Mantenimiento de un entorno más seguro
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.
Ley número 10: La tecnología no es la panacea. - 10 leyes inmutables sobre la administración de seguridad
Cuando haya creado un entorno administrable y seguro para los recursos empresariales críticos, debe cambiar el foco para asegurarse de que ese entorno se mantiene de forma segura. Aunque se le han proporcionado controles técnicos específicos para aumentar la seguridad de las instalaciones de AD DS, la tecnología por sí sola no protegerá un entorno en el que TI no trabaje en colaboración con la empresa para mantener una infraestructura útil y segura. Las recomendaciones de alto nivel de esta sección están diseñadas para usarse como directrices que puede usar para desarrollar no solo una seguridad eficaz, sino una administración eficaz del ciclo de vida.
En algunos casos, es posible que su organización de TI ya tenga una estrecha relación de trabajo con las unidades de negocio, lo que facilitará la implementación de estas recomendaciones. En las organizaciones en las que los equipos de TI y las unidades de negocio no están estrechamente vinculadas, es posible que deba obtener primero apoyo de los directivos para realizar esfuerzos a fin de establecer una relación más estrecha entre ellos. El resumen ejecutivo está pensado para ser útil como un documento independiente para la revisión por parte de los directivos y se puede difundir a los responsables de la toma de decisiones de su organización.
Creación de procedimientos de seguridad centrados en la empresa para Active Directory
En el pasado, la tecnología de la información en muchas organizaciones se veía como una estructura de soporte técnico y un centro de costos. Los departamentos de TI a menudo se separaban en gran medida de los usuarios profesionales y las interacciones se limitaban a un modelo de solicitud-respuesta en el que la empresa solicitaba recursos y el departamento de TI respondía.
A medida que la tecnología ha evolucionado y proliferado, la visión de "un ordenador en cada escritorio" ha llegado a pasar de forma efectiva para gran parte del mundo, e incluso ha sido eclipsada por la amplia gama de tecnologías fácilmente accesibles disponibles hoy en día. La tecnología de la información ya no tiene una función auxiliar, es una función empresarial principal. Si la organización no puede seguir funcionando si todos los servicios de TI dejan de estar disponibles, el foco de la organización debería ser, al menos en parte, la tecnología de la información.
Para crear planes de recuperación eficaces de seguridad vulnerada, los servicios de TI deben trabajar estrechamente con las unidades de negocio de la organización para identificar no solo los componentes más críticos del panorama de TI, sino las funciones críticas necesarias para la empresa. Al identificar lo que es importante para su organización en su conjunto, puede centrarse en proteger los componentes que tienen el máximo valor. Esta no es una recomendación para eludir la seguridad de los sistemas y datos de valor inferior. En su lugar, al igual que define los niveles de servicio para el tiempo de actividad del sistema, debe considerar la posibilidad de definir los niveles de control y supervisión de la seguridad en función de la importancia crítica del recurso.
Cuando haya invertido en la creación de un entorno actual, seguro y manejable, podrá centrarse en administrarlo eficazmente y asegurarse de que dispone de procesos eficaces de administración del ciclo de vida que no están determinados únicamente por TI, sino por la empresa. Para conseguirlo, no solo es necesario colaborar con la empresa, sino que ésta debe ser la "propietaria" de los datos y sistemas de Active Directory.
Cuando se introducen datos y sistemas en Active Directory sin propietarios designados, propietarios de empresa ni propietarios de TI, no existe una cadena clara de responsabilidad para el aprovisionamiento, administración, supervisión, actualización y, en última instancia, retirada del sistema. Esto da lugar a infraestructuras en las que los sistemas exponen a la organización a riesgos, pero no se pueden retirar porque la propiedad no está clara. Para administrar eficazmente el ciclo de vida de los usuarios, datos, aplicaciones y sistemas administrados por la instalación de Active Directory, debe seguir los principios descritos en esta sección.
Asignación de un propietario de empresa a datos de Active Directory
Los datos de Active Directory deben tener un propietario de empresa identificado, es decir, un departamento o usuario especificados que sea el punto de contacto para tomar decisiones sobre el ciclo de vida del recurso. En algunos casos, el propietario de empresa de un componente de Active Directory será un departamento de TI o un usuario. Los componentes de la infraestructura, como los controladores de dominio, los servidores DHCP y DNS, y Active Directory probablemente serán "propiedad" de TI. Para los datos que se agregan a AD DS para respaldar a la empresa (por ejemplo, nuevos empleados, nuevas aplicaciones y repositorios de información nuevos), se debe asociar una unidad de negocio o usuario designados a los datos.
Tanto si usa Active Directory para registrar la propiedad de los datos del directorio como si implementa una base de datos independiente para realizar un seguimiento de los recursos de TI, no se debe crear ninguna cuenta de usuario, no se debe instalar ningún servidor o estación de trabajo y no se debe implementar ninguna aplicación sin un propietario designado del registro. Intentar establecer la propiedad de los sistemas después de haberlos implementado en producción puede ser difícil en el mejor de los casos e imposible en algunos casos. Por lo tanto, la propiedad debe establecerse en el momento en que los datos se introducen en Active Directory.
Implementación de la administración del ciclo de vida controlado por la empresa
La administración del ciclo de vida debe implementarse para todos los datos de Active Directory. Por ejemplo, cuando se introduce una nueva aplicación en un dominio de Active Directory, se espera que el propietario de la empresa de la aplicación, a intervalos regulares, atestigüe el uso continuado de la aplicación. Cuando se publica una nueva versión de una aplicación, se debe informar al propietario de empresa de la aplicación y decidir si se implementará la nueva versión y, en caso afirmativo, cuándo.
Si un propietario de empresa decide no aprobar la implementación de una nueva versión de una aplicación, ese propietario también debe recibir una notificación de la fecha en la que ya no se admitirá la versión actual y debe ser el responsable de determinar si la aplicación se retirará o se reemplazará. Mantener las aplicaciones heredadas en ejecución y sin soporte técnico no se debe considerar una opción.
Cuando se crean cuentas de usuario en Active Directory, sus administradores de registros deben recibir notificaciones cuando se creen objetos y se les pedirá que atestigüen la validez de la cuenta a intervalos regulares. Mediante la implementación de un ciclo de vida controlado por la empresa y la atestación periódica de la validez de los datos, las personas que mejor están equipadas para identificar anomalías en los datos son las personas que revisan los datos.
Por ejemplo, los atacantes pueden crear cuentas de usuario que parecen ser cuentas válidas, siguiendo las convenciones de nomenclatura de la organización y la colocación de objetos. Para detectar estas creaciones de cuentas, puede implementar una tarea diaria que devuelva todos los objetos de usuario sin un propietario de empresa designado para que pueda investigar esas cuentas. Si los atacantes crean cuentas y asignan un propietario de empresa, mediante la implementación de una tarea que notifica la creación de nuevos objetos al propietario de empresa designado, este puede identificar rápidamente si la cuenta es legítima.
Debe implementar enfoques similares en los grupos de seguridad y distribución. Aunque algunos grupos pueden ser grupos funcionales creados por TI, si crea cada grupo con un propietario designado, puede recuperar todos los grupos que pertenecen a un usuario designado y exigir al usuario que atestigüe la validez de sus pertenencias. De forma similar al enfoque adoptado con la creación de cuentas de usuario, puede desencadenar modificaciones de grupo de informes al propietario de empresa designado. Cuanto más rutinario se convierta para el propietario de la empresa atestiguar la validez o invalidez de los datos en Active Directory, mejor preparado estará para identificar anomalías que pueden indicar errores de proceso o riesgos reales.
Clasificación de todos los datos de Active Directory
Además de registrar un propietario de empresa para todos los datos de Active Directory en el momento en que se agregan al directorio, también debe exigir que los propietarios de empresa proporcionen una clasificación de los datos. Por ejemplo, si una aplicación almacena datos críticos para la empresa, el propietario de la empresa debe etiquetar la aplicación como tal, de acuerdo con la infraestructura de clasificación de su organización.
Algunas organizaciones implementan directivas de clasificación de datos que los etiquetan en función del daño que supondría su exposición si fueran robados o expuestos. Otras organizaciones implementan la clasificación de datos que etiqueta los datos por importancia, por requisitos de acceso y por retención. Independientemente del modelo de clasificación de los datos que se use en la organización, debe asegurarse de que puede aplicar la clasificación a los datos de Active Directory, no solo a los datos en "archivos". Si la cuenta de un usuario es una cuenta VIP, debe identificarse en la base de datos de clasificación de recursos (independientemente de si la implementa mediante el uso de atributos en los objetos de AD DS o si implementa bases de datos de clasificación de recursos independientes).
Dentro del modelo de clasificación de datos, debe incluir la clasificación de datos de AD DS, como se indica a continuación.
Sistemas
No solo debe clasificar los datos, sino también sus poblaciones de servidores. De cada servidor, debe saber qué sistema operativo está instalado, qué roles generales proporciona el servidor, qué aplicaciones se ejecutan en el servidor, el propietario de TI del registro y el propietario de empresa del registro, si procede. De todos los datos o aplicaciones que se ejecutan en el servidor, debe requerir clasificación y el servidor debe protegerse según los requisitos de las cargas de trabajo que admite y las clasificaciones aplicadas al sistema y a los datos. También puede agrupar servidores según la clasificación de sus cargas de trabajo, lo que le permite identificar rápidamente los servidores que se deben supervisar y configurar de forma más estricta.
APLICACIONES
Debe clasificar las aplicaciones según la funcionalidad (lo que hacen), la base de usuarios (quién usa las aplicaciones) y el sistema operativo en el que se ejecutan. Debe mantener registros que contengan información de versión, estado de revisión y cualquier otra información pertinente. También debe clasificar las aplicaciones según los tipos de datos que controlan, como se ha descrito anteriormente.
Usuarios
Independientemente de que se llamen usuarios "VIP", cuentas críticas o usen una etiqueta diferente, las cuentas de las instalaciones de Active Directory que es más probable que sean objetivo de los atacantes deben etiquetarse y supervisarse. En la mayoría de las organizaciones, simplemente no es factible supervisar todas las actividades de todos los usuarios. Pero si puede identificar las cuentas críticas en la instalación de Active Directory, puede supervisarlas en busca de cambios, como se ha descrito anteriormente en este documento.
También puede empezar a crear una base de datos de "comportamientos previsibles" de estas cuentas a medida que audita las cuentas. Por ejemplo, si observa que un directivo determinado usa su estación de trabajo protegida para acceder a datos críticos para la empresa desde su oficina y desde su casa, pero rara vez desde otras ubicaciones, si ve intentos de acceder a los datos mediante su cuenta desde un equipo no autorizado o una ubicación perdida en algún lugar del mundo donde sabe que el ejecutivo no se encuentra actualmente, puede identificar e investigar este comportamiento anómalo más rápidamente.
Al integrar la información empresarial con su infraestructura, puede usar esa información empresarial para ayudarle a identificar falsos positivos. Por ejemplo, si un viaje del directivo se registra en un calendario al que puede acceder el personal de TI responsable de supervisar el entorno, puede correlacionar los intentos de conexión con las ubicaciones conocidas de los directivos.
Supongamos que el Directivo A se encuentra normalmente en Chicago y usa una estación de trabajo protegida para acceder a los datos críticos para la empresa desde su escritorio, y un evento se desencadena por un intento fallido de acceder a los datos desde una estación de trabajo no segura ubicada en Atlanta. Si puede comprobar que el directivo está actualmente en Atlanta, puede solucionar el evento poniéndose en contacto con el directivo, o su asistente, para determinar si el error de acceso se ha producido como resultado del olvido por parte del directivo de usar la estación de trabajo protegida para acceder a los datos. Mediante la creación de un programa que use los enfoques descritos en Planeación de compromiso, puede empezar a crear una base de datos de comportamientos previsibles para las cuentas más "importantes" de la instalación de Active Directory que puede ayudarle a detectar y responder a ataques más rápidamente.