Foulston Siefkin LLP, il più grande studio legale del Kansas, nel 2018 ha effettuato la transizione da un ambiente Active Directory (AD) completamente on-premise a un ambiente di identità ibrido AD/Entra ID in cloud. Durante il processo di messa in sicurezza dell'ambiente ibrido, l'azienda ha rivisto le proprie pratiche di continuità operativa e ha cercato una soluzione che la aiutasse a raggiungere gli obiettivi di ripristino del sistema di identità e della postura di sicurezza.
L'implementazione di Semperis Active Directory Forest Recovery ADFR) e Directory Services Protector DSP) è stata fondamentale per la strategia di resilienza informatica dell'azienda, ha dichiarato Matt Spurlock, CTO di Foulston Siefkin.
"Vediamo un aumento degli attacchi di phishing", ha affermato. "Ogni giorno ci sono miliardi di minacce e noi cerchiamo di trovare il modo di aggirarle".
"Sono davvero felice che l ADFR sia... al nostro fianco. ... Abbiamo gli strumenti giusti, i partner giusti e le persone che... se mai dovessimo recuperare [AD], saremmo in grado di farlo in modo tempestivo e di raggiungere gli obiettivi per i tempi di recupero".
Matt Spurlock, CTO, Foulston Siefkin LLP
Spurlock sapeva che il sistema di identità era un obiettivo primario per gli aggressori, che potevano entrare nel sistema attraverso un endpoint e spostarsi lateralmente verso il sistema di identità.
"Se un attacco ransomware è in corso, come si fa a riprendersi?", ha detto. "I controller di dominio e l'AD saranno i primi ad essere danneggiati".
Miglioramento della sicurezza e della pianificazione del disaster recovery
Foulston Siefkin ha scelto ADFR e DSP per raggiungere i propri obiettivi di sicurezza e ripristino, tra cui:
- Difendersi dall'aumento degli attacchi di phishing e di altre compromissioni che partono dall'endpoint e si spostano lateralmente verso il sistema di identità.
- Automatizzare i rapporti sulla sicurezza per garantire che il team possa valutare e correggere continuamente le vulnerabilità.
- Semplificare i test di disaster recovery AD per soddisfare gli obiettivi di tempo di ripristino
Secondo Spurlock, DSP ha semplificato l'identificazione e la correzione delle vulnerabilità dei sistemi di identità non appena si presentano. Egli riceve quotidianamente i rapporti di sicurezza automatizzati DSP .
"Aiuta il mio team a mantenere il nostro ambiente pulito", ha detto. "Mi sento sicuramente bene per quanto riguarda la nostra posizione".
LADFR è un componente fondamentale dei test sistematici di disaster recovery AD di Foulston Siefkin. Anche se non si è verificato uno scenario in cui è stato necessario ripristinare l'AD, la presenza dell ADFR dà a Spurlock la certezza di poter recuperare rapidamente.
"Sono molto contento cheADFR] sia... al nostro fianco", ha detto. "Penso che abbiamo gli strumenti giusti, i partner giusti e le persone giuste per cui, Dio non voglia, se mai dovessimo riprenderci da qualcosa di simile, saremmo in grado di farlo in modo tempestivo e di raggiungere gli obiettivi per i tempi di recupero. Non posso dire abbastanza del prodotto".
Relatore: Matt Spurlock, Chief Technology officer, Foulston Siefkin LLP Come molte organizzazioni, anche noi eravamo on prem. Intorno al 2018 siamo passati a un cloud ibrido attraverso Azure, ora Entra ID. Abbiamo quindi affrontato le prove e le tribolazioni che Microsoft ha apportato nel corso degli anni. Penso che tutti stiano prestando attenzione all'IA e al punto in cui ci troviamo in questo ciclo di diffusione. Non ne siamo sicuri, ma vediamo già un aumento degli attacchi di phishing. Quindi, per contrastare questo fenomeno, c'è una maggiore consapevolezza del phishing da parte degli utenti, dei diversi vettori di attacco, di come possono ingannare qualcuno. Ogni giorno ci sono miliardi di minacce e noi cerchiamo di trovare il modo di aggirarle. Abbiamo quindi ADFR e DSP. Per quanto riguarda la pianificazione della continuità operativa, mi occupo più del lato manageriale, quindi scrivo piani di continuità operativa, le cose davvero divertenti che i tecnici IT amano fare. Se siete vittime, diciamo, di un attacco ransomware in piena regola, come farete a riprendervi? I controller di dominio e l'AD saranno i primi ad essere colpiti. E quando avete anni e anni e anni di lavoro e strati di AD, strati di sicurezza, ovviamente Microsoft non aggiorna AD da molto tempo per quanto riguarda l'on-premise e il cloud. Quindi questo prodotto lo integra molto bene. Ogni anno facciamo un'esercitazione di recupero e ci chiedono: "Oh, l'avete usato?". E io rispondo sempre: "Oh, sì". Sono il tecnico, ma non spero di doverlo mai usare. Sono solo contento che sia un sistema di rottura del vetro e che sia a nostra disposizione. Per sicurezza invio rapporti automatici via e-mail e continuo a usare il nostro rapporto sull'account. Ne ricevo uno ogni giorno. Questo mi aiuta a far sì che il mio team mantenga il nostro ambiente pulito. Mi sento decisamente bene per quanto riguarda la nostra situazione. Penso che abbiamo gli strumenti giusti, i partner giusti e le persone giuste per cui, Dio non voglia, se mai dovessimo riprenderci da qualcosa di simile, saremmo in grado di farlo in modo tempestivo e di raggiungere gli obiettivi per i tempi di ripristino. Lo verifichiamo ogni anno attraverso la nostra pianificazione della continuità. Effettuiamo test di penetrazione su questi scenari di ricaduta. Ma è stato bello fare queste esercitazioni anche con il mio team e i miei colleghi, e mi sono detto: i nostri clienti. Mi chiamano e mi chiedono: "A cosa dobbiamo pensare? Cosa dovremmo fare?". Ho anche detto che molte persone a volte sono scioccate dal fatto che esista un prodotto che fa quello che fa Semperis. Il che è davvero positivo. Sono contento perché, come ho detto all'inizio, se loro sono in crisi, noi lo sentiamo. Il nostro comune è stato colpito da un attacco ransomware - è successo nell'anno in corso - e nessuno ha potuto pagare la bolletta dell'acqua. Nessuno ha potuto pagare una multa. E così tutta la città ne ha risentito. Essendo una città più piccola, ho avuto modo di discutere con i miei colleghi di tutto il mondo. Ne parliamo e speriamo che tutti siano migliori. Quindi, non posso dire abbastanza di questo prodotto.
