La protección de AD como eje central de cualquier estrategia Zero Trust

El enfoque de Zero Trust ya se está generalizando en Europa, según Forrester, con más de dos tercios de las empresas que han desarrollado o están desarrollando esta estrategia para proteger los datos y las operaciones en entornos de trabajo híbrido actualmente.

Sin embargo, hay un aspecto crítico del modelo Zero Trust que muchos responsables de seguridad pasan por alto: Zero Trust supone implícitamente que los sistemas en los que se basa, incluido Active Directory (AD) como almacén de identidad corporativa, mantienen su integridad.

Sin embargo, AD suele ser el eslabón débil en la cadena de seguridad de la identidad. El problema no es necesariamente AD en sí mismo, aunque tenga más de 20 años. Cuando está configurado e implementado correctamente, AD puede ser versátil y seguro.

Pero, por desgracia, también se puede configurar y administrar incorrectamente en muchas más formas y maneras y son estos puntos débiles de configuración que hacen de AD un blanco fácil. Los atacantes lo saben y por eso el AD es a menudo una parte primordial en la ‘Kill Chain’ de un ciberataque.

Debido a que el AD proporciona un mapa (y un acceso) a los datos de una organización, los atacantes pueden usarlo para obtener privilegios y permitir un movimiento lateral por toda la red. Atacan al AD para facilitarlo todo, desde las técnicas de persistencia a la escalada de privilegios y evasión de las defensas. Dado que la identidad en la nube también se extiende desde el AD, es un objetivo principal para el abuso de credenciales, la táctica involucrada en el 80% de todas las violaciones de datos.

Distintas arquitecturas, una fuente de identidad

La identidad es un componente crítico de cualquier infraestructura Zero Trust y debe tratarse como tal. Muchos de nosotros todavía trabajamos desde casa, al menos parcialmente. Al tiempo que mantienen las capacidades de acceso remoto y las aplicaciones centradas en la nube, las organizaciones no deben olvidar que sus estrategias de seguridad dependen de la integridad de sus principales sistemas de identidad on-premise.

En el pasado, los usuarios dependían en gran medida de las redes privadas virtuales (VPN) para un acceso remoto. Los usuarios son autenticados por un servicio de directorio, generalmente Active Directory, y luego se les permite ingresar a la red corporativa. Sin embargo, en tanto que solución con desafíos de escalabilidad y dependencia de la seguridad de perímetro de la red, las VPN por sí solas no son la respuesta para la fuerza de trabajo remota moderna.

En su lugar, un número cada vez mayor de empresas hace que los usuarios inicien sesión en un servicio de gestión de identidades y accesos (IAM) basado en la web, con sus credenciales corporativas, para acceder a aplicaciones de software como servicio (SaaS), como Zoom o Microsoft Office 365, directamente a través de Internet. Este método utiliza un modelo Zero Trust en el que la identidad de un usuario, no su ubicación en la red, es clave para obtener acceso a la aplicación.

Algunas empresas van más allá al extender el modelo de Zero Trust a sus redes on-premise: implementan dispositivos que crean un perímetro definido por software entre las aplicaciones y los usuarios que intentan acceder a ellas. Pero una vez más, Zero Trust depende implícitamente del sistema de identidad subyacente. Algunos ataques eluden con éxito IAM, lo que permite a los intrusos moverse lateralmente a través de las redes.

Asegurar la fuente

Ya sea que un usuario inicie una sesión en la red corporativa con una VPN o en un portal web para acceder a SaaS o aplicaciones on-premise, la seguridad de la identidad siempre es crucial. Mientras que las VPN se basan en una fuente de identidad corporativa on-premise, los servicios de IAM en la nube modernos se basan en muchos factores, como el estado del dispositivo, la ubicación y los patrones de comportamiento, para contribuir al nivel de seguridad de una identidad. Pero los núcleos de estos servicios masivos en la nube todavía se basan en las credenciales de la cuenta del usuario individual.

La mayoría de las organizaciones utilizan un modelo de identidad híbrido, proyectando su identidad on-premise a los servicios de Internet. Por tanto, la fuente de identidad de estas credenciales es la piedra angular de toda la arquitectura sofisticada. Y para el 90% de las empresas, esta fuente de identidad es el Directorio Activo.

Esto significa que cualquier estrategia de Zero Trust (de hecho, cualquier arquitectura de seguridad) depende en gran medida del AD. Entonces, ¿cómo puede garantizar la integridad de AD y la integridad de sus datos? Minimizando la superficie de ataque del AD, supervisando el AD en busca de comportamientos sospechosos y teniendo un plan de recuperación del AD.

Según un estudio el año pasado realizado por la Identity Defined Security Alliance, el 84% de las organizaciones encuestadas en todo el mundo sufrieron una vulneración relacionada con la identidad en 2021/2022. Casi todos (un 96%) afirman que podrían haber evitado o minimizado la infracción al implementar estrategias de seguridad centradas en la identidad.

Aunque puede implementar una red de Zero Trust de varias formas, sus principios básicos siempre se basan en la identidad del usuario. Ya sea que acceda a la red a través de una VPN o inicie sesión en el portal web de un servicio de identidad, es muy probable que su identidad dependa del AD. Por tanto, garantizar su integridad es fundamental para la seguridad de su empresa.

Firmado: Ray Mills, Director de Ventas en España, Semperis

La entrada La protección de AD como eje central de cualquier estrategia Zero Trust es original de MuySeguridad. Seguridad informática.