L'Università di Stoccarda è il fulcro di un ampio ecosistema di ricerca in una regione economicamente forte. Circa 23.000 studenti in diverse discipline sono supportati da quasi 5.700 dipendenti, tutti impegnati a creare condizioni eccellenti per ricercatori e studenti. Ciò include un'infrastruttura digitale che garantisce un accesso agevole a risorse complete, a condizione che siano presenti le necessarie autorizzazioni.
La gestione dell'hardware e dei servizi completi è di competenza del dipartimento Technical Information and Communication Services, che fa parte dell'Information and Communication Center dell'università. Il team dei Servizi di amministrazione centrale del dipartimento assicura il supporto del posto di lavoro centrale per i server di file e di stampa, nonché la gestione dei dispositivi e delle patch. Inoltre, questo team supporta applicazioni specialistiche, tra cui la gestione dei documenti e l'amministrazione del personale.
Il team dei Servizi amministrativi centrali è anche responsabile della manutenzione di Active Directory, che consente a dipendenti e studenti di accedere alle risorse di cui hanno bisogno.
"Siamo responsabili della sicurezza e del funzionamento di Active Directory come parte della gestione delle identità", spiega Mike Holz, responsabile dei Servizi di Amministrazione Centrale.
Protezione di Active Directory nel cuore
A causa dell'importanza, della sensibilità e del potenziale valore globale dei risultati della ricerca dell'università, la sicurezza degli accessi è soggetta alla massima attenzione. Si deve tenere conto dell'ambiente particolare in cui un gran numero di studenti con dispositivi privati deve accedere alla rete universitaria tramite una VPN. Le continue fluttuazioni degli utenti rappresentano una sfida anche per la riprogrammazione dei diritti. Di conseguenza, i sistemi informatici e di gestione del personale devono essere strettamente integrati.
"Naturalmente monitoriamo costantemente l'attuale situazione della sicurezza, con particolare attenzione alle infrastrutture pubbliche e alle università", spiega Holz. "Negli ultimi anni abbiamo notato che gli attacchi a queste entità sono in continuo aumento. Siamo diventati sempre più consapevoli di dover essere proattivi".
La sicurezza dell'accesso alle aree sensibili era solo una delle preoccupazioni di Holz. Inoltre, se il servizio di directory centrale fosse stato compromesso, la capacità di lavorare dell'intera istituzione avrebbe potuto essere limitata per giorni o, peggio, bloccarsi completamente. Di conseguenza, Holz e il suo team hanno preso in considerazione la possibilità di sottoporre a verifica da parte di terzi la sicurezza e la funzionalità dell'infrastruttura di gestione delle identità dell'università.
"Anche se eravamo sicuri di aver fatto il necessario, c'era sempre la possibilità di aver trascurato i punti deboli. E ogni giorno emergono nuovi vettori di attacco che non potevamo avere nel nostro radar, ad esempio nuove tecniche basate sull'intelligenza artificiale".
"Senza il supporto di un partner competente, questa valutazione ci avrebbe richiesto un grande sforzo per ottenere un risultato di pari qualità. E avrebbe richiesto una formazione completa dei nostri dipendenti".
Mike Holz, Head of Central Administration Services
Valutazione della sicurezza AD con un partner competente
Per una valutazione di base della sicurezza di Active Directory (ADSA), il team di Holz voleva un fornitore leader di soluzioni di sicurezza di Active Directory con sufficiente esperienza e conoscenza degli sviluppi attuali. La decisione è stata presa a favore di Semperis, un esperto riconosciuto che aiuta le organizzazioni a proteggere le loro identità e a ottimizzare i processi di sicurezza.
Semperis offre una gamma di soluzioni che affrontano i punti deboli e i rischi dell'utilizzo di Active Directory, monitorano le modifiche al servizio di directory, rilevano eventuali minacce anche da parte di utenti privilegiati e consentono una risposta rapida agli attacchi.
Basandosi su un'ampia esperienza maturata in diversi progetti a livello mondiale, Semperis ADSA offre una visione completa del sistema di identità.
- Una valutazione dettagliata della posizione di sicurezza dell'ambiente Active Directory fornisce alle organizzazioni una solida comprensione dei rischi identificati e fornisce raccomandazioni mirate per rafforzare la sicurezza di Active Directory.
- Oltre a identificare le configurazioni errate pericolose e i rischi associati, la valutazione rileva i percorsi di attacco all'interno dell'ambiente AD che potrebbero consentire a un utente malintenzionato di compromettere le risorse critiche di livello 0.
- Un esame dell'architettura di sicurezza e dei processi operativi completa la valutazione identificando le deviazioni dalle best practice. Le interviste con persone ed esperti in aree chiave come la governance della sicurezza, l'architettura di rete, i domini fiduciari, l'amministrazione di sistema e il monitoraggio della sicurezza rivelano le potenziali vulnerabilità e informano le raccomandazioni appropriate.
Il risultato è costituito da raccomandazioni personalizzate per rafforzare la sicurezza, comprese le best practice per la configurazione sicura di Active Directory. L'implementazione di queste misure è responsabilità dell'organizzazione.
Un processo di valutazione della sicurezza fluido ed efficiente
Una volta presa la decisione di affrontare il progetto, sono stati riuniti i team competenti ed è stato intrapreso un processo strutturato.
Guidati dal team di gestione del progetto, gli esperti Semperis di tutto il mondo hanno contribuito alla valutazione con la loro esperienza. Sono stati utilizzati strumenti per acquisire in modo efficiente e automatico la configurazione di Active Directory e le informazioni supplementari necessarie per l'analisi.
Questo approccio coordinato ha ridotto al minimo il carico di tempo per il personale IT dell'università. La valutazione completa, che comprende la definizione dell'obiettivo, la precisazione dei domini da valutare, l'inventario della struttura delle identità, l'analisi dell'ambiente completo e la valutazione dei rischi, è stata completata in circa sei-otto settimane. Il tempo netto richiesto al personale dei servizi amministrativi centrali dell'università è stato di pochi giorni.
L'analisi risultante ha fornito all'università una visione completa dell'infrastruttura e dei processi esistenti.
"In effetti, sono stati individuati solo pochi problemi critici", osserva Holz. "Soprattutto se confrontato con altri istituti delle nostre dimensioni e con requisiti di sicurezza paragonabili, il risultato è stato piuttosto positivo".
Tuttavia, questo non significa che le pratiche attuali possano essere portate avanti con compiacimento. "Alcuni aspetti [della valutazione] ci danno motivo di esaminare alcuni punti che, dati i rischi potenziali, dovrebbero essere affrontati passo dopo passo".
Trasferimento di know-how incluso
Anche se il risultato della valutazione ha ampiamente attestato il successo del lavoro del team dell'università, la sua attuazione ha avuto una serie di altre influenze positive.
In primo luogo, rafforza la fiducia nei meccanismi di sicurezza stabiliti e nelle persone coinvolte. Inoltre, accresce la reputazione dell'università nell'ecosistema internazionale, favorendo la cooperazione di fiducia con altre istituzioni scientifiche e partner industriali.
Inoltre, i risultati dell'analisi aiuteranno l'università a impiegare in modo più efficace le risorse umane disponibili. Questo effetto positivo non può essere sottovalutato, spiega Holz. "Senza il supporto di un partner competente, questa valutazione ci avrebbe richiesto un grande sforzo per ottenere un risultato di pari qualità. E avrebbe richiesto una formazione completa dei nostri dipendenti".
"In effetti", afferma, "le competenze del nostro team sono cresciute notevolmente grazie alla collaborazione con gli esperti di Semperis per quanto riguarda il funzionamento e le vulnerabilità di Active Directory: un trasferimento di know-how di successo".
In una prospettiva a lungo termine, il team AD dell'università si considera ben equipaggiato con i processi ora ottimizzati, pur riconoscendo che la sicurezza assoluta non può essere garantita in un ambiente altamente dinamico.
"Dato lo sforzo che le parti interessate stanno facendo per ottenere preziosi risultati di ricerca, anche sfruttando le tecnologie di intelligenza artificiale, dobbiamo continuamente affrontare nuovi vettori di attacco".
In effetti, la gestione delle identità comporta sempre dei rischi, che però possono essere ridotti al minimo utilizzando metodi come il monitoraggio delle modifiche e la riparazione automatica. Infine, anche nel peggiore dei casi, è importante essere in grado di ripristinare l'AD in pochi minuti. A questo scopo sono disponibili strumenti come Active Directory Forest Recovery , che possono essere implementati con il minimo sforzo.
