- Migliorare la protezione dell'identità con la visibilità dello stato di sicurezza
- Riduzione dei rischi grazie alla protezione proattiva dell'identità
- Gestione sicura della sicurezza
- Nota finale
Con il continuo aumento degli attacchi informatici contro il settore pubblico, proteggere l'infrastruttura di identità, obiettivo chiave degli aggressori, è diventato un imperativo fondamentale. Per la maggior parte delle organizzazioni, ciò significa rafforzare la resilienza di Microsoft Active Directory (AD).
Per la città di Whitby, nell'Ontario (Canada), ciò significava investire in una soluzione in grado di fornire alla città un livello più approfondito di informazioni sulla sicurezza e sulla configurazione del proprio ambiente AD.
Il sistema di identità è il tessuto che collega gli utenti ai servizi e qualsiasi interruzione che impedisca agli utenti di accedere alle risorse ostacola il funzionamento della città. Ripristinare tali operazioni per una comunità di circa 150.000 persone comporterebbe costi significativi in termini di tempo e denaro.
Migliorare la protezione dell'identità con la visibilità dello stato di sicurezza
Come nel settore privato, anche le organizzazioni governative non sono immuni dagli attacchi ransomware. Gli aggressori che sfruttano le configurazioni errate di Active Directory possono rapidamente aumentare i propri privilegi ed espandere la propria presenza, spesso rimanendo in attesa, pronti a colpire quando vogliono.
Nel 2022, St. Marys, sempre nella provincia dell'Ontario, è stata vittima di unattacco ransomware1 che ha interrotto i servizi della città. Le conseguenze di quell'attacco, che è costato milioni a St. Marys, sarebbero state molto più gravi se la città non avesse già pianificato un programma di miglioramento della sicurezza informatica. Quell'esperienza è un esempio per altri comuni, indipendentemente dalle loro dimensioni.
Rob Brodofske, Senior Manager dei servizi di infrastruttura e sicurezza per Whitby, prende molto sul serio questi insegnamenti. Il suo compito è fornire la pianificazione strategica necessaria per soddisfare i requisiti di rete e sicurezza che l'infrastruttura tecnologica di Whitby deve soddisfare per fornire servizi ai residenti della città. È responsabile del team Infrastruttura tecnologica e fa parte del dipartimento Servizi tecnologici e innovazione, che conta circa 40 persone.
"So quanto sia importante Active Directory per la mia organizzazione e, sebbene abbia a disposizione molti strumenti, sentivo che c'era una lacuna nella sua sicurezza", ha affermato Brodofske. "Nello specifico, non avevo un metodo per mettere in luce le potenziali vulnerabilità o i rischi relativi all'aspetto dell'identità della mia infrastruttura. Volevo qualcosa che fosse in grado di esaminare in profondità Active Directory e mi desse la sicurezza che cercavo nei nostri controlli e nella nostra configurazione".
"Non avevo un metodo per mettere in luce le potenziali vulnerabilità o i rischi relativi all'aspetto dell'identità della mia infrastruttura. Volevo qualcosa che fosse in grado di esaminare in profondità Active Directory e fornirmi la sicurezza che cercavo nei nostri controlli e nella nostra configurazione".
Rob Brodofske, Responsabile senior dei servizi di infrastruttura e sicurezza, Città di Whitby
Prima di passare a Semperis, il team era in grado di eseguire il monitoraggio dei log, ma non disponeva di strumenti in grado di fornire una visibilità approfondita su AD o di rilevare rapidamente vulnerabilità e configurazioni errate, ha spiegato. Uno dei suoi architetti della sicurezza ha eseguito lo strumento Purple Knight e Brodofske è rimasto impressionato dalle informazioni raccolte e dal modo in cui venivano presentate. È stato in grado di vedere immediatamente un'istantanea delle vulnerabilità e delle configurazioni errate di AD, insieme ai consigli per mitigarle.
"Per quanto ne sapevo", ha affermato Bodofske, "all'epoca non esisteva nulla di simile, quindi volevo saperne di più". Durante un evento dedicato alla sicurezza informatica, ha incontrato i rappresentanti di Semperis e ha scoperto di più sui prodotti dell'azienda.
Riduzione dei rischi grazie alla protezione proattiva dell'identità
Il reparto IT ha adottato Directory Services Protector DSP), che monitora continuamente AD alla ricerca di indicatori di esposizione e compromissione. Questa mossa ha consentito al team di Brodofske di individuare in modo proattivo i potenziali rischi e di porvi rimedio prima che potessero causare compromissioni.
"Se non controllate regolarmente lo stato di salute e la sicurezza del vostro Active Directory, penso sia fondamentale che vi prendiate il tempo necessario per farlo e che facciate tutto il possibile per proteggere e salvaguardare questo sistema vitale", ha affermato. "Penso che tutti si concentrino un po' di più sui margini e, di tanto in tanto, ci dimentichiamo dell'Active Directory. Ma se perdete l'Active Directory, su cui fate affidamento, perderete tutto".
L'implementazione DSP semplice, ha affermato. Quando sono sorte delle domande, il team di assistenza Semperis era pronto a fornire supporto, ha aggiunto. Dopo alcune sessioni di 90 minuti per aiutare il suo team a rendere operative le funzionalità di reporting, analisi e Azure, l'implementazione è stata eseguita senza intoppi.
Un'area chiave in cui l'organizzazione ha tratto vantaggio dal DSP la sua capacità di acquisire prove dei cambiamenti, anche se la registrazione di sicurezza è disattivata, e consentire alle organizzazioni di ripristinare le modifiche dannose all'AD locale.
Secondo Brodofske, "La capacità di rilevare e annullare immediatamente tali modifiche è stata sicuramente una caratteristica molto interessante per noi. Funziona così bene che, a volte, il mio staff si dimentica persino della sua esistenza. Quando apportano delle modifiche, DSP le DSP e le annulla. Devono ricordarsi di attivare prima tali modifiche".
"La possibilità di rilevare e annullare immediatamente tali modifiche è stata sicuramente una caratteristica molto interessante per noi. Funziona così bene che, a volte, il mio staff si dimentica addirittura della sua esistenza. Quando apportano delle modifiche, DSP le DSP e le annulla. Devono ricordarsi di attivare prima tali modifiche".
Rob Brodofske
Proprio come le vulnerabilità non corrette, anche le configurazioni non sicure causate da errori umani o da derive di configurazione possono aprire la porta ad attacchi e violazioni della conformità normativa. Sebbene l'ambiente AD di Whitby sia costituito da una sola foresta, egli è ben consapevole che la riorganizzazione aziendale può compromettere la capacità di mantenere il corretto funzionamento dell'AD, anche in ambienti di dimensioni ridotte. Nel corso del tempo, la riorganizzazione ha reso l'ambiente AD della città "un po' disordinato" da questo punto di vista, ha ammesso.
Gestione sicura della sicurezza
Brodofske ha affermato che sta cercando di rendere l'ambiente AD ibrido di Whitby più resiliente ai cambiamenti rischiosi, soprattutto ora che sempre più servizi vengono trasferiti nel cloud. Man mano che vengono apportate modifiche all'ambiente, l'utilizzo DSP consentito al team di Brodofske di mitigare i rischi, annullare gli errori, ripristinare determinati oggetti e recuperare i servizi più rapidamente.
È importante sottolineare che l'utilizzo della tecnologia Semperis gli ha dato maggiore fiducia nella capacità della città di affrontare le sfide future.
"Accedo al DSP volte alla settimana solo per cercare nuovi indicatori di esposizione, monitorare il mio punteggio e poi agire di conseguenza", ha affermato. "Qui a Whitby siamo un team molto attento alla sicurezza e, se c'è qualcosa che posso fare, voglio che venga fatto. Non c'è motivo di lasciar perdere, giusto?
"Sono molto più fiducioso perché ora riesco a vedere cose che prima non riuscivo a vedere."
Leggi il blog di Semperis per saperne di più sulla gestione della superficie di attacco delle identità. Per assistenza nella protezione della tua infrastruttura di identità, prenota una demo personalizzata con noi.
Nota finale
