Active Directory (AD) es un potente servicio de autenticación y directorio utilizado por organizaciones de todo el mundo. Con esta ubicuidad y poder viene el potencial de abuso. Las amenazas internas ofrecen algunos de los mayores potenciales de destrucción. Muchos usuarios internos tienen acceso y visibilidad excesivos en la red interna.
El nivel de acceso y confianza de los internos en una red conduce a vulnerabilidades únicas. La seguridad de la red a menudo se enfoca en mantener alejado a un actor de amenazas, no en la seguridad de los usuarios existentes y las posibles vulnerabilidades. Mantenerse al tanto de las amenazas potenciales significa protegerse contra las amenazas internas y externas.
Vulnerabilidades de directorio activo
Desde el exterior, un dominio AD correctamente configurado ofrece una solución segura de autenticación y autorización. Pero con la ingeniería social compleja y los ataques de correo electrónico de phishing, un usuario de AD existente puede verse comprometido. Una vez dentro, los actores de amenazas tienen muchas opciones para atacar Active Directory.
Dispositivos inseguros
Con el crecimiento de «Bring Your Own Device» (BYOD), existe un mayor soporte de dispositivos y una mayor complejidad de seguridad. Si los usuarios conectan un dispositivo que ya está comprometido o tiene medidas de seguridad inadecuadas, los atacantes tienen una forma sencilla de acceder a la red interna.
En el pasado, un atacante tendría que colarse para instalar un dispositivo malicioso. Ahora, sin embargo, un usuario con un dispositivo comprometido hace el trabajo duro por ellos. Además, muchos trabajadores también pueden conectar sus teléfonos inteligentes o tabletas a la red. Esto significa que, en lugar de una sola computadora portátil emitida por el trabajo, puede tener dos o tres dispositivos de usuario que no están sujetos a las mismas medidas de seguridad.
Acceso sobreaprovisionado
Agregar complejidad a la seguridad interna es el problema común del acceso sobreaprovisionado. Las organizaciones a menudo tienden a ampliar el acceso en lugar de restringirlo. Un solo acto de conveniencia para resolver un problema puede tener la consecuencia no deseada de crear un vector de ataque potencial, que luego a menudo se olvida.
Para aquellos usuarios que también son administradores, no siempre existe una cuenta «Administrativa» altamente segura creada para separar los diferentes niveles de acceso. De esta manera, la conveniencia de permitir tareas administrativas a través de una cuenta de usuario estándar abre la puerta a un abuso desenfrenado debido a una cuenta comprometida y con muchos privilegios.
Políticas de contraseñas débiles
Muchas organizaciones, especialmente las más grandes, pueden tener políticas de contraseñas más débiles debido a las diversas aplicaciones que admiten. No todas las aplicaciones son iguales y algunas no son compatibles con los últimos estándares de seguridad. Ejemplos de esto incluyen aquellos que no admiten la firma LDAP o TLS sobre LDAP con LDAPS.
Una política de contraseña débil junto con la falta de autenticación de múltiples factores facilita el descifrado de un hash recuperado a través de una técnica como Keberoasting a través de una cuenta interna privilegiada. Esto contrasta marcadamente con una política de contraseñas sólidas y la autenticación de múltiples factores, lo que hace que sea mucho más difícil obtener acceso a un sistema o red mediante el descifrado de un hash.
Mejores prácticas para proteger Active Directory
Para asegurar Active Directory, hay muchas mejores prácticas a seguir. Basado en los temas de seguridad descritos anteriormente, aquí hay varios:
Es esencial capacitar a los usuarios para identificar posibles correos electrónicos de phishing y ataques de ingeniería social. Además, se debe disuadir a los usuarios de hacer clic en los archivos adjuntos, y las organizaciones deben usar sistemas que busquen contenido malicioso. Estas medidas pueden ayudar a reducir el riesgo de un ataque exitoso.
Pero supongamos que AD ya se ha visto comprometida. Una organización puede y debe analizar en profundidad los permisos asignados a los usuarios y sistemas activos y no activos o dados de baja. ¿Hay formas de separar los permisos de las cuentas de usuario típicas y asignarlos a cuentas administrativas especiales con un nivel de seguridad más alto?
Habilitar la autenticación multifactor con una política de contraseña segura es esencial para crear algunas de las protecciones más sólidas disponibles. Dado que muchos ataques de ingeniería social se basan en aprender y comprometer los sitios externos de un usuario donde una contraseña reutilizada podría ofrecer un punto de apoyo, una organización debe exigir contraseñas seguras.
Mantener la seguridad de Active Directory con la política de contraseñas de Specops
La base de muchas de las recomendaciones de seguridad es una política de contraseña segura. Las configuraciones predeterminadas de Active Directory y las herramientas de usuario son inadecuadas. Para asegurarse de que los usuarios cumplan con las políticas de contraseñas como NIST, CJIS y PCI, y bloqueen las contraseñas débiles, las organizaciones pueden usar Política de contraseñas de Specops. Brinda a su organización la capacidad de crear listas de diccionarios personalizadas y bloquear nombres de usuario, nombres para mostrar, palabras específicas, caracteres consecutivos, contraseñas incrementales y reutilizar una parte de la contraseña actual; mientras proporciona retroalimentación en tiempo real para los usuarios.
El complemento Protección de contraseña violada mejora aún más la seguridad al alertar a los usuarios en tiempo real si su contraseña elegida está en una lista de contraseñas violadas. También proporciona un análisis en profundidad para detectar más de 3 mil millones de contraseñas comprometidas en cuentas en todo un dominio de AD.
Protección de Active Directory de amenazas internas
Aunque puede ser imposible protegerse contra todas las amenazas, al analizar en profundidad las estructuras de permisos existentes, los usuarios activos y la implementación técnica de Active Directory, una organización puede recorrer un largo camino para proteger su entorno. Con Política de contraseñas de Specopslleve su política de contraseñas al siguiente nivel a través de la Protección de contraseña violada y exija contraseñas únicas y seguras en todos los ámbitos.