Indicadores de exposición basados en RSoP

Tenable Identity Exposure usa un conjunto de indicadores de exposición (IoE) basados en RSoP (conjunto resultante de políticas) para evaluar y garantizar la seguridad y el cumplimiento de varios aspectos. En esta sección se brinda información sobre el comportamiento actual de los IoE basados en RSoP específicos y cómo Tenable Identity Exposure aborda los problemas de rendimiento asociados con sus cálculos.

Los siguientes IoE dependientes de RSoP están involucrados en el marco de seguridad de Tenable Identity Exposure:

  • Restricciones de inicio de sesión para usuarios privilegiados

  • Privilegios sensibles peligrosos

  • Aplicación de políticas de contraseñas débiles en los usuarios

  • Endurecimiento insuficiente frente al ransomware

  • Configuración sin protección del protocolo Netlogon

Estos IoE dependen de una caché de resultados de cálculo de RSoP que se inicializa cuando es necesario y calculan valores que se agregan a pedido en lugar de depender de valores preexistentes. Anteriormente, los cambios en AdObjects desencadenaban la invalidación de la caché, lo que generaba un recálculo frecuente durante las ejecuciones de RSoP del IoE.

Tenable Identity Exposure aborda el impacto en el rendimiento asociado a los cálculos de RSoP de la siguiente manera:

  1. Análisis de IoE en vivo con datos potencialmente obsoletos: el cálculo (evento de entrada/salida) de los IoE que dependen del RSoP se lleva a cabo en tiempo real a medida que ocurren, incluso si los datos usados para el procesamiento no son los más actuales. Los eventos almacenados en búfer que tienen el potencial de invalidar la caché del RSoP permanecen almacenados hasta que cumplen una condición específica, lo que provoca el cálculo previsto.

  2. Invalidación de RSoP programado: al cumplirse la condición para el recálculo, el sistema invalida la caché del RSoP, teniendo en cuenta los eventos almacenados en búfer durante el proceso de invalidación.

  3. Reejecución de los IoE con caché actualizada: luego de la invalidación de la caché, los IoE se vuelven a ejecutar con la versión más reciente de AdObject de la caché, incorporando los eventos almacenados en búfer. Tenable Identity Exposure calcula cada IoE individualmente para cada evento almacenado en búfer.

Por estos motivos, la duración de cálculo optimizada para los IoE que dependen del RSoP provoca un cálculo más lento de las anomalías relacionadas con el RSoP.

Mejoras

Tenable Identity Exposure implementó cambios en los indicadores de exposición relacionados con las tareas del RSoP para mejorar el rendimiento general y la capacidad de respuesta.

  • Controles de seguridad más inteligentes: un rediseño de cómo realizamos ciertos controles de seguridad (llamadas verificaciones de RSoP) para reducir las ralentizaciones del sistema.

  • Programación adaptable: el sistema elegirá automáticamente los mejores momentos para ejecutar estas verificaciones en función de la carga de trabajo actual.

  • Protección contra sobrecarga: hemos puesto en práctica nuevas medidas para evitar la sobrecarga del sistema durante períodos de mucha actividad.

  • Análisis de seguridad de archivos de GPO: los indicadores de exposición que analizan la seguridad de los archivos de GPO ahora se procesarán cada 30 minutos y no en tiempo real, como sucede con otros IoE.

Beneficios

  • Mejores tiempos de respuesta: al optimizar el proceso de verificación de la seguridad, debería observar respuestas más rápidas del sistema, en especial durante las horas pico de uso.

  • Confiabilidad mejorada: la nueva programación adaptable ayuda a garantizar que los controles de seguridad importantes no interfieran con su trabajo.

  • Experiencia más fluida: con una mejor protección contra sobrecargas, el sistema debería mantener un rendimiento constante, incluso en caso de uso intensivo.

  • Estabilidad mejorada de la plataforma: estos cambios beneficiarán en particular a los clientes con alta actividad de AD, lo que garantizará un rendimiento más uniforme.

Aspectos técnicos

  • Las verificaciones de RSoP y los análisis de seguridad de archivos de GPO se ejecutan periódicamente y no en tiempo real.

  • Cada 30 minutos, la plataforma evalúa su carga de trabajo. Si determina que puede hacer un análisis, procede; de lo contrario, espera hasta que la carga disminuya.

  • Se implementó un algoritmo para detectar la sobrecarga del sistema, que tiene en cuenta factores como la longitud de la cola de mensajes y las tendencias de procesamiento.

  • Durante los períodos de sobrecarga, las verificaciones no críticas se posponen para mantener la capacidad de respuesta del sistema.