Actualidad Info Actualidad

Un estudio de la compañía destaca que cuanto más grande es la organización, más complejo es el problema

Semperis muestra que las organizaciones siguen luchando por cerrar las brechas en la seguridad de sus Directorios Activos

Redacción Interempresas24/03/2022

Según los resultados de una encuesta realizada a los líderes de TI y de seguridad que han implementado la herramienta gratuita de evaluación de seguridad Purple Knight de Semperis en sus entornos TI, las empresas y organizaciones de todos los tamaños y de todos los sectores no están abordando las brechas de seguridad de Active Directory (AD) que pueden dejarlas vulnerables ante los ciberataques.

Las organizaciones obtuvieron una media del 68% en cinco categorías de seguridad de Active Directory, una puntuación inaceptable si se tiene en cuenta que una puntuación inferior al 100% significa que deben existir vulnerabilidades en su entorno de AD. Las grandes organizaciones obtuvieron una puntuación media del 64%, lo que indica que los retos de seguridad de Active Directory se amplían con las aplicaciones heredadas y los entornos complejos.

Muchos de los encuestados afirmaron sentirse sorprendidos por las conclusiones de sus informes Purple Knight. En algunas entrevistas de seguimiento con dichos encuestados, la investigación también descubrió que las configuraciones erróneas proliferan en las organizaciones con implementaciones de Active Directory heredadas y, en general, las organizaciones luchan con la falta de experiencia en Active Directory.

En el momento de su lanzamiento, Microsoft Active Directory (AD) era una tecnología revolucionaria, y sigue apoyando gran parte de la vida laboral hiperconectada que tenemos en la era moderna porque es abierta. Esta apertura y la facilidad de integración hacen que AD siga siendo hoy en día una pieza fundamental de la infraestructura TI para el 90% de las empresas.

Imagen

Sin embargo, su mayor fortaleza hace 21 años se ha convertido actualmente en su debilidad más preocupante. Teniendo en cuenta que un hacker puede utilizar cualquier cuenta de AD sin privilegios para leer casi todos los atributos y objetos de AD, incluidos sus permisos, lo que le permite encontrar cuentas de ordenador en cualquier dominio de un bosque de AD que estén configuradas con una delegación sin restricciones, es fácil ver por qué la apertura de AD por defecto se ha convertido en una vulnerabilidad.

Análisis de Purple Knight

El año pasado, Semperis, pionera en la gestión y protección de las credenciales de identidad de los entornos híbridos de las empresas y en la protección de AD, lanzó una herramienta gratuita de evaluación de la seguridad de AD, Purple Knight, y acaba de publicar las conclusiones de los datos de 1.000 responsables de TI y ciberseguridad de diversos sectores que han implementado la herramienta en sus propios sistemas corporativos.

Las principales conclusiones del análisis de datos son las siguientes:

  • Las organizaciones obtuvieron una puntuación media del 68% en cinco categorías de seguridad de Active Directory: delegación de AD, seguridad de las cuentas, seguridad de la infraestructura de AD, seguridad de las políticas de grupo y seguridad de Kerberos. Se trata de una nota de apenas un aprobado.
  • A las grandes organizaciones les fue aún peor, con una puntuación media del 64%, lo que indica que los retos de la seguridad de Active Directory se amplían con las aplicaciones heredadas y los entornos complejos, especialmente en las grandes organizaciones.
  • La mayoría de las organizaciones obtuvieron la puntuación más baja en cuanto a la Seguridad de las Cuentas, que abarca la configuración de las cuentas individuales tales como las cuentas privilegiadas con una contraseña que nunca caduca.
  • Los datos también mostraron grandes diferencias entre los distintos sectores, y las organizaciones del sector público obtuvieron una puntuación mucho mejor que el sector privado. Por ejemplo:
    • Las compañías de seguros obtuvieron las puntuaciones más bajas (55%), seguidas de las de sanidad (63%) y transporte (64%).
    • Las empresas de transporte han obtenido la puntuación más baja en Política de Grupo (36%) y Seguridad de Cuentas (46%).
    • Las empresas de infraestructuras públicas obtuvieron la puntuación más alta en general (71%), seguidas de las entidades gubernamentales (70%).

Semperis ha publicado un informe titulado 'Facing the Unknown: Uncovering & Addressing Systemic Active Directory Security Failures' que incluye más información sobre los indicadores de seguridad que se señalaron, las respuestas de los responsables de TI y ciberseguridad sobre lo que reveló para su organización y, lo que es más importante, los pasos que están poniendo en marcha para cerrar estas brechas. Está disponible en inglés para su descarga gratuita en:

https://www.semperis.com/resources/2022-purple-knight-report/

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos