Identity Management, Privileged Access Management, Security Lab

¿Cómo securiza WALLIX Bastion el Active Directory?

En los últimos años, se ha producido un incremento de los ciberataques contra el Active Directory (AD). Esto se debe a la obsolescencia de la arquitectura del Active Directory que la mayoría de las grandes empresas implementó hace más de 10 años. En esa época, las preocupaciones en torno a la ciberseguridad no eran las mismas que las de ahora y, por lo tanto, la arquitectura actual es extremadamente vulnerable a los ciberataques. Cabe destacar que la arquitectura se basa exclusivamente en el DIT (Directory Information Tree), que es el modelo de delegación de administración y la lógica de aplicación de los GPO. A lo largo de los años, el Active Directory ha sufrido numerosas modificaciones. Por ejemplo, Microsoft recomendó diferentes cambios de la arquitectura, pero sin tener en cuenta a la seguridad, y con el tiempo estos han generado problemas de configuración, multiplicando así las vulnerabilidades. Además, las malas prácticas de ciberseguridad, como el uso de contraseñas poco seguras o idénticas para varias aplicaciones, han expuesto al Active Directory aún más.

Securizar el Active Directory se está convirtiendo en un verdadero quebradero de cabeza para aquellas empresas que simplemente han «tirado la toalla» ante la magnitud de la tarea. Sin embargo, el Active Directory es el centro neurálgico del sistema de información de una empresa. El AD clasifica todos los puestos de trabajo de Windows y de sus usuarios además de proporcionar los mecanismos necesarios para identificarlos y autenticarlos. Por lo tanto, es fácil entender por qué el AD es uno de los principales objetivos para los hackers. Si un individuo malintencionado se las arregla para tomar el control de las cuentas de usuario, y en particular las de los administradores del sistema (usuarios root) que disponen de todos los privilegios, al robar nombres de usuario y contraseñas, dicho individuo tendrá acceso a todos los datos de la empresa, incluidos los más confidenciales, y, por ejemplo, podrá lanzar un ataque de ransomware.

Desde INCIBE (Instituto Nacional de Ciberseguridad) han llevado a cabo diferentes alertas para informar y prevenir a las empresas sobre diferentes vulnerabilidades, entre las que se encontraban algunas relacionas con AD, como fue el caso a principios de año cuando anunció que se había detectado una vulnerabilidad en los servidores de correo Microsoft Exchange 2013 y posteriores que podría afectar a la integridad y confidencialidad de la información.

Y es que se ha producido un incremento de los ciberataques contra el Directorio Activo. Por lo que su securización se ha convertido en una prioridad para las empresas y por ello, el 69% de las entidades realiza revisiones independientes de seguridad en AD, ya que existe una importante necesidad de guardar la información y los datos en entornos aislados, según datos del Observatorio de la Industria 4.0 de Fujitsu

¿Cómo proteger el Active Directory?

Para proteger eficazmente el AD, la ANSSI recomienda, en primer lugar, que los administradores del Sistema de Información de la empresa tengan una cuenta específica en el AD que sea diferente de la cuenta de administrador que utilicen habitualmente. Así, a partir de una pareja única de identificador/contraseña, el administrador puede conectarse a un puesto de trabajo dedicado a la administración en el que solo puede gestionar el AD (sin conexión a Internet y sin utilizar otra aplicación). Esto limita drásticamente el robo de credenciales y contraseñas y, por lo tanto, aumenta el nivel de la seguridad.

A continuación, para fortalecer la seguridad, la arquitectura del Active Directory óptima según Microsoft se basa en la creación de 3 silos de administración:

un silo llamado Tier-0 para la administración de recursos críticos del SI (AD, servidores de actualización, puestos de administrador, etc.),
otro silo denominado Tier-1 para recursos de SI vitales (servidores de correo, servidores comerciales, etc.); y
un último silo Tier-2 para recursos no vitales (puestos de usuarios, impresoras, etc.).

Con esta arquitectura, cuando un usuario intente conectarse a un puesto de trabajo, el AD comprobará que tiene los derechos necesarios para hacerlo. De esta forma, un administrador Tier-0 no podrá conectarse a un puesto de trabajo Tier-2.

Una vez que esta verificación se haya efectuado y validado, Windows solicitará la contraseña del usuario. Este principio garantiza que las contraseñas no se diseminen y que no sean utilizadas fuera del silo.

Sin embargo, y a pesar de todo lo anterior, aún no se ha conseguido descartar el riesgo de usurpación de identidad. La única respuesta es la configuración de una solución de gestión para cuentas privilegiadas que proporcione una capa adicional de seguridad y garantice así la protección de los datos.

Esta arquitectura está adaptada a las infraestructuras on-premise. El nuevo modelo de Microsoft para securizar el acceso privilegiado, aunque esté más orientado a la nube, es compatible con este enfoque y constituye una mejora.

WALLIX Bastion, para fortalecer de forma segura el Active Directory

WALLIX Bastion, la solución puntera de gestión de cuentas privilegiadas (PAM) de la cartera de soluciones unificadas de WALLIX, certificado CSPN por la ANSSI, protege el Active Directory de 1300 organizaciones en todo el mundo, incluidas muchas OIV, OSE y administraciones.

Concretamente, WALLIX Bastion fortalece la seguridad del AD al integrarse en la arquitectura del silo. Es posible dividir los silos en dos: por un lado, los recursos de TI y, por el otro, los usuarios (incluidos los administradores). WALLIX Bastion administra el acceso a estos recursos informáticos, lo que significa que el administrador no se conecta directamente al Active Directory, sino que accede a él indirectamente a través de WALLIX Bastion. Solo WALLIX Bastion dispone de los nombres de usuario y contraseñas necesarios para llevar a cabo esta conexión: ni si quiera el administrador los conoce. Además, WALLIX Bastion registra todas las acciones realizadas, lo que permite tener una trazabilidad completa de las acciones realizadas en el AD (y más en general en el SI) e intervenir en caso de que se detecten comportamientos sospechosos.

Para obtener más información: https://www.wallix.com/es/privileged-access-management/

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

¿Cómo securiza WALLIX Bastion el Active Directory?

¿Cómo proteger el Active Directory?

WALLIX Bastion, para fortalecer de forma segura el Active Directory

¿Qué es el Principio del Menor Privilegio y cómo se implementa?

Protección de las Vulnerabilidades de los Endpoints gracias a EPM

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca