Os ambientes antigos do Active Directory (AD) são frequentemente focos de vulnerabilidades de cibersegurança devido a configurações incorrectas que se acumularam ao longo do tempo. Nas organizações de ensino, os desafios de proteger o AD são agravados pelo constante embarque e desembarque de estudantes e professores. A descoberta de vulnerabilidades desconhecidas no ambiente do AD que ele herdou foi um fator importante para que Jim Shakespear, Diretor de Segurança de TI da Southern Utah University (SUU), explorasse Purple Knighta ferramenta de segurança gratuita do AD da Semperis.
"Herdei a gestão do nosso ambiente Active Directory há alguns anos", disse Shakespear. "Já estava a funcionar quando cheguei, há dez anos. Uma das razões pelas quais investiguei inicialmente Purple Knight foi porque estou muito interessado na segurança do Active Directory.... Utilizei várias outras ferramentas no passado e queria ver o que Purple Knight tinha para oferecer."
Assista à conversa de Shakespear com a Petri IT Knowledgebase sobre a experiência da SUU com a utilização de Purple Knight para proteger o AD.
Leitura relacionada
Os desafios da tecnologia herdada na protecção da AD
Configurar esse ambiente mais antigo para gerir de forma segura as contas de utilizador dos estudantes, professores e pessoal de TI da universidade tem sido, no mínimo, um desafio. A gestão de contas exige um esforço especialmente notável, mesmo com as melhores práticas necessárias implementadas. A presença de tecnologia antiga, como o NTLM, que a Shakespear está actualmente a tentar eliminar, complica ainda mais a tarefa.
"Como somos uma universidade, a maior parte dos nossos utilizadores são estudantes", disse Shakespear. "Tradicionalmente, um dos nossos maiores problemas era a integração e o desligamento dos utilizadores estudantes. Temos isso automatizado em boa medida, por isso sinto-me bastante confortável com a situação em que nos encontramos."
As vantagens da automatização
A automatização está no centro de muito do que a SUU faz com o Active Directory. Utiliza fortemente os relatórios automatizados do PingCastle e Shakespear tem participado regularmente em testes de penetração com o BloodHound para encontrar informações que possam estar relacionadas com o seu próprio ambiente. Purple Knight , disse ele, combina perfeitamente com esta abordagem.
"Gosto do Purple Knight porque passa muito rapidamente por diferentes indicadores de comprometimento e fornece um relatório fácil de seguir", disse Shakespear. "Um dos meus relatórios mais recentes, que me abriu os olhos, foi o facto de não ter alterado a palavra-passe KRBTGT há algum tempo. Eu tinha um processo para automatizar isso e ele não estava a funcionar correctamente."
A velocidade está longe de ser o único benefício que o Purple Knight trouxe à universidade em termos de segurança da implementação do Active Directory. Quando Shakespear e a sua equipa começaram a efectuar análises com a ferramenta, há um ano, o Purple Knight detectou vários SIDs associados a contas órfãs e eliminadas. Estes foram limpos desde então, e Shakespear está actualmente a trabalhar em análises automatizadas e na geração de relatórios.
Obter uma base de referência
"OPurple Knight é fácil de utilizar, com uma excelente interface, e só o facto de podermos partilhar o scorecard com os membros de TI para que tenham uma visão global da situação em que nos encontramos no Active Directory é muito benéfico", afirmou Shakespear. "Ser capaz de executar esses relatórios rapidamente e obter essa linha de base também nos dá uma boa ideia de onde direcionar nossos testes de penetração. E quando estamos a falar com os nossos clientes, podemos dar-lhes uma visão geral rápida e fácil dos itens em que podem trabalhar imediatamente para melhorar a sua postura de segurança.
"Definitivamente, eu recomendaria o Purple Knight para outras organizações", disse ele. "Já o fiz - apresentei em conferências, falei com colegas e mencionei a ferramenta a outros testadores de penetração. É uma excelente ferramenta, especialmente para ambientes Active Directory."