de Silverfort: una capa de protección contra amenazas integrada de forma nativa en el flujo de autenticación de AD
Así es como funciona:
- Un usuario quiere acceder a un recurso e inicia una solicitud de acceso a AD.
- AD, en lugar de decidir por sí mismo si otorgar o denegar el acceso en función de la coincidencia de la contraseña, reenvía esta solicitud de acceso a Silverfort.
- Silverfort recibe la solicitud de acceso y la analiza utilizando un motor de IA de varias capas, al mismo tiempo que evalúa la solicitud frente a políticas de acceso preconfiguradas.
- Si el análisis revela un supuesto compromiso, Silverfort se conecta a un servicio MFA para desafiar al usuario a verificar su identidad.
- El servicio MFA envía el mensaje al usuario y devuelve su respuesta a Silverfort.
- Según la respuesta de MFA, Silverfort le indica a AD si debe bloquear o permitir el acceso.
- AD bloquea o permite el acceso según las instrucciones de Silverfort.
Tecnología sin agente y sin proxy, independiente de todos los protocolos y métodos de acceso
Como puede ver, esta capacidad única de recibir todos los intentos de acceso en tiempo real desde AD permite a Silverfort agregar las capacidades de MFA y análisis de riesgos que faltan en el flujo de autenticación de AD. Además, debido a que Silverfort se encuentra detrás de AD y obtiene el 100 % de sus solicitudes de autenticación, esto elimina la necesidad de instalar agentes MFA en recursos individuales o colocar un proxy frente a ellos. También significa que no importa qué protocolo se use o si es compatible con MFA. Siempre que se lleve a cabo una autenticación en AD, AD la reenviará a Silverfort y se implementará la protección.
¿Quieres saber más sobre Protección AD de Silverfort? Programe una llamada con uno de nuestros expertos.