Los entornos informáticos híbridos serán la norma en el futuro inmediato: Según un informe de Gartner de 2021, solo el 3% de las organizaciones medianas y grandes migrarán completamente de Active Directory (AD) local a un servicio de identidad basado en la nube para 2025. Pero los líderes de TI que gestionan entornos híbridos se enfrentan a un reto cada vez más complejo: asegurar eficazmente los sistemas de identidad que abarcan tanto AD local como Azure AD. Este mundo híbrido presenta un panorama de riesgos muy diferente al que se enfrentaban los administradores de Active Directory (AD) hace dos décadas.
A medida que el uso de la nube se disparaba, los atacantes tomaron nota de este cambio y se centraron en comprometer las credenciales de la nube, que pueden utilizar para obtener privilegios elevados en todo el sistema -incluido el entorno AD local- y lanzar malware.
Proteger y supervisar Azure AD, incluso para las organizaciones que utilizan Azure AD solo como un subproducto de la implementación de Microsoft 365, se ha convertido en una parte fundamental del mantenimiento de las operaciones empresariales. Al igual que la protección de AD implica detectar cambios no autorizados y corregir cualquier error de configuración y vulnerabilidad, lo mismo ocurre con Azure AD.
Para ayudar a las organizaciones a afrontar estos retos, hemos actualizado nuestra soluciónDirectory Services Protector ( DSP) con nuevos indicadores de amenazas diseñados específicamente para ayudar a evaluar la postura de seguridad de Azure AD. Combinados con los indicadores de amenazas de DSPpara Active Directory, las nuevas funciones permiten a las organizaciones proteger las identidades en sus entornos locales y en la nube.
Cada cliente es responsable de configurar y personalizar los controles de seguridad de Azure AD de una manera que tenga sentido para su organización. Dado que Azure AD permite el acceso seguro a los recursos internos, así como a Microsoft 365 y a otras innumerables aplicaciones de software como servicio (SaaS), si no se identifican las configuraciones de riesgo y los cambios no aprobados o accidentales en Azure AD, la empresa moderna puede quedar paralizada.
Al introducir los indicadores de Azure AD en DSP, dimos prioridad a los indicadores que ayudan a las organizaciones a abordar algunos de los vectores de ataque más comunes que los actores de amenazas utilizan para obtener acceso al entorno de AD, lo que puede conducir a una escalada de privilegios y, finalmente, al despliegue de malware. He aquí un resumen de los indicadores de seguridad de Azure AD en DSP y por qué es importante realizar un seguimiento de los mismos para mejorar su postura de seguridad de Azure AD.
1. Las unidades administrativas no se utilizan
En Azure AD, las unidades administrativas son un recurso que puede contener usuarios, grupos o dispositivos. Pueden utilizarse para restringir los permisos de un rol a cualquier parte de la organización que especifiquen, como una unidad de negocio o una geografía concretas. Los atacantes que ponen en peligro una cuenta administrativa podrían tener acceso de amplio alcance a todos los recursos, por lo que el uso de unidades administrativas le ayuda a limitar el alcance de administradores específicos y a garantizar que un único compromiso de credenciales sea limitado y no afecte a todo el entorno.
2. Registro de la aplicación Azure con acceso de lectura
Ver nº 4.
3. Registro de aplicaciones Azure con acceso de escritura concedido
Ver nº 4.
4. Registros de aplicaciones Azure añadidos o eliminados
Cuando se ejecutan estos indicadores de registro de aplicaciones Azure, comprueban si esos permisos se han concedido (o revocado) en los últimos siete días. Aunque es posible que estas acciones no siempre supongan un problema de seguridad, una aplicación maliciosa o mal configurada puede provocar la exposición de datos o poner en peligro un inquilino de Azure.
5. Comprobar si los invitados tienen permiso para invitar a otros invitados
Los usuarios invitados no deberían poder invitar a otros invitados a acceder a tus recursos en la nube. Este poder debe limitarse a los administradores para mantener un control estricto, y DSP comprobará que este ajuste está configurado correctamente.
6. Comprobación de los permisos de API de riesgo concedidos a los principales del servicio de aplicación
Un objeto principal de servicio se crea cuando se da permiso a una aplicación para acceder a recursos. Si un administrador de aplicación tiene privilegios excesivos, eso podría abrir la puerta a actividades maliciosas.
7. Compruebe si se permite la autenticación heredada
Azure AD admite varios protocolos de autenticación. Por desgracia, los métodos de autenticación heredados pueden no ser compatibles con la autenticación multifactor (MFA), un componente crítico de la protección de cuentas. Permitir la autenticación heredada aumenta el riesgo de que un atacante inicie sesión utilizando credenciales previamente comprometidas.
8. MFA no está configurado para cuentas privilegiadas
MFA es fundamental para proteger las cuentas del robo de credenciales. En el caso de las cuentas con privilegios, MFA es aún más importante, y DSP emitirá una advertencia si la función no está activada.
9. El grupo privilegiado contiene la cuenta de invitado
El número de cuentas privilegiadas debe limitarse según el principio del menor privilegio. La presencia de una cuenta de invitado en un grupo privilegiado podría ser un signo de exceso de permisos o de compromiso por parte de un atacante.
10. Seguridad por defecto no activada
Los valores predeterminados de seguridad, como el bloqueo de protocolos de autenticación heredados y la exigencia de MFA para los administradores, ofrecen una importante capa de protección para Azure AD. Los valores predeterminados de seguridad deben utilizarse para los inquilinos que no tengan políticas de acceso condicional configuradas. Esta configuración notifica a las organizaciones si estos valores predeterminados no están en vigor.
11. Se permite el consentimiento ilimitado del usuario
Este indicador comprueba si se permite a los usuarios añadir aplicaciones de editores no verificados. Esta configuración puede crear un riesgo adicional, ya que esas aplicaciones podrían realizar acciones intrusivas o arriesgadas.
12. Usuarios privilegiados de Azure AD que también tienen privilegios en AD
Este indicador comprueba si hay usuarios con privilegios en Azure AD que también tengan privilegios en AD local. El compromiso de una cuenta que tiene privilegios tanto en AD como en Azure AD puede hacer que ambos entornos se vean comprometidos.
13. Los usuarios no administradores pueden registrar aplicaciones personalizadas
Este indicador comprueba la existencia de una política de autorización que permita a los usuarios no administradores registrar aplicaciones de clientes. Si a los usuarios que no son administradores se les permite registrar aplicaciones empresariales desarrolladas a medida, los atacantes podrían utilizar esa laguna para registrar aplicaciones nefastas, que luego podrían aprovechar para obtener permisos adicionales.
Protección de un entorno de identidad híbrido
A medida que cambian los riesgos de amenazas, las estrategias de seguridad deben cambiar con ellos. Los cambios arriesgados en Azure AD, ya sean atribuibles a un ciberataque o a un accidente, pueden provocar un tiempo de inactividad significativo y la interrupción del negocio. Las organizaciones necesitan un enfoque de la gestión de identidades híbridas que abarque todo su entorno, y eso requiere no sólo detectar infracciones de políticas y errores de configuración, sino también realizar un seguimiento de los cambios y correlacionarlos con la actividad que tiene lugar en las instalaciones y en la nube. Armadas con indicadores de amenazas basados en una comprensión del riesgo, las organizaciones pueden combatir proactivamente los problemas antes de que surjan.
