Opinión
Auditoría de infraestructuras críticas con VOYEUR
Juan Garrido, consultor especializado en análisis forense y test de intrusión de Innotec – Entelgy.
Los servicios de directorio activo constituyen el motor a través del cual una empresa gestiona los servicios que puede ofertar a sus clientes, ya sean externos o internos. Control de gestión, cumplimiento de SLA, control de usuarios, gestión de sistemas de impresión o integración de servicios son algunas de las características que hacen que una infraestructura gobernada por este servicio resulte atrayente para administradores y gestores IT. Por el contrario, y debido a la cantidad de información que se puede almacenar en un directorio activo, estos servicios resultan de especial interés en escenarios de ataque de tipo persistente, donde la información recogida durante una intrusión es esencial para la preparación de estos ataques.
El marco de presentación de esta charla ha sido en el congreso mundial de seguridad BlackHat 2014, al que asistí el mes pasado. En él tuve la oportunidad de presentar Voyeur, una herramienta desarrollada por Innotec (empresa de Entelgy especializada en seguridad informática). El propósito principal de la herramienta es generar un rápido informe de seguridad del servicio de directorio activo de una organización. Para ello, la herramienta se vale de una serie de consultas para extraer la información. En una segunda fase, la herramienta procesará y analizará estos datos. En su última fase de ejecución, presentará estos datos al auditor en un formato de alto nivel.
Con Voyeur se exprime al máximo las posibilidades informativas de auditoría de una organización, de una manera más ágil, ya que sólo muestra información técnica al auditor. Además, también provee de reportes de alto nivel que pueden ser presentados en un corto espacio de tiempo a capas superiores (CEO, CTO, etc..) Los reportes generados son un punto de partida perfecto para analistas forenses, equipos de respuesta ante incidentes, o auditores de seguridad que quieran conocer de manera rápida y ágil qué tipo de amenazas se encuentran presentes en este tipo de servicios.
Esta herramienta responde a una necesidad real tanto de las empresas como de los analistas. En el congreso los asistentes mostraron su preocupación por los temas de seguridad que afectan al directorio activo, así como de las pocas herramientas consolidadas que existen en el mercado. Como muchas otras ideas, Voyeur nació a través de un caso de respuesta ante incidentes. Hubo que mirar en una infraestructura replicada en múltiples países, la creación de una serie de objetos, y como en todo caso de respuesta ante incidentes el tiempo así como el debido reporte a los responsables de la investigación era crucial para dar respuesta a éstas y otras preguntas que surgieron en aquel caso.
A día de hoy es una herramienta estable, estructurada y modular que permite, entre otras cosas, realizar peticiones a todo tipo de objetos en una infraestructura. La herramienta está íntegramente desarrollada en PowerShell y .NET, no requiriendo ningún tipo de dependencia para ser utilizada.
El modelo de minería de datos que utiliza genera con facilidad información valiosa y de calidad, funcionando en escenarios de pronóstico, riesgo y probabilidad, recomendaciones, búsqueda de secuencias y agrupación por relación o afinidades.
En el congreso también expliqué que, históricamente, herramientas unitarias que extraen parte de esta información sólo funcionan en servicios de un idioma predeterminado, como inglés o castellano (dos de los idiomas más instalados). Debido a esta problemática, nuestra herramienta funciona en servicios de Directorio Activo instalados en cualquier tipo de idioma. Voyeur es una herramienta libre que permite hacer las modificaciones pertinentes al gusto del analista y no requiere permiso del administrador de dominio. Basta con tener cuenta de usuario y contraseña para utilizarla.
El Ministerio de Defensa de Reino Unido sufre un ciberataque
OpenAI y Stack Overflow se asocian para ampliar los conocimientos de ChatGPT
«La eficiencia es lo más importante para maximizar el valor de un activo informático»
«El mercado telco no solo se ha consolidado, sino que también ha evolucionado»
Así es el SoC Apple Silicon M4: rendimiento, eficiencia y más IA
Virtual Cable lanza el programa de certificación UDS Enterprise Compatible
«No tiene sentido una estrategia tecnológica que no encaje al 100% con la del CEO»
«La IA hará que la analítica sea más potente y que genere insights de manera más eficiente»
Automatizando el Cloud Journey con myCloudDoor y Microsoft Azure
Pantallas que venden: cómo conectar el retail con el consumidor digital
Google Cloud Next 2024: IA desde la ofimática a las herramientas de seguridad
AIOps: la nueva frontera del retail digital
El Ministerio de Defensa de Reino Unido sufre un ciberataque
Tecnológicas inician un grupo de trabajo para ver a qué puestos afectará más la IA
Estados Unidos y la Unión Europea aumentarán su colaboración en gobernanza y seguridad de la IA
La NTT advierte de que la IA podría romper la democracia y provocar guerras
AMD Versal Series Gen 2, nuevos SoCs adaptativos para IA y Edge
Accenture se queda con Axis Corporate para avanzar en tecnología para servicios financieros
-
A FondoHace 7 días¿Puede hackearse una VPN?
-
NoticiasHace 5 díasMicrosoft amplía la compatibilidad con Passkey a todas las cuentas de usuarios
-
NoticiasHace 7 díasGeneración Aumentada por Recuperación (RAG): ¿qué es?
-
NoticiasHace 5 díasDropbox sufre una brecha que afecta a su servicio de firma electrónica