El directorio activo alberga datos sensibles de los usuarios y los cibercriminales lo saben, es por ello por lo que cada vez más son un blanco de ataques y es de vital importancia considerar su protección, sobre todo si se cuenta con modelos híbridos, en los que la nube puede ser un factor de riesgo añadido, si no se establecen las configuraciones adecuadas.
Pero comencemos por el principio.
¿Qué es un Directorio Activo?
El Directorio Activo es una herramienta de Microsoft que contiene datos y diversos servicios. Esta base de datos contiene información sensible y detallada de los contactos, o bien, de los equipos existentes y su función es facilitar el acceso a esta información a los usuarios y administradores. Además, tiene servicios de gestión de accesos, así como de autenticación para verificar identidades.
A través de un directorio activo los usuarios pueden autenticarse una vez y con ello acceder a una red. Un servicio muy común del directorio activo es, por ejemplo: el Active Directory es Active Directory Domain Services (AD DS), de Windows Server y sus controladores de dominio (DC).
Ahora bien, un Directorio Activo es diferente a los de la nube, ya que estos son de entornos locales en Microsoft y los de nube están en Azure, los Azure AD, que funcionan de forma independiente pero que se comunican entre sí en entornos híbridos.
Seguridad en la identidad
En estos modelos híbridos la seguridad es imprescindible ya que están expuestas a ataques sobre todo si no están configurados de forma correcta.
No obstante, ningún tipo de sistema el 100% seguro, es, que la identidad se ha convertido en la primera barrera de defensa para detener a los cibercriminales.
Por el tipo de información el Directorio Activo es un blanco muy atractivo para los atacantes, ya que con ellos pueden acceder a la red y luego ir moviéndose lateralmente. Según datos de la empresa SentinelOne el 80% de los ciberataques aprovechan las brechas existentes en la seguridad de la identidad, con ello logran tener accesos privilegiados.
Este es un método común con el que los cibercriminales pueden burlar el antivirus y el firewall, y cualquier tipo de protección en el perímetro, debido a que logran entrar con accesos válidos.
Otro dato relevante que revela la misma empresa es que tan sólo un 33% de las organizaciones dicen estar protegidas contra ataques al AD en tiempo real, a pesar de que todas reconocen que es una prioridad en sus implementaciones de seguridad.
Lo ideal para mantenerse protegido es tener mayor visibilidad y conocer lo expuestos que están los usuarios, tanto dentro de la red local como en la nube. Lo anterior para realizar comprobaciones automatizadas a los riesgos de los usuarios, con lo que se puede detectar si están entrando por la puerta trasera para contaminar con malware las redes del usuario.
En el mercado existen soluciones que ayudan a limitar las acciones de los cibercriminales; funcionan evitando que los objetivos sensibles sean detectados y que les sea difícil explotar las brechas en las configuraciones, asimismo, ayudan a detectar los movimientos laterales, y detectan cuando se hace uso indebido de las credenciales de un usuario y presencia en la red.
Recomendaciones para proteger al Directorio Activo
A continuación le dejamos algunas recomendaciones de protección al AD:
- Establecer políticas de seguridad.
- Tener un inventario claro de los dispositivos y usuarios, con un sistema de nomenclatura.
- Detallar un sistema de jerarquías de usuarios.
- Establecer la configuración del DNS y del DHCP.
- Detallar cada una de las funciones del AD.
- Contar con una política de organización y restricciones de usuario.
- Entrenar a los usuarios para que reconozcan una intención de ataque, por ejemplo, de phishing.
- Evitar cambios en las configuraciones.
- Limitar las cuentas administrativas.
- Configurar la red desde un equipo seguro sin acceso a Internet.
- Realizar todas las actualizaciones en los sistemas y aplicaciones.
- Establecer modelos de menor privilegio.
Lo más importante es estar monitoreando siempre la seguridad del Directorio Activo, para ello Microsoft lanza recomendaciones para hacerlo, pero lo mejor es contar con un socio especializado como lo es Cybolt, para asegurar que todo está bajo control, que cuenta con los parcheos adecuados de los sistemas, las configuraciones correctas, las actualizaciones que requiere en sus sistemas y aplicaciones, o bien de los cambios e ingresos que están pasando en los centros de distribución. Contamos con un área especializada que puede ayudarlo a proteger su Directorio Activo.
¡Contáctenos!
