La Request for Comments (RFC) 1823 dell'agosto 1995 ha introdotto l'Application Programming Interface (API) del Lightweight Directory Access Protocol (LDAP). Si potrebbe sostenere che questo importante lavoro sia servito come base per la moderna gestione delle identità. Eppure, sorprendentemente, la parola identità non compare nemmeno una volta nell'intero RFC. (La parola directory compare quattordici volte e la parola accesso sei volte).
L'Active Directory (AD) di Microsoft, apparso per la prima volta in Windows 2000, affonda le sue radici in questo primo lavoro LDAP. Da allora, la collezione di servizi di Microsoft AD è stata costantemente migliorata e pochi potrebbero affermare che AD funge da base strutturale per la maggior parte dei domini aziendali e dei servizi legati all'identità. Come ci si aspetterebbe, tuttavia, questo ruolo vitale rende AD un obiettivo interessante per le campagne distruttive contro un'azienda.
Lettura correlata
In quest'ottica, questa settimana ho trascorso del tempo con una start-up di sicurezza chiamata Semperis. Fondata nel 2014 con sede nel World Trade Center (a pochi passi dal nostro ufficio di Fulton Street) e un ulteriore centro di ricerca e sviluppo in Israele, l'azienda si occupa di aiutare i team aziendali a rendere le loro infrastrutture AD più robuste e resistenti agli attacchi informatici e ad altri disastri. La discussione è stata affascinante ed ecco un riassunto di ciò che ho appreso:
"Ci riferiamo alla nostra soluzione di sicurezza come alla resilienza informatica guidata dall'identità", ha spiegato Mickey Bresman, co-fondatore di Semperis. "Quello che facciamo nello specifico è offrire ai clienti un mezzo per risolvere i punti ciechi nel sistema di auditing dell'AD, per automatizzare il processo di ripristino dell'AD in caso di ransomware o di altri attacchi e per fornire un rapido ripristino degli oggetti e degli attributi dell'AD, spesso riducendo il recupero da giorni o settimane a ore".
Una delle decisioni alla base del modello Semperis è il disaccoppiamento dell'AD dal sistema operativo Windows durante il ripristino, che consente un ripristino pulito nel caso in cui un eseguibile compromesso possa infettare nuovamente il sistema ripristinato. Un'ulteriore intuizione tecnica riguarda il disaccoppiamento del ripristino dalla dipendenza dell'hardware sottostante. Ciò consente il ripristino in un ambiente di hosting meno vincolato, compresi i sistemi cloud pubblici.
L'automazione è un aspetto prezioso della nostra soluzione", ha dichiarato Bresman, "perché molti degli attuali processi di recupero e ripristino - se esistono - sono manuali e richiedono quindi molto tempo e impegno, per non parlare dell'elevata probabilità di errore umano". Abbiamo aiutato i nostri clienti a ridurre i tempi di ripristino dell'AD, il che si traduce in una maggiore resilienza alle minacce informatiche e ai disastri".
Ho chiesto a Bresman perché i team aziendali aspettano di essere attaccati prima di intraprendere azioni di riduzione del rischio sulla loro infrastruttura di directory. La sua risposta è stata interessante: poiché Semperis si concentra sulla risposta proattiva, accetta che gli attacchi e i disastri siano inevitabili. Ma la sfumatura è che Semperis aiuta i team aziendali a prepararsi in anticipo per la loro risposta. Il risultato è un buon equilibrio tra preparazione e risposta.
Il prodotto di punta dell'azienda si chiama Semperis Active Directory Forest Recovery (ADFR), che comprende il ripristino dei controller di dominio, il ripristino delle partizioni e il ripristino delle foreste. Il ripristino può essere effettuato su qualsiasi server, virtuale o fisico, sia on-premise che nel cloud. Semperis offre anche una piattaforma di protezione dei servizi di directory (DSP) che consente la visibilità in tempo reale, il monitoraggio delle modifiche all'AD e la correzione automatica.
Durante la nostra discussione, Bresman mi ha presentato un elenco impressionante di team aziendali che utilizzano Semperis per gestire i rischi operativi e di sicurezza dell'AD. Un'azienda ha apparentemente ridotto il tempo di ripristino da giorni (che purtroppo è stato testato attraverso un attacco ransomware su larga scala che ha degradato le operazioni), a un nuovo tempo di ripristino di circa tre ore. È un bel miglioramento.
Se gestite un'infrastruttura aziendale che dipende da AD per i servizi legati al dominio e all'identità e siete preoccupati per la possibilità concreta che qualcosa di distruttivo possa andare storto, sia in modo doloso che accidentale, vi invitiamo a chiamare il team di Semperis. Chiedete loro di condividere con voi i loro casi d'uso per il ripristino rapido e automatizzato. Sospetto che rimarrete impressionati e, auspicabilmente, convinti.
Come sempre, dopo la discussione, vi preghiamo di condividere con tutti noi ciò che avete imparato.