Indicateurs d'exposition basé sur un RSoP

Tenable Identity Exposure utilise un ensemble d'indicateurs d'exposition (IoE) basés sur un RSoP (jeu de stratégies résultant) pour évaluer et assurer la sécurité et la conformité de divers aspects. Cette section fournit des informations sur le comportement actuel de certains IoE basés sur un RSoP et sur la manière dont Tenable Identity Exposure traite les problèmes de performances associés à leurs calculs.

Les IoE suivants, qui dépendent d'un RSoP, jouent un rôle dans l'infrastructure de sécurité de Tenable Identity Exposure :

  • Restrictions d'authentification des utilisateurs avec privilèges

  • Privilèges sensibles dangereux

  • Application de stratégies de mot de passe faible aux utilisateurs

  • Durcissement insuffisant contre les ransomwares

  • Configuration non sécurisée du protocole Netlogon

Ces IoE dépendent du cache des résultats de calcul d'un RSoP qui est initialisé en cas de besoin, ce qui permet de calculer les valeurs ajoutées à la demande au lieu de s'appuyer sur des valeurs pré-existantes. Auparavant, les modifications apportées aux AdObjects provoquaient l'invalidation du cache, entraînant fréquemment un recalcul pendant les exécutions du RSoP de l'IoE.

Tenable Identity Exposure traite l'impact exercé sur les performances par les calculs d'un RSoP de la manière suivante :

  1. Analyse d'IoE en direct avec des données potentiellement obsolètes — Le calcul (événement d'entrée/sortie) d'IoE qui dépendent de RSoP a lieu en temps réel à mesure qu'ils se produisent, même si les données utilisées pour le traitement ne sont pas les plus récentes. Les événements mis en mémoire tampon qui sont susceptibles d'invalider le cache du RSoP restent stockés jusqu'à ce qu'ils remplissent une condition spécifique, ce qui déclenche alors le calcul prévu.

  2. Invalidation de RSoP planifiée — Après avoir rempli la condition d'un nouveau calcul, le système invalide le cache du RSoP, en tenant compte des événements mis en mémoire tampon pendant le processus d'invalidation.

  3. Réexécution des IoE avec un cache à jour — Après l'invalidation du cache, les IoE sont réexécutés avec la dernière version de l'AdObject du cache, en intégrant les événements mis en mémoire tampon. Tenable Identity Exposure calcule chaque IoE individuellement pour chaque événement mis en mémoire tampon.

Pour ces raisons, la durée de calcul optimisée pour les IoE dépendant d'un RSoP entraîne un calcul plus lent des déviances liées au RSoP.

Améliorations

Tenable Identity Exposure a mis en œuvre des modifications des indicateurs d'exposition traitant des tâches RSoP afin d'améliorer leurs performances globales et leur réactivité.

  • Vérifications de sécurité plus intelligentes — L'exécution de certaines vérifications de sécurité (appelées vérifications RSoP) a été repensée pour réduire les ralentissements du système.

  • Planification adaptative — Le système choisira automatiquement les meilleurs moments pour exécuter ces vérifications en fonction de la charge de travail actuelle.

  • Protection contre les surcharges — Nous avons mis en place de nouvelles mesures pour empêcher la surcharge du système pendant les périodes de pointe.

  • Analyse de sécurité des fichiers de GPO — Les indicateurs d'exposition qui analysent la sécurité des fichiers de GPO seront désormais traités toutes les 30 minutes, et non en temps réel comme les autres IoE.

Avantages

  • Temps de réponse plus rapides — Grâce à l'optimisation de notre processus de vérification de sécurité, vous devriez observer des réponses système plus rapides, en particulier pendant les heures d'utilisation de pointe.

  • Amélioration de la fiabilité — La nouvelle planification adaptative permet de garantir que les vérifications de sécurité importantes n'interfèrent pas avec votre travail.

  • Expérience plus fluide — Grâce à une meilleure protection contre les surcharges, le système devrait maintenir des performances constantes même en cas d'utilisation intensive.

  • Amélioration de la stabilité de la plateforme — Ces changements profiteront particulièrement aux clients ayant une activité AD élevée, en améliorant la constance des performances.

Aspects techniques

  • Les vérifications RSoP et les analyses de sécurité des fichiers de GPO sont exécutées périodiquement et non en temps réel.

  • Toutes les 30 minutes, la plateforme évalue sa charge de travail. Si elle détermine qu'elle est en mesure de gérer une analyse, elle poursuit ; sinon, elle attend que la charge diminue.

  • Mise en œuvre d'un algorithme pour détecter la surcharge du système, en tenant compte de facteurs tels que la longueur de la file d'attente des messages et les tendances de traitement.

  • Pendant les périodes de surcharge, les vérifications non critiques sont reportées pour maintenir la réactivité du système.