Eran Gewurtz | Director de Gestión de Productos

Las cuentas de servicio comprometidas están en el centro de los ataques de ciberseguridad más destructivos de la historia. El ataque NotPetya de 2017 contra el gigante farmacéutico Merck sigue siendo uno de los ciberataques más costosos conocidos, con daños superiores a 1.400 millones de dólares. El acceso inicial se obtuvo comprometiendo una cuenta de servicio para realizar parches del sistema operativo. Nuestro episodio de HIP Podcast cubre la historia en detalle.

En la última versión deDirectory Services Protector, DSP 5.0,hemos introducido un nuevo módulo de cuentas de servicio que amplía su capacidad para descubrir, supervisar, controlar y proteger las cuentas de servicio.

También hemos añadido más opciones para incorporar la protección de DSP y Active Directory (AD) a sus flujos de trabajo y procesos existentes. Las nuevas acciones automatizadas y la posibilidad de importar objetos de AD en listas de objetos permiten agilizar la supervisión y la gestión. Además, esta versión incluye varias mejoras de seguridad críticas.

¿Por qué es esencial proteger las cuentas de servicio para reducir el riesgo de infracción?

Por su propia naturaleza, las cuentas de servicio son objetivos obvios para los atacantes. Su papel fundamental en los procesos empresariales básicos, combinado con el uso de contraseñas estáticas y privilegios excesivos -así como la tendencia a dejarlas en su sitio y olvidarlas mucho después de que se retiren las aplicaciones asociadas- hacen que las cuentas de servicio sean puntos de entrada ideales.

Ahora, añada el hecho de que muchos sistemas de identidad incluyen cuentas de servicio creadas hace décadas por empleados que hace tiempo que se jubilaron -de modo que nadie que quede en la empresa sabe lo que hacen o dónde encontrarlas- y tendrá entre manos una auténtica pesadilla de gobernanza y seguridad.

Debido a su complejidad, la seguridad de las cuentas de servicio requiere un enfoque múltiple, y ahí es donde brilla DSP .

Comience con la sofisticada Protección de Cuentas de Servicio

El módulo de protección de cuentas de servicio mejora las capacidades de DSPdescubriendo continuamente cuentas de servicio desconocidas y extraviadas, detectando cuentas obsoletas y mal configuradas, sacando a la luz configuraciones de riesgo y exposiciones críticas, y alertando sobre comportamientos maliciosos y anómalos.

Nuestro último módulo simplifica la gestión de las cuentas de servicio y le da tranquilidad.

Obtenga una intervención a velocidad de máquina con reglas de respuesta automatizadas

La función de deshacer automáticamente DSPse ha mejorado considerablemente y ahora ofrece nuevas capacidades de respuesta rápida. Con las nuevas acciones de respuesta, puede configurar conjuntos de reglas para detectar actividades maliciosas o comportamientos anómalos y tomar medidas en tiempo real, mucho más rápido que la intervención humana. DSP anulará los cambios -o incluso desactivará una cuenta malintencionada- antes de que se produzcan daños.

Las respuestas automáticas también pueden integrarse con otros sistemas, como sistemas de tickets o herramientas de gestión de flujos de trabajo, lo que agiliza la gestión de incidencias en general.

Agilice los procesos y la supervisión con listas de objetos

Con DSP 5.0, puede simplificar la administración agrupando objetos AD similares en listas de objetos. Puede actualizar automáticamente las listas de objetos desde AD o desde sistemas externos como un RDBMS y, a continuación, utilizarlas para crear reglas, supervisar los cambios, generar informes y filtrar datos.

Las listas de objetos ofrecen una forma sencilla y dinámica de gestionar los datos y centrarse en el ámbito adecuado.

Acelerar el análisis de las rutas de ataque

Las relaciones entre objetos, entidades de seguridad, equipos, usuarios, permisos y configuraciones en Active Directory forman una compleja matriz de interdependencias. Los atacantes a menudo explotan esta complejidad para escalar privilegios, lo que puede permitirles tomar el control del entorno AD.

El módulo de análisis de rutas de ataque combina la potencia de Forest Druid (la herramienta de gestión de rutas de ataque de la comunidad de Semperis) con las capacidades de DSP para resaltar y ayudar a proteger las rutas de ataque que pueden llevar a un compromiso de AD, ayudándole a adelantarse a los atacantes.

DSP valida continuamente la seguridad de su sistema de identidad

Mantener la seguridad de AD y Entra ID es un reto continuo. DSP pone la seguridad de Active Directory híbrido en piloto automático con una supervisión continua y una visibilidad sin precedentes de los entornos locales de AD y Entra ID.

DSP permite a los profesionales de la seguridad y a los equipos de operaciones de seguridad obtener de forma proactiva el control de la seguridad de su AD y Entra ID mediante:

  • Validación continua de la postura de seguridad de AD y Entra ID
  • Minimizar la superficie de ataque a la identidad
  • Detección de ataques híbridos avanzados, difíciles de identificar con la detección basada en registros de los SIEM.
  • Reversión automática de los cambios malintencionados de AD y Entra ID, que a menudo se producen demasiado rápido para la intervención humana.
  • Proporcionar un registro a prueba de manipulaciones que permita a los equipos de respuesta a incidentes buscar, correlacionar y aislar las cuentas AD comprometidas y eliminar la persistencia del malware.

El equipo de productos DSP se centra en la innovación continua, la resolución de problemas y la capacitación de los defensores de la seguridad de la identidad. Las últimas mejoras respaldan sus esfuerzos por proteger las cuentas de servicio, automatizar las respuestas a la actividad maliciosa y agilizar el análisis de las rutas de ataque, lo que refuerza la resistencia cibernética de su organización.

Recursos adicionales