Consciente de l'importance cruciale de la résilience opérationnelle, l'équipe informatique d'American Airlines a cherché une solution pour protéger son environnement Active Directory (AD) et garantir un fonctionnement ininterrompu de l'entreprise en cas d'attaque ciblant le système d'identité.
"La résilience est une priorité pour nous", déclare Jonathan Elledge, ingénieur IAM senior chez American Airlines. "Nous devons surveiller nos applications et nos services, automatiser la reprise dans la mesure du possible et détecter les problèmes avant même que les clients ou les utilisateurs finaux ne s'en aperçoivent.
Les solutions de sauvegarde traditionnelles présentaient des inconvénients, en particulier si les services de sauvegarde eux-mêmes étaient affectés, ce qui a amené l'équipe à se tourner vers Semperis Active Directory Forest Recovery ADFR) pour combler ces lacunes.
Avec l'ADFR, il me suffit d'appuyer sur un bouton et c'est parti. Si j'utilisais la sauvegarde et la restauration standard de Windows, il y aurait tellement de choses à faire manuellement. ADFR rend la restauration facile et fiable.
Jonathan Elledge, ingénieur principal, gestion des identités et des accès, American Airlines
Il a également noté une amélioration majeure de la surveillance de la sécurité avec Semperis Directory Services Protector DSP de Semperis.
"Au lieu d'effectuer des analyses manuelles ou de dépendre d'outils distincts, je configure tous mes indicateurs d'exposition dans la DSP", explique Mme Elledge. "Mais les règles de notification sont encore plus importantes. Si quelqu'un accède à un groupe sensible, je suis immédiatement appelé, même au milieu de la nuit. DSP renvoie cette personne avant qu'elle ne puisse nuire".
Cette approche proactive permet à Elledge et à l'équipe SOC de réagir en quelques minutes, souvent avant que les attaquants ne puissent se retrancher.
"Tout est une question de rapidité", a-t-il déclaré. "Si vous ne détectez pas un incident à temps, vous risquez de voir des menaces persistantes se dissimuler pendant des mois - et il est alors trop tard. Avec Semperis, nous pouvons détecter et contenir les problèmes rapidement, ce qui est désormais une exigence commerciale pour nous.
Assurer la résilience des entreprises grâce à une protection complète de l'identité
American Airlines utilise Directory Services Protector et Active Directory Forest Recovery pour :
- Recevoir des alertes en temps réel sur les changements non désirés dans Active Directory ou Entra ID
- Garantir la capacité à atteindre les objectifs de temps de récupération (RTO) de l'AD
- Accélérer la réponse aux incidents
Conférencier : Jonathan Elledge, ingénieur principal, IAM, American Airlines La résilience est l'une de nos priorités. Cela signifie qu'il faut surveiller, observer la télémétrie provenant de vos applications et de vos services pour s'assurer qu'ils sont opérationnels et qu'ils fonctionnent comme prévu, pour récupérer - de manière automatisée autant que possible, et si ce n'est pas le cas, s'assurer que vous êtes averti qu'il se passe quelque chose afin de pouvoir commencer à y réagir. Et il faut espérer que cela se fasse avant que le client, avant que les utilisateurs finaux, ne soient au courant de ce qui se passe. À quoi cela sert-il de dire que vous avez une sauvegarde si le service de sauvegarde subit un incident ? Et que quelque chose arrive à AD et que vous ne pouvez pas récupérer AD ? Ou bien il vous faudra du temps pour remettre votre service de sauvegarde en ligne afin de pouvoir le restaurer. Cela aurait un impact important sur l'entreprise. C'est là que l ADFR s'avère utile. Si je me contentais de faire une sauvegarde et une restauration Windows - ce qui me demanderait encore beaucoup de travail manuel - avec l'ADFR, je n'ai qu'à appuyer sur un bouton... et c'est parti. DSP a atteint le point où il y a tellement d'indicateurs lorsque vous passez au niveau intelligent - vous savez, le niveau élevé - qu'aujourd'hui, plutôt que de télécharger Purple Knight et d'exécuter le temps et l'espace avec Purple Knight, je configure simplement tous mes indicateurs et d'exposition et d'autres choses dans mon rapport avec DSP. Ce qui est encore mieux et encore plus important, c'est que j'ai mis en place des règles de notification. Ainsi, si quelqu'un accède à un groupe à haut risque qu'il ne devrait pas, j'ai mis en place des règles de notification. Pour certaines d'entre elles, on me bipe simplement. Pour certains d'entre eux, je suis immédiatement bipé, même au milieu de la nuit. Ensuite, DSP fait sortir les gens de là. Il se peut donc qu'ils aient obtenu leur accès pendant environ une minute avant d'en sortir à nouveau. Et on m'appelle - donc en quelques minutes, je suis dessus, et j'ouvre un dossier avec mon équipe SOC. Une fois que nous leur aurons montré ce qui se passe, ils feront venir les chasseurs de menaces. Comment fermer tout ça ? Le problème, c'est qu'ils obtiennent l'accès, puis ils font une reconnaissance pour voir qui sont vraiment leurs cibles. Une fois qu'ils ont ces cibles et qu'ils y ont eu accès - en d'autres termes, qu'ils se sont hissés au niveau nécessaire -, ils mettent en place un système de persistance. Et ils risquent de rester là pendant - je crois que Gartner a publié il y a quelques années qu'une violation comme celle-là prend normalement jusqu'à six mois avant que l'entreprise n'en prenne conscience. À ce moment-là, avez-vous encore des sauvegardes propres ou allez-vous passer les six prochains mois à reconstruire votre entreprise ? C'est pourquoi il est impossible d'éviter d'en arriver là. Vous devez le faire. C'est une obligation.
