Attack Path Management: Securizar el Active Directory
Tabla de contenidos
Conti, SaveTheQueen, Quantum, Samas, Maze, Bublebee… En los últimos años, diversos ransomware han sido empleados para atacar el Active Directory de las compañías y propagarse por sus sistemas. Lo que ha permitido a los ciberdelincuentes llevar a cabo acciones como el secuestro de información confidencial. Esta tendencia ha evidenciado la necesidad de contar con procesos de Attack Path Management para detectar las posibles rutas de ataque, fortalecer las capas de seguridad y lograr securizar un activo crítico para las compañías como es el AD.
Sin ir más lejos, la posibilidad de atacar Kerberos, un protocolo de autenticación ampliamente utilizado en el Active Directory, ha servido para poner en la palestra la necesidad de implementar mecanismos de seguridad para evitar que los ciberataques contra el AD tengan éxito.
Más si cabe, teniendo en cuenta, que el Active Directory es dinámico. Constantemente se introducen nuevos elementos y configuraciones. De tal forma que una evaluación de seguridad realizada en un determinado momento puede haber caducado, al no haber analizado los cambios llevados a cabo desde ese instante hasta la actualidad. Ya sea por la existencia de nuevos vectores de ataque o dado el dinamismo de este tipo de entornos como consecuencia del despliegue de nuevas políticas, configuraciones o servicios que cuenten con parametrizaciones inseguras.
El Attack Path Management tiene en cuenta esta realidad, permitiendo analizar de forma continua las posibles rutas de ataque contra el AD, ayudando a las compañías a anticiparse a las acciones maliciosas de los delincuentes y securizar su Active Directory y, con él, al conjunto de la organización.
Hoy vamos a analizar en qué consiste el Attack Path Management y cómo puede contribuir a evitar que ataques de ransomware o posibles intrusiones sean efectivas y permitan su propagación a través de los servicios de Active Directory de las compañías.
1. Active Directory: Esencial para las empresas y un target para los malos
Comencemos por el principio, ¿qué es exactamente el Active Directory? Se trata de un servicio empresarial creado por Microsoft que consiste en una estructura jerárquica en la que se centraliza y almacena información acerca de usuarios, equipos/servidores, servicios, recursos compartidos y desde la cual se gestiona de forma integral todos los aspectos que afectan a la infraestructura Windows.
La infraestructura de dominio de Active Directory es el eje central sobre el que se sustenta en buena medida gran parte de la información corporativa. Los datos no solo se almacenan, sino que se ponen a disposición de usuarios y administradores de dicha red. Hablamos de credenciales tanto personales como de servicios, información almacenada en los servicios de directorio, bases de datos, así como cualquier tipo de información almacenada en servidores de ficheros cuya configuración de controles de acceso acaban dependiendo directamente de las configuraciones establecidas en los servicios de Active Directory.
Para proteger estos datos, de vital importancia para cualquier empresa, el Active Directory dispone de servicios de dominio:
- Protocolos de autenticación (como Kerberos), para garantizar que la persona que accede a la red es quien dice ser.
- Modelo de autorización, para establecer quién puede acceder a un determinado recurso o información (por ejemplo, un documento).
De tal forma que Active Directory es empleado para almacenar y sistematizar los datos que emplean los profesionales de una organización para trabajar. De ahí que sea, a la vez, esencial para las compañías y un target extremadamente atractivo para los ciberdelincuentes.
Explotar vulnerabilidades presentes en el Active Directory, abre a los actores maliciosos las puertas de una organización, pudiendo emplear ransomware para infectar a usuarios y equipos, robar credenciales, escalar privilegios, cometer fraudes o incluso paralizar la actividad de una organización.
1.1. ¿Por qué el AD es una vía de ataque atractiva para los malos?
Además, el Active Directory es una vía de ataque especialmente interesante porque:
- Conduce a los delincuentes hacia sus objetivos (espiar, secuestrar datos…).
- La detección es compleja, porque los actores maliciosos se benefician, por ejemplo, de la deficiente gestión de permisos de seguridad de una red corporativa. Así como de posibles deficiencias en modelos de auditoría o trazabilidad de eventos que puedan suceder en la infraestructura. Estas situaciones dan lugar a que las técnicas de evasión empleadas por los atacantes puedan ser más fructíferas.
- Las opciones de persistencia son mayores, posibilitando llevar a cabo ataques más complejos y que requieran persistir en la red durante un mayor periodo de tiempo.
- Muchas organizaciones se centran en securizar su perímetro de seguridad, descuidando la seguridad dentro de la red.
2. Rutas de ataque: Conseguir el mapa del tesoro antes que los piratas
Como saben todas las personas que vieron de pequeñas Los Goonies, no hay nada más importante para los piratas que el mapa del tesoro. Para conseguir que no se hagan con él, es fundamental descubrir la ruta hacia el tesoro antes que ellos. En lo que respecta a las rutas de ataque contra una red corporativa sucede algo similar. Los delincuentes se afanan en descubrir rutas que les permiten cumplir con sus maliciosos objetivos.
Estas rutas van más allá de encontrar vectores de ataque. De hecho, esto solo es el inicio de la ruta. Como si el vector funcionase como la puerta de entrada a la cueva en la que se esconde el tesoro.
Ello se debe a que las rutas incluyen los pasos a dar para desarrollar las tácticas de ataque (escalado de privilegios, movimiento lateral, persistencia) hasta llevar a cabo las acciones concretas: exfiltrar información, secuestrar datos, paralizar la compañía y amenazar la continuidad de negocio…
De ahí que sea un error centrar todos los recursos en materia de ciberseguridad en proteger el perímetro de una organización, descuidando los mecanismos de seguridad internos. O, dicho de otra forma, los controles de detección y prevención de ataques a partir de la fase de explotación de la Cyber Kill Chain.
En cambio, el Attack Path Management se centra en detectar y analizar las rutas de ataque a lo largo de toda su extensión, facilitando la identificación de debilidades en el Active Directory que pudieran permitir completar todas las fases del ciclo de vida de un ciberataque.
3. Attack Path Management: Proteger las redes corporativas de forma proactiva
El Attack Path Management subsana la tendencia tradicional a focalizarse en fortificar el perímetro de los sistemas y redes, optando por una visión más integral de los ataques y las rutas que siguen los actores maliciosos para conseguir sus objetivos.
Frente a la gestión de las vulnerabilidades, centrada en detectar y mitigar las vulnerabilidades de un sistema que pueden ser explotadas por los agresores, el Attack Path Management se focaliza en comprender cómo actúan estos actores y cuáles son las debilidades que les pueden resultar útiles para pasar de una fase a la siguiente de la Cyber Kill Chain.
De tal manera que no se listan las vulnerabilidades de una red, sino que se mapea la red para identificar las diferentes rutas hacia el tesoro: los activos de la empresa. Y la forma de apoderarse de ellos: robar información estratégica, provocar la inactividad de los profesionales y la compañía…
Esta tarea ha de ser continua y tiene como misión securizar la red, tanto externa como interna.
Una vulnerabilidad, tratada de forma individualizada, puede no suponer un riesgo para la seguridad de la compañía. Sin embargo, si un actor malicioso explota diversas vulnerabilidades, sí puede confeccionar una ruta de ataque efectiva.
3.1. Tener en cuenta los errores de configuración
Conviene hacer especial mención a lo siguiente: En muchas ocasiones se suele pensar que las vulnerabilidades proceden únicamente de deficiencias de seguridad en el desarrollo software. Sin embargo, en el contexto de infraestructuras de Active Directory, gran cantidad de las vulnerabilidades proceden de deficiencias en la aplicación de directivas de seguridad o errores de configuración aplicados por parte de los administradores de sistemas de forma no intencionada, pero cuyas repercusiones pueden ser críticas para el negocio.
De ahí que el Attack Path Management se centre en visualizar las amenazas desde una óptima amplia, diseccionando los procesos y las relaciones entre los elementos del Active Directory. Para ello, es necesario realizar un análisis exhaustivo y continuo de:
- Usuarios
- Dispositivos
- Grupos de seguridad
- Derechos sobre los objetos del Active Directory que pueden ser vulnerados.
- Políticas del AD
- Sesiones activas en sistemas críticas por parte de usuarios privilegiados
- Sobreasignación de privilegios en cuentas de usuario
- Errores de configuración…
3.2. Visualizar los ataques antes de que se produzcan
En el relato futurista Minority Report, de Philip K. Dick, la policía contaba con tres mutantes que podían prever los delitos antes de que ocurriesen. Salvando las inmensas distancias entre la ficción distópica y la realidad de la lucha contra los ciberataques, el Attack Path Management sirve, precisamente, para previsualizar cómo se puede desarrollar un ataque antes de que suceda.
De tal forma que, por una parte, la organización pueda emprender las acciones de mitigación necesarias para prevenirlo. Y, por otra, que, en caso de que el incidente de seguridad se produzca, las capacidades de detección y respuesta estén optimizadas para expulsar a los actores maliciosos a la mayor brevedad de tiempo.
3.3. Mapear las rutas de ataque para bloquear puntos clave
Las rutas de ataque pueden tender al infinito. Las infraestructuras de dominio Windows son elementos dinámicos, como ya señalamos, y los actores maliciosos diseñan técnicas, tácticas y procedimientos nuevos de forma constante. Bloquear cada ruta de ataque una a una no es operativo. En cambio, sí se pueden detectar patrones comunes en las rutas e identificar puntos en los que se pueden poner en marcha acciones para mitigar problemas y cortar el paso a los delincuentes.
Mediante el mapeo de las rutas de ataque, se logra representar de forma gráfica los pasos que pueden dar los agresores para llegar hasta los activos críticos de la compañía. Ello nos permite visualizar los puntos clave, también conocidos como puntos de estrangulamiento y poner en marcha acciones de forma anticipada antes de que pueda ocurrir una intrusión.
3.4. Priorizar la subsanación de problemas en las rutas de ataque más peligrosas
Cada ruta de ataque tiene sus propias especificidades. Entran en juego diferentes elementos y relaciones entre ellos. Las vulnerabilidades que se explotan son diversas. Y los activos críticos hacia los que conducen también difieren.
Por ello, el Attack Path Management no se limita a identificar las rutas de ataque y representarlas de forma gráfica, sino que también sirve para priorizarlas en función de su nivel de peligrosidad.
No es igual de preocupante una ruta de ataque que conduce a un determinado activo, cuyo nivel de criticidad para la empresa es bajo, que una ruta que facilita a los atacantes el control de todos los usuarios de la red corporativa y el acceso a una ingente cantidad de información valiosa, así como su exfiltración.
Cuando hablamos de priorizar las rutas de ataque, lo que realmente estamos señalando es la importancia de priorizar los recursos de una compañía para proteger a sus activos críticos y mitigar las debilidades más peligrosas para sus intereses.
3.5. Cortar la Cyber Kill Chain de los ataques cuanto antes
Intentar cortar la Cyber Kill Chain implica disponer de conocimientos y experiencia en ciberinteligencia y Threat Hunting para detectar y responder a los ataques de forma temprana.
Un Active Directory puede estar bien configurado y no presentar vulnerabilidades en materia de seguridad. Y, aun así, ser atacado con éxito. Por ejemplo, porque un ataque de phishing exitoso permitió obtener las credenciales de acceso de un usuario de la red que disponga de privilegios administrativos en la infraestructura. O porque se logró que un usuario ejecutara un ransomware, facilitando su propagación en la red corporativa.
Ambos casos son rutas de ataque perfectamente plausibles, que han de tenerse en cuenta de cara a implementar medidas de detección y respuesta en las primeras fases de la Cyber Kill Chain.
Cuanto más lejos lleguen los agresores, más graves serán las repercusiones del incidente de seguridad en la compañía: pérdidas económicas, menoscabo de la reputación empresarial, consecuencias legales…
4. Ocho beneficios del Attack Path Management
Considerar al Active Directory como target prioritario y, por lo tanto, gestionar las rutas para atacarlo, trae consigo una serie de beneficios para las empresas en su lucha por prevenir y mitigar las amenazas.
- Detectar debilidades de forma proactiva y priorizarlas. El análisis y mapeo de rutas de ataque evidencia qué debilidades pueden ser usadas para avanzar hacia el objetivo (malas configuraciones, política de permisos de seguridad deficiente…). Se han de priorizar los recursos para subsanar las debilidades que afectan a activos críticos.
- Constatar la ciberexposición de la organización. El Attack Path Management sirve para confeccionar una panorámica del nivel de exposición de una empresa y conocer por dónde puede sufrir una agresión.
- Comprender cómo pueden atacar los malos. Para mapear las rutas de ataque es fundamental entender cómo operan los actores maliciosos y qué técnicas, tácticas y procedimientos podrían emplear para atacar el Active Directory.
- Reducir riesgos. El Attack Path Management es de gran ayuda a la hora de identificar riesgos y subsanar vulnerabilidades antes de que sean explotadas.
- Optimizar las capas de defensa. El Attack Path Management tiene por objetivo central contribuir a mejorar las capas de defensa y proteger al Active Directory y a los activos críticos de la compañía.
- Frenar los ataques en una fase inicial. Cuanto antes se detecte un ataque, menor será la posibilidad de que tenga éxito y más limitado su impacto en la organización.
- Responder de forma eficaz ante los ciberataques. Si se conocen las rutas de ataque, es posible contar con medidas de respuesta más eficaces que contribuyan a expulsar a los actores maliciosos cuanto antes.
- Tomar decisiones en materia de seguridad, para proteger los activos frente a los ataques.
5. La continuidad del Attack Path Management
El Attack Path Management no debe entenderse como un servicio de ciberseguridad que se realiza durante un tiempo limitado y con una periodicidad determinada. Al igual que se considera que la gestión de vulnerabilidades ha de ser continua, el Attack Path Management también debe serlo. La búsqueda proactiva de rutas de ataque de forma continua contribuye a securizar las redes empresariales, detectar debilidades y tener en cuenta nuevas técnicas empleadas por los actores maliciosos.
No se trata, por lo tanto, de una tarea centrada en mapear rutas de ataque en un momento concreto, sino en una estrategia de identificación de rutas explotables, de cara a subsanar los problemas y evitar que los actores maliciosos puedan recorrer las rutas hasta acceder a los activos críticos de la organización.
Así, el Attack Path Management no solo se limita a encontrar vulnerabilidades, sino que sirve para comprender cómo actúan los actores maliciosos y saber qué estrategias pueden desplegar no solo para explotar un vector de ataque, sino también para realizar movimientos laterales, aumentar su capacidad de persistencia dentro de la red empresarial y tener éxito en sus objetivos: secuestrar o exfiltrar información, paralizar la actividad de la empresa…
En un contexto en el que los ataques ransomware contra el Active Directory de las compañías están al orden del día, el Attack Path Management debe realizarse de forma continua, identificando las nuevas rutas de ataque que pueden emplear los agresores. Sobre todo, en lo que respecta a las amenazas persistentes avanzadas. Es decir, los ataques más sofisticados que combinan diversas técnicas y tácticas para abrirse paso a través de las capas defensivas y propagar virus por toda la red corporativa.
5.1. Análisis de visibilidad y segmentación de red
Cabe destacar también, que en muchas ocasiones una segmentación de red eficiente puede limitar en gran medida ciertos vectores de ataque de una Cyber Kill Chain.
En este sentido, siempre es recomendable ejecutar análisis de visibilidad y segmentación de red de las infraestructuras corporativas. De cara a reducir la superficie de exposición de la infraestructura.
6. Servicios de advanced pentesting, simulación de ciberataques y threat intelligence: Descubrir los escenarios de ataque
Para llevar a cabo el Attack Path Management y proteger de forma eficiente al Active Directory frente a los ataques ransomware se puede recurrir a los servicios de simulación de ciberataques, advanced penetration testing y Threat Intelligence.
Esta clase de servicios de ciberseguridad sirven para dilucidar los escenarios de ataque más plausibles contra la compañía, teniendo siempre en cuenta las características del negocio y las actividades que lleva a cabo.
A través de estos servicios se puede:
- Descubrir la exposición de la compañía y analizar su superficie de ataque.
- Identificar las amenazas y los objetivos de los actores maliciosos. Por ejemplo, exfiltrar información.
- Diseñar escenarios de ataque, para entender cómo funcionan las rutas de ataque.
- Analizar los riesgos de cada uno de estos escenarios de ataque y priorizarlos.
- Adoptar medidas de prevención y mitigación con la mayor rapidez posible.
El diseño de escenarios de ataque permite a las compañías vislumbrar las rutas de ataque que pueden realizar los agresores y tomar decisiones para:
- Prevenir los ataques.
- Subsanar las debilidades.
- Optimizar las capacidades de detección y respuesta frente a los incidentes de seguridad.
En definitiva, el Attack Path Management es esencial para combatir los crecientes ataques ransomware contra el Active Directory de las compañías. Al detectar las posibles rutas de ataque, se pueden poner en marcha actuaciones para impedir que los actores maliciosos puedan emplear el Active Directory para acceder a los activos críticos de las empresas y cumplir sus objetivos fraudulentos.
Los servicios de advanced pentesting, simulación de ciberataques y threat intelligence son de gran valor añadido para llevar a cabo el Attack Path Management, visualizar los escenarios de ataque, establecer el nivel de riesgo de cada uno y tomar decisiones para priorizar los recursos y optimizar las capas defensivas.