Cómo proteger Active Directory contra los ataques de ransomware

El ransomware ataca a todas las organizaciones desde cualquier ángulo y Active Directory permanece siendo el blanco común. Detenga la escalación de privilegios al arreglar estas configuraciones incorrectas clave en AD y Política de grupo.

El ransomware ha afectado a todos los tipos de organizaciones en el mundo. También ha cambiado drásticamente, ingresando a la empresa desde casi todos los ángulos, siendo que los atacantes aprovechan los datos robados publicándolos en Internet para obligar a las víctimas a pagar. En la mayoría de los casos (ver SolarWinds y XingLocker), Active Directory (AD) se ataca para que el agresor pueda distribuir fácilmente el ransomware después de obtener privilegios de dominio. Sin embargo, hay maneras de ayudar a proteger Active Directory para evitar que el ransomware cumpla sus objetivos.

Se pueden proteger diferentes áreas dentro de Active Directory, lo que incrementará la seguridad general de la empresa y reducirá el riesgo para la seguridad al mismo tiempo. Específicamente, se pueden proteger las siguientes configuraciones en torno a objetos de AD. Así es cómo:

• Las configuraciones incorrectas de los atributos de usuarios necesitan repararse.

• Las configuraciones incorrectas de los grupos necesitan repararse.

• Los grupos privilegiados necesitan limpiarse.

• Los procesos de AD deben tener configuraciones correctas (ej. SDProp).

• Los Nombres de entidad de seguridad de servicio (SPN) deben ser protegidos (se muestran en la Figura 1).

• Las relaciones de confianza deben corregirse y protegerse.

• El atributo SidHistory debe ser limpiado para los usuarios.


Figura 1. Cuenta de usuario con Nombre de entidad de seguridad de servicio (SPN)

Además, AD y la Política de grupo pueden protegerse para asegurar que el atacante no pueda aprovechar las configuraciones incorrectas y las áreas donde la escalación de privilegios pueda lograrse. Así es cómo:

• Las relaciones de confianza de AD deben verificarse y protegerse (se muestran en la Figura 2).

• Las delegaciones de AD deben limpiarse.

• Las delegaciones de política de grupo deben limpiarse.

• Los componentes estructurales de política de grupo deben protegerse.

• Las configuraciones de seguridad implementadas por objetos de política de grupo deben habilitarse.


Figura 2. Las fusiones y adquisiciones pueden afectar a las relaciones de confianza; además, las relaciones de confianza entre dominios deben protegerse.

A final de cuentas, los atacantes desean obtener privilegios. Una vez que se obtienen los privilegios, quieren crear puertas traseras. El poder detectar estos tipos de ataques a AD es fundamental. A continuación presentamos algunas de las acciones que los administradores de AD y los profesionales de seguridad pueden emprender para interrumpir las rutas de ataque:

• Asegure que la membresía a grupos privilegiados sea monitoreada.

• Detecte ataques de DCShadow y DCSync.

• Ataques Golden Ticket (ilustrados en la Figura 3).

• Detecte los ataques de movimiento lateral.

• Detecte configuraciones peligrosas SIDHistory y PrimaryGroupID.


Figura 3. Tenable.ad puede detectar los ataques avanzados en Active Directory, en tiempo real, sin agentes ni privilegios.

Hay tecnología disponible para analizar y detectar continua y automáticamente seguridad y rutas de ataque de AD. Para obtener más información de cómo puede ayudar Tenable.ad, vea este seminario web: Presentación de Tenable.ad – Proteja su Active Directory e interrumpa las rutas de ataque.

Más información

• Ver el seminario web: Presentación de Tenable.ad – Proteja su Active Directory e interrumpa las rutas de ataque.
• Descargue el libro electrónico: Evite pagar una fortuna: cómo parar la propagación del ransomware vía AD.
• Lea las publicaciones de blog de Active Directory.