Gli ambienti Active Directory (AD) legacy sono spesso focolai di vulnerabilità della sicurezza informatica a causa di configurazioni errate accumulate nel tempo. Nelle organizzazioni educative, le sfide legate alla sicurezza di AD sono aggravate dal costante inserimento e disinserimento di studenti e docenti. La scoperta di vulnerabilità sconosciute nell'ambiente AD che aveva ereditato è stata una delle principali motivazioni che hanno spinto Jim Shakespear, direttore della sicurezza informatica della Southern Utah University (SUU), a esplorare il sistema di sicurezza AD gratuito di Semperis. Purple KnightLo strumento di sicurezza AD gratuito di Semperis.
"Ho ereditato la gestione del nostro ambiente Active Directory alcuni anni fa", ha detto Shakespear. "Era già attivo e funzionante quando sono arrivato dieci anni fa. Uno dei motivi per cui ho inizialmente indagato su Purple Knight è che sono molto interessato alla sicurezza di Active Directory.... Ho usato diversi altri strumenti in passato e volevo vedere cosa aveva da offrire Purple Knight ".
Guardate Shakespear che parla con Petri IT Knowledgebase dell'esperienza della SUU nell'utilizzo di Purple Knight per la protezione di AD.
Lettura correlata
Le sfide della tecnologia legacy nella protezione dell'AD
Configurare questo vecchio ambiente per gestire in modo sicuro gli account utente degli studenti, dei docenti e del personale IT dell'università è stato a dir poco impegnativo. La gestione degli account richiede uno sforzo particolarmente notevole, anche con le best practice necessarie. La presenza di una tecnologia legacy come NTLM, che Shakespear sta attualmente cercando di deprezzare, complica ulteriormente il compito.
"Poiché siamo un'università, la maggior parte dei nostri utenti sono studenti", ha detto Shakespear. "Tradizionalmente, uno dei nostri maggiori problemi riguardava l'onboarding e l'offboarding degli utenti studenti. Abbiamo automatizzato questo aspetto in buona misura, quindi mi sento abbastanza a mio agio con la situazione attuale".
I vantaggi dell'automazione
L'automazione è al centro di gran parte delle attività di SUU con Active Directory. Sfrutta molto i report automatici di PingCastle e Shakespear ha partecipato regolarmente a test di penetrazione con BloodHound per trovare spunti che potessero riguardare il suo ambiente. Purple Knight si è adattato perfettamente a questo approccio.
"Mi piace Purple Knight perché analizza molto rapidamente i diversi indicatori di compromissione e fornisce rapidamente un rapporto facile da seguire", ha detto Shakespear. "Uno dei miei rapporti più recenti, che mi ha aperto gli occhi, era che non cambiavo la password di KRBTGT da tempo. Avevo messo in atto un processo per automatizzarlo, ma non era stato eseguito correttamente".
La velocità non è l'unico vantaggio che Purple Knight ha portato all'università in termini di sicurezza della distribuzione di Active Directory. Quando Shakespear e il suo team hanno iniziato a eseguire le scansioni con lo strumento un anno fa, Purple Knight ha rilevato diversi SID legati ad account orfani e cancellati. Da allora questi sono stati ripuliti e Shakespear sta attualmente lavorando alla scansione automatica e alla generazione di report.
Ottenere una linea di base
"Purple Knight è facile da usare, con un'interfaccia eccellente, e la possibilità di condividere la scorecard con i membri dell'IT per avere un quadro generale della situazione di Active Directory è molto utile", ha detto Shakespear. "La possibilità di eseguire rapidamente questi report e di ottenere una linea di base ci dà anche una buona idea di dove indirizzare i nostri test di penetrazione. E quando parliamo con i nostri clienti, possiamo fornire loro una panoramica rapida e semplice degli elementi su cui possono lavorare immediatamente per migliorare la loro posizione di sicurezza".
"Consiglierei sicuramente Purple Knight ad altre organizzazioni", ha dichiarato. "L'ho già fatto: ho presentato il programma alle conferenze, ne ho parlato con i colleghi e ho parlato dello strumento ad altri penetration tester. È un ottimo strumento, soprattutto per gli ambienti Active Directory".