Einer der Alpträume, die Active Directory-Administratoren fürchten, ist ein einfacher menschlicher Fehler bei der Konfiguration, der zu lähmenden Zugriffs- oder Sicherheitsproblemen im gesamten Unternehmen führen kann. Ich habe immer gesagt, dass eine der beunruhigendsten Bemerkungen, die Sie bei der Arbeit hören können, die eines AD-Administrators ist, der "Oops" sagt! Als eine fast ein Vierteljahrhundert alte Technologie ist AD eine leistungsstarke, aber komplexe Identitätsplattform, die lange vor der Ära der Cyberkriegsführung entwickelt wurde. Die Absicherung von AD gegen Cyberangriffe ist ein ständiger Kampf, und selbst routinemäßige Wartungsarbeiten können schief gehen und Ausfallzeiten oder Sicherheitsrisiken verursachen.
Erschwerend kommt hinzu, dass in vielen Unternehmen keine AD-Experten mehr arbeiten. Fehlkonfigurationen können sich im Laufe der Zeit ansammeln, so dass die AD-Umgebung Dutzende von Sicherheitslücken aufweist, von denen einige unter der Oberfläche als potenzielle künftige Angriffsvektoren lauern und andere sofortiges Handeln erfordern.
Um den Überblick über AD-Fehlkonfigurationen zu behalten, benötigen Sie eine umfassende Strategie zur Verhinderung, Erkennung und Reaktion auf AD-Bedrohungen. Mit anderen Worten: Sie brauchen eine Technologie, die Ihnen das Leben rettet, wenn Sie versehentlich ein Skript ausführen, das 5.000 Passwörter zurücksetzt - je schneller, desto besser.
Die Fähigkeit, Konfigurationsfehler schnell zu beheben, erwies sich als ein wesentlicher Vorteil von Semperis Directory Services Protector (DSP) für Kunden, die an dem Forrester-Bericht Total Economic Impact of Semperis teilgenommen haben. Forrester stellte fest, dass Semperis-Kunden, die DSP verwenden, Fehler auf Objekt- und Gruppenebene um 90 % schneller beheben können.
Laden Sie den Bericht herunter: Forrester Gesamtwirtschaftliche Auswirkungen von Semperis
Einer der Semperis-Kunden, der an der Studie teilnahm, ein Netzwerksystemanalytiker in einem Unternehmen des Gesundheitswesens, sagte, dass es vor der Implementierung von DSP häufig zu Zwischenfällen auf Gruppen- und Objektebene kam, deren Behebung Stunden in Anspruch nahm.
"Jetzt wissen wir, wie wir das Problem innerhalb von Minuten beheben können", sagte er. "Das ist wie Tag und Nacht."
Die Teilnehmer der Forrester-Studie (Vertreter von fünf Unternehmen aus den Bereichen Gesundheitswesen, Beratung, Finanzdienstleistungen und Energie mit einem durchschnittlichen Jahresumsatz von 10 Milliarden US-Dollar) berichteten von zahlreichen Herausforderungen bei der Eindämmung von Routinefehlern bei der AD-Konfiguration, darunter:
- Unbeabsichtigte Änderungen an Organisationseinheiten, die sich auf die Organisationsstruktur auswirken
- Unerlaubte Änderungen an Benutzerkontoattributen wie Passwörtern und Gruppenmitgliedschaften
- Löschung oder Änderung von Sicherheitsgruppen, die sich auf die Zugriffsrechte auswirken
- Kompromittierung von privilegierten Benutzerkonten oder Dienstkonten
- Änderungen an Gruppenrichtlinien, die sich auf die Sicherheitseinstellungen im gesamten Netzwerk auswirken
- Unbeabsichtigte Fehlkonfigurationen, die die Produktivität verringern
Jeder AD-Administrator weiß, dass jeder Vorfall für sich genommen relativ einfach zu beheben sein mag. Aber in einem großen Unternehmen können sich Fehlkonfigurationen vervielfachen und die Ausfallzeiten verschlimmern, insbesondere in Fällen, in denen Benutzern der Zugriff auf wichtige Anwendungen und Dienste verwehrt wird oder in denen eine falsche Einstellung einen Sicherheitsvorfall verursacht. DSP kann Fehler schneller und einfacher als jede andere Lösung auf dem Markt rückgängig machen.
Semperis ermöglicht es uns, unsere Arbeitsabläufe im Hinblick auf die Behebung von Vorfällen auf [Objekt- und Gruppenebene] zu optimieren, sobald sie auftreten. Es gibt uns die Möglichkeit, unsere Teams ständig weiterzubilden und sie in neuen und besseren Methoden zur Problembehebung zu schulen, damit die Endbenutzer wieder arbeiten können.
Manager für Identitätsmanagement und Technik, Unternehmen im Gesundheitswesen, in Forrester Total Economic Impact of Semperis
Die Teilnehmer der Forrester-Studie erzählten einige Anekdoten, die die Vorteile der Nutzung von DSP zur Zeitersparnis bei der Behebung von Betriebsfehlern veranschaulichen:
- In einem Unternehmen des Gesundheitswesens kam es wöchentlich zu AD-Fehlkonfigurationen, von denen zwischen 300 und mehreren tausend Mitarbeiter betroffen waren. Diese Vorfälle erforderten jeweils mehrere Stunden Zeit für die Behebung. Nach dem Einsatz von DSP konnte die Zeit für die Behebung auf 30 Minuten reduziert werden.
- Ein Manager im Bereich Identitätsmanagement und Technik im Gesundheitswesen sagte, dass vor der Einführung von DSP sechs AD-Experten mehrere Tage für die Behebung von Problemen mit der rollenbasierten Zugriffskontrolle benötigt haben. Mit dem Einsatz von DSP konnte dieser Aufwand auf etwa 2 Stunden reduziert werden und erforderte nur noch zwei Teammitglieder.
- Der Senior Manager der Serverarchitektur eines Energieunternehmens berichtete, dass sein Team vor der Implementierung von DSP bis zu 8 Stunden brauchte, um einen AD-bezogenen Fehler zu beheben. Durch den Einsatz der Wiederherstellungsfunktionen auf Objekt- und Gruppenebene von DSPkonnten sie diese Zeit auf 30 Minuten reduzieren, um das Problem vollständig zu beheben und die Benutzer wieder zu aktivieren.
Die Teilnehmer berichteten, dass sie mit DSP die Zeit für die Behebung von Problemen um 90 % reduzieren konnten. In dem Bericht schätzte Forrester, dass durchschnittlich 1 % der gesamten Mitarbeiterzahl des Unternehmens von einem größeren Vorfall auf Objekt- oder Gruppenebene betroffen war, jeder Vorfall etwa 5 Stunden Ausfallzeit verursachte und die Studienteilnehmer im Durchschnitt 25 solcher Vorfälle pro Jahr hatten. Forrester kam zu dem Schluss, dass Unternehmen mit ähnlichen Merkmalen über einen Zeitraum von drei Jahren etwa 4,3 Millionen Dollar einsparen würden.
AD-Konfigurationsfehler kosten Zeit und Geld
Jede AD-Fehlkonfiguration kann den Zugriff auf Ressourcen verzögern oder die Tür zu Sicherheitsschwachstellen öffnen - beides erfordert Zeit und Fachwissen, um es zu beheben. Die Forrester-Studie verdeutlicht die potenziellen Auswirkungen einer Häufung von Fehlkonfigurationen - und den unmittelbaren Nutzen der Implementierung von DSP zur Behebung von Vorfällen auf Objekt- und Gruppenebene.
Weitere Beispiele für Kosteneinsparungen durch die Reduzierung der Zeit für die Beseitigung von AD-Schwachstellen finden Sie im Forrester TEI-Bericht. (Und wenn Sie nach einer schnellen Möglichkeit suchen, die Schwachstellen in Ihrer eigenen Umgebung zu bewerten, laden Sie Purple Knightherunter, ein kostenloses Tool von Semperis, das nach mehr als 150 IOEs und IOCs scannt und eine allgemeine Sicherheitsberichtskarte erstellt).