Estimados amigos de Inseguros !!!
Cuando hablamos de la seguridad empresarial, son muchos los frentes que se nos presentan. El conocido perímetro, el endpoint, el no-perimetro, la cadena de suministros, los ataques de día cero, el correo, etc etc etc.
Muchas veces el enemigo lo tenemos en casa, y no me refiero a Juan que lo acepta todo, o a Pepa que es experta en descubrir como romper el ERP. No, me refiero incluso a nosotros mismos.
En este caso voy a hablar del "programador". Ese enemigo del administrador de sistemas 😉😉😉 que quiere tener Root en todos los servers. Noooo, eso ya paso verdad? xD ahora tenemos DEVOPS !!! somos Trending !!! tenemos un repo. de versiones y Jenkins !!! bien, vale. Pero no me refiero a esto.
Estoy poniendo el caso del programador, pero podría ser otro, permitirme la broma.
A lo que voy, programador que tiene en su portátil acceso a Azure, a "equis" cosas. Puede ser acceso a máquinas virtuales, al key vault de secretos, a una aplicación en concretro, al repositorio de código, a lo que sea, pero tiene algo. Ese algo puede ser la "cocina de la empresa", es decir, acceder a todos los datos, o hacerme con el dominio, o puede ser un paso intermedio hacia otro objetivo que si que me de el ansiado Administrador...
Bien, una vez tenemos el peligro, vamos a pensar. Sabemos que es un modelo de TIERS, es decir, tenemos varias zonas en nuestra empresa, y no usamos el portátil que usamos para navegar, para conectarnos al DC, TAMPOCO usamos el mismo equipo, usamos un host bastion. Bien, y el PC del programador donde lo ponemos? es un Tier 0 ? Es un Tier intermedio con procesos de desarrollo, o es un Tier 2 de un usuario?
Tenemos MFA local al equipo? tenemos cifrado de disco? no lo se cari, dímelo tu !!! este equipo, es portátil? se lo lleva de finde.?
Se está mascando la tragedia. Tenemos un usario con privilegios en nuestra infraestructura, quizás no en el dominio, pero si en Azure, y no lo estamos protegiendo como un servidor "delicado de la muerte" con mil políticas de hardening.
Ahora que sabemos que es un objetivo goloso, y parece que es fáci, vamos a imaginar un ataque complicado, rebuscado !!!Hazlo tu mismo, entre en C:\Users\kinomakino\ y busca la carpeta .Azure hazlo con el tuyo !!!
Ahora copia esta carpeta y pégasela a otro usuario. Entra en Azure y "voila" has usado el token del compañero para autenticarse. MIRA QUE COMPLEJO !!!
Claro !!! para que pase esto, hay que hacerse con el admin. local de la máquina, o con el admin del dominio, o con acceso físico, SIIIIIII, si aquí nadie regala nada. Pero igual que protegemos a los servers en profundidad, con las medidas que he comentado antes, este equipo debería tener esa protección extra.
En este caso, partimos de un entorno en el que hemos hackeado el Active Directory, pero queremos saltar al cloud. En otras ocasiones, es al revés, hemos accediro a Azure y tal...
Estas cosas no se arreglan haciendo "clicks" en uno o dos sitios, se arreglan arquitectando bien los servicios, conociendo como funcionan, qué posibilidades nos dan de fortificación, y sobre todo, sabiendo qué hacen los malos, para ir poniendo medidas.
Estas cosas no salen en la web de Microsoft. Si buscas libros, certificaciones y demás, veras los "sc-100, 200" y cosas así, que te enseñan a hacer configuraciones de seguridad, pero si quieres aprender CIberseguridad Azure y O365, tienes que hacer mi curso. Así, directo, sin vaselina. Estas formaciones o las obtienes así, o cuesta MUCHO que tus chicos las aprendan.
No esperes más. No te quedes atrás y da el salto hacia la seguridad Cloud.
Seas sysadmin, administrador de red, blue team, pentester, sea lo que sea, piensa en hacia donde quieres llegar, y confía en Seguridadsi.
Si tienes alguna duda, y quieres saber más de los cursos, tienes la web. Puedes contactar conmigo para una charla de 15 minutos y resolver todas las dudas.
Ah, se me olvida, si trabajas en España se puede bonificar.
Gracias como siempre !!!