Cómo proteger Active Directory contra los ataques de ransomware
El ransomware ataca a todas las organizaciones desde cualquier ángulo y Active Directory permanece siendo el blanco común. Detenga la escalación de privilegios al arreglar estas configuraciones incorrectas clave en AD y Política de grupo.
El ransomware ha afectado a todos los tipos de organizaciones en el mundo. También ha cambiado drásticamente, ingresando a la empresa desde casi todos los ángulos, siendo que los atacantes aprovechan los datos robados publicándolos en Internet para obligar a las víctimas a pagar. En la mayoría de los casos (ver SolarWinds y XingLocker), Active Directory (AD) se ataca para que el agresor pueda distribuir fácilmente el ransomware después de obtener privilegios de dominio. Sin embargo, hay maneras de ayudar a proteger Active Directory para evitar que el ransomware cumpla sus objetivos.
Se pueden proteger diferentes áreas dentro de Active Directory, lo que incrementará la seguridad general de la empresa y reducirá el riesgo para la seguridad al mismo tiempo. Específicamente, se pueden proteger las siguientes configuraciones en torno a objetos de AD. Así es cómo:
- Las configuraciones incorrectas de los atributos de usuarios necesitan repararse.
- Las configuraciones incorrectas de los grupos necesitan repararse.
- Los grupos privilegiados necesitan limpiarse.
- Los procesos de AD deben tener configuraciones correctas (ej. SDProp).
- Los Nombres de entidad de seguridad de servicio (SPN) deben ser protegidos (se muestran en la Figura 1).
- Las relaciones de confianza deben corregirse y protegerse.
- El atributo SidHistory debe ser limpiado para los usuarios.
Figura 1. Cuenta de usuario con Nombre de entidad de seguridad de servicio (SPN)
Además, AD y la Política de grupo pueden protegerse para asegurar que el atacante no pueda aprovechar las configuraciones incorrectas y las áreas donde la escalación de privilegios pueda lograrse. Así es cómo:
- Las relaciones de confianza de AD deben verificarse y protegerse (se muestran en la Figura 2).
- Las delegaciones de AD deben limpiarse.
- Las delegaciones de política de grupo deben limpiarse.
- Los componentes estructurales de política de grupo deben protegerse.
- Las configuraciones de seguridad implementadas por objetos de política de grupo deben habilitarse.
Figura 2. Las fusiones y adquisiciones pueden afectar a las relaciones de confianza; además, las relaciones de confianza entre dominios deben protegerse.
A final de cuentas, los atacantes desean obtener privilegios. Una vez que se obtienen los privilegios, quieren crear puertas traseras. El poder detectar estos tipos de ataques a AD es fundamental. A continuación presentamos algunas de las acciones que los administradores de AD y los profesionales de seguridad pueden emprender para interrumpir las rutas de ataque:
- Asegure que la membresía a grupos privilegiados sea monitoreada.
- Detecte ataques de DCShadow y DCSync.
- Ataques Golden Ticket (ilustrados en la Figura 3).
- Detecte los ataques de movimiento lateral.
- Detecte configuraciones peligrosas SIDHistory y PrimaryGroupID.
Figura 3. Tenable.ad puede detectar los ataques avanzados en Active Directory, en tiempo real, sin agentes ni privilegios.
Hay tecnología disponible para analizar y detectar continua y automáticamente seguridad y rutas de ataque de AD. Para obtener más información de cómo puede ayudar Tenable.ad, vea este seminario web: Presentación de Tenable.ad – Proteja su Active Directory e interrumpa las rutas de ataque.
Más información
- Ver el seminario web: Presentación de Tenable.ad – Proteja su Active Directory e interrumpa las rutas de ataque.
- Descargue el libro electrónico: Evite pagar una fortuna: cómo parar la propagación del ransomware vía AD.
- Lea las publicaciones de blog de Active Directory.
Artículos relacionados
- Active Directory
- Government
- Threat Management