Ahora que el mes de la ciberseguridad llega a su fin, Anssi acaba de publicar una guía muy esperada por los responsables de TI (administradores, CISO y CIO). Es “Recomendaciones relativas a la administración segura de SI basados en Microsoft Active Directory”. Esto último concentra mucho interés para los ciberdelincuentes que, mediante movimientos laterales y elevaciones de privilegios, acceden al directorio de servicios de una empresa o de una administración.
La agencia hace una observación clara al enfatizar que “los compromisos del EI basados en DA son el resultado de la aplicación de malas prácticas administrativas y de una compartimentación insuficiente”. Para ella, esta guía debería servir para concienciar sobre la aplicación de medidas de seguridad específicas para la EA. Además, es imperativo dividir al EI en una zona de confianza. Por último, proteger AD debe ir de la mano de proteger los vectores (infraestructuras de almacenamiento, backup o virtualización). Tenga en cuenta que la guía no cubre el aspecto de la nube con Azure AD (ahora Entra ID).
Alertas y herramientas
En su informe, Anssi detalla los distintos puntos, recomendando buenas prácticas pero también señalando las malas. Por ejemplo, muchas empresas “confían excesivamente en la partición de la red para garantizar la partición de un IS basado en un directorio AD”. El problema es que para funcionar AD debe acceder a diferentes protocolos de comunicaciones (RPC, SMB, Kerberos, etc.). Sin embargo, los firewalls de red “deben autorizar estos protocolos para el correcto funcionamiento del AD, pero no controlan el contenido que puede ser legítimo o malicioso”, observa.
Anssi también aprovecha para promocionar sus herramientas de código abierto como ADS (Active Directory Security). Esta es una solución para escanear el directorio AD para determinar rutas de control. Disponible para la OIV y las administraciones, está destinado a ser utilizado por el mayor número de personas posible. Existen otras soluciones como Ping Castle o Alsid (creada por ex empleados de Anssi y luego comprada por Tenable). También se tienden puentes con otras publicaciones del policía de ciberseguridad. En febrero de 2022, presentó “recomendaciones de seguridad para registrar la actividad de los sistemas Microsoft Windows en un entorno de Active Directory”.
Seguridad reforzada y pooling controlado
Las cuestiones de protección de secretos, gestión de contraseñas y los peligros relacionados con el uso de los protocolos de autenticación NTLM o Kerberos constituyen una parte importante de las recomendaciones. En cuanto al primero, las noticias recientes muestran que Microsoft planea desaprobar NTLM en Windows 11 para evitar ataques de retransmisión. Al mismo tiempo, el editor reforzará las funcionalidades de Kerberos que pueden estar sujetas a ataques llamados “Kerberoasting”.
Finalmente, un capítulo final se centra en las opciones arquitectónicas y las cuestiones de uso compartido. Según el regulador, existen varios niveles: “Administrar diferentes zonas de confianza desde la misma estación de administración es un ejemplo de pooling tentador desde un punto de vista práctico o presupuestario”. Pero "este también es el caso de la administración de varios EI de la misma administración EI para limitar la multiplicación de puestos administrativos", desliza. En este contexto, Anssi se centra en particular en la superficie de ataque de los clientes de conexión remota (endurecimiento, restricción, etc.) y en la agrupación de estaciones de administración.
Otras noticias que te pueden interesar