La Universidad de Stuttgart es el centro de un amplio ecosistema de investigación en una región económicamente fuerte. Alrededor de 23.000 estudiantes de diversas disciplinas cuentan con el apoyo de casi 5.700 empleados, todos ellos dedicados a crear excelentes condiciones para investigadores y estudiantes. Esto incluye una infraestructura digital que garantiza un acceso fluido a amplios recursos, siempre que se cuente con las autorizaciones necesarias.
La gestión del hardware y de los servicios integrales es responsabilidad del departamento de Servicios Técnicos de Información y Comunicación, que forma parte del Centro de Información y Comunicación de la universidad. El equipo de Servicios de Administración Central del departamento garantiza el soporte central en el lugar de trabajo de los servidores de archivos e impresión, así como la gestión de dispositivos y parches. Además, este equipo presta apoyo a aplicaciones especializadas, como la gestión de documentos y la administración de personal.
El equipo de los Servicios Centrales de Administración también es responsable del mantenimiento del Directorio Activo, que permite a empleados y estudiantes acceder a los recursos que necesitan.
"Somos responsables de la seguridad y el funcionamiento de Active Directory como parte de la gestión de identidades", explica Mike Holz, jefe de los Servicios Centrales de Administración.
Protección de Active Directory en el núcleo
Debido a la importancia, sensibilidad y potencial valor global de los resultados de investigación de la universidad, la seguridad de acceso está sujeta al máximo escrutinio. Debe tenerse en cuenta el entorno especial en el que un gran número de estudiantes con dispositivos privados deben tener acceso a la red de la universidad a través de una VPN. Las continuas fluctuaciones de usuarios también suponen un reto para el reaprovisionamiento de derechos. Por ello, los sistemas informáticos y de gestión de personal deben estar estrechamente integrados.
"Por supuesto, vigilamos continuamente la situación actual de la seguridad, con especial atención a las infraestructuras públicas y las universidades", explica Holz. "En los últimos años, hemos observado que los ataques a estas entidades aumentan continuamente. Cada vez éramos más conscientes de que teníamos que ser proactivos".
Asegurar el acceso a áreas sensibles era sólo una de las preocupaciones de Holz. Además, si el servicio central de directorio se viera comprometido, la capacidad de trabajo de toda la institución podría verse restringida durante días o, peor aún, paralizarse por completo. En consecuencia, Holz y su equipo consideraron la posibilidad de auditar por terceros la seguridad y funcionalidad de la infraestructura de gestión de identidades de la universidad.
"Aunque estuviéramos seguros de haber hecho lo necesario, seguía existiendo la posibilidad de que hubiéramos pasado por alto puntos débiles. Y cada día surgen nuevos vectores de ataque que no podíamos tener en nuestro radar: por ejemplo, nuevas técnicas basadas en IA."
"Sin el apoyo de un socio competente, esta evaluación nos habría exigido un gran esfuerzo para lograr un resultado de calidad similar. Y habría requerido una formación exhaustiva de nuestros empleados".
Mike Holz, Head of Central Administration Services
Evaluación de la seguridad AD con un socio competente
Para una evaluación básica de la seguridad de Active Directory (ADSA), el equipo de Holz quería un proveedor líder de soluciones de seguridad de Active Directory con suficiente experiencia y conocimiento de los desarrollos actuales. La decisión se decantó por Semperis, un reconocido experto que ayuda a las organizaciones a proteger sus identidades y optimizar los procesos de seguridad.
Semperis ofrece una gama de soluciones que abordan los puntos débiles y los riesgos del uso de Active Directory, supervisan los cambios en el servicio de directorio, detectan posibles amenazas incluso de usuarios con privilegios y permiten responder rápidamente a los ataques.
Basándose en la amplia experiencia adquirida en diversos proyectos en todo el mundo, Semperis ADSA ofrece una visión completa del sistema de identidad.
- Una evaluación detallada de la postura de seguridad del entorno de Active Directory proporciona a las organizaciones una sólida comprensión de los riesgos identificados y ofrece recomendaciones específicas para reforzar la seguridad de Active Directory.
- Además de identificar errores de configuración peligrosos y los riesgos asociados, la evaluación detecta rutas de ataque dentro del entorno AD que podrían permitir a un atacante poner en peligro recursos críticos de nivel 0.
- Una revisión de la arquitectura de seguridad y los procesos operativos completa la evaluación identificando desviaciones de las mejores prácticas. Las entrevistas con personas y expertos en ámbitos clave como la gobernanza de la seguridad, la arquitectura de redes, los dominios de confianza, la administración de sistemas y la supervisión de la seguridad descubren posibles vulnerabilidades y sirven de base para las recomendaciones pertinentes.
El resultado son recomendaciones a medida para reforzar la seguridad, incluidas las mejores prácticas para configurar Active Directory de forma segura. La aplicación de estas medidas es responsabilidad de la organización.
Un proceso de evaluación de la seguridad fluido y eficaz
Una vez tomada la decisión de abordar el proyecto, se reunieron los equipos pertinentes y se emprendió un proceso estructurado.
Dirigidos por el equipo de gestión del proyecto, expertos de Semperis de todo el mundo aportaron su experiencia a la evaluación. Se utilizaron herramientas para capturar de forma eficiente y automática la configuración de Active Directory y la información complementaria necesaria para el análisis.
Este enfoque coordinado redujo al mínimo la carga de tiempo del personal informático de la propia universidad. La evaluación completa -incluida la definición del objetivo, la aclaración de los ámbitos que debían evaluarse, el inventario de la estructura de identidades, el análisis del entorno completo y la evaluación de riesgos- se completó en unas seis a ocho semanas. El tiempo neto requerido al personal de los servicios administrativos centrales de la universidad fue de sólo unos días.
El análisis resultante proporcionó a la universidad una visión completa de la infraestructura y los procesos existentes.
"De hecho, sólo se detectaron unos pocos problemas críticos", señala Holz. "Especialmente en comparación con otras instituciones de nuestro tamaño y con requisitos de seguridad comparables, el resultado fue bastante positivo".
Sin embargo, esto no significa que se pueda continuar con las prácticas actuales con complacencia. "Algunas cosas [en la evaluación] nos dan pie para examinar ciertos puntos que, dados los riesgos potenciales, deben abordarse ahora paso a paso".
Transferencia de conocimientos incluida
Aunque el resultado de la evaluación atestigua en gran medida el éxito del trabajo del equipo de la universidad, su aplicación tiene otras influencias positivas.
En primer lugar, refuerza la confianza en los mecanismos de seguridad establecidos y en las personas implicadas. También mejora la reputación de la universidad en el ecosistema internacional, fomentando la cooperación de confianza con otras instituciones científicas y socios de la industria.
Además, los resultados del análisis ayudarán a la universidad a desplegar más eficazmente los recursos humanos disponibles. Este efecto positivo no puede subestimarse, explica Holz. "Sin el apoyo de un socio competente, esta evaluación nos habría exigido un gran esfuerzo para lograr un resultado de calidad similar. Y habría requerido una formación exhaustiva de nuestros empleados".
"De hecho", afirma, "los conocimientos de nuestro propio equipo han aumentado considerablemente gracias a la colaboración con los expertos de Semperis en lo que respecta al funcionamiento y las vulnerabilidades del Directorio Activo: una transferencia de conocimientos muy satisfactoria."
Desde una perspectiva a largo plazo, el equipo de AD de la universidad se considera bien equipado con los procesos ahora optimizados, aunque también reconocen que no se puede garantizar una seguridad absoluta en un entorno altamente dinámico.
"Dado el esfuerzo que las partes interesadas están haciendo para obtener valiosos resultados de investigación, incluido el aprovechamiento de las tecnologías de inteligencia artificial, debemos hacer frente continuamente a nuevos vectores de ataque."
De hecho, la gestión de identidades siempre conlleva riesgos, pero éstos pueden minimizarse utilizando métodos como el seguimiento de cambios y la autorremediación. En última instancia, incluso en el peor de los casos, es importante poder restaurar el AD en cuestión de minutos. Para ello existen herramientas como Active Directory Forest Recovery , que pueden implementarse con un esfuerzo mínimo.
