A Universidade de Estugarda é o centro de um vasto ecossistema de investigação numa região economicamente forte. Cerca de 23.000 estudantes de várias disciplinas são apoiados por quase 5.700 funcionários, todos dedicados a criar excelentes condições para investigadores e estudantes. Isto inclui uma infraestrutura digital que garante um acesso fácil a recursos abrangentes - desde que as autorizações necessárias estejam em vigor.
A gestão do hardware e dos serviços globais é da responsabilidade do departamento de Serviços Técnicos de Informação e Comunicação, que faz parte do Centro de Informação e Comunicação da universidade. A equipa dos Serviços de Administração Central do departamento assegura o suporte central no local de trabalho dos servidores de ficheiros e de impressão, bem como a gestão de dispositivos e patches. Além disso, esta equipa apoia aplicações especializadas, incluindo a gestão de documentos e a administração de pessoal.
A equipa dos Serviços de Administração Central também é responsável pela manutenção do Active Diretory, que dá aos funcionários e estudantes acesso aos recursos de que necessitam.
"Somos responsáveis pela segurança e funcionamento do Active Diretory como parte da gestão de identidades", explica Mike Holz, diretor dos Serviços de Administração Central.
Proteger o Active Diretory no núcleo
Devido à importância, sensibilidade e potencial valor global dos resultados da investigação da universidade, a segurança do acesso está sujeita ao maior escrutínio. O ambiente especial em que um grande número de estudantes com dispositivos privados deve ter acesso à rede da universidade através de uma VPN deve ser tido em conta. As flutuações contínuas dos utilizadores constituem também um desafio para a reprovisionamento dos direitos. Por conseguinte, os sistemas de TI e de gestão de pessoal devem ser estreitamente integrados.
"Naturalmente, monitorizamos continuamente a atual situação de segurança, com especial atenção para as infra-estruturas públicas e as universidades", explica Holz. "Nos últimos anos, notámos que os ataques a estas entidades estão a aumentar continuamente. Tornámo-nos cada vez mais conscientes de que tínhamos de ser proactivos."
A segurança do acesso a áreas sensíveis era apenas uma das preocupações de Holz. Além disso, se o serviço de diretório central fosse comprometido, a capacidade de trabalho de toda a instituição poderia ser restringida durante dias - ou pior, ficar completamente paralisada. Consequentemente, Holz e a sua equipa consideraram a possibilidade de auditar a segurança e a funcionalidade da infraestrutura de gestão de identidades da universidade por terceiros.
"Embora tivéssemos a certeza de que tínhamos feito o que era necessário, havia ainda a possibilidade de termos deixado passar pontos fracos. E todos os dias surgem novos vectores de ataque que não podíamos ter no nosso radar, por exemplo, novas técnicas baseadas em IA."
"Sem o apoio de um parceiro competente, esta avaliação teria exigido um grande esforço para alcançarmos um resultado de qualidade semelhante. E teria exigido uma formação abrangente dos nossos funcionários."
Mike Holz, Head of Central Administration Services
Avaliação da segurança AD com um parceiro competente
Para uma avaliação básica da segurança do Active Diretory (ADSA), a equipa da Holz pretendia um fornecedor líder de soluções de segurança do Active Diretory com experiência suficiente e conhecimento dos desenvolvimentos actuais. A decisão foi tomada a favor da Semperis, um especialista reconhecido que ajuda as organizações a proteger as suas identidades e a otimizar os processos de segurança.
A Semperis oferece uma gama de soluções que abordam os pontos fracos e os riscos da utilização do Active Diretory, monitorizam as alterações ao serviço de diretório, detectam possíveis ameaças, mesmo de utilizadores privilegiados, e permitem uma resposta rápida a ataques.
Com base na vasta experiência adquirida em vários projectos mundiais, o Semperis ADSA oferece uma visão abrangente do sistema de identidade.
- Uma avaliação detalhada da postura de segurança do ambiente do Active Diretory dá às organizações uma compreensão sólida dos riscos identificados e fornece recomendações direcionadas para reforçar a segurança do Active Diretory.
- Para além de identificar configurações incorrectas perigosas e os riscos associados, a avaliação detecta caminhos de ataque no ambiente AD que podem permitir que um atacante comprometa recursos críticos do Nível 0.
- Uma análise da arquitetura de segurança e dos processos operacionais completa a avaliação, identificando desvios em relação às melhores práticas. Entrevistas com pessoas e especialistas em áreas-chave como a governação da segurança, a arquitetura de rede, as fidedignidades de domínio, a administração de sistemas e a monitorização da segurança revelam potenciais vulnerabilidades e informam as recomendações adequadas.
O resultado são recomendações personalizadas para reforçar a segurança, incluindo as melhores práticas para configurar o Active Diretory de forma segura. A implementação dessas medidas é de responsabilidade da organização.
Um processo de avaliação da segurança simples e eficiente
Depois de tomada a decisão de abordar o projeto, foram reunidas as equipas relevantes e foi iniciado um processo estruturado.
Liderados pela equipa de gestão do projeto, os especialistas da Semperis de todo o mundo contribuíram com os seus conhecimentos para a avaliação. Foram utilizadas ferramentas para capturar de forma eficiente e automática a configuração do Active Diretory e as informações suplementares necessárias para a análise.
Esta abordagem coordenada minimizou a carga de tempo do pessoal de TI da própria universidade. A avaliação completa - incluindo a definição do objetivo, a clarificação dos domínios a avaliar, o inventário da estrutura de identidade, a análise de todo o ambiente e a avaliação do risco - foi concluída em cerca de seis a oito semanas. O tempo líquido necessário para o pessoal dos serviços administrativos centrais da universidade foi de apenas alguns dias.
A análise resultante forneceu à universidade uma visão abrangente da infraestrutura e dos processos existentes.
"De facto, foram identificados apenas alguns problemas críticos", observa Holz. "Especialmente em comparação com outras instituições da nossa dimensão e com requisitos de segurança comparáveis, o resultado foi bastante positivo."
No entanto, isso não significa que as práticas actuais possam ser mantidas com complacência. "Algumas coisas [da avaliação] levam-nos a examinar certos pontos que, tendo em conta os riscos potenciais, devem agora ser abordados passo a passo."
Transferência de know-how incluída
Embora o resultado da avaliação ateste, em grande medida, o êxito do trabalho da equipa da universidade, a sua implementação tem uma série de outras influências positivas.
Em primeiro lugar, reforça a confiança nos mecanismos de segurança estabelecidos e nas pessoas envolvidas. Além disso, melhora a reputação da universidade no ecossistema internacional, promovendo uma cooperação de confiança com outras instituições científicas e parceiros da indústria.
Além disso, os resultados da análise ajudarão a universidade a utilizar os recursos humanos disponíveis de forma mais eficaz. Este efeito positivo não pode ser subestimado, explica Holz. "Sem o apoio de um parceiro competente, esta avaliação teria exigido um grande esforço para obtermos um resultado de qualidade semelhante. E teria exigido uma formação abrangente dos nossos funcionários."
"De facto", diz ele, "a experiência da nossa própria equipa aumentou consideravelmente através da colaboração com os especialistas da Semperis no que diz respeito à função e às vulnerabilidades do Active Diretory - uma transferência de know-how bem sucedida".
Numa perspetiva de longo prazo, a equipa de AD da universidade considera-se bem equipada com os processos agora optimizados, embora também reconheça que não é possível garantir uma segurança absoluta num ambiente altamente dinâmico.
"Dado o esforço que as partes interessadas estão a fazer para obter resultados de investigação valiosos, incluindo a utilização de tecnologias de inteligência artificial, temos de lidar continuamente com novos vectores de ataque."
De facto, a gestão de identidades acarreta sempre riscos, mas estes podem ser minimizados através da utilização de métodos como o controlo de alterações e a correção automática. Em última análise, mesmo no pior dos casos, é importante poder restaurar o AD em poucos minutos. Ferramentas como o Active Directory Forest Recovery estão disponíveis para este fim e podem ser implementadas com um esforço mínimo.
