Llegamos a ustedes gracias a:



Noticias

Tenable presenta Tenable.ad para proteger los Active Directory

[18/08/2021] Ayer se lanzó Tenable.ad, la herramienta que la firma Tenable ha lanzado para proteger uno de los puntos de ataque más frecuentes en las organizaciones: el Active Directory (AD). Efectivamente, este espacio en ocasiones poco discutido ha sido objeto de numerosos ataques de hackers que buscan ingresar a la organización con el ánimo de robar su información o su dinero.

Luis Isselin, territory account manager México; Hermes Romero, regional sales director; y Omar Alcalá, director de Ingeniería de Tenable para Latam, durante la presentación de Tenable.ad.

En un evento de carácter regional, la firma a través de sus ejecutivos (Hermes Romero, regional sales director; Luis Isselin, territory account manager México; y Omar Alcalá, director de Ingeniería de Tenable para Latam) ofreció dos presentaciones en las que señaló como proteger contra los ataques de ransomware y cuáles son las prácticas para minimizar los riesgos de ataque.

Contra el ransomware

Los ataques a Active Directory se han multiplicado recientemente, y es que es una puerta que los ciberdelincuentes tratan de usar para ingresar a la empresa. Ante este escenario, Derek Melber, chief technology and security strategist de Tenable mostró la forma de protegerse contra estos ataques: proteger a Active Directory contra las vulnerabilidades y malas configuraciones.

Todo comienza con las tácticas de preataque, señaló el ejecutivo. "En ellas se produce un ataque inicial que busca realizar la entrega de un payload -a través de un phishing, por ejemplo, explotación de una vulnerabilidad o error de configuración- para poder acceder al sistema. Obviamente, cuando los atacantes acceden al sistema no acceden directamente al objetivo que persiguen, sino que requieren de otras acciones para llegar ahí como los movimientos laterales, el escalamiento de privilegios, la recolección de datos y otros.

Contra estas acciones, Melber ofreció una serie de contramedidas que se distinguen de acuerdo a las acciones que van a enfrentar. Por ejemplo, en la primera etapa en la que los atacantes se dedican a reconocer el objetivo y realizar acciones de phishing, se tiene que educar a los usuarios y reforzar la seguridad del correo electrónico.

Para las siguientes etapas (compromiso del punto de entrada inicial, escalada en los privilegios locales y cartografía de la infraestructura de la compañía), recomendó gestionar las vulnerabilidades lo cual implica el uso de un antivirus, reducir los privilegios, establecer que los usuarios no sean administradores y la restricción de las aplicaciones, entre otras medidas. "Y así, se deben seguir gestionando las vulnerabilidades para enfrentar los movimientos laterales, el uso de credenciales en cuentas privilegiadas, el incremento de privilegios en Active Directory, y la continua explotación de estas vulnerabilidades; es decir, lo que se conoce como persistence backdooring, sostuvo el ejecutivo.

Señaló que hay que prestar especial atención a los llamados 'puntos de acceso'; es decir, aquellos que usan los cibercriminales para acceder a la organización. A ellos se llega mediante el uso de phishing, la explotación de vulnerabilidades, pero también gracias a la explotación de los errores en la configuración.

"Otro punto a tomar en cuenta son las tácticas que usan los ciberdelincuentes una vez que ya lograron entrar. Aquí se encuentran los movimientos laterales, la obtención de privilegios locales y el escalamiento de estos privilegios. Y un tercer punto a considerar son los propios ataques a AD una vez que ya se encuentran dentro: la enumeración de Active Directory y de toda su configuración, el análisis de Active Directory para encontrar el blanco más fácil y la evasión de los análisis de los registros, explicó Melber.

¿Por qué tanto énfasis en AD? Porque es importante para los atacantes, sostuvo el expositor. Melber recordó que el análisis del ataque a SolarWinds reveló que el código malicioso determina si el sistema atacado tiene conexión con AD, si no la tiene simplemente no se ejecuta, el ataque cesa.

Entonces, ¿cómo asegurar a AD? Melber señaló tres pasos. El primero consiste en mitigar las amenazas existentes; es decir, descubrir, mapear y calificar las debilidades existentes, además de seguir paso a paso las tácticas de remediación y evitar los ataques.

El segundo paso consiste en mejorar la seguridad y mantener ese nivel de seguridad. Para ello es necesario identificar continuamente nuevas vulnerabilidades y los errores de configuración, además de romper las trayectorias del ataque y revisar continuamente la exposición a las amenazas. Por último, como tercer paso, es necesario contar con alertas y planes de remediación para los ataques contra AD. Además, es necesario ayudar al equipo del SOC a visualizar las notificaciones y alertas del SIEM.

Jorge Patrinicola, security sales engineer de Tenable.
Tenable, Active Directory, Tenable.ad
Tenable.ad y las mejores prácticas

Si Melber señaló lo que podría pasar durante un ataque y lo que, en líneas generales, se puede hacer para enfrentar ese ataque, Jorge Patrinicola, security sales engineer de Tenable, fue más específico: ofreció un conjunto de mejores prácticas.

Pero primero un poco de contexto. Active Directory tiene tal importancia para los atacantes primero porque su creador, Microsoft, sigue siendo el actor más importante en este campo -el 95% de las empresas de la lista Fortune 100 lo usan- y, segundo, porque Active Directory es la columna vertebral para el acceso en la mayoría de las organizaciones.

Es más, los problemas parten incluso antes que los ataques. Como sostuvo el expositor, el 80% de las organizaciones globales auditadas por problemas con AD tenían errores de configuración críticos, lo que convierte a AD en un vector de ataque.

¿Qué hacer entonces? Tomar en consideración una serie de factores que Patrinicola agrupó bajo el nombre de la "Ciberhigiene de AD, y que son las responsables de que aumente el riesgo de ataque. Estas acciones son: los sistemas operativos heredados, la mala gestión de vulnerabilidades y parches, las políticas de contraseñas débiles, las cuentas de usuario obsoletas, las cuentas de usuario que permiten tener una contraseña vacía, las cuentas de administrador local configuradas con una contraseña común, el exceso de pertenencia a grupos privilegiados, los privilegios excesivos asignados a áreas críticas de AD, el cifrado PKI débil, las cuentas de servicio con alto nivel de privilegio que tengan SPN, las delegaciones Kerberos y las contraseñas de las cuentas KRBTGT.

"El problema es que son muchos factores a tomar en consideración y revisar, simplemente las organizaciones no tienen el tiempo para revisar su entorno manualmente y los atacantes saben esto y lo explotan, sostuvo el ejevutivo.

Por ello, lo que recomendó es utilizar una herramienta que permita dar visibilidad a todos estos factores, ahí es donde entra Tenable.ad. "Esta herramienta utiliza indicadores de exposición; es decir, ofrece visibilidad de cualquier cambio en Active Directory que generen un desvío en su seguridad y, por supuesto, genera alertas, explicó Patrinicola.

La herramienta, añadió, cuenta con más de 40 indicadores de exposición para garantizar la ciberhigiene de AD, y expone en tiempo real las desviaciones en la seguridad. Es más, no solo expone estas desviaciones, sino que las clasifica en crítica, alto, medio y bajo, de acuerdo a su criticidad, y en su grado de complejidad. "En general, la solución ofrece encontrar y reparar las deficiencias existentes, desenmascarar las nuevas vías de ataque, detectar los ataques en curso en tiempo real e investigar los incidentes y rastrear las amenazas, finalizó Patrinicola.