+34 914 230 991 info@dotforce.es

Active Directory, ese extraño desconocido para el XDR

24 mayo 2022

En este artículo quiero hablar de cómo proteger uno de los recursos más críticos en la infraestructura IT de cualquier organización: Microsoft Active Directory (AD), en particular, protección de Active Directory con StealthDEFEND. Este es el primer lugar al que atacan los cibercriminales una vez que consiguen acceder a tu red para tomar el control de una cuenta privilegiada o de una cuenta de usuario estándar existente y elevar los privilegios. Este comportamiento malicioso puede parecer normal a la vista de los sistemas de seguridad habituales y por ello en muchas ocasiones pasa desapercibido. Pero incluso en los casos en los que sí se detecta un ataque a AD, esta detección suele llegar demasiado tarde.

El factor tiempo es de vital importancia, ya que de acuerdo con los datos de Stealthbits, el tiempo medio para identificar un ataque es de 197 días, mientras que las empresas que consiguieron contener una brecha en menos de 30 días, ahorraron más de 1 millón de dólares de media.

 

Las limitaciones de los XDR para proteger Active Directory

Por sorprendente que parezca, en su carrera por desarrollar o adquirir herramientas de seguridad de respuesta automatizada, los proveedores de soluciones XDR se han olvidado de proteger Microsoft Active Directory desde dentro. Las soluciones XDR se basan en logs y en la telemetría de la red para detectar comportamientos anómalos una vez que se ha producido una brecha de seguridad en AD.

La R de XDR significa Respuesta y la D, Detección. En cambio, la X viene de eXtendida, y se refiere a una serie de soluciones de ciberseguridad como SOAR, SIEM, NDR, EDR, etc. Cuando una organización sufre un ciberataque, la solución XDR primero debe detectar el ataque para, posteriormente, responder para intentar detenerlo antes de que cause daños.

 

Netwrix StealthDEFEND, detección y respuesta desde el propio AD

Netwrix StealthDEFEND for Active Directory complementa las soluciones XDR, colocando un agente ligero en los controladores de dominio que detecta los ataques a Active Directory en tiempo real, antes de que aparezcan en los logs o en el tráfico de red que el XDR está monitorizando, utilizando Inteligencia Artificial o Machine Learning.

StealthDEFEND detecta y detiene los ataques en el lugar en el que suceden, sin depender de logs. La respuesta está guiada por un conjunto de reglas y Playbooks que se invocan automáticamente para responder a los tipos más comunes de ataques a AD como los ataques de fuerza bruta, movimiento lateral, elevación de privilegios, Golden Ticket, Kerberoasting, DCShadow o DCSync entre otros. De esta forma, StealthDEFEND podría responder a los ciberataques incluso antes de que el XDR reciba los logs relacionados con ese ataque.

StealthDEFEND utiliza Inteligencia Artificial y Machine Learning para detectar cualquier comportamiento fuera de lo normal y lo bloquea en tiempo real, antes de que se produzca el ataque. Por eso, la protección de Active Directory con StealthDEFEND es tan eficiente.

 

Playbooks, la jugada maestra de respuesta automatizada

Actualmente, es imposible para cualquier equipo de seguridad pueda analizar por sí mismo la ingente cantidad de eventos que suceden en una organización. Recuerdo que, en el XI Foro de Ciberseguridad del ISMS Forum celebrado el 12 de mayo de 2022 en Madrid, Lesley Kipling, asesora jefe de ciberseguridad de Microsoft EMEA, reveló que Microsoft recopila nada menos que 24 billones de eventos de seguridad al día. Sí, 24 billones españoles, con 12 ceros después del 24. ¡En un solo día! ¿Os imagináis cómo sería realizar una búsqueda manual entre todos ellos?

Para responder a estos ataques disponemos de los Playbooks, parte esencial de la automatización en ciberdefensa. Se diseñan para anticiparse a los ataques y responder automáticamente. La automatización de la ciberdefensa es una necesidad, porque hace tiempo que los ciberataques se automatizaron, y son tan abundantes que abruman a los equipos de seguridad que utilicen herramientas manuales o incluso semiautomáticas para responder a los ataques.

StealthDEFEND para AD, con su potente funcionalidad de detección y sus Playbooks incorporados, ofrece una capa adicional de seguridad a la protección que proporcionan las soluciones XDR, con la ventaja de que la seguridad se presta desde dentro del AD. Es más, se puede utilizar incluso en ausencia de un XDR. Después de todo, es más efectivo proteger AD en tiempo real desde dentro que esperar a que una solución externa lo haga.

 

StealthDEFEND también para servidores de archivos

Los cibercriminales buscan dos cosas: credenciales y datos. Por ello Stealthbits también dispone de la solución Netwrix StealthDEFEND for File Systems, que igualmente recurre a Playbooks automatizados para detectar y bloquear en tiempo real actividades sospechosas directamente en los sistemas de archivos como fuga de datos, ransomware, acceso inusual a datos confidenciales o borrado masivo entre otros, sin depender de los logs o de la telemetría de la red y mucho antes de que se detecte desde el XDR.

 

Conclusión

La ciberseguridad es un campo cada vez más especializado. Con la creciente sofisticación de los ciberataques, una solución XDR no puede responder de forma óptima a todas las amenazas. Si queremos proteger lo más importante, debemos elegir soluciones a medida para detectar los ciberataques y hacerlo lo antes posible para que la respuesta sea efectiva y la infraestructura de la organización permanezca segura.

Para más información sobre Protección de Active Directory con StealthDEFEND visita dotforce.es/sb.

Y si eres distribuidor o MSSP, ¡únete al programa de partners de Stealthbits!

PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan
PUBLICADO POR:<br>Zane Ryan
PUBLICADO POR:
Zane Ryan

Artículos relacionados

El metaverso: Guía para torpes

El metaverso: Guía para torpes

Cuando Mark Zuckerberg cambió el nombre de Facebook a Meta, a muchos les pilló por sorpresa y ahora muy pocos saben qué es Meta y la revolución que el metaverso está causando. Por si fuera poca la euforia, ahora las grandes marcas, como Adidas, también se están...

Deepfakes: Todo lo que necesitas saber sobre ellos

Deepfakes: Todo lo que necesitas saber sobre ellos

Deepfakes: un poco de contexto actual Desde hace un par de semanas está circulando por internet un vídeo falso del presidente Zelensky en donde pide a sus tropas que depongan las armas y se rindan a las fuerzas rusas. Este vídeo (deepfake) circuló en las redes...

Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede obtener más información en el siguiente enlace. Más información

POLITICA DE COOKIES Dot Force S.L. utiliza cookies en sus sitios web para atender a nuestros visitantes de acuerdo con este aviso de cookies. Puede obtener más información sobre esto a continuación. Si no acepta el uso de estas cookies, desactívelas siguiendo las instrucciones más abajo en esta página o cambie la configuración de su navegador para que las cookies de este sitio web no puedan enviarse ni almacenarse en su dispositivo. Acerca de las cookies Una cookie de Internet es un pequeño archivo que se envía desde un sitio web y se almacena en la computadora, tableta o dispositivo móvil de un usuario cuando visita un sitio web. Suelen ser anónimos y se utilizan con fines de mantenimiento de registros, pero pueden contener información sobre su visita a un sitio web en particular, como el estado de inicio de sesión, la personalización y las preferencias publicitarias, etc. Las cookies tienen un tiempo de vida predefinido, después del cual no se podrán utilizar y se eliminarán automáticamente. Las cookies pueden ser cookies "persistentes" o de "sesión". El navegador almacenará una cookie persistente y seguirá siendo válida hasta la fecha de caducidad establecida, a menos que el usuario la elimine antes de la fecha de caducidad. Una cookie de sesión, por otro lado, caducará al final de la sesión del usuario cuando se cierre el navegador web. Algunas cookies extremadamente persistentes que pueden persistir después de la eliminación se denominan "Evercookies". Uso de cookies DotForce no utiliza Evercookies. Todas nuestras cookies caducan automáticamente, después de lo cual se eliminarán de su dispositivo. Nuestras cookies no contienen ninguna información que lo identifique personalmente, pero la información personal que almacenamos sobre usted puede ser vinculada, por nosotros, a la información almacenada y obtenida de las cookies. Podemos utilizar la información que obtenemos de su uso de nuestras cookies para los siguientes propósitos. - Para reconocer su computadora cuando visita nuestro sitio web; - Para mejorar la usabilidad del sitio web; - Para analizar el uso de nuestro sitio web; - En la administración de este sitio web; - Cookies de terceros Cuando utiliza nuestro sitio web, también puede recibir cookies de terceros. Nuestros proveedores de servicios pueden enviarle cookies. Pueden usar la información que obtienen de su uso de sus cookies: - Para rastrear su navegador a través de múltiples sitios web; - Para construir un perfil de su navegación web; - Para dirigir anuncios que puedan ser de su interés particular.   Desactivación y/o eliminación de cookies Los navegadores web permiten a los usuarios controlar o eliminar cualquiera o todas las cookies almacenadas en el navegador, esta funcionalidad es común en la mayoría de los navegadores. La mayoría de los navegadores le permiten negarse a aceptar cookies. Por ejemplo: en Internet Explorer puede rechazar todas las cookies haciendo clic en "Herramientas", "Opciones de Internet", "Privacidad" y seleccionando "Bloquear todas las cookies" con el selector deslizante en Firefox puede bloquear todas las cookies haciendo clic en "Herramientas", "Opciones" y desmarcando "Aceptar cookies de sitios" en el cuadro "Privacidad". Sin embargo, bloquear todas las cookies tendrá un impacto negativo en la usabilidad de muchos sitios web. Lista de Cookies Nuestros sitios web y servicios pueden utilizar cualquiera o todas las siguientes cookies: Nombre: _gid Propósito: Esta cookie es utilizada para Google Analytics Tipo: Persistente Duración: 3 Meses  Cookies pasadas y activas Si ha deshabilitado una o más cookies analíticas o de contenido, es posible que aún tengamos información recopilada de cookies que no hayan expirado antes de que se establezca su preferencia deshabilitada. Sin embargo, dejaremos de usar las cookies deshabilitadas para recopilar más información. Una vez que las cookies no caducadas hayan caducado, se eliminarán de su sistema.

Cerrar aviso