Equipa Semperis

A RSM Ebner Stolz está a trabalhar no Active Directory com um bom exemplo

As empresas, que são consultadas por outras organizações em matéria de gestão de negócios ordinários, devem ter em conta que tudo deve ser feito com base em critérios de segurança. Schließlich werden ihnen die sensibelsten Informationen anvertraut. Além disso, o acesso optimizado dos trabalhadores às fontes de trabalho da rede também é importante. Em primeiro lugar, o Microsoft Active Directory é a principal fonte de acesso. As consequências de um ataque geglückten são muito graves, tanto para o fornecedor como para os seus clientes. Kein Wunder, dass sich Angreifer gerade diesen Dienst heute als bevorzugtes Ziel wählen. Dabei gibt es durchaus Möglichkeiten, dem mit überschaubarem Aufwand nachhaltig entgegenzutreten.

A RSM Ebner Stolz é uma empresa sólida, que oferece aos seus clientes um vasto portefólio de serviços de consultoria económica, fiscal, jurídica e de gestão de empresas. Com sede em Estugarda, a RSM Ebner Stolz tem mais de 2.100 colaboradores em 14 locais em toda a Alemanha e, em 2022, registou um volume de negócios de cerca de 350 milhões de euros. Entre os mandantes encontram-se empresas industriais, comerciais e de serviços de todos os ramos e dimensões - de empresas individuais a empresas multinacionais, com o objetivo de se concentrarem no sector das pequenas e médias empresas. Depois de um enorme sucesso com a concentração na Alemanha, a Ebner Stolz está a ser reconhecida pela RSM, a maior rede internacional de consultoria e aconselhamento, e está a reagir às actividades globais dos seus mandatários. Na Alemanha, a empresa ocupa a 6ª posição entre as empresas de prestação de serviços e de consultoria.

A RSM Ebner Stolz tem um papel importante no controlo da continuidade das empresas. Por isso, é importante que os trabalhadores dos diversos locais e dos seus clientes tenham sempre um acesso rápido aos recursos centrais disponíveis. A empresa conta com mais de 80 colaboradores, que se dedicam à infraestrutura e às aplicações de apoio. O centro de distribuição central em Frankfurt e as pequenas unidades de distribuição de energia eléctrica estão ligadas por uma rede MPLS. Todos os trabalhadores, tanto no escritório como fora dele, estão equipados com computadores portáteis, para poderem trabalhar de forma flexível com aplicações como o DATEV ou outras aplicações específicas.

Otimização da segurança informática como alternativa

No âmbito de uma estrutura de trabalho que se encontrava em crise, foi criada uma equipa que se dedicava sobretudo a questões de segurança informática. Para além do CISO e dos responsáveis pela segurança informática, foi instalado com Ben Glenz um engenheiro de segurança informática, cujo trabalho se centra na segurança informática operacional. Para que esta ação se concretizasse, foi necessário proceder a uma análise global dos processos em curso. "A natureza do problema reside no facto de, numa empresa com muitos interesses heterogéneos e de longa duração, não ser possível estabelecer uma estratégia de segurança única, uma vez que esta só pode ser realizada com base numa vontade geral", afirma Glenz. Vor ähnlichen Problemen stehen heute viele Organisationen, etwa dann, wenn durch Akquisitionen newue Strukturen eingebunden werden müssen, oder wenn die Tätigkeiten zunehmend remote ausgeführt werden.

O ponto central em infra-estruturas integradas, heterogéneas e geridas remotamente é o controlo dos acessos a todos os recursos, sejam eles dados ou aplicações. Uma vez que o Active Directory é a instância central, para que os trabalhadores locais, dos clientes ou do escritório em casa possam ter uma ligação mais fácil e mais segura, uma das primeiras coisas que Ben Glenz escreveu no seu novo trabalho foi a melhoria dos índices de segurança do AD. Para o efeito, utilizou a ferramenta de análise "Purple Knight", uma ferramenta comunitária desenvolvida pela Semperis, que permite analisar os problemas do Active-Directory em termos de falhas e configurações de falhas. Fornece cerca de 130 indicadores para a verificação e comprometimento do AD e dá dicas para a eliminação de falhas mais graves.

"Eu sabia que Purple Knight já existia há alguns anos", diz Glenz. Eine erste Analyse bei RSM Ebner Stolz ergab, dass die Infrastruktur zwar alles in alllem den Anforderungen entsprach, dass aber dennoch ein enormes Verbesserungspotenzial vorlag. As razões para isso são muito claras. "O próprio Active Directory foi criado há 25 anos e baseia-se igualmente nos algoritmos da época." Nas organizações heterogéneas, muitas vezes são utilizados elementos que não têm mais do que as actuais soluções ou que não têm mais apoio. "Encontrámos até agora sistemas de software como o Windows 7, que não oferecem qualquer apoio. O que faz com que as pessoas se sintam mais vulneráveis é o Tür e o Tor."

Mudança de processo

O site Purple Knight ermittelte Scoring deu o Ausschlag, unmittelbar den Change-Prozess in Bezug auf das Active Directory in Angriff zu nehmen, auch wenn keine aktuelle Bedrohung vorlag. "Eins ist klar", erläutert Glenz, "se o Active Directory for comprometido, então o processo de gestão geral será iniciado". A equipa de segurança decidiu instalar dois produtos: o Semperis Directory Services Protector (DSP) e o Active Directory Forest Recovery (ADFR). Beide Produkte lassen sich ohne großen Aufwand leicht installieren, ohne dass die Anwender dazu involviert werden müssen.

O sítio Directory Services Protector permite o acompanhamento contínuo de todas as actividades relacionadas com o AD e dá-lhe uma visão geral da segurança atual. Além disso, o instrumento de trabalho está sujeito a alterações imprevistas e a alterações significativas. No contexto do facto de 9 em cada 10 cibercriminosos utilizarem hoje o Active Directory como um suporte, para que o objetivo final seja alcançado, o site DSP oferece uma possibilidade simples e abrangente de controlar e eliminar o risco de utilização dos recursos essenciais das empresas. A RSM Ebner Stolz aposta na utilização da versão híbrida do DSP, uma solução ITDR, que permite a ligação ao Active Directory e ao Entra ID (também conhecido como Azure AD). "Mesmo que não existam mais actividades na empresa com base no AD local, os processos são mais complexos no Azure", afirma Glenz na declaração. "Zudem wechseln Angreifer often von lokalen Systemen in die Cloud oder umgekehrt." Com o uso da solução híbrida, o potencial de aumento de custos pode ser reduzido de forma segura. Para o efeito, o site DSP disponibiliza orientações prioritárias e orientadas para o manuseamento, desenvolvidas e implementadas pela AD-Sicherheitsforschern.

A empresa está a trabalhar

O Semperis ADFR, das Active Directory Forest Recovery, é o segundo instrumento para a proteção da infraestrutura AD. O dispositivo permite uma instalação rápida e livre de malware da estrutura de gerenciamento de AD após um ataque de Ransomware ou Wiper. A instalação manual do sistema de gestão de AD pode ser feita durante dias e, em casos mais graves, durante semanas, e pode levar à ameaça de uma infeção por malware. O site ADFR estabelece a segurança das apostas em menos de um minuto ou menos de um dia e reduz as perdas em até 90 por cento. Se, através do site ADFR , o Active Directory, ao utilizar sistemas de instalação seguros, conseguir manter o seu estado de conservação, a eliminação de malware será uma realidade. A instalação pode ser efectuada em qualquer hardware virtual ou físico. Assim, a análise forense será reduzida, para que as possíveis consequências sejam evitadas.

"Quando DSP regelmäßig dazwischen geht, wenn versucht wird, das AD mit böser Absicht zu modifizieren, bildet ADFR die ultimative Instanz, um die Betriebsfähigkeit der IT im Falle einer Attacke wiederherzustellen", erklärt Glenz das Zusammenspiel der beiden Werkzeuge. "Nós fizemos a recuperação e em 20 minutos estávamos online". A segurança dos dados de cópia de segurança necessários tem uma capacidade de armazenamento de cerca de 300 MB e pode ser obtida através de uma pen drive, que pode ser verificada com segurança. Dazu bietet ADFR allerdings auch die Option zur Online-Speicherung in der Cloud.

A RSM Ebner Stolz criou a base técnica para a proteção do Active Directory através da utilização de DSP e ADFR , de modo a que esta possa ser utilizada com outras funcionalidades, tais como políticas de senha ou de proteção individual. As ferramentas permitem-lhe obter os requisitos necessários. "Os produtos são fáceis de utilizar, mas não é difícil de controlar", afirma Ben Glenz. "Se houver algo que não funcione, eu vou ter de fazer uma avaliação completa." Das lässt ihn nicht nur besser schlafen, sondern verschafft ihm die Zeit, sich mit anderen drängenden Aufgaben zu beschäftigen, resümiert er. E, por isso, é mais do que genial no domínio da segurança das TI.