La experiencia nos dice que la mayoría de las vulnerabilidades que se encuentran dentro del Active Directory están ligadas a malas prácticas de configuración. También, muchas veces nos encontramos con un Directorio Activo que fue heredado.
Imagínalo. Llegas a la organización y encuentras que el AD tiene un funcionamiento de más de 10 o 15 años, y estás realizando cambios en él, motivados por la presión y la velocidad de llevar a cabo estos arreglos.
A veces, no nos apegamos a algún framework de seguridad o a las mejores prácticas.
Como se dice, estamos «parchando» sobre la propia operación, derivado de que la tecnología y los ataques avanzan a una velocidad increíble, así que tenemos que dar una solución al instante.
Entonces, se van acumulando poco a poco un sinfín de malas configuraciones, malas prácticas, donde se estaría dejando vulnerable a la plataforma.
Esto es lo que más se encuentra dentro de Tenable Identity Exposure en la parte de Directorio Activo: malas prácticas y configuraciones.
Ahora que ya conocemos todos los cambios que se van llevando a cabo en tiempo real dentro del AD, con el análisis de esta data que estamos recolectando podemos ver si, derivado de esto, hay alguna vulnerabilidad que se haya podido generar.
Podemos tener, por ejemplo, grupos de usuarios con privilegios de administrador, los cuales no deberían de estar teniendo, quizá por políticas de seguridad. Incluso, Microsoft marca que el número de usuarios administradores dentro de la plataforma y del AD no debería de exceder los 5 usuarios.
Muchas veces, propiamente y repitiendo la parte de la operación, es más fácil generar usuarios con privilegios altos, para que no haya afectación en el servicio y puedan estar operando sin problema. Mas esto es una brecha muy importante de seguridad.
Una vez que identificamos las vulnerabilidades existentes dentro del Active Directory, se categorizan con base al nivel de riesgo que podrían tener.
Ya conociendo Tenable Identity Exposure se sabe que con esta plataforma pasa lo mismo: se encuentran 200 o 300 vulnerabilidades dentro de una arquitectura y las categoriza con base en el nivel de riesgo, precisamente para que puedan definir la forma en la que vas a realizar la mitigación de estas vulnerabilidades encontradas.
De nada sirve saber que tienes 300 vulnerabilidades si no sabes por cuál tienes que empezar, cuál es la más riesgosa para ti dentro de la organización y cuál podría, incluso, llegar a afectar o detener la operación por completo.
Basados en el escaneo constante del AD se pueden encontrar estas vulnerabilidades presentes en el mismo entorno, se categorizan y se define el nivel de riesgo. Luego se va dando solución a cada una de ellas.
También vamos a encontrar esas relaciones de confianza que existen dentro del Active Directory que pudiesen estar en riesgo. Muchas veces se tiene más de un DA o se tienen ciertos domain controllers separados en varias áreas dentro la empresa, y hay comunicaciones que están permitidas y que, a lo mejor, no tendrían por qué estarlo, con privilegios altos.
Toda esta información la estaríamos analizando dentro de la plataforma del AD.
Recordemos que muchas de las organizaciones actuales están utilizando esquemas de single sign on, donde un usuario se autentica una única vez dentro de la arquitectura de la empresa.
Con esta única autenticación, el usuario va a ceder los recursos necesarios para poder laborar en su día a día. Si esta autenticación no es segura, ¿cómo vamos a saber que, en efecto, el usuario que se autenticó es un usuario real y válido para ti?
Varias empresas están implementando arquitecturas de Zero Trust, donde el núcleo debe ser un entorno de AD seguro. Si en tu road map tienes considerado implementar esta arquitectura, debes comenzar por tener un entorno de AD lo más sano posible.
«Toma control del riesgo tecnológico de tu organización con los servicios de detección y respuesta ante amenazas que brinda Tenable Identity Exposure».
