L'Università di Stoccarda è parte integrante di un ecosistema di successo e un punto di snodo per la ricerca in una regione economicamente importante. Circa 23.000 giovani studiano all'Università in diverse discipline. Sono inoltre affiancati da circa 5.700 collaboratori, per consentire a studenti e ricercatori di ottenere risultati soddisfacenti. Dazu gehört eine digitale Infrastruktur, die den reibungslosen Zugang zu umfassenden Ressourcen garantiert - sofern die dafür notwendige Berechtigung vorliegt.
La gestione dell'hardware e dei servizi comprende il settore Technische Informations- und Kommunikationsdienste (TIK) come parte degli Informations- und Kommunikationszentrums dell'Università (IZUS). In questo ambito rientrano anche le Verwaltungsdienste centrali, che garantiscono il supporto al posto di lavoro centrale, compreso l'indispensabile Fileoder Printserver, il Patchmanagement e la Geräteverwaltung. A ciò si aggiunge anche la gestione di applicazioni di settore, come la gestione dei documenti o la gestione personale.
Den Zentralen Verwaltungsdiensten (ZVD) si propone anche di gestire Active Directory, in modo da consentire ai clienti e agli studiosi di accedere alle risorse disponibili. "Siamo impegnati nella gestione delle identità per la sicurezza e il funzionamento di Active Directory", ha dichiarato Mike Holz, Abteilungsleiter di ZVD.
Active Directory come istanza centrale
In considerazione dell'importanza e della sensibilità delle ricerche effettuate nel settore dell'alta tecnologia e degli interessi di tutto il mondo in materia di dati, la sicurezza dei dati è di estrema importanza. Dabei ist die besondere Umgebung zu berücksichtigen, bei der eine große Zahl von Studierenden mit Privatgeräten Zugang über ein VPN zum Universitätsnetz erhalten müssen. Inoltre, la fluttuazione continua comporta un'importante necessità per la neuprovisionerung dei diritti. In questo senso, è fondamentale un'ampia verifica dell'IT con il sistema di gestione personale.
"Selbstverständlich verfolgen wir kontinuierlich die aktuelle Sicherheitslage, mit besonderem Augenmerk auf öffentliche Bereiche und Universitäten", erklärt Holz. "Dabei ist in den vergangenen Jahren auffällig geworden, dass Angriffe auf diese Bereiche kontinuierlich steigen. Es wurde uns zunehmend bewusst, dass wir hier proaktiv werden müssen". Dabei ist die Sicherung des Zugangs zu sensiblen Bereichen nur die eine Seite der Medaille. In particolare, il fatto che la capacità di lavoro dell'Istituzione per più di un anno sia stata compromessa, anche se non è stata completamente eliminata, è un dato di fatto.
Mike Holz e il suo team hanno individuato alcune opzioni per migliorare la sicurezza e la funzionalità dei sistemi di gestione dell'identità in un ambiente competitivo. "Anche se eravamo sicuri di avere a disposizione un sistema di gestione dei rischi, abbiamo avuto l'opportunità di far sì che le Schwachstellen venissero utilizzate. Inoltre, con il passare del tempo, sono stati introdotti nuovi strumenti di controllo, ad esempio sulla base di nuove tecniche KI, che non abbiamo potuto utilizzare sul radar".
"Senza l'Assessment con l'aiuto di partner competenti, per noi è importante ottenere un risultato di qualità superiore. Schon allein deshalb, weil dazu eine umfassende Schulung der Mitarbeiter erforderlich gewesen."
Mike Holz, responsabile del dipartimento ZVD
Valutazione della sicurezza con un partner competente
Es lag nahe, für ein grundlegendes Active Directory Security Assessment (ADSA) ein erfahrenes Unternehmen hinzuziehen, das als fchrender Anbieter von Sicherheitslösungen für das Active Directory über hinreichend Erfahrung und Kenntnis der aktuellen Entwicklungen verfügt. Die Entscheidung fiel zugunsten von Semperis, einem anerkannten Experten, der Organisation dabei hilft, ihre Identitäten zu schützen und Sicherungsprozesse zu optimieren. Dazu bietet Semperis eine Reihe von Lösungen an, die auf die Schwächen und Risiken des Einsatzes des Active Directory eingehen, Änderungen am Verzeichnisdienst überwachen, mögliche Bedrohungen auch durch privilegierte Benutzer erkennen, und eine schnelle Reaktion auf Angriffe ermöglichen.
Basandosi su un'esperienza pluriennale in progetti di clienti in tutto il mondo, Semperis offre l'Active Directory Security Assessment (ADSA). L'analisi fornisce una valutazione dettagliata della sicurezza dell'organizzazione di Active Directory, offre alle organizzazioni un quadro completo dei rischi identificati e fornisce suggerimenti utili per migliorare la sicurezza di Active Directory.
Oltre all'identificazione delle configurazioni difettose e dei rischi che ne derivano, un altro obiettivo è quello di individuare gli ostacoli all'interno dell'AD-Umgebung, che possono essere sfruttati da un angolista per compromettere le risorse critiche (Tier-0).
Un'analisi della struttura di sicurezza e delle procedure operative è fondamentale per l'analisi delle valutazioni. È necessario individuare le migliori pratiche. Nelle interviste con persone ed esperti di sicurezza sono state analizzate aree fondamentali come la governance della sicurezza, la struttura della rete, i trust di dominio, l'amministrazione del sistema e la sicurezza delle comunicazioni, al fine di individuare i potenziali punti di forza e di fornire suggerimenti utili.
Il risultato è costituito da importanti suggerimenti per migliorare la sicurezza, in particolare le migliori pratiche per la configurazione sicura di Active Directory. L'applicazione di queste regole è legata al successo dell'organizzazione.
Se la risposta è stata affermativa, il progetto è stato analizzato e sono stati costituiti i gruppi di lavoro interessati e un catalogo di strutture. Il tempo trascorso dalla definizione della zona e dalla composizione dei domini da valutare, all'inventario della struttura, fino all'analisi dell'ambiente generale e della valutazione del rischio è durato da due a dieci giorni, mentre la rete di controllo per i dipendenti della Zentralen Verwaltungsdienste dell'Università è durata solo un paio di giorni. Per la realizzazione del progetto sono stati coinvolti esperti Semperis in tutto il mondo, con l'obiettivo di migliorare la valutazione con le loro competenze. Sono stati creati degli strumenti che consentono di configurare in modo efficiente e automatico la configurazione di Active-Directory e le informazioni necessarie per l'analisi. Su questa base è stato possibile ridurre al minimo la spesa per l'informatica universitaria.
Come risultato, l'Università ha effettuato un'analisi approfondita dell'infrastruttura e dei processi esistenti. "Tatsächlich sind nur wenige kritische Probleme aufgefallen", resümiert Mike Holz das Ergebnis. "Vor allm im Vergleich mit anderen Institutionen unserer Größe und mit vergleichbaren Sicherheitsanforderungen war das Resultat durchaus positiv". Ma non si può dire che la prassi precedente non abbia funzionato. "Manches hat Anlass gegeben, über gewisse Punkte nachzudenken, die unter Berücksichtigung des gegebenen Potenzials nun sukzessive anzugehen sind".
Trasferimento di know-how Inklusive
Anche se il risultato delle valutazioni in alcuni settori ha evidenziato l'efficacia del lavoro dei team, la sua esecuzione ha comportato una serie di ulteriori effetti positivi: Aumenta la fiducia nei meccanismi di sviluppo e nelle persone che vi partecipano, rafforza la reputazione dell'Università nell'ecosistema internazionale e costituisce la base per una collaborazione efficace con altre istituzioni scientifiche e partner economici. I risultati dell'analisi sono utili per individuare le risorse umane da sottoporre a verifica. In questo caso, un ulteriore effetto non deve essere vanificato: "Ohne das Assessment mit Unterstützung eines kompetenten Partners hätte es für uns einen großen Aufwand bedeutet, ein Ergebnis von ähnlich hoher Qualität zu erzielen. Schon allein deshalb, weil dazu eine umfassende Schulung der Mitarbeiter erforderlich gewesen wäre", erklärt Holz. In effetti, la competenza dei propri team, grazie alla collaborazione con gli esperti di Semperis in relazione al funzionamento e alla gestione di Active Directory, è stata migliorata, come pure il trasferimento di know-how.
Il team di AD dell'Università, con i suoi processi ottimizzati, è molto motivato, ma anche la consapevolezza che una sicurezza assoluta in un ambiente dinamico non può essere garantita. "In Anbetracht des Aufwandes, den interessierte Kreise entwickeln, um an entsprechende Forschungsergebnisse zu gelangen, auch mit Unterstützung geeigneter Technologien aus dem Bereich der Künstlichen Intelligenz, bleibt es unsere Aufgabe, sich kontinuierlich mit neuen Angriffsvektoren auseinanderzusetzen."
Tatsächlich bestehen bei der Verwaltung von Identitäten immer Risiken, die allerdings durch den Einsatz von Methoden wie etwa Change-Tracking und Auto-Remediation minimiert werden können. Inoltre, in un caso peggiore, è possibile che l'AD venga eliminato nel giro di pochi minuti. Strumenti analoghi come l'Active Directory Forest Recovery sono disponibili per la verifica e possono essere implementati con il minimo sforzo.
