Eitan Bloch

Asegurar Active Directory (AD) -el objetivo común en 9 de cada 10 ciberataques- es difícil. Muchas organizaciones tienen entornos de AD heredados con errores de configuración acumulados que a los atacantes les encanta explotar. Y aunque el 90% de las organizaciones de todo el mundo utilizan AD como su principal almacén de identidades, la investigación de Gartner muestra que sólo el 33% cuenta con algún tipo de sistema de seguridad de AD. Si añadimos Azure Active Directory (Azure AD) a la mezcla, los retos aumentan.  

Asegurar Active Directory (AD) -el objetivo común en 9 de cada 10 ciberataques- es difícil. Muchas organizaciones tienen entornos de AD heredados con errores de configuración acumulados que a los atacantes les encanta explotar. Y aunque el 90% de las organizaciones de todo el mundo utilizan AD como su principal almacén de identidades, la investigación de Gartner muestra que sólo el 33% cuenta con algún tipo de sistema de seguridad de AD. Si añadimos Azure Active Directory (Azure AD) a la mezcla, los retos aumentan.  

El seguimiento de la actividad maliciosa en Azure AD y en AD local es notoriamente difícil. Los equipos locales y en la nube suelen estar aislados, lo que complica la detección de cambios en todo el entorno.  

Semperis Directory Services Protector (DSP) facilita la protección de su entorno de AD híbrido. Además, acabamos de lanzar nuevas mejoras que ayudan a los equipos de TI y seguridad a poner AD y Azure AD en piloto automático, ahorrando valiosos recursos y mejorando la seguridad general de AD.  

Profundicemos en las nuevas capacidades de DSP que ayudan a las organizaciones a proteger AD y Azure AD frente a los ciberataques. 

1. Deshacer cambios maliciosos en Azure AD  

Para mitigar un ataque a su entorno de AD híbrido, necesita una forma eficaz de deshacer los cambios maliciosos en Azure AD. Semperis DSP ofrece la posibilidad de deshacer cambios no deseados o malintencionados en usuarios, grupos o roles de Azure AD. También puede restaurar objetos de Azure AD que se hayan eliminado de forma temporal (es decir, que se hayan eliminado pero sigan en la papelera de reciclaje de Azure AD), lo que le ofrece la posibilidad de recuperar datos perdidos o eliminados. 

2. Alertas en los COI para la detección avanzada de amenazas de AD 

Los indicadores de compromiso (IOC) de DSP le permiten saber cuándo se ha producido una brecha, de forma que pueda detectar las amenazas con antelación y actuar con rapidez para detener a los atacantes. Los IOC también proporcionan datos cruciales para localizar con precisión la zona afectada y reducir el tiempo de inactividad. 

3. Informes de fácil comprensión sobre la situación general de la seguridad 

DSP cuenta con un flujo optimizado para la creación de informes. Un informe sobre la situación general de la seguridad ofrece una instantánea visual de los principales indicadores de seguridad para compartir con los responsables de la empresa. Este informe incluye:

  • Una puntuación de la postura de seguridad de hasta el 100%.
  • Un resumen del estado del indicador de exposición (IOE) (encontrado, no evaluado o superado)
  • Puntuaciones de categorías individuales para Azure AD y categorías de AD on-prem, incluida la seguridad de cuentas, la seguridad Kerberos, la directiva de grupo, etc.

El método de puntuación de la postura de seguridad de DSP se basa en una serie de factores, entre los que se incluyen:

  • Posibles consecuencias si un atacante explota la vulnerabilidad
  • Facilidad de explotación de la vulnerabilidad
  • La prevalencia global de la vulnerabilidad en el entorno

Cada indicador incluye una calificación de gravedad (nivel y número) que refleja el impacto potencial de la vulnerabilidad en su postura de seguridad, disponibilidad y rendimiento. Este índice de gravedad se utiliza en la fórmula de puntuación para calcular el riesgo global que plantea la vulnerabilidad.  

El panel DSP proporciona una puntuación global de la postura de seguridad para el entorno híbrido de AD, puntuaciones de categorías individuales y otras métricas clave de seguridad de AD.

4. Informes de cumplimiento normativo para GDPR, HIPAA, PCI y SOX. 

DSP incluye plantillas para docenas de informes de cumplimiento habituales, que puede cargar desde el servicio web de Semperis o importar a través del módulo PowerShell de DSP . Estos informes, adaptados a los requisitos de GDPR, HIPAA, PCI y SOX, proporcionan información sobre la configuración y la seguridad de AD que es relevante para garantizar el cumplimiento normativo. Por ejemplo, las plantillas de informes para GDPR incluyen listas de todas las cuentas de equipo eliminadas en AD y listas de cambios de estado de grupo en los últimos 30 días. 

5. Integración con Splunk y Microsoft Sentinel para proporcionar un contexto significativo a los datos de seguridad de AD. 

DSP siempre ha detectado IOC que eluden las soluciones tradicionales basadas en registros o eventos. Para ello, DSP utiliza varias fuentes de datos, incluido el flujo de replicación de AD. Así, DSP envía los cambios sospechosos, junto con un contexto significativo, al sistema de gestión de eventos e información de seguridad (SIEM). Sobre la base de esa capacidad, DSP ahora lleva los datos de seguridad de AD a vistas familiares de Splunk. DSP proporciona cuadros de mando predefinidos que muestran los datos de cambio de AD, datos de indicadores de seguridad de DSP, y eventos de reglas de notificación de DSP. También puede utilizar las alertas predefinidas de DSP como plantillas para crear alertas personalizadas para la orquestación de seguridad, automatización y respuesta (SOAR) y sistemas de tickets.  

Captura de pantalla de los datos de Semperis Directory Services Protector integrados en el panel de Splunk
DSP introduce los datos de seguridad de AD en las vistas del panel de Splunk.

También hemos ampliado la integración de DSP con Microsoft Sentinel, proporcionando nuevos libros de trabajo que le permiten ver información de DSP , como datos de cambios de AD y eventos de reglas de notificación de DSP , dentro de la interfaz de Microsoft Sentinel. 

Refuerce la seguridad de AD y Azure AD con una detección integral de amenazas 

Los ataques contra AD y Azure AD no terminarán pronto. Grupos de ransomware como servicio (RaaS) como LockBit y Vice Society atacan sin descanso los sistemas AD híbridos. Es difícil para los equipos de TI y de seguridad adelantarse a las amenazas emergentes. Pero con las nuevas funciones que introducimos en DSP -creadas por un equipo de expertos en seguridad de AD- esperamos que defender su sistema de AD híbrido contra estos ataques sea un poco más fácil.