O Request for Comments (RFC) 1823 de Agosto de 1995 introduziu a Interface de Programação de Aplicações (API) do Lightweight Directory Access Protocol (LDAP). Poder-se-ia argumentar que este importante trabalho serviu de base para a gestão moderna da identidade. E, no entanto, surpreendentemente, a palavra identidade não aparece uma única vez em todo o RFC. (A palavra directório aparece catorze vezes e a palavra acesso aparece seis vezes).
O Active Directory (AD) da Microsoft, que apareceu pela primeira vez no Windows 2000, tem as suas raízes neste trabalho LDAP inicial. Desde então, a colecção de serviços no AD da Microsoft tem vindo a ser continuamente melhorada, e poucos argumentariam que o AD serve de base estrutural para a maioria dos domínios empresariais e serviços relacionados com a identidade. No entanto, como seria de esperar, esse papel vital coloca o AD como um alvo atractivo para campanhas destrutivas contra uma empresa.
Leitura relacionada
Com isto em mente, passei algum tempo esta semana com uma start-up de segurança chamada Semperis. Fundada em 2014, com sede no World Trade Center (a uma curta distância do nosso escritório de Fulton Street) e um centro de I&D adicional em Israel, a empresa concentra-se em ajudar as equipas empresariais a tornar as suas infra-estruturas de AD mais robustas e resistentes a ciberataques e outras catástrofes. A discussão foi fascinante - e aqui está um resumo do que aprendi:
"Referimo-nos à nossa solução de segurança como ciber-resiliência orientada para a identidade", explicou Mickey Bresman, co-fundador da Semperis. "O que fazemos especificamente é oferecer aos clientes um meio para resolver pontos cegos no sistema de auditoria do AD, para automatizar o processo de recuperação do AD em caso de ransomware ou outro ataque, e fornecer uma restauração rápida de objetos e atributos do AD, muitas vezes reduzindo a recuperação de dias ou semanas para horas."
Uma decisão que impulsiona o modelo Semperis envolve a dissociação do AD do sistema operativo Windows durante a recuperação, o que permite um restauro limpo no caso de um executável comprometido poder voltar a infectar o sistema recuperado. Uma visão técnica adicional envolve a dissociação da restauração da dependência do hardware subjacente. Isso permite a recuperação para um ambiente de hospedagem menos restrito, incluindo sistemas de nuvem pública.
"A automatização é um aspecto valioso da nossa solução", afirmou Bresman, "porque muitos dos actuais processos de recuperação e restauro - se é que existem - são manuais e, por isso, requerem muito tempo e esforço, para além de introduzirem a elevada probabilidade de erro humano. Ajudámos os nossos clientes a reduzir o tempo de recuperação de AD, o que resulta numa maior resiliência face a ciberameaças e desastres."
Perguntei a Bresman porque é que as equipas empresariais esperam até serem atacadas para tomarem medidas de redução de riscos na sua infra-estrutura de directórios. A sua resposta foi interessante - ou seja, uma vez que a Semperis se concentra na resposta proactiva, aceita que os ataques e as catástrofes são inevitáveis. Mas a nuance é que a Semperis ajuda as equipas empresariais a preparar antecipadamente a sua resposta. O resultado é um bom equilíbrio entre preparação e resposta.
A principal oferta de produtos da empresa é chamada Semperis Active Directory Forest Recovery (ADFR), que inclui restauração de controlador de domínio, recuperação de partição e recuperação de floresta. O restauro pode ser efectuado em qualquer servidor, virtual ou físico, tanto no local como na nuvem. A Semperis também oferece uma plataforma de Protecção dos Serviços de Directório (DSP) que permite a visibilidade em tempo real, o acompanhamento das alterações ao AD e a correcção automática.
Durante a nossa conversa, Bresman apresentou-me uma lista impressionante de equipas empresariais que estão agora a utilizar a Semperis para lidar com os riscos operacionais e de segurança do AD. Aparentemente, uma empresa reduziu o tempo de restauro de dias (que, infelizmente, foi testado através de um ataque de ransomware em grande escala que degradou o seu funcionamento) para um novo tempo de restauro de cerca de três horas. É uma melhoria considerável.
Se gere uma infra-estrutura empresarial que depende do AD para serviços relacionados com o domínio e a identidade e está preocupado com a possibilidade muito real de algo destrutivo poder correr mal - de forma maliciosa ou acidental -, recomenda-se vivamente que contacte a equipa da Semperis. Peça-lhes que partilhem consigo os seus casos de utilização para um restauro rápido e automatizado. Suspeito que ficará impressionado - e, com sorte, convencido.
Como sempre, depois do seu debate, partilhe connosco o que aprendeu.
