Somfy

How global manufacturer monitors and protects its Active Directory infrastructure

ディレクトリの継続的監視とセキュリティの確立

Founded in France in 1969 and present in 58 countries, Somfy is the leading partner in all areas of building opening automation systems and a pioneer in the connected home sector. The group is constantly innovating to create homes that offer their users comfort, well-being, and safety to fulfill its vision of ‘‘inspiring a better way of living accessible to all.’’

Somfy が提供する製品は、5 つのアプリケーションと 13 の補完的なブランドのポートフォリオに集約されます。

• シャッターと太陽光フィルター
• インテリアブラインド、カーテン
• コネクテッドホーム
• セキュリティ
• アクセス制御

The entrepreneurial spirit of Somfy is embodied by the Group’s 6,070 employees in 117 subsidiaries, eight manufacturing plants, and 80 logistics centers and warehouses. Its presence on five continents enables the group to adapt its products and services to the specific needs and characteristics of its markets.

Somfy は、デジタル技術、革新、パートナーシップを駆使して、すべてのステークホルダーに向けた価値提案を永続的に更新しています。

課題

As a global player in home and commercial control systems, Somfy aims for the highest levels of innovation and advancement in its products and solutions. With several companies under its umbrella, Somfy’s security for intellectual property, design, and customer data spanning a vast directory infrastructure was paramount. As a part of its continuous improvement process, Somfy was seeking the best way to tackle unique AD security challenges. 問題点を特定するためには、ルートドメインを対象とした評価が必要でした。

既存の弱点の特定

Utilizing Tenable.ad for AD’s seamless, instant-on deployment, Somfy was able to immediately investigate and identify problems in real-time, each corresponding to one of Tenable.ad’s Indicators of Exposure (IoE). 主な問題点には、AdminSDholder、Root Permission、Kerberos Delegation などの指標に関するものがありました。最初の AD 評価の結果、多数のグループにわたって管理者が多すぎることが判明しました。

This initial connection between Tenable.ad and Somfy’s AD was vital, as the solution mapped the AD’s topology and identified any existing hidden attack pathways and weaknesses that could be leveraged by attackers.

子ドメインの複雑さ

ルートドメインの初期接続と分析の後、子ドメインに注目しました。However, a few challenges with the child domain showed potential loopholes and vulnerabilities. 例えば、以下が挙げられます。

• 世界各地に分散された多数の関連企業
• 多数の AD 管理者
• 外注先のサードパーティリソースに所属する複数の管理者

ソリューション

Following the initial assessment exploring existing weaknesses, misconfigurations, and attack pathways, the Tenable.ad solution provided step-by-step remediation tactics to prevent vulnerabilities and attacks. Due to Somfy's need to quickly acquire some additional expertise relating purely to AD, Tenable.ad’s reputable partner provided ongoing workshops to analyze each IoE. The partner organized a tailor-made mitigation plan based on Tenable.ad for AD’s real-time results available to Somfy senior staff through an intuitive, consolidated dashboard.

Thanks to the Tenable.ad platform’s consistent real-time AD monitoring, Somfy was able to perform continuous workshops to address each actionable IoE task, while relevant teams were equipped with Tenable.ad-proposed checkers to ensure each step was mitigated. Tenable は複雑さに応じて IoE ごとにワークショップを設け、Tenable.ad ソリューションを最大限に活用する方法を Somfy に伝授しました。

Once the mitigation steps were complete, Somfy’s security team cross-referenced via the Tenable.ad platform to check the security status. Somfy は、自社の AD のコンプライアンス基準を監視し、AD の継続的モニタリングを行い、さらにコンプライアンスルールの策定に向けた支援を受けることもできました。

AD セキュリティを測定するこの方法は、セキュリティチームに迅速な成果をもたらし、緩和ステップが完了した後も、ルートドメインの監視を続け、Active Directory を保護しました。続いて、子ドメインに対応しました。

結果

An adequate delegation model was put into practice to avoid the use of built-in privileged groups.

• AD 管理者の不正行為が引き起こした新たなセキュリティ問題は、1 日以内に特定され、緩和されました。

• Systems and jobs configured with wrong credentials were spotted and located by the brute-force detection; their misconfiguration was fixed.

• ドメイン設定の微調整により、新しくシステムに追加されたマシンは、必ずセキュリティパッチ GPO の対象とすることができました。

• 多くのサービスアカウントが再構成され、ドメインにダメージを与える可能性が低下しました。