Empecemos con una pequeña lección de historia... Allá por 2014, hubo una serie de artículos que pedían el desmantelamiento y la muerte de Active Directory (AD) por diversas razones. Avanzamos rápidamente hasta 2018, e hicimos llamamientos a su desaparición, o simplemente a que las empresas cogieran sus servidores AD, los tiraran por el acantilado y se subieran al carro de la nube de los servicios de directorio gestionados y la identidad como servicio....
Hoy en día, si escuchas a algunos de los vendedores de identidades que hay por ahí, te explicarán que la AD tiene 20 años y que hay que jubilarla y reducirla a barras de pegamento porque ellos pueden encargarse de todo. Y diablos, ¿quién necesita ocuparse de las impresoras compartidas y todas esas minucias en la oficina? No pasa nada, la nube lo tiene, y de lo que falte ya se encargarán ellos, O no pasa nada.
Hmmm, reality check, por favor.
En primer lugar, sí, Active Directory ha estado con nosotros durante unos 20 años, y ha evolucionado, madurado y se ha convertido en multifacético para poder hacer frente a muchas de las complejidades modernas que le hemos lanzado. No es perfecto, como tampoco lo es nada de lo que hay ahí fuera, pero es capaz de funcionar como parte de una solución híbrida para ocuparse de muchas de esas aplicaciones relacionadas con la nube que todos utilizamos.
En segundo lugar, cualquiera que piense que recursos como las impresoras "se cuidan solas" necesita que le examinen la cabeza. Como hacker, las impresoras son uno de mis lugares favoritos para pasar el rato, mapear el paisaje, vigilar la oficina, cosechar, recopilar y filtrar datos... son geniales. A nadie le gusta ponerles antivirus, parchearlas, o incluso añadirlas a cualquier regla de bloqueo de red porque son un dolor en el culo de gestionar... lo que significa que son similares a un asiento de primera fila en la ópera para cualquiera con mentalidad de atacante.
En tercer lugar, hay que estar mal de la cabeza si se piensa que lo que se tiene hoy en día se puede quitar y entregar a una organización de gestión de identidades. Sí, mucho de lo que hacen es excelente y complementa parte de la arquitectura de AD. Añade una capa y proporciona mecanismos de autenticación adicionales que AD simplemente no tiene. Pero seguro que NO va a gestionar todos sus sistemas, arquitecturas, recursos compartidos, entornos y matices dentro de su empresa.
Lo que nos lleva a la sección "POR QUÉ"...
Como se indica en el tercer punto, Active Directory es complejo y vasto. Tiene más tentáculos incrustados en su empresa que Cthulhu en un buen día, lo que significa que tiene vulnerabilidades y desafíos. Algunos de estos problemas se deben a cómo está configurado AD, otros a la gestión y a cómo ha evolucionado, y otros simplemente a que administrar AD (me refiero a administrarlo DE VERDAD) es un arte negro que sólo conocen unos pocos buenos... la mayoría de los cuales se han vuelto locos con el paso de los años.
Todo esto hace que AD sea un objetivo primordial para cualquier adversario que intente entrar en su entorno. Haciendo un recuento rápido de varias bases de datos de vulnerabilidades, AD tiene suficientes como para que necesitáramos un grupo de amigos que nos pusieran los dedos de las manos y de los pies para contar cómo entrar en él o explotarlo. Y el pobre LDAP tiene suficientes problemas que ha estado viendo a un terapeuta casi semanalmente desde que apareció en escena (casi 600 formas de usar LDAP para violar sistemas... y contando).
Así que, enhorabuena, en el centro de su empresa se encuentra una fantástica solución tecnológica que gestiona todos sus activos, usuarios, sistemas, políticas, perfiles y derechos... y que, sin embargo, es tan permeable como un colador y tan vulnerable como un potro recién nacido.
¿Qué es lo que haces? Lo rodeas de una plétora de siglas diseñadas para proteger y servir, y aun así, como adversario, voy a entrar. Diablos, en promedio, ya estoy dentro. Probablemente estoy sentado en esa impresora, y he estado allí durante varios meses sólo observando... y ni siquiera sabías que estaba aquí. Ya hemos tenido esta discusión antes, pero te lo recordaré. No puedes dejarme fuera, ninguna posibilidad, nada que compres, nada a lo que te suscribas o en lo que inviertas me impedirá llegar a primera base en tu (o en tu) red. El reto es, ¿qué haces ahora?
SI tienes la filosofía de "asumir el incumplimiento", entonces ya tendrás algunas consideraciones. Habrá realizado ejercicios de simulación. Conocerá sus problemas y retos. Tendrá varias tecnologías desplegadas para darle avisos más proactivos y preventivos, que es donde entra la gente de Semperis. Y también es la lógica de por qué estoy pasando el rato con ellos y ayudándoles a entender un poco más. (Ellos ya tienen una tonelada de información sobre cómo trabaja el adversario... Yo sólo estoy aquí para las cosas realmente furtivas...)
Adoptando un enfoque proactivo... ¿qué tal si tomamos el concepto de herramienta de control de la salud, la seguridad y la protección de AD... lo elevamos a 11 y lo ponemos a disposición de la comunidad de forma gratuita? Sí, eso será algo que saldrá pronto para los investigadores y geeks.
Tomando el enfoque de auditoría... ¿qué tal si tomamos los desafíos de AD, mapeamos los vectores de ataque al marco MITRE ATT&CK, y luego le ayudamos a entender cómo mitigamos esos problemas? Sí, eso saldrá pronto y debería tener contentos a los auditores y a la dirección.
En el peor de los casos... cuando te golpeen, ¿qué tal si elaboramos un proceso de recuperación para que pases tu tiempo recuperándote y NO pagando rescates a identidades sin rostro en Internet? Sí, lo tenemos cubierto... eso mantendrá contentos a los geeks Y a los del seguro.
Ya te haces una idea. El equipo está adoptando una actitud proactiva. Se acercan a la comunidad para crear un centro de investigación que fomente el intercambio de conocimientos y aporte a las conversaciones un sentido de colaboración muy necesario.
De ahí la lógica de salir con ellos, se preocupan.
'todo por ahora
Chris
