La demande de commentaires (RFC) 1823 d'août 1995 a introduit l'interface de programmation d'application (API) du protocole d'accès aux annuaires légers (LDAP). On pourrait dire que ce travail important a servi de base à la gestion moderne de l'identité. Pourtant, il est surprenant de constater que le mot " identité " n'apparaît pas une seule fois dans l'ensemble de la RFC. (Le mot répertoire apparaît quatorze fois et le mot accès six fois).
L'Active Directory (AD) de Microsoft, qui est apparu pour la première fois dans Windows 2000, tire ses origines de ces premiers travaux LDAP. L'ensemble des services d'AD de Microsoft n'a cessé de s'améliorer depuis, et rares sont ceux qui contesteraient le fait que l'AD sert de base structurelle à la plupart des services liés au domaine et à l'identité de l'entreprise. Comme on peut s'y attendre, ce rôle vital fait d'AD une cible attrayante pour les campagnes de destruction contre une entreprise.
Lecture associée
C'est dans cet esprit que j'ai passé du temps cette semaine avec une start-up spécialisée dans la sécurité, Semperis. Fondée en 2014 et ayant son siège au World Trade Center (à deux pas de notre bureau de Fulton Street) et un centre de R&D supplémentaire en Israël, la société aide les équipes d'entreprise à rendre leur infrastructure AD plus robuste et plus résistante aux cyber-attaques et autres catastrophes. La discussion a été passionnante et voici un résumé de ce que j'ai appris :
"Nous qualifions notre solution de sécurité de cyber-résilience basée sur l'identité", explique Mickey Bresman, cofondateur de Semperis. "Ce que nous faisons spécifiquement, c'est offrir aux clients un moyen de traiter les angles morts du système d'audit AD, d'automatiser le processus de récupération AD en cas de ransomware ou d'une autre attaque, et de fournir une restauration rapide des objets et attributs AD, réduisant souvent la récupération de plusieurs jours ou semaines à quelques heures."
L'une des décisions à l'origine du modèle Semperis consiste à découpler AD du système d'exploitation Windows pendant la restauration, ce qui permet une restauration propre dans le cas où un exécutable compromis pourrait réinfecter le système restauré. Une autre idée technique consiste à découpler la restauration de la dépendance du matériel sous-jacent. Cela permet une restauration dans un environnement d'hébergement moins contraignant, y compris les systèmes publics en nuage.
"L'automatisation est un aspect précieux de notre solution", a déclaré M. Bresman, "car de nombreux processus de récupération et de restauration actuels - s'ils existent - sont manuels et nécessitent donc beaucoup de temps et d'efforts, sans parler de la forte probabilité d'erreur humaine. Nous avons aidé nos clients à réduire le temps de récupération des données, ce qui se traduit par une plus grande résilience face aux cybermenaces et aux catastrophes.
J'ai demandé à M. Bresman pourquoi les entreprises attendent d'être attaquées avant de prendre des mesures de réduction des risques pour leur infrastructure d'annuaire. Sa réponse a été intéressante : puisque Semperis se concentre sur la réponse proactive, ils acceptent que les attaques et les désastres sont inévitables. Mais la nuance est que Semperis aide les équipes d'entreprise à préparer à l'avance leur réponse. Il en résulte un bon équilibre entre la préparation et la réponse.
Le produit phare de la société s'appelle Semperis Active Directory Forest Recovery (ADFR), qui comprend la restauration des contrôleurs de domaine, la restauration des partitions et la restauration des forêts. La restauration peut être effectuée sur n'importe quel serveur, virtuel ou physique, à la fois sur site et dans le nuage. Semperis propose également une plateforme de protection des services d'annuaire (DSP) qui permet une visibilité en temps réel, un suivi des modifications apportées à l'AD et une remédiation automatique.
Au cours de notre discussion, M. Bresman m'a présenté une liste impressionnante d'équipes d'entreprises qui utilisent désormais Semperis pour gérer leurs risques opérationnels et de sécurité liés à l'AD. Une entreprise a apparemment réduit son temps de restauration de plusieurs jours (qui a malheureusement été testé par une attaque de ransomware à grande échelle qui a dégradé leur fonctionnement), à un nouveau temps de restauration qui est estimé à environ trois heures. C'est une nette amélioration.
Si vous gérez une infrastructure d'entreprise qui dépend d'AD pour les services liés aux domaines et aux identités, et que vous êtes préoccupé par la possibilité réelle que quelque chose de destructeur se produise - que ce soit de manière malveillante ou accidentelle - nous vous conseillons vivement d'appeler l'équipe de Semperis. Demandez-leur de vous présenter leurs cas d'utilisation de la restauration automatisée et rapide. Je pense que vous serez impressionné - et, je l'espère, convaincu.
Comme toujours, après votre discussion, veuillez partager avec nous ce que vous avez appris.
