Una de las pesadillas que más temen los administradores de Active Directory es que un simple error humano en la configuración pueda causar problemas de acceso o seguridad en toda la organización. Siempre he dicho que uno de los comentarios más inquietantes que se pueden oír en el trabajo es el de un administrador de AD diciendo "¡Uy!". Como tecnología de casi un cuarto de siglo de antigüedad, AD es una plataforma de identidad potente pero compleja que se construyó mucho antes de la era de la guerra cibernética. Endurecer AD contra los ciberataques es una batalla continua, e incluso las operaciones de mantenimiento rutinarias pueden salir mal, causando tiempo de inactividad o riesgos de seguridad.
Para agravar el problema, muchas organizaciones carecen actualmente de personal experto en AD. Los errores de configuración pueden acumularse con el tiempo, dejando el entorno de AD con docenas de vulnerabilidades de seguridad, algunas de las cuales acechan bajo la superficie como posibles vectores de ataque futuros, y otras requieren una acción inmediata.
Para estar al tanto de las desconfiguraciones de AD, necesita una estrategia integral de prevención, detección y respuesta ante amenazas de AD. En otras palabras, necesita una tecnología que le salve el pellejo si ejecuta accidentalmente un script que restablece 5.000 contraseñas: cuanto más rápido, mejor.
La capacidad de remediar rápidamente los contratiempos de configuración surgió como un beneficio significativo de Semperis Directory Services Protector (DSP) para los clientes que participaron en el informe Impacto económico total de Semperis de Forrester. Forester descubrió una reparación a nivel de objeto y grupo un 90 % más rápida para los clientes de Semperis que utilizan DSP.
Descargue el informe: Impacto económico total de Semperis según Forrester
Uno de los clientes de Semperis que participó en el estudio, un analista de sistemas de red de una empresa de atención sanitaria, afirmó que antes de implantar DSP, la organización sufría frecuentes incidencias a nivel de grupo y de objeto cuya resolución requería horas de esfuerzo.
"Ahora sabemos cómo solucionar el problema en cuestión de minutos", afirma. "Es la noche y el día".
Los participantes en el estudio de Forrester (representantes de cinco organizaciones de los sectores de la sanidad, la consultoría, los servicios financieros y la energía, con unos ingresos anuales medios de 10.000 millones de dólares) informaron de múltiples retos a la hora de mitigar los errores rutinarios de configuración de AD, entre ellos:
- Modificaciones involuntarias de las unidades organizativas, que afectan a la estructura organizativa
- Cambios no autorizados en los atributos de las cuentas de usuario, como contraseñas y pertenencia a grupos.
- Supresión o modificación de los grupos de seguridad, lo que afecta a los permisos de acceso
- Compromiso de cuentas de usuario privilegiadas o cuentas de servicio
- Cambios en las políticas de grupo que afectan a la configuración de seguridad en toda la red
- Desconfiguraciones involuntarias que reducen la productividad
Como sabe cualquier administrador de AD, cada incidente por sí solo puede ser relativamente fácil de solucionar. Pero en una gran organización, los errores de configuración pueden multiplicarse y agravar el tiempo de inactividad, especialmente en los casos en los que se bloquea el acceso de los usuarios a aplicaciones y servicios críticos o en los que una configuración incorrecta provoca un incidente de seguridad. DSP puede revertir los errores más rápida y fácilmente que cualquier otra solución del mercado.
Semperis nos permite optimizar nuestras operaciones a la hora de abordar las incidencias [a nivel de objeto y de grupo] a medida que surgen. Nos ofrece una capacidad continua para reeducar a nuestros equipos y formarlos en nuevas y mejores formas de solucionar los problemas para que los usuarios finales puedan volver a trabajar.
Director de gestión de identidades e ingeniería, empresa sanitaria, en Forrester Impacto económico total de Semperis
Los participantes en el estudio de Forrester compartieron algunas anécdotas que ilustraban las ventajas de utilizar DSP para ahorrar tiempo en la corrección de errores operativos:
- En una organización sanitaria, se producían errores de configuración de AD semanalmente, que afectaban a entre 300 y varios miles de empleados. Cada uno de estos incidentes requería varias horas de reparación. Tras implantar DSP, el tiempo de reparación se redujo a 30 minutos.
- Un responsable de gestión de identidades e ingeniería en el sector sanitario afirmó que antes de implantar DSP, solucionar problemas de control de acceso basado en funciones llevaba varios días a seis expertos en AD. Con DSP , ese esfuerzo se redujo a unas dos horas y solo fueron necesarios dos miembros del equipo.
- El director senior de arquitectura de servidores de una empresa energética informó de que, antes de implantar DSP, su equipo tardaba hasta 8 horas en solucionar un error relacionado con AD. Gracias a las funciones de recuperación a nivel de objeto y grupo de DSP, redujeron ese tiempo a 30 minutos para resolver completamente el problema y conseguir que los usuarios volvieran a estar operativos.
Los participantes señalaron que el uso de DSP redujo el tiempo de reparación en un 90%. En el informe, Forrester estimó que una media del 1% del personal total de la organización se veía afectado por un incidente importante a nivel de objeto o grupo, cada incidente causaba unas 5 horas de inactividad y los participantes en el estudio tenían una media de 25 incidentes de este tipo al año. Forrester llegó a la conclusión de que organizaciones con características similares obtendrían un ahorro de unos 4,3 millones de dólares en tres años.
Los errores de configuración de AD cuestan tiempo y dinero
Cada error de configuración de AD puede retrasar el acceso a los recursos o abrir la puerta a vulnerabilidades de seguridad. El estudio de Forrester señala el impacto potencial de las desconfiguraciones acumuladas y el beneficio inmediato de implementar DSP para ayudar a remediar los incidentes a nivel de objeto y grupo.
Para profundizar en más ejemplos de ahorro de costes relacionados con la reducción del tiempo de corrección de vulnerabilidades de AD, consulte el informe TEI de Forrester. (Y si está buscando una forma rápida de evaluar las vulnerabilidades de su propio entorno, descargue Purple Knightuna herramienta gratuita de Semperis que escanea más de 150 IOE e IOC y proporciona un informe de seguridad general).