Refuerzo de la defensa del sistema de gestión de identidades en la empresa global de telecomunicaciones Altice Portugal

Ponentes: Jose Alegria, Director de Seguridad de Altice Portugal; Pedro Inacio, Responsable de Ciberseguridad y Privacidad de Altice Portugal Altice Portugal es la quinta mayor empresa de Portugal y el operador número uno. Tenemos alrededor del 50% de la cuota de mercado en el sector de las telecomunicaciones. Tenemos alrededor de 20.000 personas trabajando para nosotros, lo que es bastante importante para el tamaño de Active Directory porque todos ellos tienen una cuenta. Active Directory es muy importante porque lo utilizamos como ecosistema principal para la autenticación. No tenemos propiamente un producto, como Okta o Ping Identity, para proporcionar autenticación a los usuarios. Entendimos que teníamos muchas lagunas porque Altice Portugal es el resultado de muchas fusiones y adquisiciones, diferentes empresas, diferentes ecosistemas de Active Directory, con diferentes niveles de madurez, y nuestro reto es poner a todos ellos en el mismo nivel. Mi preocupación no es ser atacado, porque tenemos ataques todos los días. Mi preocupación es que uno de esos ataques se convierta en catastrófico. Pero es importante que un CISO entienda qué tipo de ataques. Para un operador, el número uno es el ransomware, que detrás de él, normalmente alguien robó credenciales para permitir el ataque. El segundo nivel es el espionaje. Atacar al operador para llegar a uno de sus trabajadores. El tercero es el fraude. Fraude en términos del servicio de telecomunicaciones. Pero el más importante, el que me quita el sueño por las noches, es el ransomware o wipeware, el que funcione. Y esa es la razón por la que debes asegurarte de que tus infraestructuras críticas, como Active Directory, son completamente seguras y resistentes. Tomamos la decisión de invertir en una tecnología que, en primer lugar, acelerará la recuperación. Número dos, tendremos la funcionalidad para detectar comportamientos anómalos. Pero la dimensión número uno era la recuperabilidad. La razón por la que nos pasamos a Semperis es que el módulo ADFR de Semperis me garantizaba que la copia de seguridad está segregada del ecosistema de copia de seguridad normal. Y entonces puedo recuperarme de las copias de seguridad desde Semperis directamente en un par de horas. Nuestra principal preocupación era hacer frente al enorme número de eventos que produce el ecosistema de Microsoft Active Directory. Era bastante difícil planificar casos de uso para detectar algún tipo de ataque o situaciones potencialmente peligrosas. DSP era la herramienta adecuada para nosotros porque simplifica mucho el trabajo de nuestros técnicos y siempre funciona y produce la información que necesitamos. DSP es una tecnología muy sencilla y fluida. Ayuda a nuestro equipo a entender lo que está pasando. Ayuda a comprender los errores de configuración. Ayuda a cumplir las mejores prácticas que debemos aplicar en nuestros ecosistemas de Active Directory. En el caso de la solución de Semperis, tenemos el módulo DSP integrado con nuestro centro de operaciones de ciberseguridad, de modo que un comportamiento anómalo se señala automáticamente a los analistas para que puedan contrarrestarlo. Y por último, quizás lo más importante para nuestro debate en términos de resiliencia de Active Directory es la recuperabilidad. Y esa fue la razón principal por la que adquirimos Semperis, el módulo ADFR , para asegurarnos de que nuestra recuperabilidad del Directorio Activo está segregada de las copias de seguridad normales, y podemos garantizar que recuperamos el Directorio Activo en un tiempo mucho más rápido que antes.