Reconociendo la importancia crítica de la resistencia operativa, el equipo de TI de American Airlines buscó una solución para proteger su entorno de Active Directory (AD) y garantizar un rendimiento empresarial ininterrumpido en caso de un ataque dirigido al sistema de identidades.
"La capacidad de recuperación es una de nuestras prioridades", afirma Jonathan Elledge, Ingeniero Senior de IAM de American Airlines. "Tenemos que supervisar nuestras aplicaciones y servicios, automatizar la recuperación siempre que sea posible y detectar los problemas antes de que los clientes o los usuarios finales se den cuenta".
Las soluciones de copia de seguridad tradicionales tenían sus inconvenientes, sobre todo si los propios servicios de copia de seguridad se veían afectados, por lo que Elledge dijo que el equipo recurrió a Semperis Active Directory Forest Recovery ADFR) para colmar esas lagunas.
Con ADFR, sólo tengo que pulsar un botón y ya está. Si utilizara la copia de seguridad y restauración estándar de Windows, habría mucho que hacer manualmente. ADFR hace que la recuperación sea fácil y fiable.
Jonathan Elledge, Ingeniero Senior, Gestión de Identidades y Accesos, American Airlines
También señaló una importante mejora en la supervisión de la seguridad con Semperis Directory Services Protector DSP).
"En lugar de realizar exploraciones manuales o recurrir a herramientas independientes, configuro todos mis indicadores de exposición en DSP", explica Elledge. "Pero aún más importantes son las reglas de notificación. Si alguien accede a un grupo sensible, me avisan inmediatamente, incluso en mitad de la noche. DSP retirará a esa persona antes de que pueda hacer daño".
Este enfoque proactivo permite a Elledge y al equipo del SOC responder en cuestión de minutos, a menudo antes de que los atacantes puedan atrincherarse.
"Todo es cuestión de rapidez", afirma. "Si no se detecta un incidente a tiempo, se corre el riesgo de que las amenazas persistentes acechen durante meses; para entonces, ya es demasiado tarde. Con Semperis, podemos detectar y contener los problemas rápidamente, lo que ahora es un requisito de negocio para nosotros."
Garantizar la resistencia de la empresa con una protección integral de la identidad
American Airlines utiliza Directory Services Protector y Active Directory Forest Recovery para:
- Reciba alertas en tiempo real sobre cambios no deseados en Active Directory o Entra ID
- Garantizar la capacidad de cumplir los objetivos de tiempo de recuperación (RTO) de AD.
- Acelerar la respuesta a los incidentes
Ponente: Jonathan Elledge, Ingeniero Senior, IAM, American Airlines La resiliencia es una de nuestras prioridades. Esto significa monitorizar, observar la telemetría procedente de las aplicaciones y los servicios para asegurarse de que funcionan como se espera, recuperarse de forma automatizada en la medida de lo posible y, si no es así, asegurarse de que se notifica que está ocurriendo algo para poder empezar a reaccionar. Y hacerlo, con suerte, antes de que el cliente, antes de que los usuarios finales, sean siquiera conscientes de que algo está pasando. ¿De qué sirve decir que tienes una copia de seguridad si al servicio de copia de seguridad le pasa algo? ¿Y luego le pasa algo a AD y no puedes recuperar AD? O te va a llevar algún tiempo volver a tener el servicio de copia de seguridad online para poder restaurar. Eso supondría un gran impacto para la empresa. Y ahí es donde ADFR resulta útil. Si tuviera que hacer copias de seguridad y restauraciones en Windows, que aún tendría que hacer manualmente, con ADFR, pulso un botón y ya está. DSP llegó al punto de tener tantos indicadores cuando vas al nivel inteligente, ya sabes, el nivel alto, que hoy en día, en lugar de descargar Purple Knight y correr tiempo y lugar con Purple Knight, simplemente configuro todos mis indicadores y de exposición y esas cosas en mis informes con DSP. Lo mejor y más importante es que tengo reglas de notificación. De modo que, si alguien accede a un grupo que no debería, que es de alto riesgo y demás, las tengo configuradas. Algunos de ellos, sólo me avisan. Algunos de ellos me avisan de inmediato, incluso en medio de la noche. Y luego DSP sacaría a la gente de nuevo. Así que podrían haber ganado su acceso por alrededor de un minuto antes de que estén de vuelta. Y me llaman, así que en cuestión de minutos estoy en ello y abro un caso con mi equipo SOC. Y una vez que les mostramos lo que está pasando con ellos, van a traer a los cazadores de amenazas. ¿Cómo cerramos todo esto? La cuestión es que obtienen acceso, luego hacen un reconocimiento para ver quiénes son realmente sus objetivos. Una vez que tienen esos objetivos y han ganado acceso a ellos -en otras palabras, se han promocionado al nivel que necesitan- entonces lo preparan para la persistencia. Creo que Gartner dijo hace un par de años que una brecha de este tipo suele tardar hasta seis meses antes de que la empresa sea consciente de ella. Para entonces, ¿todavía tienes copias de seguridad limpias o vas a pasarte los próximos seis meses reconstruyendo tu empresa? Por lo tanto, no puedes evitarlo y tienes que hacerlo. Tienes que hacerlo. Es un requisito.
