En este artículo quiero hablar de cómo proteger uno de los recursos más críticos en la infraestructura IT de cualquier organización: Microsoft Active Directory (AD), en particular, protección de Active Directory con StealthDEFEND. Este es el primer lugar al que atacan los cibercriminales una vez que consiguen acceder a tu red para tomar el control de una cuenta privilegiada o de una cuenta de usuario estándar existente y elevar los privilegios. Este comportamiento malicioso puede parecer normal a la vista de los sistemas de seguridad habituales y por ello en muchas ocasiones pasa desapercibido. Pero incluso en los casos en los que sí se detecta un ataque a AD, esta detección suele llegar demasiado tarde.

El factor tiempo es de vital importancia, ya que de acuerdo con los datos de Stealthbits, el tiempo medio para identificar un ataque es de 197 días, mientras que las empresas que consiguieron contener una brecha en menos de 30 días, ahorraron más de 1 millón de dólares de media.

Las limitaciones de los XDR para proteger Active Directory

Por sorprendente que parezca, en su carrera por desarrollar o adquirir herramientas de seguridad de respuesta automatizada, los proveedores de soluciones XDR se han olvidado de proteger Microsoft Active Directory desde dentro. Las soluciones XDR se basan en logs y en la telemetría de la red para detectar comportamientos anómalos una vez que se ha producido una brecha de seguridad en AD.

La R de XDR significa Respuesta y la D, Detección. En cambio, la X viene de eXtendida, y se refiere a una serie de soluciones de ciberseguridad como SOAR, SIEM, NDR, EDR, etc. Cuando una organización sufre un ciberataque, la solución XDR primero debe detectar el ataque para, posteriormente, responder para intentar detenerlo antes de que cause daños.

Netwrix StealthDEFEND, detección y respuesta desde el propio AD

Netwrix StealthDEFEND for Active Directory complementa las soluciones XDR, colocando un agente ligero en los controladores de dominio que detecta los ataques a Active Directory en tiempo real, antes de que aparezcan en los logs o en el tráfico de red que el XDR está monitorizando, utilizando Inteligencia Artificial o Machine Learning.

StealthDEFEND detecta y detiene los ataques en el lugar en el que suceden, sin depender de logs. La respuesta está guiada por un conjunto de reglas y Playbooks que se invocan automáticamente para responder a los tipos más comunes de ataques a AD como los ataques de fuerza bruta, movimiento lateral, elevación de privilegios, Golden Ticket, Kerberoasting, DCShadow o DCSync entre otros. De esta forma, StealthDEFEND podría responder a los ciberataques incluso antes de que el XDR reciba los logs relacionados con ese ataque.

StealthDEFEND utiliza Inteligencia Artificial y Machine Learning para detectar cualquier comportamiento fuera de lo normal y lo bloquea en tiempo real, antes de que se produzca el ataque. Por eso, la protección de Active Directory con StealthDEFEND es tan eficiente.

Playbooks, la jugada maestra de respuesta automatizada

Actualmente, es imposible para cualquier equipo de seguridad pueda analizar por sí mismo la ingente cantidad de eventos que suceden en una organización. Recuerdo que, en el XI Foro de Ciberseguridad del ISMS Forum celebrado el 12 de mayo de 2022 en Madrid, Lesley Kipling, asesora jefe de ciberseguridad de Microsoft EMEA, reveló que Microsoft recopila nada menos que 24 billones de eventos de seguridad al día. Sí, 24 billones españoles, con 12 ceros después del 24. ¡En un solo día! ¿Os imagináis cómo sería realizar una búsqueda manual entre todos ellos?

Para responder a estos ataques disponemos de los Playbooks, parte esencial de la automatización en ciberdefensa. Se diseñan para anticiparse a los ataques y responder automáticamente. La automatización de la ciberdefensa es una necesidad, porque hace tiempo que los ciberataques se automatizaron, y son tan abundantes que abruman a los equipos de seguridad que utilicen herramientas manuales o incluso semiautomáticas para responder a los ataques.

StealthDEFEND para AD, con su potente funcionalidad de detección y sus Playbooks incorporados, ofrece una capa adicional de seguridad a la protección que proporcionan las soluciones XDR, con la ventaja de que la seguridad se presta desde dentro del AD. Es más, se puede utilizar incluso en ausencia de un XDR. Después de todo, es más efectivo proteger AD en tiempo real desde dentro que esperar a que una solución externa lo haga.

StealthDEFEND también para servidores de archivos

Los cibercriminales buscan dos cosas: credenciales y datos. Por ello Stealthbits también dispone de la solución Netwrix StealthDEFEND for File Systems, que igualmente recurre a Playbooks automatizados para detectar y bloquear en tiempo real actividades sospechosas directamente en los sistemas de archivos como fuga de datos, ransomware, acceso inusual a datos confidenciales o borrado masivo entre otros, sin depender de los logs o de la telemetría de la red y mucho antes de que se detecte desde el XDR.

Conclusión

La ciberseguridad es un campo cada vez más especializado. Con la creciente sofisticación de los ciberataques, una solución XDR no puede responder de forma óptima a todas las amenazas. Si queremos proteger lo más importante, debemos elegir soluciones a medida para detectar los ciberataques y hacerlo lo antes posible para que la respuesta sea efectiva y la infraestructura de la organización permanezca segura.

Para más información sobre Protección de Active Directory con StealthDEFEND visita dotforce.es/sb.

Y si eres distribuidor o MSSP, ¡únete al programa de partners de Stealthbits!