El compromiso de SolarWinds significa que ya no puede posponer la administración de cuentas privilegiadas.
Una estrategia de acceso privilegiado exitosa debe limitar las rutas de acceso privilegiado y luego proteger y monitorear esas rutas autorizadas.
Imagen: Microsoft
No es ninguna novedad que los privilegios adicionales en las cuentas de administrador las conviertan en un objetivo para los atacantes, y una de las razones por las que las amenazas internas son tan peligrosas.
Quiere que las personas que gestionan su infraestructura de TI tengan la potencia que necesitan para ejecutar su infraestructura, pero no quiere que tengan más acceso o más control del que necesitan.
El hecho de que un administrador necesite acceso a una configuración del sistema, base de datos o red no significa que necesite acceder a todos ellos; aplicar permisos de seguridad basados en roles a su equipo de TI tiene tanto sentido como no darles a los recepcionistas acceso al árbol de compilación para sus aplicaciones internas.
Si bien es conveniente tener acceso de administrador privilegiado, si hay una fuga de datos, un administrador de la base de datos preferiría poder decir que el contenido de la base de datos está encriptado, por lo que no puede haber visto nada que probar y demostrar que no copiaron datos a los que no necesitaban tener acceso en primer lugar.
Limitar qué cuentas tienen acceso privilegiado también puede ayudar con la productividad. Como administrador, podría pensar que las 2 p.m. de un viernes por la tarde es el momento perfecto para reiniciar su escritorio virtual y migrarlo a un nuevo servidor de terminal, pero eso no es tan útil si está en medio de una reunión de ventas.
La eliminación de los derechos de acceso del usuario final también suele reducir las llamadas al servicio de asistencia técnica, generalmente porque impide que las personas cambien la configuración que luego causan problemas o les impide instalar utilidades no autorizadas que realizan esos cambios en intentos equivocados de ‘sintonizar’ la PC.
También sabemos desde hace un tiempo que el nivel de acceso requerido por las herramientas de seguridad y monitoreo también puede generar problemas, porque la conveniencia de la implementación a menudo supera al proceso más lento de implementación con permisos limitados.
Esto deja a los sistemas críticos como los controladores de dominio y los servidores de bases de datos con contraseñas débiles en las cuentas de servicio con todos los derechos que un atacante necesitaría para hacerse cargo de una red completa.
Pero el impacto del ataque SolarWinds significa que las organizaciones no pueden darse el lujo de posponer la auditoría de qué cuentas tienen privilegios de acceso y de administrador, aplicando los principios de privilegios mínimos y cambiando a un acceso de administrador auditado justo a tiempo en lugar de privilegios permanentes no supervisados en alta resolución. sistemas de valores.
Los atacantes apuntan a los administradores
Cualquier sistema que tenga cuentas con derechos de administrador es potencialmente vulnerable a los atacantes. Muchos ataques buscan configuraciones erróneas comunes en Active Directory o sistemas que aún usan autenticación heredada como NTLMv1 (donde las contraseñas son fácilmente forzadas). los Solorigate los ataques utilizaron cuentas privilegiadas en controladores de dominio, cuentas de servicio administradas por grupos y tickets Kerberos robados o falsificados, además de ejecutar herramientas AD legítimas para ver cuentas en sistemas remotos y dominios federados.
Dedique algún tiempo a revisar todos los cuentas de servicio altamente privilegiadas tiene derechos de administrador de dominio, acceso al sistema, derechos de administración global y el equivalente, y averigüe cuál de ellos realmente necesita tanto acceso y cuál podría tener permisos de solo lectura.
También necesitas mirar dispositivos intermediarios – VPN, escritorios remotos y puertas de enlace de acceso, VDI, publicación de aplicaciones que utilizan proxies de acceso y otras áreas en las que la gestión de acceso e identidad privilegiada es particularmente importante.
Puede encontrar administradores de AD con el comando de PowerShell Get-ADGroupMember ‘Administrators’ -Comprobación recursiva, pero para realizar una verificación más exhaustiva del estado del administrador, el servicio y otras cuentas y grupos privilegiados en su Active Directory y en los controladores de dominio, utilice estos Scripts de PowerShell o una herramienta como ADRecon. De esa manera, puede detectar problemas como cuentas confidenciales con el indicador de ‘contraseña nunca caduca’.
Microsoft ha publicado un Libro de trabajo de Azure Monitor para recopilar información similar para Azure AD.
Busque aplicaciones y cuentas de servicio en el Grupo de administradores de dominio; las aplicaciones que necesitan privilegios de administrador de dominio probablemente estén usando autenticación heredada.
También busque aplicaciones que tengan la misma cuenta privilegiada en múltiples sistemas en la red; probablemente usen las mismas credenciales, por lo que un atacante que comprometa una cuenta puede usarla para moverse lateralmente a través de la red.
Compruebe si las aplicaciones con cuentas de administrador local realmente necesitan privilegios de administrador para ejecutarse y observe sus planes a largo plazo para actualizarlas o reemplazarlas con aplicaciones que utilicen métodos de autenticación modernos.
Utilizar el Solución de contraseña de administrador local (LAPS) para administrar contraseñas de cuentas de administrador local para equipos unidos a un dominio. Estos a menudo terminan con la misma contraseña de administrador en todos los dispositivos porque es más fácil para la solución de problemas y el soporte.
LAPS establece una contraseña aleatoria rotada diferente (que se almacena en Active Directory y está protegida por ACL para limitar quién puede leerla y restablecerla) para la cuenta de administrador local común en cada computadora en el dominio.
Si usa Azure AD, cree Revisiones de acceso a Azure AD (esto requiere una suscripción P2) para verificar quién tiene acceso de administrador, cuántos de ellos son administradores globales o tienen roles de recursos de Azure como Administrador de acceso de usuario, y si algún invitado o socio externo que recibió acceso de administrador temporal todavía lo tiene meses después.
La revisión se puede delegar a los gerentes que deberían tomar decisiones comerciales, pero el equipo de TI querrá explicar por qué es importante.
Asegúrese de no tener cuentas locales con privilegios administrativos en Office 365 o Microsoft 365, y aislar las cuentas de administrador de Microsoft 365. Si tiene una suscripción comercial de Microsoft 365, hay herramientas en el Centro de administración de Microsoft 365 (o puede usar Exchange Management PowerShell) para ayudar con la administración de cuentas de privilegios para Office 365.
Hacer cumplir MFA (idealmente con claves de seguridad o biometría) para cuentas de administrador y roles de administrador es especialmente importante: si tiene alguna suscripción comercial de Microsoft, incluye Azure AD MFA sin costo adicional.
Use políticas de acceso condicional para asegurarse de que las cuentas de administrador no puedan autenticarse en escenarios de alto riesgo donde podrían verse comprometidas.
Microsoft Defender for Identity (anteriormente Azure Advanced Threat Protection) supervisa las identidades locales y la infraestructura de AD, detectando movimiento lateral y otras señales de que los atacantes han comprometido las credenciales. Ya protege los controladores de dominio en las instalaciones y en entornos híbridos, y ahora puede cubrir Servicios de federación de Active Directory (ADFS).
Eso le permite ver los inicios de sesión fallidos de los registros de ADFS, así como los detalles de Active Directory, como si los inicios de sesión del mismo usuario usaron MFA, lo que facilita la detección de ataques de fuerza bruta, si hay docenas de inicios de sesión fallidos en varias cuentas y no hay MFA cuando la cuenta finalmente inicia sesión, es más probable que sea un atacante exitoso que varios empleados muy olvidadizos.
Solo suficientes privilegios
Las piezas más importantes de su infraestructura necesitan protecciones adicionales porque los privilegios de administrador de los que no puede deshacerse serán seleccionados. Identificar cuentas sensibles y privilegiadas con el más alto nivel de acceso y implementar más protecciones a su alrededor como configurar Azure AD Privileged Identity Management.
Suficiente administración (JEA), originalmente llamado Just In Time Just Enough Admin o JITJEA, es una función de PowerShell para delegar la administración de cualquier cosa administrada a través de PowerShell para que se pueda hacer a través de cuentas temporales virtuales o de equipo. Esto limita los comandos que esas cuentas pueden ejecutar a los necesarios para tareas específicas, que están disponibles solo durante un tiempo predeterminado una vez que se ha aprobado la solicitud de administrador.
Para privilegios y cuentas de administrador particularmente sensibles, es posible que desee implementar estaciones de trabajo seguras donde el sistema operativo se ha reforzado. Implementar un Estación de trabajo de acceso privilegiado es un proceso bastante largo que es más simple con una licencia de Microsoft 365 E5, pero los SKU más bajos incluyen muchas de las herramientas.