Das IT-Team von American Airlines erkannte die entscheidende Bedeutung der betrieblichen Ausfallsicherheit und suchte nach einer Lösung, um seine Active Directory (AD)-Umgebung zu schützen und eine ununterbrochene Geschäftsleistung im Falle eines Angriffs auf das Identitätssystem sicherzustellen.
"Ausfallsicherheit steht ganz oben auf unserer Agenda", sagt Jonathan Elledge, Senior IAM Engineer bei American Airlines. "Wir müssen unsere Anwendungen und Dienste überwachen, die Wiederherstellung so weit wie möglich automatisieren und Probleme abfangen, bevor Kunden oder Endbenutzer sie überhaupt bemerken."
Herkömmliche Backup-Lösungen hatten ihre Tücken - vor allem, wenn die Backup-Dienste selbst betroffen waren - und so wandte sich das Team laut Elledge an Semperis Active Directory Forest Recovery ADFR) um diese Lücken zu schließen.
Mit ADFR kann ich einfach eine Taste drücken und es geht los. Wenn ich die Standard-Windows-Sicherung und -Wiederherstellung verwenden würde, müsste ich so viel manuell machen. Mit ADFR ist die Wiederherstellung einfach und zuverlässig.
Jonathan Elledge, leitender Ingenieur, Identitäts- und Zugriffsmanagement, American Airlines
Er stellte auch eine wesentliche Verbesserung der Sicherheitsüberwachung mit Semperis Directory Services Protector DSP).
"Anstatt manuelle Scans durchzuführen oder auf separate Tools zurückzugreifen, richte ich alle meine Expositionsindikatoren in DSP ein", so Elledge. "Aber noch wichtiger sind die Benachrichtigungsregeln. Wenn sich jemand Zugang zu einer sensiblen Gruppe verschafft, werde ich sofort angepiept - sogar mitten in der Nacht. DSP holt diese Person sofort wieder heraus, bevor sie Schaden anrichten kann."
Dieser proaktive Ansatz ermöglicht es Elledge und dem SOC-Team, innerhalb von Minuten zu reagieren, oft bevor Angreifer sich verschanzen können.
"Es geht nur um Geschwindigkeit", sagte er. "Wenn Sie einen Vorfall nicht frühzeitig erkennen, riskieren Sie, dass die Bedrohung monatelang bestehen bleibt - und dann ist es zu spät. Mit Semperis können wir Probleme schnell erkennen und eindämmen, was für uns jetzt eine geschäftliche Voraussetzung ist."
Sicherstellung der Widerstandsfähigkeit von Unternehmen durch umfassenden Identitätsschutz
American Airlines verwendet Directory Services Protector und Active Directory Forest Recovery , um:
- Erhalten Sie Echtzeit-Warnungen über unerwünschte Änderungen an Active Directory oder Entra ID
- Sicherstellung der Fähigkeit, AD-Wiederherstellungszeitziele (RTOs) zu erfüllen
- Beschleunigen Sie die Reaktion auf Vorfälle
Sprecher: Jonathan Elledge, Senior Engineer, IAM, American Airlines Ausfallsicherheit steht bei uns ganz oben auf der Liste. Das bedeutet Überwachung, Beobachtung der Telemetrie Ihrer Anwendungen und Dienste, um sicherzustellen, dass sie wie erwartet funktionieren und wiederhergestellt werden - so weit wie möglich automatisiert - und wenn nicht, um sicherzustellen, dass Sie benachrichtigt werden, wenn etwas passiert, damit Sie darauf reagieren können. Und das hoffentlich, bevor der Kunde, der Endbenutzer, überhaupt merkt, dass etwas passiert ist. Was nützt es Ihnen zu sagen, dass Sie ein Backup haben, wenn mit dem Backup-Service etwas passiert? Und dann passiert etwas mit AD und Sie können AD nicht wiederherstellen? Oder es wird einige Zeit dauern, bis Ihr Backup-Service wieder online ist, damit Sie wiederherstellen können. Das wäre eine große Beeinträchtigung für das Unternehmen. Und genau hier kommt ADFR ins Spiel. Wenn ich nur eine Windows-Sicherung und -Wiederherstellung durchführen würde - was ich immer noch manuell tun müsste -, kann ich mit ADFR auf einen Knopf drücken und loslegen... und es geht. DSP hat mittlerweile so viele Indikatoren, wenn Sie auf die intelligente Ebene gehen, dass ich heute, anstatt Purple Knight herunterzuladen und Zeit und Ort mit Purple Knight zu bestimmen, einfach alle meine Indikatoren, die Belichtung und andere Dinge in meinen Berichten mit DSP einstelle. Noch besser und noch wichtiger ist, dass ich Benachrichtigungsregeln habe. Wenn also jemand auf eine Gruppe zugreift, die er nicht betreten sollte und die ein hohes Risiko darstellt, habe ich sie eingerichtet. Bei einigen werde ich nur angepiept. Bei einigen werde ich sofort ausgerufen, sogar mitten in der Nacht. Und dann holt DSP die Leute sofort wieder heraus. Es kann also sein, dass sie etwa eine Minute lang Zugang haben, bevor sie wieder herauskommen. Und ich werde angepiepst - also bin ich innerhalb von Minuten dabei und eröffne einen Fall mit meinem SOC-Team. Und sobald wir ihnen zeigen, was mit ihnen los ist, werden sie die Bedrohungsjäger einschalten. Wie können wir das Ganze abschließen? Das Problem ist, dass sie sich Zugang verschaffen und dann nachforschen, wer wirklich ihre Ziele sind. Sobald sie diese Ziele haben und sich Zugang zu ihnen verschafft haben - mit anderen Worten, sie haben sich selbst auf die Ebene befördert, die sie brauchen -, sorgen sie dafür, dass die Sache weitergeht. Und dann können sie dort sitzen bleiben - ich glaube, Gartner hat vor ein paar Jahren veröffentlicht, dass es normalerweise bis zu sechs Monate dauert, bis ein Unternehmen von einem solchen Verstoß erfährt. Haben Sie zu diesem Zeitpunkt noch saubere Backups, oder müssen Sie die nächsten sechs Monate damit verbringen, Ihr Unternehmen wieder aufzubauen? Wenn Sie also schnell handeln, damit es gar nicht erst so weit kommt, können Sie es nicht vermeiden. Sie müssen es tun. Es ist ein Muss.
