Os consultores financeiros e profissionais são normalmente responsáveis pelo acesso seguro às informações mais confidenciais das organizações. Na maioria dos casos, o Microsoft Active Directory (AD) é o ponto central de contacto e a base para uma estratégia de identidade segura.

A RSM Ebner Stolz, uma das principais empresas de auditoria, fiscalidade , consultoria jurídica e de gestão da Alemanha, oferece aos seus clientes um portfólio de serviços abrangente. Com sede em Estugarda, a empresa emprega mais de 2.100 pessoas em 14 locais em todo o país e gerou vendas de mais de 481 milhões de euros em 2024. Os seus clientes incluem empresas industriais, comerciais e de serviços de todos os setores e tamanhos, desde empresas individuais a empresas cotadas.

O trabalho da empresa exige que os seus colaboradores tenham acesso seguro a alguns dos sistemas e dados mais críticos dos seus clientes. Num ambiente de ameaças cada vez mais volátil, a cibersegurança e a resiliência operacional são prioridades para a empresa.

Sem alternativa à segurança da identidade

A TI interna da RSM Ebner Stolz desempenha um papel importante na manutenção da continuidade do negócio, garantindo que os colaboradores nos respetivos locais da empresa e nos sites dos clientes têm sempre acesso rápido aos recursos centrais de que necessitam. Para isso, a empresa emprega mais de 80 pessoas que cuidam da infraestrutura e das aplicações necessárias.

Um centro de dados central em Frankfurt e unidades de computação mais pequenas e espacialmente distribuídas ligam-se através de uma rede MPLS. Todos os colaboradores, tanto no escritório como na estrada, estão equipados com computadores portáteis para se ligarem com flexibilidade a aplicações como o DATEV e outras aplicações específicas do assunto.

Num cenário de crescentes ciberameaças, a RSM Ebner Stolz criou uma equipa para se concentrar exclusivamente nas questões de segurança informática. Como parte deste grupo, o engenheiro de segurança informática Ben Glenz concentra-se na segurança operacional informática. No início da equipa, a sua função exigia uma análise completa dos processos existentes na empresa.

“Numa empresa que cresceu ao longo de muitos anos com muitas unidades heterogéneas, era impossível esperar um conceito de segurança uniforme que pudesse ser implementado apenas num local totalmente novo”, recorda Glenz. Muitas organizações enfrentam este problema ; por exemplo, quando novas estruturas têm de ser integradas através de aquisições ou quando as atividades são cada vez mais realizadas remotamente — ambos se aplicam ao ambiente da empresa.

O ponto crítico nas infraestruturas distribuídas, heterogéneas e operadas remotamente é o controlo sobre o acesso concedido a todos os recursos, sejam dados ou aplicações. Uma vez que o Active Directory (AD) é o serviço central que permite aos colaboradores da RSM Ebner Stolz ligarem-se de forma fácil e fiável nos escritórios da empresa, nas instalações dos clientes ou em escritórios domésticos, uma das primeiras medidas de Glenz foi realizar um inquérito sobre a postura de segurança do AD da empresa.

Para tal, utilizou o Semperis Purple Knight , uma ferramenta comunitária gratuita que examina os ambientes Active Directory em busca de definições incorretas, vulnerabilidades e possíveis sinais de ataque. A ferramenta verifica mais de 185 indicadores de exposição (IOEs) e de compromisso (IOCs) e fornece uma pontuação de segurança e orientação sobre como fechar possíveis lacunas.

Uma análise inicial na RSM Ebner Stolz mostrou que, embora a infraestrutura cumprisse os requisitos gerais, havia potencial para melhorias.

“O Active Directory foi introduzido há 25 anos e baseia-se nos algoritmos da época”, explica Ganz. Tal como aconteceu com a maioria das organizações que se expandiram ao longo do tempo, especialmente as que passaram por fusões ou aquisições, descobriu elementos que não cumpriam os requisitos de segurança atuais ou que já não eram suportados. Por exemplo, diz: “encontrámos sistemas operativos desatualizados, como o Windows 7. Claro que isto abre portas aos atacantes”.

Monitorização contínua e orientação de segurança priorizada

A pontuação determinada por Purple Knight inclinou a balança a favor de abordar imediatamente o processo de mudança da Active Directory, apesar da ausência de uma ameaça ativa.

“Uma coisa é clara”, explica Glenz, “se o Active Directory for comprometido, todo o processo de negócio também o será”.

A equipa de segurança decidiu instalar dois produtos: o Semperis Directory Service Protector ( DSP ) e Active Directory Forest Recovery ( ADFR ) . Ambos os produtos foram fáceis de instalar, sem necessidade de envolvimento do utilizador.

DSP permite a monitorização contínua de todas as atividades relacionadas com a Active Directory, criando uma visão geral de toda a superfície de segurança de identidade da empresa. Além disso, a ferramenta fornece orientação priorizada e acionável, desenvolvida e entregue por investigadores de segurança de AD. Como tal, DSP apresentou uma forma imediatamente eficaz e abrangente de controlar e proteger o acesso aos ativos críticos da empresa e reduzir de forma sustentável a superfície de ataque à identidade.

A solução permite à equipa de Ganz detetar e reverter alterações suspeitas ou de risco no AD. A RSM Ebner Stolz optou pela edição híbrida da ferramenta, que fornece deteção e resposta a ameaças de identidade (ITDR) para a Active Directory e o Entra ID.

“Embora muitas atividades na empresa ainda se baseiem no AD local, os processos estão a desenvolver-se massivamente na direção do Azure”, diz Glenz, explicando a decisão. “Além disso, os atacantes migram frequentemente de sistemas locais para a cloud ou vice-versa.”

Garantir a resiliência operacional através de recuperação rápida e segura

ADFR permite uma recuperação rápida de florestas do AD para um estado fiável no caso de um ataque bem-sucedido de ransomware ou wiper. Restaurar manualmente uma floresta a partir da AD pode levar dias ou semanas e traz o risco de persistência do atacante e de reinfeção por malware, o que pode causar danos económicos consideráveis à maioria das empresas.

Em contraste, ADFR restabelece a prontidão operacional em minutos ou horas, reduzindo o tempo de inatividade até 90%. ADFR pode ser utilizado para repor a Active Directory para um estado seguro, utilizando fontes de instalação limpas para evitar que o malware seja reintroduzido. A recuperação pode ser executada em qualquer hardware virtual ou físico. Além disso, as funcionalidades de Análise Forense de Identidade e Resposta a Incidentes (IFIR) da Semperis ajudam a prevenir eficazmente possíveis ataques subsequentes.

"Enquanto DSP intervém regularmente quando são feitas tentativas de modificar o AD com intenção maliciosa, ADFR "é a instância definitiva para restaurar a operacionalidade das TI em caso de ataque", diz Glenz, explicando a interação entre as duas ferramentas. "Passámos pelo processo de recuperação e estávamos novamente online passados 20 minutos."

Outro aspecto atraente da ADFR para a empresa: Os dados de cópia de segurança necessários exigiam um espaço de armazenamento de apenas cerca de 300 MB. ADFR também oferece a opção de armazenamento online na nuvem.

Construir uma base de identidade segura

Ao adotar DSP e ADFR , RSM Ebner Stolz criou uma base técnica para proteger a Active Directory e impor políticas de palavras-passe ou atribuição individual de direitos.

“Os produtos simplesmente funcionam, não tenho de fazer login todos os dias”, explica Glenz. “Se algo não funcionar, receberei uma notificação.”

Isto não só ajuda Glenz a dormir melhor, como também lhe dá — e ao resto da equipa — mais tempo para lidar com outras tarefas urgentes.

Pronto para proteger a sua infraestrutura de identidade? Agende hoje mesmo uma demonstração personalizada.