Riconoscendo l'importanza cruciale della resilienza operativa, il team IT di American Airlines ha cercato una soluzione per proteggere l'ambiente Active Directory (AD) e garantire prestazioni aziendali ininterrotte in caso di attacco al sistema di identità.
"La resilienza è una delle nostre priorità", ha dichiarato Jonathan Elledge, Senior IAM Engineer di American Airlines. "Dobbiamo monitorare le nostre applicazioni e i nostri servizi, automatizzare il ripristino laddove possibile e individuare i problemi prima che i clienti o gli utenti finali se ne accorgano".
Le soluzioni di backup tradizionali presentavano delle insidie, in particolare se i servizi di backup stessi erano interessati, quindi Elledge ha dichiarato che il team si è rivolto a Semperis Active Directory Forest Recovery ADFR) per colmare queste lacune.
Con l'ADFR, basta premere un pulsante e il gioco è fatto. Se usassi il backup e il ripristino standard di Windows, ci sarebbe molto da fare manualmente. ADFR rende il ripristino facile e affidabile.
Jonathan Elledge, ingegnere senior, gestione dell'identità e degli accessi, American Airlines
Ha inoltre notato un notevole miglioramento nel monitoraggio della sicurezza con Semperis Directory Services Protector DSP).
"Invece di eseguire scansioni manuali o di affidarmi a strumenti separati, ho impostato tutti gli indicatori di esposizione in DSP", ha dichiarato Elledge. "Ma ancora più importanti sono le regole di notifica. Se qualcuno accede a un gruppo sensibile, vengo chiamato immediatamente, anche nel cuore della notte. DSP lo farà rientrare prima che possa fare danni".
Questo approccio proattivo consente a Elledge e al team SOC di rispondere in pochi minuti, spesso prima che gli aggressori riescano a radicarsi.
"È tutta una questione di velocità", ha detto. "Se non si riesce a individuare tempestivamente un incidente, si rischia che le minacce persistano per mesi e a quel punto è troppo tardi. Con Semperis, siamo in grado di individuare e contenere rapidamente i problemi, il che è ormai un requisito aziendale per noi".
Garantire la resilienza aziendale con una protezione completa delle identità
American Airlines utilizza Directory Services Protector e Active Directory Forest Recovery per:
- Ricevere avvisi in tempo reale su modifiche indesiderate ad Active Directory o Entra ID.
- Garantire la capacità di soddisfare gli obiettivi di tempo di ripristino (RTO) dell'AD.
- Accelerare la risposta agli incidenti
Relatore: Jonathan Elledge, Senior Engineer, IAM, American Airlines La resilienza è una delle nostre priorità. Ciò significa monitorare, osservare la telemetria proveniente dalle applicazioni e dai servizi per assicurarsi che siano attivi e che funzionino come previsto, per ripristinare il più possibile in modo automatico e, in caso contrario, per assicurarsi di essere avvisati che sta succedendo qualcosa in modo da poter iniziare a reagire. E si spera di farlo prima che il cliente, prima che gli utenti finali, si rendano conto che c'è qualcosa che non va. A cosa serve dire che avete un backup se poi il servizio di backup subisce un guasto? E poi succede qualcosa all'AD e non è possibile ripristinare l'AD? Oppure ci vorrà un po' di tempo per rimettere online il servizio di backup e poterlo ripristinare. Questo sarebbe un grosso impatto per l'azienda. Ed è qui che ADFR si rivela utile. Se dovessi fare un backup e un ripristino di Windows - e dovrei comunque fare molte cose manualmente - con ADFR basta premere un pulsante e partire... e il gioco è fatto. DSP è arrivato al punto di avere così tanti indicatori quando si passa all'intelligenza - sapete, il livello più alto - che oggi, piuttosto che scaricare Purple Knight e fare il conto alla rovescia con Purple Knight, mi limito a impostare tutti gli indicatori, l'esposizione e il resto nella mia reportistica con DSP. La cosa migliore, e ancora più importante, è che ho messo a disposizione delle regole di notifica. In questo modo, se qualcuno dovesse accedere a un gruppo che non dovrebbe, che è ad alto rischio, le ho impostate. Per alcuni di essi, mi chiamano semplicemente. Per alcuni di essi ricevo un'uscita immediata, anche nel cuore della notte. E poi DSP li fa uscire subito. Quindi potrebbero aver ottenuto l'accesso per circa un minuto prima di tornare fuori. E io vengo chiamato, quindi nel giro di pochi minuti sono al lavoro e apro un caso con il mio team SOC. E una volta che avremo mostrato loro cosa sta succedendo, faranno intervenire i cacciatori di minacce. Come facciamo a chiudere tutto questo? Il problema è che ottengono l'accesso e poi cercano di capire chi sono i loro veri obiettivi. Una volta che hanno quegli obiettivi e che hanno ottenuto l'accesso - in altre parole, si sono promossi al livello necessario - allora impostano la persistenza. E poi rischiano di rimanere lì per... credo che Gartner un paio di anni fa abbia detto che una violazione di questo tipo normalmente richiede fino a sei mesi prima che l'azienda se ne accorga. A quel punto, avete ancora dei backup puliti o dovrete passare i prossimi sei mesi a ricostruire la vostra azienda? Per questo motivo, per evitare di arrivare a quel punto, non si può fare a meno di prenderlo in fretta e furia. Dovete farlo. È un requisito.
