Um dos pesadelos que os administradores do Active Directory temem é um simples erro humano na configuração que pode causar problemas de acesso ou de segurança em toda a organização. Sempre disse que uma das observações mais perturbadoras que se pode ouvir no trabalho é um administrador do AD dizer "Oops"! Sendo uma tecnologia com quase um quarto de século, o AD é uma plataforma de identidade poderosa, mas complexa, que foi criada muito antes da era da guerra cibernética. O reforço do AD contra ciberataques é uma batalha contínua, e mesmo as operações de manutenção de rotina podem correr mal, causando períodos de inatividade ou riscos de segurança.
Para agravar o problema, muitas organizações não dispõem atualmente de pessoal especializado em AD. As configurações incorrectas podem acumular-se ao longo do tempo, deixando o ambiente do AD com dezenas de vulnerabilidades de segurança, algumas das quais se escondem à superfície como potenciais vectores de ataque futuros e outras exigem uma ação imediata.
Para se manter a par das configurações incorrectas do AD, é necessária uma estratégia abrangente de prevenção, deteção e resposta a ameaças do AD. Por outras palavras, precisa de tecnologia que lhe salve a pele se executar acidentalmente um script que repõe 5.000 palavras-passe - quanto mais rápido, melhor.
A capacidade de corrigir rapidamente os problemas de configuração surgiu como um benefício significativo da Semperis Directory Services Protector (DSP) para os clientes que participaram no relatório Forrester Total Economic Impact of Semperis. A Forester descobriu que a correção em nível de objeto e grupo é 90% mais rápida para os clientes da Semperis que usam DSP.
Descarregar o relatório: Forrester Impacto económico total da Semperis
Um dos clientes da Semperis que participou no estudo, um analista de sistemas de rede de uma empresa de cuidados de saúde, afirmou que, antes de implementar o DSP, a organização estava a ter incidentes frequentes a nível de grupos e objectos que implicavam horas de esforço para resolver.
"Agora, sabemos como resolver o problema em poucos minutos", disse ele. "É noite e dia."
Os participantes do estudo da Forrester (representantes de cinco organizações dos sectores dos cuidados de saúde, consultoria, serviços financeiros e energia, com uma receita média anual de 10 mil milhões de dólares) relataram vários desafios na atenuação dos erros de configuração de rotina do AD, incluindo
- Modificações não intencionais nas unidades organizacionais, que afectam a estrutura organizacional
- Alterações não autorizadas aos atributos da conta do utilizador, tais como palavras-passe e associações a grupos
- Eliminação ou modificação de grupos de segurança, afectando as permissões de acesso
- Comprometimento de contas de utilizadores privilegiados ou de contas de serviço
- Alterações às políticas de grupo que afectam as definições de segurança em toda a rede
- Configurações incorrectas não intencionais que reduzem a produtividade
Como qualquer administrador de AD sabe, cada incidente por si só pode ser relativamente fácil de resolver. Mas numa grande organização, as configurações incorrectas podem multiplicar-se e agravar o tempo de inatividade, especialmente nos casos em que os utilizadores são impedidos de aceder a aplicações e serviços críticos ou em que uma configuração incorrecta causa um incidente de segurança. DSP pode reverter erros mais rápida e facilmente do que qualquer outra solução no mercado.
O Semperis permite-nos otimizar as nossas operações no que diz respeito à resolução de incidentes [a nível de objectos e grupos] à medida que surgem. Permite-nos reeducar as nossas equipas e formá-las em novas e melhores formas de resolver problemas para que os utilizadores finais voltem a funcionar.
Gestor de gestão e engenharia de identidade, empresa de cuidados de saúde, na Forrester Impacto económico total da Semperis
Os participantes no estudo da Forrester partilharam algumas anedotas que ilustram as vantagens da utilização do DSP para poupar tempo na correção de erros operacionais:
- Numa organização de cuidados de saúde, as configurações incorrectas do AD ocorriam semanalmente, afectando entre 300 e vários milhares de funcionários. Cada um destes incidentes exigia várias horas de tempo de correção. Após a implementação de DSP, o tempo de correção foi reduzido para 30 minutos.
- Um gestor de gestão e engenharia de identidades na área da saúde afirmou que, antes de implementar o DSP, a resolução de problemas de controlo de acesso baseado em funções demorava vários dias a ser resolvida por seis especialistas em AD. Com o DSP implementado, esse esforço foi reduzido para cerca de 2 horas e apenas foram necessários dois membros da equipa.
- O gestor sénior de arquitetura de servidores de uma empresa de energia informou que, antes de implementar o DSP, a sua equipa demorava até 8 horas a resolver um erro relacionado com o AD. Ao utilizar as capacidades de recuperação a nível de objectos e grupos do DSP, reduziram esse tempo para 30 minutos para resolver completamente o problema e colocar os utilizadores a trabalhar novamente.
Os participantes relataram que a utilização do DSP reduziu o tempo de correção em 90%. No relatório, a Forrester estimou que, em média, 1% do número total de funcionários da organização foi afetado por um incidente grave a nível de objectos ou grupos, cada incidente causou cerca de 5 horas de inatividade e os participantes no estudo tiveram uma média de 25 incidentes deste tipo por ano. A Forrester concluiu que as organizações com características semelhantes obteriam uma economia de cerca de US$ 4,3 milhões em três anos.
Os erros de configuração do AD custam tempo e dinheiro
Cada configuração incorrecta do AD pode atrasar o acesso a recursos ou abrir a porta a vulnerabilidades de segurança, o que requer tempo e conhecimentos especializados para ser corrigido. O estudo da Forrester aponta o impacto potencial das configurações incorrectas acumuladas - e o benefício imediato da implementação de DSP para ajudar a corrigir incidentes ao nível de objectos e grupos.
Para uma análise mais aprofundada de mais exemplos de poupanças de custos relacionadas com a redução do tempo de correção de vulnerabilidades do AD, consulte o relatório TEI da Forrester. (E se estiver à procura de uma forma rápida de avaliar as vulnerabilidades do seu próprio ambiente, transfira Purple Knightuma ferramenta gratuita da Semperis que analisa mais de 150 IOEs e IOCs e fornece um relatório geral de segurança).