¿Cómo securiza WALLIX Bastion el Active Directory?

Laboratorio de seguridad de WALLIX

En los últimos años, se ha producido un incremento de los ciberataques contra el Active Directory (AD). Esto se debe a la obsolescencia de la arquitectura del Active Directory que la mayoría de las grandes empresas implementó hace más de 10 años. En esa época, las preocupaciones en torno a la ciberseguridad no eran las mismas que las de ahora y, por lo tanto, la arquitectura actual es extremadamente vulnerable a los ciberataques. Cabe destacar que la arquitectura se basa exclusivamente en el DIT (Directory Information Tree), que es el modelo de delegación de administración y la lógica de aplicación de los GPO. A lo largo de los años, el Active Directory ha sufrido numerosas modificaciones. Por ejemplo, Microsoft recomendó diferentes cambios de la arquitectura, pero sin tener en cuenta a la seguridad, y con el tiempo estos han generado problemas de configuración, multiplicando así las vulnerabilidades. Además, las malas prácticas de ciberseguridad, como el uso de contraseñas poco seguras o idénticas para varias aplicaciones, han expuesto al Active Directory aún más.

Securizar el Active Directory se está convirtiendo en un verdadero quebradero de cabeza para aquellas empresas que simplemente han «tirado la toalla» ante la magnitud de la tarea. Sin embargo, el Active Directory es el centro neurálgico del sistema de información de una empresa. El AD clasifica todos los puestos de trabajo de Windows y de sus usuarios además de proporcionar los mecanismos necesarios para identificarlos y autenticarlos. Por lo tanto, es fácil entender por qué el AD es uno de los principales objetivos para los hackers. Si un individuo malintencionado se las arregla para tomar el control de las cuentas de usuario, y en particular las de los administradores del sistema (usuarios root) que disponen de todos los privilegios, al robar nombres de usuario y contraseñas, dicho individuo tendrá acceso a todos los datos de la empresa, incluidos los más confidenciales, y, por ejemplo, podrá lanzar un ataque de ransomware.

Desde INCIBE (Instituto Nacional de Ciberseguridad) han llevado a cabo diferentes alertas para informar y prevenir a las empresas sobre diferentes vulnerabilidades, entre las que se encontraban algunas relacionas con AD, como fue el caso a principios de año cuando anunció que se había detectado una vulnerabilidad en los servidores de correo Microsoft Exchange 2013 y posteriores que podría afectar a la integridad y confidencialidad de la información.

Y es que se ha producido un incremento de los ciberataques contra el Directorio Activo. Por lo que su securización se ha convertido en una prioridad para las empresas y por ello, el 69% de las entidades realiza revisiones independientes de seguridad en AD, ya que existe una importante necesidad de guardar la información y los datos en entornos aislados, según datos del Observatorio de la Industria 4.0 de Fujitsu

¿Cómo proteger el Active Directory?

Para proteger eficazmente el AD, la ANSSI recomienda, en primer lugar, que los administradores del Sistema de Información de la empresa tengan una cuenta específica en el AD que sea diferente de la cuenta de administrador que utilicen habitualmente. Así, a partir de una pareja única de identificador/contraseña, el administrador puede conectarse a un puesto de trabajo dedicado a la administración en el que solo puede gestionar el AD (sin conexión a Internet y sin utilizar otra aplicación). Esto limita drásticamente el robo de credenciales y contraseñas y, por lo tanto, aumenta el nivel de la seguridad.

A continuación, para fortalecer la seguridad, la arquitectura del Active Directory óptima según Microsoft se basa en la creación de 3 silos de administración:

  • un silo llamado Tier-0 para la administración de recursos críticos del SI (AD, servidores de actualización, puestos de administrador, etc.),
  • otro silo denominado Tier-1 para recursos de SI vitales (servidores de correo, servidores comerciales, etc.); y
  • un último silo Tier-2 para recursos no vitales (puestos de usuarios, impresoras, etc.).

Con esta arquitectura, cuando un usuario intente conectarse a un puesto de trabajo, el AD comprobará que tiene los derechos necesarios para hacerlo. De esta forma, un administrador Tier-0 no podrá conectarse a un puesto de trabajo Tier-2.

Una vez que esta verificación se haya efectuado y validado, Windows solicitará la contraseña del usuario. Este principio garantiza que las contraseñas no se diseminen y que no sean utilizadas fuera del silo.

Sin embargo, y a pesar de todo lo anterior, aún no se ha conseguido descartar el riesgo de usurpación de identidad. La única respuesta es la configuración de una solución de gestión para cuentas privilegiadas que proporcione una capa adicional de seguridad y garantice así la protección de los datos.

Esta arquitectura está adaptada a las infraestructuras on-premise. El nuevo modelo de Microsoft para securizar el acceso privilegiado, aunque esté más orientado a la nube, es compatible con este enfoque y constituye una mejora.

WALLIX Bastion, para fortalecer de forma segura el Active Directory

WALLIX Bastion, la solución puntera de gestión de cuentas privilegiadas (PAM) de la cartera de soluciones unificadas de WALLIX,  certificado CSPN por la ANSSI, protege el Active Directory de 1300 organizaciones en todo el mundo, incluidas muchas OIV, OSE y administraciones.

Concretamente, WALLIX Bastion fortalece la seguridad del AD al integrarse en la arquitectura del silo. Es posible dividir los silos en dos: por un lado, los recursos de TI y, por el otro, los usuarios (incluidos los administradores). WALLIX Bastion administra el acceso a estos recursos informáticos, lo que significa que el administrador no se conecta directamente al Active Directory, sino que accede a él indirectamente a través de WALLIX Bastion. Solo WALLIX Bastion dispone de los nombres de usuario y contraseñas necesarios para llevar a cabo esta conexión: ni si quiera el administrador los conoce. Además, WALLIX Bastion registra todas las acciones realizadas, lo que permite tener una trazabilidad completa de las acciones realizadas en el AD (y más en general en el SI) e intervenir en caso de que se detecten comportamientos sospechosos.

Para obtener más información:  https://www.wallix.com/es/privileged-access-management/