- Melhorando a proteção de identidade com visibilidade da postura de segurança
- Reduzindo riscos com proteção proativa de identidade
- Gestão confiante da postura de segurança
- Nota final
À medida que os ciberataques contra o setor público continuam a aumentar, proteger a infraestrutura de identidade — um alvo fundamental para os atacantes — tornou-se uma necessidade crítica. Para a maioria das organizações, isso significa reforçar a resiliência do Microsoft Active Directory (AD).
Para a cidade de Whitby, em Ontário, Canadá, isso significou investir numa solução que pudesse fornecer à cidade um nível mais profundo de conhecimento sobre a segurança e a configuração do seu ambiente AD.
O sistema de identidade é a estrutura que conecta os utilizadores aos serviços, e qualquer interrupção que impeça os utilizadores de aceder aos recursos prejudica as operações da cidade. Restaurar essas operações para a comunidade de aproximadamente 150 000 pessoas acarretaria custos significativos em tempo e dinheiro.
Melhorando a proteção de identidade com visibilidade da postura de segurança
Tal como no setor privado, as organizações governamentais não estão imunes a ataques de ransomware. Os atacantes que exploram configurações incorretas do Active Directory podem rapidamente escalar privilégios e expandir a sua presença, muitas vezes ficando à espera, prontos para atacar quando quiserem.
Em 2022, St. Marys, também na província de Ontário, sofreu umataque de ransomware1 que interrompeu os serviços locais. O resultado desse ataque — que custou milhões a St. Marys — teria sido muito pior se a cidade já não estivesse a planear um programa de melhoria da cibersegurança. Essa experiência serve de exemplo para outros municípios, independentemente do seu tamanho.
Rob Brodofske, gestor sénior de serviços de infraestrutura e segurança de Whitby, leva essas lições a sério. Ele tem a tarefa de fornecer o planeamento estratégico necessário para atender aos requisitos de rede e segurança que a infraestrutura tecnológica de Whitby precisa para prestar serviços aos residentes da cidade. Ele é responsável pela equipa de infraestrutura tecnológica e faz parte do departamento de serviços de tecnologia e inovação, que conta com cerca de 40 pessoas.
«Sei como o Active Directory é importante para a minha organização e, embora tenha muitas ferramentas à minha disposição, senti que havia uma lacuna na forma como ele poderia ser protegido», disse Brodofske. «Especificamente, eu não tinha um método para destacar as vulnerabilidades ou riscos potenciais no aspecto de identidade da minha infraestrutura. Queria algo que fosse capaz de analisar profundamente o Active Directory e me proporcionasse a confiança que procurava nos nossos controlos e na nossa configuração.»
«Eu não tinha um método para destacar as potenciais vulnerabilidades ou riscos no aspecto de identidade da minha infraestrutura. Eu queria algo que fosse capaz de analisar profundamente o Active Directory e me dar a confiança que eu procurava nos nossos controlos e na nossa configuração.»
Rob Brodofske, Gestor Sénior de Serviços de Infraestrutura e Segurança, Município de Whitby
Antes de recorrer à Semperis, a equipa conseguia monitorizar os registos, mas não tinha ferramentas que proporcionassem uma visibilidade profunda do AD ou detetassem rapidamente vulnerabilidades e configurações incorretas, explicou ele. Um dos seus arquitetos de segurança executou o ferramenta Purple Knight da Semperis e Brodofske ficou impressionado com as informações que ela reuniu e como elas foram apresentadas. Ele conseguiu ver imediatamente um instantâneo das vulnerabilidades e configurações incorretas do AD, juntamente com recomendações para mitigá-las.
«Pelo que eu sabia», disse Bodofske, «não existia nada parecido na época, então eu quis saber mais». Enquanto participava de um evento sobre segurança cibernética, ele conheceu representantes da Semperis e ficou a saber mais sobre os produtos da empresa.
Reduzindo riscos com proteção proativa de identidade
O departamento de TI adotou o Directory Services Protector DSP), que monitoriza continuamente o AD em busca de indicadores de exposição e comprometimento. A medida permitiu à equipa de Brodofske procurar proativamente riscos potenciais e corrigi-los antes que pudessem ser comprometidos.
«Se não está a verificar regularmente a saúde e a segurança do seu Active Directory, acho que é imperativo que reserve um tempo para fazer isso e faça tudo o que puder para proteger e salvaguardar esse sistema vital», disse ele. «Acho que todos se concentram um pouco mais na periferia e, de vez em quando, esquecemos o Active Directory. Mas se perder o Active Directory — e depende dele — vai perder tudo.»
A implementação DSP fácil, disse ele. Quando surgiram dúvidas, a equipa de suporte da Semperis estava disponível para ajudar, acrescentou. Após algumas sessões de 90 minutos para ajudar a sua equipa a colocar em funcionamento os recursos de relatórios, análises e Azure, a implementação estava a funcionar perfeitamente.
Uma área importante em que a organização se beneficiou do DSP a sua capacidade de capturar evidências de alterações, mesmo que o registo de segurança esteja desativado, e permitir que as organizações revertam alterações maliciosas no AD local.
De acordo com Brodofske, “A capacidade de detetar e desfazer imediatamente essas alterações foi definitivamente algo que nos atraiu muito. E funciona tão bem que, às vezes, a minha equipa esquece que ele existe. Quando eles fazem alguma alteração, DSP e desfaz o que eles fizeram. Eles precisam de se lembrar de entrar e ativar essas alterações primeiro.”
«A capacidade de detetar e desfazer imediatamente essas alterações foi definitivamente algo que nos atraiu muito. E funciona tão bem que, às vezes, a minha equipa esquece-se que ele existe. Quando eles fazem alguma alteração, DSP e desfaz o que eles fizeram. Eles têm de se lembrar de entrar e ativar essas alterações primeiro.»
Rob Brodofske
Assim como vulnerabilidades não corrigidas, configurações inseguras causadas por erros humanos ou desvios de configuração podem abrir as portas para invasores e violações de conformidade regulatória. Embora o ambiente AD de Whitby consista em apenas uma floresta, ele está ciente de que a reestruturação organizacional pode desafiar a capacidade de manter o AD funcionando perfeitamente, mesmo em ambientes menores. Com o tempo, a reorganização tornou o ambiente AD da cidade «um pouco confuso» dessa perspectiva, admitiu ele.
Gestão confiante da postura de segurança
Brodofske disse que pretende tornar o ambiente AD híbrido da Whitby mais resiliente contra alterações arriscadas, especialmente à medida que mais serviços migram para a nuvem. À medida que são feitas modificações no ambiente, o uso DSP à equipa de Brodofske mitigar riscos, desfazer erros, restaurar determinados objetos e recuperar serviços mais rapidamente.
É importante ressaltar que o uso da tecnologia da Semperis lhe deu mais confiança na capacidade da cidade de enfrentar desafios futuros.
«Estou no DSP vezes por semana apenas à procura de novos indicadores de exposição, monitorizando a minha pontuação e, em seguida, tomando medidas», disse ele. «Somos uma equipa muito consciente em termos de segurança aqui na cidade de Whitby e, se é algo que posso fazer, quero que seja feito. Não há razão para deixar isso para depois, certo?
«Estou significativamente mais confiante porque agora consigo ver coisas que antes não conseguia ver.»
Leia o blog da Semperis para saber mais sobre gestão da superfície de ataque de identidade. Para obter ajuda na proteção da sua infraestrutura de identidade, agende uma demonstração personalizada conosco.
Nota final
