- Mejorar la protección de la identidad con visibilidad de la postura de seguridad
- Reducción del riesgo con protección proactiva de la identidad
- Gestión segura y confiable de la postura de seguridad
- Nota final
A medida que los ciberataques contra el sector público siguen aumentando, proteger la infraestructura de identidad, un objetivo clave para los atacantes, se ha convertido en una necesidad imperiosa. Para la mayoría de las organizaciones, eso significa reforzar la resiliencia de Microsoft Active Directory (AD).
Para la ciudad de Whitby, en Ontario (Canadá), eso significaba invertir en una solución que pudiera proporcionar a la ciudad un nivel más profundo de conocimiento sobre la seguridad y la configuración de su entorno AD.
El sistema de identidad es el tejido que conecta a los usuarios con los servicios, y cualquier interrupción que impida a los usuarios acceder a los recursos dificulta el funcionamiento de la ciudad. Restablecer esas operaciones para una comunidad de aproximadamente 150 000 habitantes supondría un coste significativo tanto en tiempo como en dinero.
Mejorar la protección de la identidad con visibilidad de la postura de seguridad
Al igual que en el sector privado, las organizaciones gubernamentales no son inmunes a los ataques de ransomware. Los atacantes que aprovechan las configuraciones erróneas de Active Directory pueden escalar rápidamente sus privilegios y ampliar su presencia, a menudo permaneciendo a la espera, listos para atacar cuando lo deseen.
En 2022, St. Marys, también en la provincia de Ontario, sufrió unataque de ransomware1 que interrumpió los servicios de la localidad. El resultado de ese ataque, que le costó millones a St. Marys, habría sido mucho peor si la ciudad no hubiera estado ya planificando un programa de mejora de la ciberseguridad. Esa experiencia sirve de ejemplo para otros municipios, independientemente de su tamaño.
Rob Brodofske, director sénior de Servicios de Infraestructura y Seguridad de Whitby, se toma muy en serio estas lecciones. Su tarea consiste en proporcionar la planificación estratégica necesaria para cumplir los requisitos de red y seguridad que la infraestructura tecnológica de Whitby necesita para prestar servicios a los residentes de la ciudad. Está a cargo del equipo de Infraestructura Tecnológica y forma parte del departamento de Servicios de Tecnología e Innovación, que cuenta con unas 40 personas.
«Sé lo importante que es Active Directory para mi organización y, aunque dispongo de muchas herramientas, sentía que había una laguna en cuanto a su seguridad», afirma Brodofske. «En concreto, no tenía ningún método para detectar las posibles vulnerabilidades o riesgos relacionados con la identidad en mi infraestructura. Quería algo que pudiera analizar en profundidad Active Directory y me proporcionara la confianza que buscaba en nuestros controles y nuestra configuración».
«No disponía de un método para detectar las posibles vulnerabilidades o riesgos relacionados con la identidad en mi infraestructura. Quería algo que pudiera analizar en profundidad Active Directory y me proporcionara la confianza que buscaba en nuestros controles y nuestra configuración».
Rob Brodofske, director sénior de Servicios de Infraestructura y Seguridad, Ayuntamiento de Whitby
Antes de recurrir a Semperis, el equipo podía supervisar los registros, pero no disponía de herramientas que proporcionaran una visibilidad profunda de AD o detectaran rápidamente vulnerabilidades y configuraciones erróneas, explicó. Uno de sus arquitectos de seguridad ejecutó la herramienta Purple Knight de Semperis, y Brodofske quedó impresionado por la información que recopilaba y cómo se presentaba. Inmediatamente pudo ver una instantánea de las vulnerabilidades y configuraciones erróneas de AD, junto con recomendaciones para mitigarlas.
«Por lo que yo sabía», dijo Bodofske, «en aquel momento no existía nada parecido, así que quería saber más». Mientras asistía a un evento sobre ciberseguridad, conoció a representantes de Semperis y obtuvo más información sobre los productos de la empresa.
Reducción del riesgo con protección proactiva de la identidad
El departamento de TI adoptó Directory Services Protector DSP), que supervisa continuamente AD en busca de indicadores de exposición y compromiso. Esta medida permitió al equipo de Brodofske buscar de forma proactiva posibles riesgos y remediarlos antes de que pudieran comprometer la seguridad.
«Si no compruebas regularmente el estado y la seguridad de tu Active Directory, creo que es imprescindible que te tomes el tiempo necesario para hacerlo y hagas todo lo posible por proteger y salvaguardar ese sistema tan importante», afirmó. «Creo que todo el mundo se centra un poco más en los extremos y, de vez en cuando, nos olvidamos del Active Directory. Pero si pierdes el Active Directory, y dependes de él, lo perderás todo».
La implementación DSP muy sencilla, afirmó. Cuando surgieron dudas, el equipo de asistencia de Semperis estuvo ahí para ayudar, añadió. Tras unas cuantas sesiones de 90 minutos para ayudar a su equipo a poner en marcha las funciones de generación de informes, análisis y Azure, la implementación funcionaba a la perfección.
Un área clave en la que la organización se ha beneficiado de DSP su capacidad para capturar pruebas de los cambios, incluso si el registro de seguridad está desactivado, y permitir a las organizaciones revertir los cambios maliciosos en el AD local.
Según Brodofske, «la capacidad de detectar y deshacer inmediatamente esos cambios fue sin duda algo que nos resultó muy atractivo. Y funciona tan bien que, descaradamente, mi personal a veces se olvida de que está ahí. Cuando van a hacer algún cambio, DSP lo DSP y deshace lo que han hecho. Tienen que acordarse de entrar y habilitar esos cambios primero».
«La capacidad de detectar y deshacer inmediatamente esos cambios fue sin duda algo que nos resultó muy atractivo. Y funciona tan bien que, con descaro, mi personal a veces se olvida de que está ahí. Cuando van a hacer algún cambio, DSP lo DSP y deshace lo que han hecho. Tienen que acordarse de entrar y habilitar esos cambios primero».
Rob Brodofske
Al igual que las vulnerabilidades sin parchear, las configuraciones inseguras causadas por errores humanos o desviaciones en la configuración pueden abrir la puerta a los atacantes y a infracciones de la normativa. Aunque el entorno AD de Whitby consta de un solo bosque, es muy consciente de que la reestructuración organizativa puede poner en peligro el buen funcionamiento de AD, incluso en entornos más pequeños. Con el tiempo, la reorganización ha hecho que el entorno AD de la ciudad sea «un poco desordenado» desde ese punto de vista, admitió.
Gestión segura y confiable de la postura de seguridad
Brodofske afirmó que su objetivo es hacer que el entorno híbrido de AD de Whitby sea más resistente ante cambios arriesgados, especialmente ahora que cada vez más servicios se trasladan a la nube. A medida que se realizan modificaciones en el entorno, el uso DSP permitido al equipo de Brodofske mitigar los riesgos, corregir errores, restaurar determinados objetos y recuperar servicios con mayor rapidez.
Es importante destacar que el aprovechamiento de la tecnología de Semperis le ha dado más confianza en la capacidad de la ciudad para afrontar retos futuros.
«Entro en DSP veces a la semana solo para buscar nuevos indicadores de exposición, supervisar mi puntuación y luego tomar medidas», dijo. «En el Ayuntamiento de Whitby somos un equipo muy consciente de la seguridad, y si hay algo que puedo hacer, quiero hacerlo. No hay razón para dejarlo pasar, ¿verdad?
«Tengo mucha más confianza porque ahora puedo ver cosas que antes no veía».
Lea el blog de Semperis para obtener más información sobre la gestión de la superficie de ataque de la identidad. Si necesita ayuda para proteger su infraestructura de identidad, solicite una demostración personalizada con nosotros.
Nota final
