Cuando la pandemia obligó a la fuerza laboral alrededor de todo el mundo a cambiar del trabajo físico al remoto, la adopción de Azure AD se disparó. Justo cuando las empresas adoptaron Azure AD para el inicio de sesión, ciberatacantes también se dieron cuenta del valor que este brindaba y concentraron ahí sus esfuerzos.
¿Qué es Azure AD? Es una tecnología líder en el servicio de administración de identidades y accesos en la nube de Microsoft. Esta gestiona los inicios de sesión e identidades en Office 365 para toda la plantilla laboral que se conecta vía remota.
Te podría interesar
Una sola cuenta de Azure AD comprometida brinda acceso a una gran cantidad de datos en múltiples aplicaciones, incluido Microsoft Office 365. Ahora, entendemos porqué es crítico poder detectar y responder inmediatamente ante estos ataques antes de que lleguen a otras aplicaciones y causen daños irremediables.
Las mejores prácticas para proteger las cuentas críticas de Azure AD han sido la autenticación multifactor (MFA, por sus siglas en inglés), acceso “passwordless” (como datos biométricos, ingreso de un número PIN, entre otros) y las reglas de acceso basadas en ubicación. Sin embargo, estas medidas no son suficientes. Atacantes emplean técnicas como abusar de las credenciales de registro permanente, ataques de fuerza bruta sobre credenciales donde la MFA no es aplicable, engañar a personas usuarias para que instalen aplicaciones OAuth fraudulentas, explotar vulnerabilidades en WS-Trust y falsificar sus propios tickets con un ataque “Golden SAML”.
De hecho, estos ataques y la capacidad para evadir las medidas preventivas fueron el centro del escenario en la brecha de SolarWinds donde cibercriminales falsificaron sus propios tickets, evadiendo MFA y creando persistencia en el entorno.
Actualmente, existe tecnología que usa Inteligencia Artificial (IA) que detecta el comportamiento de atacantes. Por ejemplo, Detect para Office 365 proporciona una detección de ataques basada en el comportamiento de personas usuarias y permite detectar y detener la apropiación de cuentas antes de que atacantes puedan acceder a cualquier aplicación.
En el ataque a SolarWinds este enfoque pudo alertar sobre todas las técnicas aprovechadas sin la necesidad de actualizar los modelos existentes, se proporcionó una cobertura profunda de SolarWinds, previniendo ataques a la cadena de suministro y aplicaciones SaaS. Además, los eventos se presentan correlacionados contextualmente para asegurar una priorización eficiente y efectiva de las acciones de ciberatacantes.
El cambio a la modalidad de “zero-trust” solo aumentará la importancia de tener visibilidad en Azure AD para una detección y respuesta efectiva. Puedes obtener más información sobre cómo Vectra y Metabase Q detectan y detienen ataques similares a SolarWinds en sus sitios web.
POR: JOHN MANCINI
@METABASEQ
WWW.METABASEQ.COM
BGM