Michele Crockett

Un nuevo estudio de EMA destaca el aumento de los ataques a Active Directory

Active Directory está dando mucho que hablar últimamente en los medios empresariales y tecnológicos, pero no en el buen sentido. AD sigue siendo uno de los principales objetivos de los ciberdelincuentes: Algunos ejemplos recientes son los ataques relacionados con AD a Sinclair Broadcast Group, al fabricante de cámaras Olympus y a una filial de Nokia.

Un nuevo informe de Enterprise Management Associates (EMA) - "The Rise of Active Directory Exploits: ¿Es hora de hacer sonar la alarma?"- explora el impacto de las debilidades de seguridad de AD en las organizaciones y cómo están respondiendo. Un hallazgo clave que ilustra el nivel de preocupación por las amenazas a la seguridad de AD: El 86% de las organizaciones encuestadas afirmaron que tenían previsto aumentar su inversión en la protección de AD. El aumento vertiginoso del número de ataques publicitados contra AD ha aumentado la concienciación sobre AD como vector de ataque.

Lecturas relacionadas

Como señala Paula Musich, analista de EMA, en el informe, atacar AD es el medio para alcanzar el fin para los actores de amenazas. Los atacantes utilizan AD para penetrar en las redes de las organizaciones y, a continuación, se mueven a través del sistema de información comprometido para acceder a activos valiosos. Por ejemplo, en la reciente cadena de ataques Golden Ticket, incluido el ataque Golden SAML lanzado contra SolarWinds, los malhechores crearon credenciales de usuario falsas, se hicieron pasar por usuarios reales y eludieron la autenticación de dos factores. En el caso de SolarWinds, los atacantes escalaron privilegios aprovechando accesos no autorizados en las listas de control de acceso de AD. Este método les permitió moverse lateralmente dentro de las redes de las víctimas, amparándose en los niveles de permisos elevados robados, para acceder a datos confidenciales y filtrarlos. Este tipo de ataques está obligando a las organizaciones a redoblar sus esfuerzos para proteger AD.

Aunque los ataques a AD aumentaron tanto en gravedad como en costes en el último año, no son nuevos. Los investigadores de seguridad identificaron por primera vez los exploits Golden Ticket en 2017, y los atacantes han atacado AD durante años con la esperanza de obtener acceso a recursos empresariales de alto valor. AD es un objetivo jugoso porque es el principal almacén de identidades utilizado para autenticar a los usuarios y conceder acceso a los datos de las organizaciones, incluidos los datos de clientes de gran valor.

Cómo responden las organizaciones a las amenazas de Active Directory

Para comprender mejor el creciente número de ataques a AD, EMA encuestó a 250 profesionales y ejecutivos de TI sobre cómo están respondiendo sus organizaciones al creciente riesgo y cómo están cambiando sus prioridades de seguridad de AD. Musich presentó las principales conclusiones del informe de la EMA en el seminario web "The Rise of Active Directory Exploits: Cómo responden las empresas a una amenaza cada vez más virulenta". Las principales conclusiones ofrecieron una imagen alarmante de cómo las debilidades de seguridad de AD están afectando a la postura general de seguridad de las organizaciones.

1. El 50% de las organizaciones han sufrido un ataque a Active Directory en los últimos 1-2 años.

Dado el aumento de la prevalencia de los ataques a AD, es sorprendente que sólo el 50% de los encuestados indicaran que sus organizaciones habían sufrido ataques a su sistema AD en los últimos uno o dos años. Según Microsoft, cada día 95 millones de cuentas AD son objeto de ciberataques.

Musich señaló que una parte significativa de estos ataques podría haber pasado desapercibida: el 25% de los encuestados afirmó que la detección de ataques en vivo es el mayor reto para la seguridad de AD. Esta clara falta de visibilidad y el alto índice de ataques a AD sugieren que las organizaciones podrían estar pasando por alto a atacantes sigilosos que cubrieron con éxito sus huellas. (Guido Grillenmeier, tecnólogo jefe de Semperis, escribió sobre cómo algunas amenazas pueden eludir las soluciones de registro en "Cómo defender los ataques a Active Directory que no dejan rastro"). También es posible que algunos profesionales de la seguridad no se den cuenta de que AD desempeña a menudo un papel en los ataques de ransomware.

2. Más del 40% de los ataques a Active Directory tuvieron éxito.

Los cazadores de amenazas de Mandiant estiman que el 90% de los compromisos de respuesta a incidentes que llevan a cabo con los clientes implican AD de alguna manera, ya sea AD el vector de ataque inicial o el medio por el cual los atacantes pueden lograr persistencia o privilegios. Este hallazgo hace que la alta tasa de éxito de los ataques AD sea particularmente alarmante.

3. Las pruebas de penetración explotaron con éxito las exposiciones de Active Directory el 82% de las veces.

Aunque los equipos de operaciones de TI y operaciones de seguridad son los principales grupos encargados de realizar evaluaciones, su trabajo se ve reforzado en ocasiones por evaluaciones realizadas por equipos rojos internos o equipos de pruebas de penetración. Para el 29% de las organizaciones encuestadas que llevan a cabo ejercicios internos de equipos rojos o pruebas de penetración contra AD, intentar explotar las exposiciones de AD es una parte común del programa. Para las organizaciones que realizan pruebas de explotación de AD, la tasa de éxito es sorprendentemente alta, del 82%.

Dado el profundo nivel de conocimientos necesarios para encontrar vulnerabilidades y comprender los tipos de errores que pueden dar lugar a tales exposiciones, muchas organizaciones no disponen de los recursos necesarios para realizar con frecuencia evaluaciones de AD. Y las herramientas automatizadas de pruebas de penetración ofrecen capacidades limitadas para mantener una buena postura de seguridad de AD. Incluso con la experiencia disponible, remediar las exposiciones y vulnerabilidades sigue siendo un proceso engorroso debido a la compleja estructura de AD. Factores como la falta de visibilidad de las exposiciones de AD y los requisitos para investigar la exposición suponen un reto para el 38% y el 37% de los encuestados, respectivamente.

4. El 86% de las organizaciones tiene previsto aumentar la inversión en la protección de Active Directory.

Dado el creciente número de titulares sobre exploits de AD, no es de extrañar que los equipos de seguridad sitúen la seguridad de AD en lo más alto de la lista de prioridades. El aumento de los ataques a AD impulsó al mayor porcentaje de organizaciones a planificar un incremento del gasto en seguridad, pero hay otras cuestiones que también están estimulando esas decisiones. La pandemia provocó dos grandes cambios interrelacionados en la actividad de TI: la necesidad de dar soporte a actividades remotas o de trabajo desde casa a gran escala y la aceleración de los planes de migración a la nube.

No se vislumbra el fin de los ataques AD

Aunque Microsoft sigue publicando actualizaciones de seguridad para AD, nada impedirá que se produzcan ataques contra AD, lo que resulta evidente por el creciente número de incidentes. Para proteger a sus organizaciones de las amenazas actuales, los equipos de seguridad deben aumentar su visibilidad en la superficie de ataque de AD y tener un plan probado para responder una vez que se detecta un ataque en vivo.

Además, las auditorías siguen siendo un método primario para identificar y proteger las exposiciones, pero no son la única herramienta que los equipos de seguridad pueden o deben utilizar, especialmente dada su naturaleza instantánea. Hoy en día, las nuevas herramientas pueden detectar patrones de actividad maliciosa en tiempo real, a medida que los atacantes intentan acceder a cuentas privilegiadas y crear puertas traseras. Presentada recientemente por Semperis, Purple Knight es una herramienta gratuita de evaluación de la seguridad de AD que consulta el entorno AD de una organización y realiza un amplio conjunto de pruebas contra los vectores de ataque más comunes y eficaces para descubrir configuraciones de riesgo y vulnerabilidades de seguridad. Semperis también ofrece la plataforma híbrida de detección y respuesta a amenazas de AD más completa del sector, Directory Services Protector.

Para obtener más información sobre cómo las organizaciones están cambiando sus prioridades para hacer frente a la creciente amenaza de las debilidades de seguridad de AD, descargue el informe completo de la EMA aquí.