Cómo proteger Active Directory contra los ataques de ransomware
El ransomware ataca a todas las organizaciones desde cualquier ángulo y Active Directory permanece siendo el blanco común. Detenga la escalación de privilegios al arreglar estas configuraciones incorrectas clave en AD y Política de grupo.
El ransomware ha afectado a todos los tipos de organizaciones en el mundo. También ha cambiado drásticamente, ingresando a la empresa desde casi todos los ángulos, siendo que los atacantes aprovechan los datos robados publicándolos en Internet para obligar a las víctimas a pagar. En la mayoría de los casos (ver SolarWinds y XingLocker), Active Directory (AD) se ataca para que el agresor pueda distribuir fácilmente el ransomware después de obtener privilegios de dominio. Sin embargo, hay maneras de ayudar a proteger Active Directory para evitar que el ransomware cumpla sus objetivos.
Se pueden proteger diferentes áreas dentro de Active Directory, lo que incrementará la seguridad general de la empresa y reducirá el riesgo para la seguridad al mismo tiempo. Específicamente, se pueden proteger las siguientes configuraciones en torno a objetos de AD. Así es cómo:
- Las configuraciones incorrectas de los atributos de usuarios necesitan repararse.
- Las configuraciones incorrectas de los grupos necesitan repararse.
- Los grupos privilegiados necesitan limpiarse.
- Los procesos de AD deben tener configuraciones correctas (ej. SDProp).
- Los Nombres de entidad de seguridad de servicio (SPN) deben ser protegidos (se muestran en la Figura 1).
- Las relaciones de confianza deben corregirse y protegerse.
- El atributo SidHistory debe ser limpiado para los usuarios.
Figura 1. Cuenta de usuario con Nombre de entidad de seguridad de servicio (SPN)
Además, AD y la Política de grupo pueden protegerse para asegurar que el atacante no pueda aprovechar las configuraciones incorrectas y las áreas donde la escalación de privilegios pueda lograrse. Así es cómo:
- Las relaciones de confianza de AD deben verificarse y protegerse (se muestran en la Figura 2).
- Las delegaciones de AD deben limpiarse.
- Las delegaciones de política de grupo deben limpiarse.
- Los componentes estructurales de política de grupo deben protegerse.
- Las configuraciones de seguridad implementadas por objetos de política de grupo deben habilitarse.
Figura 2. Las fusiones y adquisiciones pueden afectar a las relaciones de confianza; además, las relaciones de confianza entre dominios deben protegerse.
A final de cuentas, los atacantes desean obtener privilegios. Una vez que se obtienen los privilegios, quieren crear puertas traseras. El poder detectar estos tipos de ataques a AD es fundamental. A continuación presentamos algunas de las acciones que los administradores de AD y los profesionales de seguridad pueden emprender para interrumpir las rutas de ataque:
- Asegure que la membresía a grupos privilegiados sea monitoreada.
- Detecte ataques de DCShadow y DCSync.
- Ataques Golden Ticket (ilustrados en la Figura 3).
- Detecte los ataques de movimiento lateral.
- Detecte configuraciones peligrosas SIDHistory y PrimaryGroupID.
Figura 3. Tenable.ad puede detectar los ataques avanzados en Active Directory, en tiempo real, sin agentes ni privilegios.
Hay tecnología disponible para analizar y detectar continua y automáticamente seguridad y rutas de ataque de AD. Para obtener más información de cómo puede ayudar Tenable.ad, vea este seminario web: Presentación de Tenable.ad – Proteja su Active Directory e interrumpa las rutas de ataque.
Más información
- Ver el seminario web: Presentación de Tenable.ad – Proteja su Active Directory e interrumpa las rutas de ataque.
- Descargue el libro electrónico: Evite pagar una fortuna: cómo parar la propagación del ransomware vía AD.
- Lea las publicaciones de blog de Active Directory.
Artículos relacionados
Cybersecurity Snapshot: CISA Shines Light on Cloud Security and on Hybrid IAM Systems’ Integration
March 15, 2024Check out CISA’s latest best practices for protecting cloud environments, and for securely integrating on-prem and cloud IAM systems. Plus, catch up on the ongoing Midnight Blizzard attack against Microsoft. And don’t miss the latest CIS Benchmarks. And much more!
Poor Identity Hygiene at Root of Nation-State Attack Against Microsoft
February 1, 2024The latest breach suffered by Microsoft shows once again that detection and response are not enough. Because the source of an attack almost always boils down to a single overlooked user and permission, it’s critical for organizations to have strong preventive security.
Cybersecurity Snapshot: What’s in Store for 2024 in Cyberland? Check Out Tenable Experts’ Predictions for OT Security, AI, Cloud Security, IAM and more
December 29, 2023The new year is upon us, and so we ponder the question: What cybersecurity trends will shape 2024? To find out, we asked Tenable experts to read the tea leaves. Their 2024 forecasts include: A bigger security role for cloud architects; a focus by ransomware gangs on OT systems in critical industries; an intensification of IAM attacks; and much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Active Directory
- Government
- Threat Management