3 consejos para los líderes empresariales desde la primera línea de un ciberataque

• Por Nuno Antunes, director para España y Portugal de Semperis.

Desde su creación en 2014, nuestro equipo ha estado en primera línea muchas veces, ayudando a las empresas a combatir los ciberataques que tienen como objetivo los sistemas de identidad, como el Directorio Activo de Microsoft, un vector de ataque cada vez más común.

Sin embargo, mientras ayudábamos recientemente a una gran empresa del sector sanitario a hacer frente a un ataque de ransomware especialmente peligroso, me acordé de tres elementos de acción fundamentales que todo líder empresarial debe validar con sus líderes tecnológicos para ayudar a evitar un desastre cibernético relacionado con AD.

1.- No descuidar los fundamentos de seguridad de AD

El hallazgo más preocupante que observé en la primera reunión informativa en la sala de crisis con la empresa atacada fue que los ciberdelincuentes obtuvieron acceso a sus sistemas críticos a través de algunas tácticas relativamente poco sofisticadas: Los intrusos ya habían ejecutado herramientas de robo de credenciales y secuestrado con éxito una de las cuentas de administrador de dominio de la empresa. La cuenta comprometida se utilizó para crear primero una nueva cuenta dedicada y oculta, y luego el atacante la conectó al grupo de administradores del dominio comprometido, siguiendo esencialmente la guía de cómo atacar un dominio AD y ser persistente.

La razón por la que los intrusos tuvieron tanto éxito en esta brecha inicial fue finalmente rastreada a algunos fundamentos de seguridad que fueron descuidados:

• Un equipo estaba configurado con una delegación no restringida, un objetivo muy apreciado por los atacantes.

• La cuenta de administrador integrada de un dominio se estaba utilizando indebidamente como cuenta de servicio para varias bases de datos SQL, lo que se hizo evidente debido a todos los nombres principales de servicio registrados en la cuenta.

• Se configuraron varios permisos de riesgo a nivel de dominio.

• Las contraseñas no se cambiaban regularmente en las cuentas administrativas (de las cuales había demasiadas en primer lugar).

Garantizar que los fundamentos de la seguridad de AD están en su sitio -como la revisión de los permisos que se establecieron hace años- evidentemente requiere mucho tiempo y recursos. Pero ese esfuerzo es mínimo comparado con el impacto que un ciberataque a gran escala puede causar en las operaciones comerciales de una empresa.

2.- Entender la diferencia entre reanudar las operaciones y recuperarlas.

Los ciberdelincuentes utilizan cada vez más AD como vector de ataque principal porque saben que es el corazón de la empresa. Muchas empresas siguen utilizando AD como su almacén de identidades principal y, como tal, es la fuente desde la que se sincronizan otros almacenes de identidades. Incluso en un entorno híbrido, los almacenes de identidades en la nube suelen sincronizarse desde el AD local. Por lo tanto, si AD se cae, el negocio está muerto.

En el fragor de una crisis de ciberseguridad, muchas empresas se centran, comprensiblemente, en reanudar las operaciones comerciales lo antes posible. Aunque el objetivo inmediato debe ser volver al modo operativo lo más rápido posible, el énfasis de la siguiente etapa inmediata debe ser la recuperación total de las operaciones. Esto significa asegurarse de que la empresa no es vulnerable a ataques repetidos que exploten las mismas debilidades que tuvieron éxito la primera vez.

Una recuperación total también significa que la AD se restablece completamente sin reintroducir el malware en el sistema. Sin embargo, durante un ataque, la búsqueda de una copia de seguridad limpia o la reconstrucción de AD desde cero consume horas y días preciosos mientras la empresa está paralizada. En el caso del cliente al que ayudamos, nadie podía identificar con seguridad una copia de seguridad actual libre de malware. Ayudamos a la empresa a configurar copias de seguridad de controladores de dominio en los que se podía confiar que no contenían el malware, y corregimos algunas exposiciones de seguridad problemáticas en uno de los dominios AD del cliente, mejorando aún más la resistencia del dominio.

A continuación, ayudamos a la empresa a crear una copia de sus bosques AD de producción en un entorno aislado con máquinas virtuales recién instaladas de las que estábamos seguros de que no contenían malware. Con este enfoque, la empresa no sólo podía realizar copias de seguridad de los bosques de AD, sino también recuperarlos completamente en caso de otro ataque.

Una buena estrategia de seguridad de AD debe incluir un plan de recuperación de AD completo y libre de malware que se ejecute en minutos o, como mucho, en unas pocas horas, en lugar de en días o semanas.

3.- Evaluar continuamente los puntos débiles de la seguridad de AD

Muchas empresas cuentan con herramientas de seguridad que evalúan la seguridad ’Endpoint’, pero descuidan la protección de AD desde dentro. Para protegerse adecuadamente contra los ciberataques dirigidos a AD, las empresas necesitan saber cuándo se producen cambios en los grupos y cuentas privilegiados, como el grupo de administradores de dominio. Con una advertencia suficiente, puede responder a la actividad sospechosa de robo de credenciales, como las notificaciones sobre la creación de una nueva cuenta de administrador de dominio utilizando una cuenta comprometida. Lo ideal sería tener un sistema que no sólo le notifique, sino que también tome medidas para bloquear la expansión del atacante en su red.

Evaluar y abordar continuamente las vulnerabilidades de seguridad de AD mantendrá a su empresa en una posición proactiva para prevenir los ciberataques o mitigar los daños que podrían causarse si se produce un ataque. Asegúrese de evaluar las brechas que aún existen en su postura de seguridad.

¿Tiene su empresa un plan de acción para hacer frente a los ciberataques?

Con el aumento de los ciberataques, es posible que se sienta impotente para proteger su empresa de los desastres cibernéticos. Sin embargo, basándome en la experiencia de mi equipo ayudando a las empresas a responder a los ciberataques, animaría a cualquier empresa a tomar medidas proactivas para prevenir, mitigar y recuperarse completamente de la actividad maliciosa. Invertir en los fundamentos de la seguridad AD, asegurarse de que su empresa puede recuperarse completamente -no sólo reanudar- las operaciones comerciales después de un ataque, y evaluar continuamente su entorno en busca de puntos débiles fortalecerá drásticamente su postura de seguridad contra los ciberataques.