Reconhecendo a importância crítica da resiliência operacional, a equipa de TI da American Airlines procurou uma solução para proteger o seu ambiente Active Diretory (AD) e garantir um desempenho empresarial ininterrupto no caso de um ataque que visasse o sistema de identidade.
"A resiliência está no topo da nossa agenda", afirmou Jonathan Elledge, Engenheiro IAM sénior da American Airlines. "Temos de monitorizar as nossas aplicações e serviços, automatizar a recuperação sempre que possível e detetar problemas antes que os clientes ou utilizadores finais se apercebam."
As soluções tradicionais de backup tinham armadilhas - especialmente se os próprios serviços de backup fossem afetados - então Elledge disse que a equipe recorreu ao Semperis Active Directory Forest Recovery ADFR) para preencher essas lacunas.
Com o ADFR, basta premir um botão e já está. Se estivesse a utilizar a cópia de segurança e o restauro padrão do Windows, haveria muito a fazer manualmente. ADFR torna a recuperação fácil e fiável.
Jonathan Elledge, Engenheiro Sénior, Gestão de Identidade e Acesso, American Airlines
Ele também observou uma grande melhoria no monitoramento de segurança com o Semperis Directory Services Protector DSP).
"Em vez de efetuar análises manuais ou depender de ferramentas separadas, configurei todos os meus indicadores de exposição no DSP", afirmou Elledge. "Mas ainda mais importante são as regras de notificação. Se alguém obtiver acesso a um grupo sensível, sou imediatamente contactado, mesmo a meio da noite. DSP retira essa pessoa imediatamente antes que ela possa causar danos."
Esta abordagem pró-ativa permite que Elledge e a equipa SOC respondam em minutos, muitas vezes antes que os atacantes se consigam entrincheirar.
"É tudo uma questão de rapidez", disse ele. "Se não se detecta um incidente cedo, corre-se o risco de ameaças persistentes permanecerem à espreita durante meses - nessa altura, é demasiado tarde. Com a Semperis, podemos detetar e conter os problemas rapidamente, o que agora é um requisito comercial para nós."
Garantir a resiliência das empresas com uma proteção abrangente da identidade
A American Airlines utiliza o Directory Services Protector e o Active Directory Forest Recovery para:
- Receber alertas em tempo real sobre alterações indesejadas no Active Diretory ou Entra ID
- Assegurar a capacidade de cumprir os objectivos de tempo de recuperação (RTO) do AD
- Acelerar a resposta a incidentes
Orador: Jonathan Elledge, Engenheiro Sénior, IAM, American Airlines A resiliência está no topo das nossas prioridades. Isso significa monitorizar, observar a telemetria proveniente das suas aplicações e dos seus serviços para se certificar de que estão a funcionar e a ter o desempenho esperado, para recuperar - automatizado tanto quanto possível, e se não, certificar-se de que é notificado de que algo está a acontecer para que possa começar a reagir. E, com sorte, fazê-lo antes que o cliente, antes que os utilizadores finais, tenham sequer conhecimento de que algo se passa. De que serve dizer que tem uma cópia de segurança se o serviço de cópia de segurança lhe acontecer alguma coisa? E depois acontece alguma coisa ao AD e não se consegue recuperar o AD? Ou vai demorar algum tempo até que o serviço de cópia de segurança volte a estar online para o poder restaurar. Isso seria um grande impacto para a empresa. E é aí que ADFR se torna útil. Se eu estivesse a fazer uma cópia de segurança e um restauro do Windows - o que ainda teria de fazer manualmente - com o ADFR, carrego num botão e carrego em "ir"... e já está. DSP chegou a um ponto em que tinha tantos indicadores quando se ia para o inteligente - sabe, o nível mais elevado - que hoje em dia, em vez de descarregar Purple Knight e correr o tempo e o lugar com o Purple Knight, apenas configuro todos os meus indicadores e de exposição e outras coisas nos meus relatórios com o DSP. O melhor e ainda mais importante é que tenho regras de notificação. Assim, se alguém aceder a um grupo de alto risco que não deve, tenho-as configuradas. Algumas delas, apenas me chamam à atenção. Noutros, recebo uma mensagem imediata, mesmo a meio da noite. E depois DSP voltava a chamar as pessoas. Assim, podem ter ganho acesso durante cerca de um minuto antes de voltarem a sair. E eu sou contactado - em poucos minutos, estou a trabalhar nisso e abro um caso com a minha equipa SOC. E assim que lhes mostrarmos o que se está a passar com eles, eles vão trazer os caçadores de ameaças. Como é que fechamos isto tudo? O problema é que eles ganham acesso e depois fazem o reconhecimento para ver quem são realmente os seus alvos. Depois de terem esses alvos e de terem obtido acesso a eles - por outras palavras, de se terem promovido até ao nível de que necessitam -, preparam-se para a persistência. E, depois, são susceptíveis de ficar ali sentados durante - penso que a Gartner, há alguns anos, publicou e disse que uma violação deste tipo normalmente demora até seis meses antes de a empresa ter conhecimento dela. Nessa altura, ainda tem cópias de segurança que estão limpas, ou vai passar os próximos seis meses a reconstruir a sua empresa? Por isso, é necessário apanhá-lo rapidamente para nunca chegar a esse ponto - não é possível evitá-lo. Temos de o fazer. É um requisito.
