Seguimiento y corrección de cambios malintencionados en AD

Auditoría de cambios y reversión de Active Directory

Audite y corrija los cambios malintencionados en Active Directory y Azure Active Directory.

Solicitar una demostración

Detenga los ataques rápidos a Active Directory

Sofisticados grupos de ransomware-as-a-service (RaaS) tienen como objetivo Active Directory, el servicio de identidad central para el 90% de las organizaciones de todo el mundo, con ataques que se mueven por las redes a una velocidad asombrosa. Para detener los ataques, las organizaciones necesitan rastrear los cambios maliciosos en tiempo real y revertirlos rápidamente.

Informe Semperis:

73%

de las organizaciones NO confían en poder prevenir los ataques a Azure AD

Pen testers logran comprometer AD en

82%

de sus intentos, según Enterprise Management Associates

Informe de Defensa Digital de Microsoft:

1 hora, 42 minutos

el tiempo medio para que un atacante comience a moverse lateralmente después de comprometer el dispositivo

7 minutos

El tiempo que tardó el ataque NotPetya de 2017 en paralizar la red de Maersk; recuperar Active Directory llevó 9 días

Defienda AD con auditoría y corrección de cambios avanzadas

La auditoría y corrección de cambios maliciosos en Active Directory requiere soluciones diseñadas específicamente para hacer frente a ataques sofisticados dirigidos tanto a AD en local como a Azure AD. El primer paso es implementar herramientas de supervisión que puedan detectar cambios en todo el entorno híbrido de AD, incluidas las modificaciones de cuentas de usuario, los cambios de directivas de grupo y los cambios en los controladores de dominio (DC). Estas herramientas también pueden proporcionar visibilidad sobre quién realizó los cambios y cuándo se produjeron. Una vez detectados los cambios, hay que responder con rapidez y precisión. En muchos casos, los ataques se mueven a través de las redes demasiado rápido para la intervención humana, por lo que es fundamental contar con una solución automatizada.

Monitor

Supervise continuamente AD y Azure AD en busca de cambios maliciosos.

Auditoría

Audite los cambios que se producen en la infraestructura de AD.

Remediar

Deshaga los cambios maliciosos en on-prem AD y Azure AD.

Seguimiento de cambios en AD y Azure AD

El paradigma de seguridad de Azure AD es diferente

Muchas organizaciones están adoptando entornos de identidad híbridos, implementando tanto Active Directory local como Azure AD. Aunque la flexibilidad de los entornos de identidad híbridos aporta enormes ventajas, este enfoque también conlleva un mayor riesgo. Al igual que con AD local, Azure AD tiene sus debilidades, y la mezcla híbrida crea oportunidades adicionales para los atacantes. Como en el caso de las filtraciones de Kaseya y SolarWinds, los ciberdelincuentes aprovechan las debilidades de seguridad de los sistemas de identidad híbridos entrando en la nube y pasando al sistema local, o viceversa. Auditar y remediar los cambios maliciosos en Azure AD requiere un enfoque completamente diferente de la gestión de la seguridad de AD en las instalaciones.

El nuevo modelo de autenticación implica que conceptos familiares como bosques y objetos de directiva de grupo ya no se aplican en el entorno Azure AD.
Decisiones como la de fusionar on-prem AD y Azure AD con Azure Connect pueden tener importantes consecuencias para la seguridad.
La noción de perímetro de red tradicional no existe en Azure AD, por lo que los equipos de TI y de seguridad deben defenderse de un sinfín de posibles puntos de entrada.
El cambio a Azure AD conlleva cambios significativos en el modelo de permisos: En un entorno AD híbrido, las identidades se almacenan en la nube, potencialmente vulnerables a ataques similares a los de SolarWinds y Kaseya.
La falta de visibilidad de los cambios potencialmente maliciosos en el entorno híbrido de AD puede comprometer la seguridad.

Más información

Es difícil auditar los cambios en Azure AD y en AD local.

La falta de visibilidad en el entorno de AD híbrido significa que los ataques podrían entrar a través de Azure AD y pasar a AD local, o viceversa. Las organizaciones necesitan soluciones que les ayuden a auditar y corregir los ataques, tanto si se originan en la nube como en el entorno de identidad local.

Una única vista de los cambios en Azure AD y AD local puede arrojar luz sobre los ataques que se producen en el entorno.
La auditoría de cambios de Azure AD en tiempo real puede ayudar a supervisar los cambios malintencionados.
La capacidad de revertir cambios tanto en AD local como en Azure AD ayuda a responder a los ataques rápidos en el entorno de AD híbrido.

Más información

Auditoría de los cambios de AD que eluden los SIEM

Los ataques avanzados pueden eludir el rastreo

Tener la capacidad de detectar a los atacantes que entran, se mueven o, peor aún, administran su sistema de identidad es clave para una respuesta rápida. Dado el prolongado tiempo de permanencia del malware, es evidente que a los ciberdelincuentes se les da muy bien trabajar en sigilo. Para detectar ataques avanzados que eluden los sistemas basados en registros o eventos, necesita una solución que utilice diferentes tácticas para rastrear las amenazas a la seguridad de AD y Azure AD.

Utiliza múltiples fuentes de datos, incluido el flujo de replicación de AD, para auditar cambios tales como cambios en las directivas de grupo, cambios en la pertenencia a grupos de administradores de dominio y otros cambios que escapan a muchos sistemas de supervisión.
Utiliza un seguimiento a prueba de manipulaciones para capturar los cambios incluso si se desactiva el registro de seguridad, se eliminan los registros, los agentes se desactivan o dejan de funcionar, o los cambios se inyectan directamente en AD.
Ofrece análisis forenses para identificar cambios sospechosos, aislar cambios realizados por cuentas comprometidas y rastrear otras fuentes y detalles de incidentes.
Proporcione notificaciones en tiempo real cuando se produzcan cambios operativos y relacionados con la seguridad en AD.

Más información

Corrección de cambios malintencionados en AD y Azure AD

Detener los ataques de AD exige actuar con rapidez

Los ciberataques relacionados con AD pueden paralizar las operaciones empresariales en cuestión de minutos. Para detener los ataques, las organizaciones necesitan soluciones que ofrezcan una corrección automatizada de los cambios no deseados.

La reversión automática de los cambios maliciosos detiene los ataques que se propagan por las redes con demasiada rapidez para la intervención humana.
Las funciones de búsqueda instantánea de objetos y atributos de AD ayudan a las organizaciones a resolver los cambios no deseados en cuestión de minutos.
Las funciones de reversión granular ayudan a los equipos de TI y seguridad a deshacer cambios en atributos individuales, miembros de grupos, objetos y contenedores en cualquier momento.

Nuestra misión resuena entre los líderes del sector

Tenemos muchos cambios ocurriendo en nuestro entorno Active Directory, adición de servidores Linux, etc... [Directory Services Protector] nos ayuda a monitorizar y revertir cambios peligrosos con un solo clic.
Leer la reseña Miembro del equipo de TI, organización empresarial

Semperis ofrece una tecnología superior, y su Directory Services Protector es un activo tremendo para cualquier empresa que utilice Active Directory.
Más información Chen Amran Director Adjunto de Infraestructura y Comunicación, El Al Airlines

Utilizamos Directory Services Protector para que nos avise de los cambios en las directivas de grupo. Nos ha permitido implantar procesos internos de control y mejora de los cambios más estrictos para evitar actividades informáticas deshonestas que podrían convenirnos pero no son seguras.
Director de Tecnología Práctica Médica de Especialidad Ortopédica

Directory Services Protector es excepcional con informes, supervisión y corrección en tiempo real, informes activos y notificaciones instantáneas cuando se modifican o cambian objetos.
Leer la reseña Administrador senior de sistemas Windows Organización empresarial

Preguntas frecuentes sobre auditoría de cambios y reversión de AD

¿Qué es la auditoría de Active Directory?

La auditoría de Active Directory es el proceso de supervisión de AD en busca de vulnerabilidades y errores comunes de configuración y gestión que pueden abrir la puerta a compromisos de seguridad. Muchas organizaciones tienen entornos AD heredados con docenas o cientos de errores de configuración que se han acumulado a lo largo del tiempo. Debido a los recursos limitados y a la falta de conocimientos sobre AD en el personal, a menudo se pasa por alto la auditoría continua de AD y Azure AD en busca de brechas de seguridad. Los ciberdelincuentes saben que muchas brechas de seguridad comunes de AD no se abordan, lo que convierte a AD en el objetivo número 1 de los ciberataques: Los investigadores de Mandiant informan de que 9 de cada 10 ataques afectan a AD de alguna manera. Para conocer las vulnerabilidades de seguridad de AD en su organización, descargue Purple Knight, una herramienta gratuita de evaluación de la seguridad de AD que analiza el entorno de AD en busca de cientos de Indicators of Exposure (IOEs) y Compromise (IOC), proporciona una puntuación de seguridad general y ofrece orientación priorizada de corrección por parte de expertos en seguridad de AD.

¿Cómo se auditan los cambios en las directivas de grupo?

La auditoría de los cambios en las directivas de grupo es una parte fundamental del refuerzo de la seguridad de Active Directory y supone un reto porque las soluciones tradicionales de supervisión basada en eventos no suelen incluir detalles sobre los cambios dentro de una directiva de grupo. Por ejemplo, si un atacante realiza un cambio malicioso con el ransomware Ryuk ransomware, la única señal será que una cuenta con acceso a la directiva de grupo ha realizado un cambio, lo que probablemente no activará una alerta. Para detectar cambios maliciosos en la directiva de grupo, necesita una solución que utilice varias fuentes de datos, incluido el flujo de replicación de AD, para obtener un contexto adicional que indique un posible ataque en curso. Para conocer las brechas de seguridad en su AD relacionadas con las desconfiguraciones de las directivas de grupo, descargue Purple Knight, una herramienta gratuita de evaluación de la seguridad de AD que analiza el entorno AD en busca de cientos de Indicators of Exposure (IOEs) e IOC (Compromise and IOCs). Purple Knight analiza varias desconfiguraciones de las directivas de grupo, incluidos los cambios ejecutables de SYSVOL, la delegación de enlace de GPO en el nivel de sitio de AD y las contraseñas reversibles que se encuentran en los GPO.

¿Cómo puedo realizar un seguimiento de los cambios en Active Directory?

Para realizar un seguimiento de los cambios en Active Directory, es necesario supervisar continuamente el entorno de AD en busca de Indicators of Exposure (IOEs) and Compromise (IOCs) relacionados con la seguridad de las cuentas de Active Directory, la delegación de AD, la directiva de grupo, Kerberos, la seguridad de Azure AD y la seguridad de la infraestructura de AD. Los grupos de ransomware están desarrollando constantemente nuevos métodos para comprometer AD, que es el principal almacén de identidades para el 90% de las organizaciones de todo el mundo. Con acceso privilegiado a AD, los ciberdelincuentes pueden acceder a toda la red, paralizando las operaciones empresariales. Para una evaluación puntual de las brechas de seguridad de AD, descargue Purple Knight, una herramienta gratuita de evaluación de la seguridad de AD que analiza el entorno de AD en busca de cientos de Indicators of Exposure (IOEs) and Compromise (IOCs), proporciona una puntuación global de seguridad y ofrece orientación prioritaria de corrección por parte de expertos en seguridad de AD. Para realizar un seguimiento continuo de los cambios en AD y Azure AD, consulte Directory Services Protectoruna solución de detección y supervisión de amenazas de AD que rastrea los cambios en AD y Azure AD y proporciona una reversión automatizada de los cambios maliciosos en AD.

¿Cómo puedo realizar un seguimiento de las vulnerabilidades de seguridad en Azure AD?

Puede utilizar la herramienta gratuita de evaluación de seguridad de AD Purple Knight para analizar su entorno de Azure AD en busca de varios IOE e IOC, incluidas cuentas de invitados inactivas, políticas de acceso condicional mal configuradas y usuarios privilegiados de Azure AD que también son usuarios privilegiados en AD local, lo que puede poner en peligro ambos entornos. Puede utilizar Directory Services Protector para realizar un seguimiento de los cambios de Azure AD en tiempo real; para obtener más información, consulte "5 nuevas formas de proteger AD y Azure AD".

¿Cómo puedo auditar cambios en Active Directory como DCShadow?

DCShadow es uno de los pocos tipos de ataques que no dejan pruebas de actividad maliciosa, por lo que son difíciles de detectar con los sistemas tradicionales basados en eventos o registros. Esta técnica de ataque elude el registro tradicional basado en SIEM. En su lugar, los cambios se inyectan directamente en el flujo de replicación de los controladores de dominio de producción. Para protegerse de los ataques que eluden la supervisión tradicional, las organizaciones necesitan soluciones que utilicen varias fuentes de datos, incluido el flujo de replicación de AD. Para una detección y respuesta exhaustivas a las amenazas de AD, incluida la capacidad de auditar AD en busca de ataques que eluden los SIEM y otras herramientas de supervisión tradicionales, consulte Directory Services Protector.