Rafforzamento della difesa del sistema di gestione delle identità presso la Global Telecom Altice Portugal

Relatori: Jose Alegria, Chief Security Officer di Altice Portugal; Pedro Inacio, Head of Cyber Security and Privacy di Altice Portugal Altice Portugal è la quinta azienda del Portogallo e il primo operatore. Abbiamo circa il 50% della quota di mercato nel settore delle telecomunicazioni. Abbiamo circa 20.000 persone che lavorano per noi, il che è molto importante per le dimensioni di Active Directory perché tutti hanno un account. Active Directory è molto importante perché lo utilizziamo come ecosistema principale per l'autenticazione. Non abbiamo un prodotto adeguato, come Okta o Ping Identity, per fornire l'autenticazione agli utenti. Ci siamo resi conto di avere molte lacune perché Altice Portugal è il risultato di molte fusioni e acquisizioni, di diverse aziende, di diversi ecosistemi Active Directory, con diversi livelli di maturità, e la nostra sfida è quella di metterli tutti allo stesso livello. La mia preoccupazione non è quella di subire attacchi, perché ne subiamo ogni giorno. La mia preoccupazione è che uno di questi attacchi diventi catastrofico. Ma è importante per un CISO capire che tipo di attacchi. Per un operatore, il numero uno è il ransomware, dietro il quale, in genere, qualcuno ruba le credenziali per consentire l'attacco. Il secondo livello è lo spionaggio. Quindi attaccare l'operatore per raggiungere uno dei nostri lavoratori. Il terzo è la frode. Frode in termini di servizio di telecomunicazione. Ma il più importante, quello che mi fa perdere il sonno la notte, è il ransomware o il wipeware, a seconda di come funziona. È per questo motivo che dovete assicurarvi che le vostre infrastrutture critiche, come Active Directory, siano completamente sicure e resilienti. Abbiamo deciso di investire in una tecnologia che, primo, accelererà il recupero. Secondo, avremo la funzionalità di rilevare i comportamenti anomali. Ma la dimensione numero uno era la recuperabilità. Il motivo per cui siamo passati a Semperis è che il modulo ADFR di Semperis mi garantisce che il backup è segregato dal normale ecosistema di backup. E poi posso ripristinare i backup direttamente da Semperis in un paio d'ore. Le nostre principali preoccupazioni erano quelle di gestire l'enorme numero di eventi che l'ecosistema Microsoft Active Directory produce. Era piuttosto difficile pianificare i casi d'uso per rilevare alcuni tipi di attacchi o situazioni potenzialmente pericolose. DSP era lo strumento giusto per noi, perché semplificava molto il lavoro dei nostri tecnici e funzionava sempre producendo le informazioni di cui avevamo bisogno. DSP è una tecnologia molto semplice e continua. Aiuta il nostro team a capire cosa sta succedendo. Aiuta a capire le configurazioni errate. Ci aiuta a rispettare le best practice che dobbiamo applicare nei nostri ecosistemi Active Directory. Nel caso della soluzione Semperis, abbiamo integrato il modulo DSP con il nostro centro operativo di cybersecurity, in modo che un comportamento anomalo venga automaticamente segnalato agli analisti, affinché possano reagire. Infine, forse la cosa più importante per la nostra discussione in termini di resilienza di Active Directory è la recuperabilità. Questo è stato il motivo principale per cui abbiamo acquisito Semperis, il modulo ADFR , per assicurarci che il ripristino dell'Active Directory sia separato dai normali backup e che possiamo garantire il ripristino dell'Active Directory in tempi molto più rapidi rispetto al passato.