Ai consulenti finanziari e professionali viene in genere affidato l'accesso sicuro alle informazioni più sensibili delle organizzazioni. Nella maggior parte dei casi, Microsoft Active Directory (AD) è il punto di contatto centrale e la base per una strategia di identità sicura.
RSM Ebner Stolz, uno dei principali studi di revisione contabile, consulenza fiscale , legale e gestionale in Germania, offre ai propri clienti un portafoglio completo di servizi. Con sede a Stoccarda, lo studio impiega oltre 2.100 dipendenti in 14 sedi in tutto il paese e ha generato un fatturato di oltre 481 milioni di euro nel 2024. Tra i suoi clienti figurano aziende industriali, commerciali e di servizi di tutti i settori e dimensioni, dalle ditte individuali alle società quotate in borsa.
L'attività dell'azienda richiede ai suoi dipendenti di avere accesso sicuro ad alcuni dei sistemi e dati più critici dei suoi clienti. In un contesto di minacce sempre più volatili, la sicurezza informatica e la resilienza operativa sono priorità per l'azienda.
Nessuna alternativa alla sicurezza dell'identità
L'IT interno di RSM Ebner Stolz svolge un ruolo fondamentale nel mantenimento della continuità operativa, garantendo che i dipendenti presso le sedi aziendali e presso i clienti abbiano sempre rapido accesso alle risorse centrali di cui hanno bisogno. A tal fine, l'azienda impiega oltre 80 persone che si occupano dell'infrastruttura e delle applicazioni necessarie.
Un data center centrale a Francoforte e unità di calcolo più piccole, distribuite spazialmente, sono collegate tramite una rete MPLS. Tutti i dipendenti, sia in ufficio che in viaggio, sono dotati di laptop per connettersi in modo flessibile ad applicazioni come DATEV e altre applicazioni specifiche.
In un contesto di crescenti minacce informatiche, RSM Ebner Stolz ha creato un team dedicato esclusivamente alle problematiche di sicurezza IT. All'interno di questo gruppo, l'ingegnere della sicurezza IT Ben Glenz si occupa della sicurezza IT operativa. All'inizio del team, il suo ruolo richiedeva un'analisi approfondita dei processi aziendali esistenti.
"In un'azienda cresciuta nel corso degli anni con numerose unità eterogenee, era impossibile aspettarsi un concetto di sicurezza uniforme che potesse essere implementato solo in un sito vergine", ricorda Glenz. Molte organizzazioni si trovano ad affrontare questo problema ; ad esempio, quando nuove strutture devono essere integrate tramite acquisizioni o quando le attività vengono sempre più svolte da remoto, entrambe situazioni che si applicano all'ambiente aziendale.
Il punto critico nelle infrastrutture distribuite, eterogenee e gestite da remoto è il controllo dell'accesso concesso a tutte le risorse, siano esse dati o applicazioni. Poiché Active Directory (AD) è il servizio centrale che consente ai dipendenti di RSM Ebner Stolz di connettersi in modo semplice e affidabile dagli uffici dell'azienda, dalle sedi dei clienti o dalle sedi centrali, uno dei primi passi di Glenz è stato condurre un'indagine sulla sicurezza dell'AD aziendale.
Per farlo, ha utilizzato Semperis Purple Knight , uno strumento gratuito della community che esamina gli ambienti Active Directory alla ricerca di configurazioni errate, vulnerabilità e potenziali segnali di attacco. Lo strumento analizza oltre 185 indicatori di esposizione (IOE) e compromissione (IOC) e fornisce un punteggio di sicurezza e indicazioni su come colmare potenziali lacune.
Un'analisi iniziale condotta presso RSM Ebner Stolz ha evidenziato che, nonostante l'infrastruttura soddisfacesse i requisiti generali, sussisteva un potenziale di miglioramento.
"Active Directory è stato introdotto 25 anni fa e si basa sugli algoritmi di quel periodo", spiega Ganz. Come nella maggior parte delle organizzazioni che si sono espanse nel tempo, soprattutto quelle che hanno subito fusioni o acquisizioni, ha scoperto elementi che non soddisfacevano i requisiti di sicurezza attuali o che non erano più supportati. Ad esempio, afferma, "abbiamo trovato sistemi operativi obsoleti come Windows 7. Naturalmente, questo apre le porte agli aggressori".
Monitoraggio continuo e guida alla sicurezza prioritaria
Il punteggio determinato da Purple Knight ha fatto pendere la bilancia a favore dell'immediata risoluzione del processo di modifica di Active Directory, nonostante l'assenza di una minaccia attiva.
"Una cosa è chiara", spiega Glenz, "se Active Directory viene compromesso, lo sarà anche l'intero processo aziendale".
Il team di sicurezza ha deciso di installare due prodotti: Semperis Directory Service Protector ( DSP ) e Active Directory Forest Recovery ( ADFR ) . Entrambi i prodotti erano facili da installare, senza richiedere l'intervento dell'utente.
DSP Consente il monitoraggio continuo di tutte le attività relative ad Active Directory, creando una panoramica dell'intera superficie di sicurezza dell'identità aziendale. Inoltre, lo strumento fornisce indicazioni prioritarie e attuabili, sviluppate e fornite da ricercatori di sicurezza AD. Pertanto, DSP ha presentato un modo immediatamente efficace e completo per controllare e proteggere l'accesso alle risorse critiche dell'azienda e ridurre in modo sostenibile la superficie di attacco all'identità.
La soluzione consente al team di Ganz di rilevare e ripristinare modifiche sospette o rischiose ad Active Directory. RSM Ebner Stolz ha optato per la versione ibrida dello strumento, che offre rilevamento e risposta alle minacce di identità (ITDR) sia per Active Directory che per Entra ID.
"Sebbene molte attività aziendali siano ancora basate sull'AD locale, i processi si stanno evolvendo notevolmente verso Azure", afferma Glenz, spiegando la decisione. "Inoltre, gli aggressori spesso si spostano dai sistemi on-premise al cloud o viceversa".
Garantire la resilienza operativa attraverso un ripristino rapido e sicuro
ADFR Consente un rapido ripristino delle foreste AD a uno stato affidabile in caso di attacco ransomware o wiper riuscito. Il ripristino manuale di una foresta AD può richiedere giorni o settimane e comporta il rischio di persistenza da parte dell'aggressore e di reinfezione da malware, con conseguenti potenziali danni economici considerevoli per la maggior parte delle aziende.
Al contrario, ADFR ripristina la prontezza operativa in pochi minuti o ore, riducendo i tempi di inattività fino al 90 percento. ADFR Può essere utilizzato per ripristinare Active Directory a uno stato sicuro, utilizzando origini di installazione pulite per impedire la reintroduzione di malware. Il ripristino può essere eseguito su qualsiasi hardware virtuale o fisico. Inoltre, le funzionalità di Identity Forensics and Incident Response (IFIR) di Semperis contribuiscono a prevenire efficacemente potenziali attacchi successivi.
"Mentre DSP interviene regolarmente quando si tenta di modificare l'AD con intenti malevoli, ADFR "È l'istanza definitiva per ripristinare l'operatività IT in caso di attacco", afferma Glenz, spiegando l'interazione tra i due strumenti. "Abbiamo completato il processo di ripristino e siamo tornati online dopo 20 minuti."
Un altro aspetto interessante di ADFR per l'azienda: i dati di backup necessari occupavano uno spazio di archiviazione di soli 300 MB circa. ADFR offre anche la possibilità di archiviazione online nel cloud.
Costruire una base di identità sicura
Adottando DSP E ADFR , RSM Ebner Stolz ha creato una base tecnica per la protezione di Active Directory e per l'applicazione di policy sulle password o l'assegnazione individuale dei diritti.
"I prodotti funzionano e basta, non devo accedere ogni giorno", spiega Glenz. "Se qualcosa non funziona, ricevo una notifica."
Ciò non solo aiuta Glenz a dormire meglio, ma dà anche a lui e al resto del suo team più tempo per occuparsi di altre attività urgenti.