Cómo reforzar Active Directory para prevenir ataques de ransomware
Cada semana se manifiestan nuevas variantes de ransomware, exploits y tácticas que asolan a las organizaciones de cualquier tipo y tamaño. Pero cada nuevo ataque nos ofrece una oportunidad para analizar el proceso que siguió el agresor.
Si bien es cierto que estos ataques no siempre cuentan con los mismos pasos, ¿cuáles son las 3 tendencias que ayudan a reducir este riesgo?
Derek Melber, experto consultor, instructor y autor de Tenable, analizó tendencias y aportó recomendaciones para asegurar las herramientas de nuestra infraestructura en las que un atacante se basa para tener éxito. ¿Cuáles son?
1. Vulnerabilidades y errores de configuración
Los atacantes de ransomware comprometen, inicialmente, a las empresas mediante uno de dos métodos de ataque: por un lado, aprovechan vulnerabilidades de los dispositivos objetivo (hardware, sistema operativo, software, aplicaciones, etc.). Y, por el otro, sacan tajada de los problemas de configuración con estos últimos.
Al igual que existen miles de vulnerabilidades que parchear, también hay miles de ajustes que configurar, muchos de los cuales no están asegurados correctamente.
Con simples consultas, un atacante puede determinar qué se está ejecutando en el dispositivo que ha comprometido, lo que le permite saber exactamente qué configuraciones erróneas debe buscar. En consecuencia, asegurarlas resulta indispensable.
Quizás te interese seguir leyendo: Por qué los hackers apuntan al acceso remoto y qué hacer al respecto
2. Huecos en las herramientas y prácticas de seguridad
Hoy en día, las herramientas y prácticas habituales no son suficientes para asegurar nuestras redes. Aunque cada una de ellas es útil, todas dejan a los equipos con importantes huecos de cobertura:
- Pruebas de penetración
- Evaluaciones
- Auditorías
- Monitoreo del directorio activo
- SIEM
- Análisis del comportamiento de los usuarios
- Inteligencia artificial
- Detección y respuesta de puntos finales (EDR) y antivirus (AV)
Muchas de estas soluciones ofrecen una visibilidad puntual, lo que significa que los resultados quedan rápidamente obsoletos. Otras pueden ser más continuas, pero no profundizan en la infraestructura de la red para dar información al nivel que ve el atacante.
3. Active Directory como una vía de acceso
Independientemente del punto de entrada al que se dirija un atacante de ransomware, Active Directory, o Directorio Activo en español, siempre está implicado como siguiente paso. Una y otra vez vemos pruebas forenses de que éste fue aprovechado para moverse lateralmente y obtener privilegios con el fin de desplegar el ransomware.
Por ejemplo, RYUK y Xing Locker (una variante de Mount Locker) necesitan específicamente que Active Directory esté involucrado; de lo contrario, estos ataques fallan. Los agresores se basan en él para lograr desplegar de su software malicioso.
Active Directory se encuentra en el centro de la autenticación y del acceso a los recursos para la mayoría de las organizaciones, otra razón clave por la que los atacantes lo aprovechan.
Sigue leyendo: ¿Cómo lograr activos seguros con una arquitectura de confianza cero?
3 pasos para reducir el riesgo de ransomware
Dentro de las recomendaciones, al prestar atención a estas 3 tendencias y al abordar las herramientas clave de la infraestructura que atraen a los atacantes, podremos ver y centrarnos en lo que los ellos tienen como objetivo. Por ello:
-
Es necesario asegurar todo el entorno, inmediatamente. Resulta fácil de decir, pero no tan sencillo de hacer. El hardware existente, los sistemas operativos, las aplicaciones, el software y el propio Active Directory deben estar protegidos. Los profesionales de la seguridad tienen que esperar que un atacante enumere y analice todos los aspectos de la red y prepararse en consecuencia.
-
El trabajo invertido en la seguridad de la red y de todos los dispositivos no tienen que desperdiciarse. Una vez que haya parcheado y asegurado las configuraciones en toda la red, incluido el Directorio Activo, estos esfuerzos deben mantenerse constantemente. Esto significa que se requiere llevar a cabo un análisis continuo y automático de las vulnerabilidades y configuraciones las 24 horas, para mantener la superficie de ataque lo más pequeña posible.
-
La capacidad de detectar ataques es vital. Los más sencillos, como el spray y adivinar contraseñas, conviene detectarlos tan pronto como se inicien para detenerlos inmediatamente. Asimismo, los más avanzados, como DCSync, DCShadow y Golden Ticket, que se utilizan para aprovechar Active Directory, tienen que identificarse en el momento en que se producen.
Por la naturaleza de estos ataques, muchas de las herramientas disponibles no pueden identificarlos correctamente. Sin embargo, se utilizan para la persistencia y las puertas traseras, así como para abrir nuevas vías de ataque. Se necesitan soluciones sofisticadas para llenar estos huecos de monitoreo y detección.
Es mucho lo que se puede hacer como empresa para mitigar los riesgos de estos ataques cada vez más sofisticados. ¿El primer paso? Identificar qué se puede realizar internamente y qué resulta necesario dejar en manos de los expertos en seguridad.
¿Qué tan preparada está tu organización para prevenir ataques de ransomware?
Conozca más sobre cómo interrumpir las rutas de ataque en la siguiente POC: