Es un miércoles normal en la empresa XYZ Inc, donde eres ingeniero de sistemas desde 2007. Un día normal empieza con multitud de problemas, algunos grandes y otros pequeños. Un grupo de estaciones de trabajo de Legal se ha saltado el último ciclo de parches, tu amigo de Finanzas no consigue que funcione su genial complemento de IE y el equipo de administración de SQL tiene problemas para iniciar sesión en el clúster SQL que ejecuta las aplicaciones de línea de negocio de XYZ.
Usted resuelve los problemas a tiempo, iniciando sesión en cada sistema problemático utilizando sus credenciales de administrador de dominio. Los problemas urgentes del día se han solucionado, pero es posible que se esté desarrollando una situación de seguridad mayor y más siniestra.
El uso de una cuenta con privilegios elevados, como la de administrador de dominio, en varios sistemas aumenta la posibilidad de que se pueda utilizar un ataque Pass-the-Hash (PtH) u otra técnica de robo de credenciales para hacerse con el control de cuentas con acceso de nivel de administrador a prácticamente todos los sistemas de gran valor de una organización. La premisa de estas técnicas de robo de credenciales es hacerse con el mayor número posible de credenciales de dominio almacenadas en un sistema comprometido. Una vez que se compromete una estación de trabajo o un servidor, el tiempo típico para obtener las credenciales de administrador de dominio es de 24 a 48 horas. Para aumentar el riesgo, el descubrimiento del ataque inicial suele tardar meses, lo que deja a los intrusos tiempo más que suficiente para acceder a los sistemas y datos de misión crítica. La matemática es bastante simple, cuantos menos sistemas a los que acceda con estas cuentas privilegiadas, más se reduce el riesgo de compromiso.
Microsoft ha lanzado actualizaciones de seguridad, así como mitigaciones en los sistemas operativos más recientes para hacer frente a algunos de estos ataques. Estos parches y mitigaciones deben formar parte de una estrategia más amplia que también implemente controles en torno a sus cuentas con privilegios elevados. Estos controles deben incluir, entre otras cosas, la restricción y protección de las cuentas de dominio privilegiadas, la limitación del número de cuentas de dominio privilegiadas y la separación de las cuentas administrativas por acción o función. Una de las principales inversiones en Microsoft Identity Manager 2015 (MIM) es Privileged Access Management (PAM). PAM en MIM 2015 aprovecha la nueva funcionalidad en Windows Server 10 Active Directory Domain Services (ADDS) y PAM PowerShell CMDLETS que ayudan a mitigar el riesgo de movimiento lateral y escalada de privilegios aislando y restringiendo el uso de cuentas de dominio altamente privilegiadas.
El enfoque MIM de PAM es el acceso administrativo justo a tiempo (JIT). La capacidad de los administradores de "aumentar" el acceso en función de las necesidades y, al mismo tiempo, aprovechar los derechos orientados específicamente a la tarea en cuestión. El ciclo de vida de este proceso es el siguiente:
- Prepárese: Determine qué usuarios tienen actualmente acceso privilegiado. También es necesario aislar y delimitar estos privilegios.
- Proteger: Implementar el proceso Step-up y la protección AuthN de estas cuentas privilegiadas.
- Operar: Los usuarios solicitan acceso de administrador JIT antes de realizar tareas que requieren credenciales privilegiadas. El acceso escalonado se coloca en una "caja de tiempo" finita, normalmente por la duración de la tarea en cuestión.
- Supervisar: Se establece una "red de seguridad" de auditoría, información y alerta sobre estas solicitudes.
Arquitectónicamente, ¿cómo sucede todo esto?
La solución tiene varias partes móviles:
Un bosque independiente creado en Windows Server 10 ADDS y que alberga la infraestructura de MIM 2015, así como duplicados de los grupos privilegiados y cuentas de usuario de su bosque CORP. Estos objetos y grupos de usuarios son los que gestionan la elevación de acceso/derechos. La huella de servidor para este bosque incluiría 2 controladores de dominio para alta disponibilidad.
A continuación, se establece una confianza bidireccional a nivel de bosque con el filtrado SID desactivado entre el bosque PAM y el bosque CORP. El historial de SID se aprovecha para permitir que los objetos de usuario y grupo duplicados en el bosque PAM tengan acceso en el bosque CORP. El acceso elevado se produce cuando los usuarios se autentican en CORP con su cuenta PAM a la que MIM ha concedido acceso temporal a uno de los grupos de administración duplicados. No se trata de conceptos nuevos para los administradores familiarizados con AD y el historial de SID; lo interesante es lo que MIM, PowerShell y Server 10 aportan a la ecuación.
Windows Server 10 permite añadir un TTL a la pertenencia a un grupo. Este TTL es lo que se utiliza para "temporizar" el acceso escalonado. MIM gestiona el aprovisionamiento de objetos en estos grupos, así como la aplicación del valor TTL. El servidor 10 ADDS DE-provisiona a los usuarios cuando se alcanza el valor TTL.
El flujo de trabajo para todo este proceso puede ser manejado a través de una GUI desarrollada usando el PAM REST API en MIM y/o PAM PowerShell CMDLETS.
¿Resuelve por completo esta solución el robo de credenciales en la empresa?
No, pero como parte de un esfuerzo mayor para fortalecer la postura de seguridad, PAM aprovechando MIM 2015 y Server 10 ADDS puede ayudar mucho a los administradores y CISO a dormir mejor por la noche.
En la sección de referencias encontrarás varios enlaces con información adicional sobre PAM, MIM 2015 y técnicas de robo de credenciales.
Referencias:
https://technet.microsoft.com/en-us/security/dn785092
https://pentestmonkey.net/uncategorized/from-local-admin-to-domain-admin
https://blog.kloud.com.au/2014/11/26/mim-and-privileged-access-management/
https://en.wikipedia.org/wiki/Pass_the_hash
https://en.wikipedia.org/wiki/Privileged_Identity_Management
