Análisis de la ruta de ataque

Identificación y cierre de rutas a activos de Active Directory de nivel 0

Descubra y gestione las vías que utilizan los actores de amenazas para hacerse con el control de su infraestructura crítica de Active Directory.

Ahorre tiempo en la reducción de la ruta de ataque AD

Pocos atacantes obtienen el control de Active Directory inmediatamente. En su lugar, comienzan con credenciales de usuario sin privilegios comprometidas para el acceso inicial. Luego se mueven de sistema en sistema, utilizando configuraciones erróneas y vulnerabilidades, hasta que pueden escalar sus privilegios para controlar Active Directory. Si se centra en los activos más cercanos a sus activos de nivel 0, ahorrará tiempo a la hora de identificar y reducir las rutas que siguen los atacantes para hacerse con el control de Active Directory.

Enterprise Management Associates informa de que los pen testers tienen éxito en
82%
de sus intentos de explotar Active Directory
Informe de Defensa Digital de Microsoft:
3.470 millones de euros
amenazas de identidad se bloquearon en el ecosistema de Microsoft desde julio de 2021 hasta junio de 2022
Enterprise Management Associates:
40%
de las organizaciones que sufrieron un ataque AD informaron de que el ataque tuvo éxito

Reducción de la ruta de ataque del nivel 0, desde dentro hacia fuera

Descubra sus activos de Active Directory de nivel 0 (las llaves del reino), quién puede acceder a ellos y cómo minimizar esas vías de acceso.

Descubra

Utilice herramientas gratuitas como Forest Druid para conocer su límite real de Nivel 0 y los caminos que conducen a él.

Remediar

Utilice los resultados de Purple Knight y las mejores prácticas de seguridad de Microsoft AD para eliminar rutas inesperadas al Nivel 0.

icono del globo ocular
Monitor

Vigilar continuamente la "deriva de la configuración" que puede introducir nuevas vías de ataque con Directory Services Protector

Descubra su verdadero límite de Nivel 0

Es algo más que sus controladores de dominio

El Centro Nacional de Ciberseguridad del Reino Unido define el Nivel 0 como "la raíz de confianza en la que se basa el resto de la administración". Para Active Directory, esto incluye las cuentas privilegiadas (como los administradores de dominio) y los controladores de dominio (DC). Una analogía medieval del Nivel 0 es la del castillo de un reino, donde el rey y sus consejeros de confianza residen de forma segura. Si un agente de amenazas se hace con el control de un activo de nivel 0, tendrá el control de Active Directory (o potencialmente del reino). Pero el Nivel 0 en AD abarca algo más que los administradores de dominio y los DC. ¿Qué pasa con la capacidad de cambiar los permisos en los contenedores de AD que contienen cuentas privilegiadas o DCs? ¿Qué pasa con el control de los objetos de directiva de grupo (GPO) que están vinculados, o pueden estar vinculados, a un objeto o contenedor con privilegios? ¿Qué ocurre con el servidor Azure AD Connect y la cuenta de servicio que sincroniza a los usuarios con Azure AD? Todas estas son posibles vías de ataque a AD, y hay más.

Más información
Centrarse en las vías de ataque que importan

Las herramientas convencionales de análisis de rutas de ataque de AD adoptan un enfoque "desde fuera hacia dentro" y analizan todo el entorno para descubrir el pequeño subconjunto de rutas al Nivel 0. Forest Druid, una herramienta gratuita creada por expertos en seguridad de identidades de Semperis, aborda el análisis de rutas de ataque al Nivel 0 desde la otra dirección. ¿Por qué molestarse en analizar todas las calles y caminos del reino cuando lo único que importa es proteger el torreón? Ese es el enfoque que adopta Forest Druid . En primer lugar, Forest Druid presenta un análisis de nivel 0 por defecto. A continuación, analiza todos los objetos que tienen caminos a Tier 0, y:

  • Añádalos al Nivel 0 (por ejemplo, el contenedor integrado que contiene los grupos privilegiados)
  • Anótelos cuando sea necesario, pero vigile cuidadosamente la ruta (por ejemplo, una aplicación de línea de negocio heredada)
  • O cerrar la vía (una vía de ataque potencial innecesaria o no autorizada)
Descargar Forest Druid
Nuestra misión resuena entre los líderes del sector
Venta al por menor

Hoy es el primer día que utilizo Forest Druid y estoy muy impresionado. Nunca he encontrado tiempo para aprender Bloodhound, así que realmente aprecio que sólo tenía que ejecutar la herramienta y luego hacer clic en torno a la interfaz gráfica de usuario para empezar a encontrar problemas.

Ingeniero SOC Empresa minorista y de productos envasados
Microsoft

Los actores avanzados están atacando los despliegues de identidades locales para llevar a cabo una brecha sistémica y tender un puente hacia el acceso de administración en la nube. Las organizaciones en entornos híbridos de Active Directory necesitan una seguridad que dé prioridad a la identidad para proteger sus sistemas AD y Azure AD frente a los ataques. Esto requiere una supervisión y evaluación continuas de la postura de seguridad de AD y Azure AD para defenderse de los ataques basados en identidad en colaboración con los equipos de seguridad tradicionales.

Alex Weinert Vicepresidente de Seguridad de Identidades, Microsoft
Perspectivas de Gartner

¡La mejor herramienta de recuperación de AD en caso de ataque de ransomware!

Leer la reseña Director de Directorios y Soluciones IAM, Seguridad de TI y Gestión de Riesgos Organización Bancaria Empresarial

Preguntas frecuentes sobre el análisis de la ruta de ataque de nivel 0

¿Qué son los activos de la lista "0"?

Los activos de nivel 0 son las cuentas, grupos y otros activos que tienen control administrativo directo o indirecto de un bosque de Active Directory, dominios y controladores de dominio. Con acceso a estos activos de nivel 0, los atacantes pueden hacerse con el control de toda la red.

¿Qué son los niveles administrativos?

Microsoft desarrolló el modelo de administración por niveles para Active Directory con el fin de aumentar la dificultad de que los actores de amenazas realicen una escalada de privilegios, es decir, saltar de la estación de trabajo a los servidores para dominar el dominio AD. Este modelo tiene tres niveles:

  • El nivel 2 se compone de clientes unidos al dominio, impresoras, dispositivos móviles y las cuentas que los administran.
  • El nivel 1 contiene los servidores y las aplicaciones, así como sus cuentas administrativas.
  • El nivel 0 contiene los servidores (por ejemplo, los controladores de dominio), las estructuras de AD (como el GPO de directiva de dominio predeterminada) y las cuentas privilegiadas que dan soporte al propio servicio de Active Directory.

Esta jerarquía se aplica de forma que no se pueda acceder a las credenciales de los niveles superiores desde los niveles inferiores (por ejemplo, una cuenta de administrador de dominio que inicie sesión en un PC cliente, donde esas credenciales privilegiadas podrían ser cosechadas posteriormente por malware como mimikatz). En el caso de los entornos híbridos, este modelo se ha ampliado para tener en cuenta su complejidad añadida y se denomina modelo de acceso empresarial.

 

 

¿Por qué es importante proteger los activos de nivel 0 para la seguridad de la identidad?

Los activos de nivel 0 tienen el control administrativo de Active Directory. Si se compromete uno de estos activos, un actor de amenazas puede obtener el control de Active Directory y, por tanto, de todos los activos (servidores, aplicaciones, bases de datos, clientes y otras cuentas de Active Directory) dentro de Active Directory para lograr sus objetivos.

 

¿Por qué es importante definir el perímetro del Nivel 0?

Debido a errores de configuración que se acumulan con el tiempo, muchas organizaciones tienen cuentas y grupos con acceso privilegiado (es decir, son activos de nivel 0), pero estos privilegios excesivos se pasan por alto o los equipos de TI y seguridad no disponen de los recursos necesarios para revisarlos. Descubrir esos activos puede ser todo un reto. Forest Druid Semperis, una herramienta comunitaria gratuita, arroja luz sobre las cuentas sensibles para que los equipos de TI y seguridad puedan marcarlas como "Nivel 0" y aplicar las medidas de protección adecuadas, incluido el bloqueo de privilegios o la eliminación total de cuentas innecesarias.

¿Qué son las vías de ataque?

Las rutas de ataque son rutas que un actor de amenaza puede tomar desde el acceso inicial al entorno (como un PC cliente), a través de pasos intermedios, hasta el dominio del Nivel 0.

¿Existen herramientas que faciliten la reducción de la ruta de ataque de Active Directory?

Semperis proporciona una herramienta gratuita de descubrimiento de rutas de ataque de nivel 0 llamada Forest Druid que le ayuda a descubrir activos vulnerables de nivel 0, bloquear privilegios excesivos y descubrir y remediar rápidamente las rutas más peligrosas, no sólo las más comunes.(Haga clic aquí para obtener más información sobre Forest Druid.)

Reducir las rutas de ataque de nivel 0

¿Está preparado para ahorrar tiempo cerrando rutas de ataque a activos de Active Directory de nivel 0?

Descargar Forest Druid