Cinco formas de mejorar la higiene de su AD con Silverfort  

Active Directory (AD) es la columna vertebral de las redes de la mayoría de las organizaciones y gestiona el acceso y la autenticación de usuarios, dispositivos y aplicaciones. Si bien AD proporciona servicios centrales tanto a los usuarios como a los administradores, su seguridad no ha seguido el ritmo de los crecientes riesgos de seguridad modernos. Como objetivo tentador para los actores de amenazas, esto es una gran preocupación para las empresas, ya que las obliga a invertir tiempo y recursos para garantizar que su higiene AD esté a la altura.  

Mantener una higiene AD adecuada es esencial 

La higiene de AD se refiere a las prácticas y medidas implementadas para garantizar la limpieza, organización y seguridad del entorno de AD de una organización. Existe para prevenir, detectar y responder a amenazas de seguridad dentro de la infraestructura de AD. Un programa de higiene de seguridad de AD mantenido adecuadamente es esencial para la higiene de seguridad general de una organización contra las amenazas a la seguridad de la identidad. 

Un aspecto fundamental de la higiene de AD es la auditoría y el monitoreo periódicos, la limpieza de cuentas obsoletas o no utilizadas, la aplicación de políticas de contraseñas seguras y el monitoreo de las actividades de los usuarios. Esto implica realizar revisiones periódicas de las configuraciones de AD, cuentas de usuario, membresías de grupos y permisos de acceso para identificar cualquier actividad o anomalía maliciosa. 

No gestionar AD de forma eficaz puede generar innumerables riesgos de seguridad de identidad, siendo uno de los más importantes la falta de visibilidad de los usuarios y sus riesgos asociados. 

Cuando las organizaciones carecen de visibilidad sobre los tipos de usuarios en su entorno de AD y los riesgos potenciales que plantean, no pueden evaluar ni mitigar eficazmente las amenazas a la seguridad. Por ejemplo, las cuentas obsoletas o huérfanas, los privilegios de acceso no autorizados y otros tipos de cuentas de riesgo pueden pasar desapercibidos, dejando a una organización expuesta a amenazas de identidad. 

Silverfort Capacidades de higiene AD  

SilverfortLas capacidades de higiene de AD ayudan a las organizaciones a administrar de manera proactiva su base de usuarios al descubrir automáticamente todas las cuentas de usuario. cuentas de servicioy otros tipos de usuarios dentro de su entorno AD y brinda visibilidad centralizada de cada solicitud de autenticación y acceso. 

Las organizaciones obtienen una vista unificada de todos los usuarios, recursos y actividades de autenticación gracias a Silverfortnativo Active Directory integración, que le permite registrar cada solicitud de autenticación. 

Además, Silverfort proporciona un inventario de usuarios que muestra los tipos de usuarios y recursos en su entorno, así como posibles debilidades de seguridad que los adversarios pueden explotar. Esto permite a los administradores identificar dónde están sus riesgos de seguridad y cómo priorizar sus esfuerzos para eliminarlos. 

Al recopilar información útil y tomar medidas proactivas para mejorar el manejo de la postura de higiene de la EA, Silverfort hace que sea significativamente más difícil para los actores de amenazas atacar a la organización, reforzando así su resiliencia general contra las amenazas de identidad. 

Maneras 5 Silverfort Puede ayudarlo a fortalecer el manejo de la postura e higiene de su AD 

1. Detectar administradores en la sombra   

Los administradores paralelos son usuarios que tienen capacidades de administración que quizás usted no conozca debido a las ACL o grupos anidados.  

¿Cómo Silverfort ¿Detectar administradores en la sombra? Silverfort identifica administrador en la sombra cuentas en función de sus privilegios y los permisos que se les han otorgado, tanto en entornos locales como en la nube.  

Ejemplo de cliente: En una empresa financiera Fortune 500, Silverfort detectó 109 nuevos administradores paralelos creados por una única configuración incorrecta de AD. Al detectar y eliminar los privilegios de estas cuentas de administrador, el cliente disminuyó su exposición a ataques.   

2. Reducir el uso de NTLMv1  

NTLMv1 es inherentemente inseguro debido al uso de cifrado débil (DES) para cifrar la clave de sesión. Este tipo de cifrado se puede romper fácilmente y se puede extraer la contraseña del usuario.  

¿Cómo Silverfort detectar NTLMv1? Silverfort supervisa todas las autenticaciones procesadas por Active Directory sin utilizar registros de eventos. Identifica qué dispositivos están enviando solicitudes de autenticación NTLMv1 y envía alertas a la pantalla de registros dentro del Silverfort .   

Ejemplo de cliente: En el entorno de un fabricante líder a nivel mundial, Silverfort descubrió que alrededor del 5-8% de los usuarios administradores todavía se autentican con el protocolo NTLMv1, lo que exponía sus contraseñas de usuario a peligro. Ahora se envían informes semanales al equipo para que puedan reducir y, en última instancia, eliminar el uso de NTLMv1.  

3. Descubra usuarios obsoletos  

Usuarios obsoletos son cuentas que no se utilizan desde hace tiempo; por ejemplo, cuentas de ex empleados que no han sido deshabilitadas. Ciertos tipos de cuentas obsoletas son difíciles de identificar a menos que puedas monitorear su actividad de autenticación. Por ejemplo, identificar cuentas de servicios es difícil ya que su información no está disponible de forma nativa.  

¿Cómo Silverfort detectar usuarios obsoletos? Silverfort Identifica y descubre automáticamente a los usuarios obsoletos basándose en la falta de datos de actividad del usuario e información recopilada de registros y otras fuentes.   

Ejemplo de cliente: En una empresa minorista líder en EE. UU., Silverfort detectó que el 13% de las cuentas de usuario eran usuarios obsoletos que no habían realizado ninguna actividad reciente. Esto ayudó a la empresa a limpiar su Active Directory deshabilitando/eliminando las cuentas no utilizadas, lo que en última instancia ayudó a disminuir las licencias y minimizar los costos.  

4. Deshabilitar administradores con SPN  

Tener un nombre principal de servicio (SPN) asociado con una cuenta de administrador puede exponerla a un ataque Kerberoasting, donde un atacante solicita la Kerberos ticket y obtiene una carga útil cifrada por el hash de contraseña del usuario. Luego, los atacantes pueden aplicar fuerza bruta a esta carga útil para exponer las credenciales y comprometer la cuenta.  

¿Cómo Silverfort detectar administradores con SPN? Silverfort detecta este tipo de cuentas monitoreando eventos de autenticación que involucran nombres principales de servicio (SPN) dentro de la red. Utiliza análisis de comportamiento y perfiles de comportamiento del usuario para identificar desviaciones de los patrones normales, como solicitudes de acceso inusuales o escalada de privilegios intentos asociados con privilegios de administrador.  

Ejemplo de cliente: En el entorno de AD de un gran proveedor de atención médica, Silverfort descubrió 8 administradores con SPN que el cliente no conocía. Esto ayudó al cliente a limitar su exposición a posibles ataques Kerberoasting y disminuir su superficie de ataque exposición.  

5. Eliminando PrintNightmare   

PrintNightmare es una vulnerabilidad de seguridad crítica que afecta el servicio Print Spooler de Windows y que permite la ejecución remota de código y podría provocar un acceso no autorizado o comprometer el sistema.  

¿Cómo Silverfort ¿Detectar autenticaciones incorrectas de servicios de cola de impresión parcheados? Silverfort detecta PrintNightmare analizando eventos de autenticación y comportamiento anormal del servicio y activando alertas para una mayor investigación y mitigación. Microsoft explica cómo mitigar completamente PrintNightmare pero con Silverfort puede omitir por completo la captura problemática de paquetes de red, ya que alertará sobre todas las autenticaciones incorrectas de Print Spooler.   

Ejemplo de cliente: Un gran distrito escolar de EE. UU. detectó PrintNightmare en su entorno gracias a Silverfort. Con Silverfort solucionaron este problema y redujeron la cantidad de autenticaciones innecesarias en su entorno en aproximadamente un 70%.  

La visibilidad en tiempo real y los conocimientos prácticos son fundamentales para la higiene de la AD 

Para mantener una adecuada Active Directory Para mantener la higiene y fortalecer la gestión de la postura de seguridad de la identidad dentro de las organizaciones, es crucial tener visibilidad de extremo a extremo e información procesable sobre todos sus usuarios y recursos. Al tener toda la información sobre su base de usuarios de AD, puede tomar medidas proactivas para garantizar que su base de usuarios no abra la puerta a amenazas de identidad. Esto fortalecerá su gestión general de la postura de seguridad de la identidad (ISPM). 

Al invertir los recursos para mejorar la higiene de su AD, se asegurará de que su limpieza y seguridad estén actualizadas para evitar que su entorno de AD se vea comprometido y se utilice como puerta de entrada para que los atacantes obtengan acceso no autorizado a datos confidenciales. 

¿Busca fortalecer la higiene de su AD y obtener visibilidad completa en todo su entorno? Comuníquese con uno de nuestros expertos esta página.