Uno degli incubi che gli amministratori di Active Directory temono è un semplice errore umano nella configurazione che può causare problemi di accesso o di sicurezza paralizzanti in tutta l'organizzazione. Ho sempre detto che uno dei commenti più inquietanti che si possono sentire al lavoro è quello di un amministratore AD che dice "Oops"! Essendo una tecnologia vecchia di quasi un quarto di secolo, AD è una piattaforma di identità potente ma complessa, costruita molto prima dell'era della guerra informatica. L'irrobustimento di AD contro i cyberattacchi è una battaglia continua e anche le operazioni di manutenzione ordinaria possono andare storte, causando tempi di inattività o rischi per la sicurezza.
Ad aggravare il problema, molte organizzazioni non dispongono di personale esperto in AD. Le configurazioni errate possono accumularsi nel tempo, lasciando l'ambiente AD con decine di vulnerabilità di sicurezza, alcune delle quali si nascondono sotto la superficie come potenziali vettori di attacchi futuri, mentre altre richiedono un intervento immediato.
Per tenere sotto controllo le configurazioni errate dell'AD, è necessaria una strategia completa di prevenzione, rilevamento e risposta alle minacce dell'AD. In altre parole, avete bisogno di una tecnologia che vi salvi la pelle in caso di esecuzione accidentale di uno script che reimposta 5.000 password: più veloce è, meglio è.
La capacità di rimediare rapidamente agli errori di configurazione è emersa come un vantaggio significativo di Semperis Directory Services Protector (DSP) per i clienti che hanno partecipato al rapporto Forrester Total Economic Impact of Semperis. Forester ha scoperto un'accelerazione del 90% nella riparazione a livello di oggetti e gruppi per i clienti Semperis che utilizzano DSP.
Scarica il rapporto: Impatto economico totale di Semperis di Forrester
Uno dei clienti Semperis che ha partecipato allo studio, un analista di sistemi di rete di un'azienda sanitaria, ha dichiarato che prima dell'implementazione di DSP l'organizzazione aveva frequenti incidenti a livello di gruppo e di oggetto che richiedevano ore di lavoro per essere risolti.
"Ora sappiamo come risolvere il problema in pochi minuti", ha detto. "È notte e giorno".
I partecipanti allo studio di Forrester (rappresentanti di cinque organizzazioni operanti nei settori della sanità, della consulenza, dei servizi finanziari e dell'energia, con un fatturato medio annuo di 10 miliardi di dollari) hanno segnalato diverse difficoltà nell'attenuare gli errori di configurazione AD di routine, tra cui:
- Modifiche involontarie alle unità organizzative, con ripercussioni sulla struttura organizzativa.
- Modifiche non autorizzate agli attributi dell'account utente, come password e appartenenza a gruppi.
- Eliminazione o modifica dei gruppi di sicurezza, con ripercussioni sulle autorizzazioni di accesso.
- Compromissione degli account utente privilegiati o degli account di servizio.
- Modifiche ai criteri di gruppo che hanno un impatto sulle impostazioni di sicurezza della rete.
- Configurazioni errate non intenzionali che riducono la produttività
Come ogni amministratore AD sa, ogni incidente da solo potrebbe essere relativamente facile da risolvere. Ma in un'organizzazione di grandi dimensioni, le configurazioni errate possono moltiplicarsi e aggravare i tempi di inattività, soprattutto nei casi in cui agli utenti viene impedito di accedere ad applicazioni e servizi critici o in cui un'impostazione errata provoca un incidente di sicurezza. DSP è in grado di ripristinare gli errori in modo più rapido e semplice di qualsiasi altra soluzione presente sul mercato.
Semperis ci permette di ottimizzare le nostre operazioni per quanto riguarda la risoluzione degli incidenti [a livello di oggetti e gruppi] non appena si presentano. Ci dà la possibilità di rieducare i nostri team e di formarli su metodi nuovi e migliori per risolvere i problemi e far tornare gli utenti finali operativi.
Manager della gestione delle identità e dell'ingegneria, azienda sanitaria, in Forrester Impatto economico totale di Semperis
I partecipanti allo studio Forrester hanno condiviso alcuni aneddoti che illustrano i vantaggi dell'utilizzo di DSP per risparmiare tempo nella correzione degli errori operativi:
- In un'organizzazione sanitaria si verificavano settimanalmente configurazioni errate dell'AD che interessavano da 300 a diverse migliaia di dipendenti. Ogni incidente richiedeva diverse ore di tempo per la bonifica. Dopo l'implementazione di DSP, il tempo di ripristino si è ridotto a 30 minuti.
- Un manager che si occupa di gestione delle identità e di ingegneria nel settore sanitario ha dichiarato che prima dell'implementazione di DSP, la risoluzione dei problemi di controllo degli accessi basati sui ruoli richiedeva diversi giorni a sei esperti di AD. Con l'installazione di DSP , l'impegno è stato ridotto a circa 2 ore e ha richiesto solo due membri del team.
- Il senior manager dell'architettura server di un'azienda energetica ha riferito che prima di implementare DSP, il team impiegava fino a 8 ore per risolvere un errore legato all'AD. Utilizzando le funzionalità di ripristino a livello di oggetto e di gruppo di DSP, hanno ridotto il tempo a 30 minuti per risolvere completamente il problema e rendere gli utenti nuovamente operativi.
I partecipanti hanno dichiarato che l'utilizzo di DSP ha ridotto i tempi di riparazione del 90%. Nel rapporto, Forrester ha stimato che in media l'1% dell'organico totale dell'organizzazione è stato colpito da un grave incidente a livello di oggetto o di gruppo, ogni incidente ha causato circa 5 ore di downtime e i partecipanti allo studio hanno registrato una media di 25 incidenti di questo tipo all'anno. Forrester ha concluso che organizzazioni con caratteristiche simili avrebbero ottenuto un risparmio di circa 4,3 milioni di dollari in tre anni.
Gli errori di configurazione di AD costano tempo e denaro
Ogni configurazione errata dell'AD può ritardare l'accesso alle risorse o aprire la porta a vulnerabilità di sicurezza, entrambe cose che richiedono tempo e competenze per essere risolte. Lo studio Forrester sottolinea l'impatto potenziale delle configurazioni errate accumulate e i vantaggi immediati dell'implementazione di DSP per aiutare a rimediare agli incidenti a livello di oggetto e di gruppo.
Per un'analisi più approfondita di altri esempi di risparmio sui costi legati alla riduzione dei tempi di ripristino delle vulnerabilità AD, consultate il rapporto Forrester TEI. (E se state cercando un modo rapido per valutare le vulnerabilità del vostro ambiente, scaricate Purple Knightuno strumento gratuito di Semperis che esegue la scansione di oltre 150 IOE e IOC e fornisce una scheda di sicurezza complessiva).