Las vacaciones son una época de gran actividad para los compradores, las empresas minoristas y los ciberdelincuentes. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ha observado anteriormente "un aumento de los ataques de ransomware de gran impacto que se producen en días festivos y fines de semana, cuando las oficinas están normalmente cerradas" y ha calificado las temporadas de compras navideñas como "una oportunidad excelente para que los malos actores se aprovechen de los compradores desprevenidos a través de sitios web falsos, enlaces maliciosos e incluso falsas organizaciones benéficas." Los consejos de ciberseguridad para las fiestas encabezan la lista de deseos de todos.
Lectura relacionada: ¿Qué es la seguridad de Active Directory?
Las vacaciones son el momento perfecto para la ciberdelincuencia
Es lógico que los comercios minoristas se conviertan en objetivo de los ciberdelincuentes durante las fiestas de fin de año, dada la gran cantidad de información de tarjetas de pago que almacenan y procesan. El informe 2023 Data Breach Investigations Report de Verizon ahonda en las técnicas que utilizan los ciberdelincuentes para robar datos de tarjetas de crédito, especialmente durante los periodos de mayor actividad comercial, como el Black Friday y el Cyber Monday. Entre el typosquatting (el uso de dominios mal escritos para hacerse pasar por minoristas legítimos), los bots Grinch (programas automatizados utilizados para comprar inventarios enteros de productos populares para revenderlos con mayores márgenes de beneficio) y los bots de solicitud (utilizados para eludir las soluciones de mitigación de bots), las vacaciones son un momento difícil para los minoristas.
Pero las amenazas van mucho más allá del sector minorista o de cualquier época del año. Los atacantes aprovechan las vacaciones y los fines de semana de todo el año para lanzar ransomware y otros intentos de violación de la red. Durante estas épocas, los equipos de seguridad y TI suelen estar abrumados, distraídos o ausentes del trabajo, lo que da a los ciberatacantes una mejor oportunidad de burlar sus defensas.
Las organizaciones que cierran durante las temporadas de vacaciones -como bancos, gobiernos estatales y locales, y distritos escolares y universidades- son objetivos prioritarios. (Hace poco me enteré de un intento de ataque de este tipo durante una entrevista en el podcast HIP. Puedes escuchar la historia completa aquí).
Una vez que los atacantes consiguen entrar en su red, su primer paso suele ser encontrar el medio más rápido de escalar privilegios: su infraestructura de identidad. Los ciberdelincuentes también pueden utilizar Active Directory para propagar malware.
Una vez que Active Directory se ve comprometido, los atacantes pueden interrumpir el negocio, robar datos e incluso crear puertas traseras para mantener la persistencia sin ser detectados y resistir los esfuerzos de limpieza y recuperación.
Consejos de ciberseguridad para las infraestructuras de identidad durante las vacaciones
Construir un enfoque de ciberseguridad eficaz es más fácil cuando se ve el entorno desde la perspectiva de un adversario. Y el papel de Active Directory como servicio de directorio lo convierte en un objetivo común y popular para los atacantes que quieren ampliar su posición en una red violada.
Aunque las cuentas con privilegios son un área de interés clave para los atacantes, es importante recordar que las cuentas que no son de administrador pueden ser casi igual de valiosas. Por ejemplo, una cuenta de usuario de nivel de servicio con derechos de acceso a una base de datos sensible vale su peso en oro.
Con la llegada del nuevo año, es un buen momento para evaluar su enfoque de la seguridad de AD. He aquí tres consejos para reforzarlo contra los ataques.
1: Analice su entorno Active Directory
Las organizaciones necesitan un mapa completo de su entorno de Active Directory, que incluya qué cuentas tienen qué privilegios y la justificación técnica o relacionada con el negocio de esos derechos. La aplicación de una estrategia basada en el principio del mínimo privilegio reduce la superficie de ataque vulnerable a los agresores.
Evaluar la superficie de ataque de su identidad para poder abordar las vulnerabilidades y lagunas potenciales es un gran primer paso. Utilice una herramienta gratuita y sencilla como Purple Knight para este paso.
Auditar Active Directory para garantizar que los grupos y las cuentas individuales están limitados a los permisos que necesitan para realizar sus funciones es fundamental tanto para la seguridad como para el cumplimiento de la normativa. Esta afirmación es particularmente importante para las cuentas con altos niveles de privilegios, que deben mantenerse al mínimo para disminuir el riesgo de que una de estas cuentas se vea comprometida y sea utilizada por actores de amenazas.
Otras buenas prácticas son:
- Considere cualquier cuenta con nombres de entidad de seguridad de servicio definidos como altamente privilegiada.
- No guarde las contraseñas de las directivas de grupo en ningún lugar de su SYSVOL.
- Reformule las cuentas de servicio privilegiadas para utilizar los menores privilegios necesarios y considere la posibilidad de aprovechar las cuentas de servicio gestionadas por grupos.
- Exija el uso de contraseñas únicas y complejas para las cuentas de servicio.
¿Quiere dar un paso más en su evaluación? Una herramienta gratuita de análisis de rutas de ataque como Forest Druid puede ayudarle a encontrar posibles rutas de acceso a su perímetro de nivel 0 para que pueda bloquear los privilegios excesivos.
2: Disponga de un plan de recuperación en caso de catástrofe
No deje la seguridad de su identidad (y con ella, su resistencia operativa) al azar. Conozca las respuestas a estas preguntas:
- ¿Qué hará si se produce un ciberataque?
- ¿Incluye su plan de recuperación en caso de catástrofe medidas específicas para responder a un ataque basado en la identidad?
- ¿Dispone de un plan de copia de seguridad y recuperación específico para Active Directory?
- ¿Sabe cuánto tardará la recuperación de AD y dispone de las herramientas necesarias para automatizar el proceso de recuperación de Active Directory?
- ¿A quién llamarás si necesitas ayuda?
Si le falta tiempo o miembros del equipo para prepararse adecuadamente frente a las ciberamenazas, considere la posibilidad de subcontratar la tarea. Semperis, por ejemplo, cuenta con un equipo de expertos en Active Directory y ciberseguridad que ofrecen servicios de preparación y respuesta ante infracciones, desde la evaluación de su infraestructura de AD hasta la planificación y las pruebas de recuperación de AD, pasando por la respuesta ante incidentes y el análisis forense de ataques.
3: Identificar actividades sospechosas en Active Directory
Por muy sigilosos que sean los atacantes, a menudo dejan señales de su comportamiento. La capacidad de detectar actividades potencialmente sospechosas, como cambios de permisos en el objeto AdminSDHolder, y configuraciones erróneas, como tener entidades de seguridad no predeterminadas con derechos de DC Sync en el dominio, es un aspecto vital de la seguridad de Active Directory.
Por este motivo, las organizaciones deben supervisar Active Directory continuamente y realizar evaluaciones de seguridad periódicas. Después de una brecha, no es inusual que los actores de amenazas modifiquen AD de varias maneras para permitirles persistir. Los cambios en la pertenencia a grupos, la aparición repentina de una nueva cuenta de administrador y otras pistas similares son indicadores de que algo no va bien.
Herramientas de evaluación de la seguridad como Purple Knight y otras ofrecen a los profesionales de la seguridad la oportunidad de identificar y eliminar cualquier punto débil en la infraestructura AD de su organización antes de que los atacantes puedan utilizarlos para volver a entrar. Aún mejor, herramientas como Directory Services Protector permiten automatizar la reversión de cambios sospechosos.
Endurezca Active Directory para unas vacaciones más felices
Estas fiestas no son sólo para regalar, sino también para llevarse sus datos, los de sus clientes y su tranquilidad. No deje que los ciberatacantes le arruinen el año nuevo, ni ninguna otra festividad. Endureciendo AD contra los ataques, puede erigir una barrera más fuerte entre los atacantes y sus objetivos.
