Sean Deuby

Las organizaciones buscan tecnologías de vanguardia para facilitar las crecientes demandas empresariales. Pero a medida que su organización crece, también lo hace su superficie de ataque. Es importante conocer las vulnerabilidades potenciales, especialmente las relacionadas con los activos de identidad de nivel 0 como Active Directory. Para ayudar a detectar estos riesgos, muchas organizaciones recurren a soluciones de gestión de eventos e información de seguridad (SIEM) o de orquestación, automatización y respuesta de seguridad (SOAR). Pero, ¿hasta qué punto son SIEM y SOAR capaces de proteger AD?

Mitigación de amenazas mediante la supervisión de registros

La ciberseguridad es un proceso continuo. Con la aparición constante de nuevos ataques, es necesario vigilar continuamente el entorno en busca de amenazas a la confidencialidad, integridad y disponibilidad de los activos de identidad y las operaciones empresariales de la organización. Detectar las amenazas en sus primeras fases es vital si espera detenerlas en seco y minimizar su impacto financiero o en la reputación.

Muchas organizaciones implantan soluciones que detectan incidentes basándose en los registros de seguridad. Sin embargo, supervisar la actividad masiva de registros que puede resultar de esta supervisión puede ser una tarea tediosa. Las soluciones SIEM y SOAR ofrecen respuestas automatizadas que aligeran esa carga.

Diferencias entre SIEM y SOAR

Aunque SIEM y SOAR se parecen en algunos aspectos, existen varias diferencias entre estas dos tecnologías de seguridad.

¿Qué es SIEM?

Las empresas pueden utilizar SIEM para recopilar, centralizar y almacenar registros de varias fuentes, en tiempo real. Puede utilizar este enfoque para supervisar actividades sospechosas y analizar eventos pasados. SIEM puede recopilar registros de redes, sistemas, infraestructuras, aplicaciones o activos específicos.

SIEM puede obtener fuentes externas de amenazas y utilizar análisis avanzados para notificarle eventos maliciosos en su entorno. SIEM descarga a los analistas asumiendo gran parte del trabajo manual y realizando análisis en profundidad, facilitados por la capacidad de centralizar la supervisión, el registro y las alertas. Basándose en la correlación de eventos, la herramienta ofrece visibilidad de los registros de toda la empresa, lo que le ayuda a mitigar posibles amenazas más rápidamente de lo que sería posible analizando dichos registros por separado. Por ejemplo, los registros de eventos de Active Directory se alojan en cada controlador de dominio, por lo que obtener una visión holística de la actividad del servicio requiere recopilar y correlacionar todos estos registros. También puede crear alertas y cuadros de mando personalizados para ver los datos y los problemas más fácilmente.

¿Qué es SOAR?

SOAR ayuda a las organizaciones a automatizar la respuesta a incidentes, basándose en alertas generadas. También analiza patrones de comportamiento, proporciona predicciones y unifica las respuestas. Estas soluciones pueden utilizarse para gestionar casos, además de contar con flujos de trabajo y playbooks automatizados.

SOAR presenta tanto ventajas técnicas como beneficios organizativos. Su automatización avanzada ahorra tiempo a los analistas de seguridad, reduciendo el trabajo manual y optimizando los recursos. SOAR también puede ayudar a reducir el tiempo de respuesta a incidentes, lo que afecta directamente a la productividad y la eficiencia. Y la función de gestión de casos de la solución le permite acceder a alertas anteriores con fines de investigación, como la comprensión de patrones específicos de la organización y eventos pasados.

¿Y los ataques basados en AD?

Con el uso generalizado de Active Directory y el control sobre dispositivos y usuarios, no es de extrañar que los ciberdelincuentes estén continuamente ideando nuevas formas de comprometer AD y obtener acceso a los activos de las organizaciones. Por eso es imprescindible conocer los tipos de ataques dirigidos a AD, así como la forma en que SIEM y SOAR pueden (y no pueden) ayudar a detectar estas amenazas.

Proteger y monitorizar AD puede ser un reto debido al creciente panorama de amenazas y a las técnicas y tácticas avanzadas que utilizan los hackers para cubrir sus huellas. Para los ataques relacionados con AD, debe supervisar principalmente los registros de eventos del controlador de dominio (DC). Puede utilizar SIEM para detectar actividades sospechosas, pero tenga cuidado: Algunos de los ataques más dañinos relacionados con AD cubren sus rastros, lo que les permite ocultarse de las soluciones SIEM sin capacidades ampliadas.

  • DCShadow: Esta función de Mimikatz registra momentáneamente un DC fraudulento mediante la creación de un nuevo objeto de servidor en la partición de configuración. Una vez creado, el nuevo DC inyecta actualizaciones de objetos o atributos (por ejemplo, añadiendo el conocido SID de la cuenta de administrador de dominio en el atributo sIDHistory para mantener la persistencia de los derechos administrativos) y, a continuación, se elimina inmediatamente. Dado que el cliente del actor de la amenaza es un DC en el momento de las actualizaciones, los cambios no se registran en el registro de eventos de seguridad porque la actividad es una replicación normal de DC a DC. Como advirtieron los creadores de DCShadow, este ataque puede "dejar ciego a tu SIEM de un millón de dólares".
  • Zerologon: Esta vulnerabilidad (CVE-2020-1472) permite a un usuario no autenticado con acceso de red a un controlador de dominio obtener privilegios de administrador de dominio y volcar credenciales AD. Como este almacén de credenciales también incluye la cuenta KRBTGT para el dominio, Zerologon también está detrás de muchos ataques Golden Ticket, que utilizan esa cuenta.
  • Ataque basado en cambios en la directiva de grupo: Este ataque altera la directiva de grupo y realiza actos destructivos, como propagar la instalación de ransomware a los endpoints. Por desgracia, los cambios en la directiva de grupo no generan alertas sospechosas.

Limitaciones de SIEM y SOAR en la protección de AD

Los logs de registro y monitorización desempeñan un papel fundamental en la detección de amenazas, ayudando a proteger y mantener los estándares de seguridad de su organización. Pero como no todos los ataques a Active Directory dejan rastros de registro, depender únicamente de una solución SIEM o SOAR para detectarlos puede ser una apuesta arriesgada. Por lo tanto, las organizaciones deben considerar un producto que pueda integrarse con SIEM y supervisar múltiples fuentes de datos, en lugar de depender únicamente de los registros de eventos relacionados con el controlador de dominio.

Al atacar AD, los ciberdelincuentes ponen en práctica varias tácticas para evitar ser detectados. Dado que AD desempeña un papel fundamental en la gestión de accesos, es importante mantener su integridad y detectar inmediatamente los cambios maliciosos, incluso los que evitan el registro.

El reciente informe de Gartner sobre las mejores prácticas de gestión de identidades y accesos (IAM), Implement IAM Best Practices on Your Active Directory, señala que las soluciones de detección y respuesta a amenazas de AD (AD TDR) desempeñan una función importante en la detección y respuesta a amenazas de identidad (ITDR) y pueden integrarse con Herramientas de SIEM y SOAR para identificar amenazas que esas herramientas no pueden detectar.

Control específico de AD para una protección completa

Al supervisar y evaluar múltiples fuentes de datos, incluido el flujo de replicación de AD, para identificar amenazas, las organizaciones pueden detectarlas rápidamente. Cuando se implementan junto con soluciones SIEM o SOAR, las soluciones de supervisión creadas para AD proporcionan la visibilidad más profunda que necesitan las organizaciones.

Herramientas como Purple Knight y Semperis Directory Services Protector (DSP) se centran en los indicadores de seguridad de Active Directory. Estos indicadores de exposición (IOE) o indicadores de compromiso (IOC) pueden revelar vulnerabilidades y exploits que las soluciones SIEM o SOAR ordinarias no capturan. DSP también cuenta con reversión automatizada de actividad sospechosa para que los ataques puedan mitigarse incluso sin intervención humana.

Las soluciones SIEM y SOAR son herramientas útiles. Pero en el panorama actual de la seguridad, la mejor defensa es por capas.

Más información