Jeder IT-Manager oder -Administrator weiß zwar, dass ein solider Wiederherstellungsplan für Active Directory ein wesentlicher Bestandteil jeder Business Continuity-Strategie ist, aber die Berechnung des praktischen Return on Investment (ROI) eines optimierten AD-Wiederherstellungsplans ist bekanntermaßen schwierig. Es spielen zu viele Variablen eine Rolle, um eine vertretbare, exakte Berechnung zu erstellen. Und um die Erwartungen im Voraus festzulegen: Ich werde hier keinen interaktiven ROI-Rechner anbieten.
Stattdessen möchte ich Ihnen einige praktische Möglichkeiten aufzeigen, wie Sie die Rentabilität Ihrer Investitionen in eine ordnungsgemäße AD-Wiederherstellung ermitteln können - damit Sie Ihre eigenen Berechnungen anstellen und Ihre eigenen Schlussfolgerungen ziehen können. Der Verlust eines Domänencontrollers ist an sich schon ein Problem, aber lassen Sie uns ein anderes, immer häufiger auftretendes Szenario betrachten, das katastrophale Folgen hat: ein Ransomware-Angriff, der jeden Domänencontroller an allen Unternehmensstandorten ausschaltet. In einer solchen Situation kann die Wiederherstellung von AD zu einer kniffligen Herausforderung werden.
Im letzten Jahr haben wir über zahlreiche Ransomware-Angriffe berichtet, bei denen Cyberkriminelle das AD auf die eine oder andere Weise modifiziert haben - weit über die grundlegenden Änderungen an Benutzerkonten oder Passwörtern hinaus -, um sich Zugang zu Informationssystemen zu verschaffen und Malware seitlich zu verbreiten. Ransomware-Architekten haben jetzt Techniker angestellt, die das AD und seine Sicherheitsupdates analysieren und nach Möglichkeiten suchen, die Berechtigungen zu erhöhen und Malware schnell im gesamten Unternehmen zu verbreiten. Die forensischen Untersuchungen früherer Ransomware-Angriffe auf AD haben ergeben, dass sich die Bedrohungsakteure in erster Linie auf Änderungen an Gruppenkonten, Benutzerkonten, Gruppenrichtlinienobjekten, dem SYSVOL und Domänencontrollern konzentrieren.
Bedenken Sie diese Taktiken der Cyberkriminellen und berücksichtigen Sie die folgenden Faktoren bei der Berechnung Ihres eigenen ROI für die AD-Wiederherstellung:
- Kosten für Betriebsausfälle: Es ist wahrscheinlich, dass ein wesentlicher Teil Ihres Betriebs davon abhängt, dass AD zur Authentifizierung von Benutzern als Grundlage für den Zugriff auf Anwendungen, Systeme und Daten betriebsbereit ist. Wie viel Umsatz oder Produktivität würde Ihrem Unternehmen für jede Stunde, in der AD nicht funktioniert, verloren gehen? Wie viele Stunden, Tage oder Wochen würde es dauern, bis das Unternehmen einen Punkt erreicht, an dem es kein Zurück mehr gibt und sich finanziell nicht mehr erholen kann? Erinnern Sie sich an den Ransomware-Angriff auf die Stadt Baltimore? Die Wiederherstellung des Betriebs dauerte Monate und kostete über 18 Millionen Dollar.
- Fehlen eines Business-Continuity-Plans, der AD einschließt: Wenn Ihr Unternehmen reif genug ist, verfügen Sie über einen BC/DR-Plan, in dem die zur Wiederherstellung des Geschäftsbetriebs nach einem Ausfall erforderlichen Arbeiten festgelegt sind. Die meisten Pläne berücksichtigen den Verlust der Infrastruktur oder den Verlust eines Standorts nach einer Naturkatastrophe. Aber nur wenige Unternehmen haben einen Plan speziell für die Wiederherstellung des Geschäftsbetriebs nach einem Cyberangriff - und vor allem einem so unvorhersehbaren wie einem Ransomware-Angriff. Die Art und Weise, wie Sie AD in einem solchen Szenario wiederherstellen, hängt davon ab, welche Änderungen die Cyberkriminellen im AD vorgenommen haben. Sie könnten planen, AD bis zu einer früheren Version wiederherzustellen, aber wie bestimmen Sie, wie weit Sie zurückgehen müssen, um eine bekannte sichere Version zu finden? Welche AD-abhängigen Systeme, Dienste und Anwendungen werden von einer breit angelegten Wiederherstellung eines früheren AD-Zustands betroffen sein oder überhaupt nicht mehr funktionieren? Sind Sie zuversichtlich, dass Sie überhaupt eine aktuelle, malwarefreie Sicherungskopie finden können, von der Sie wiederherstellen können? Ohne einen Plan oder die Fähigkeit zu verstehen, was vor der Wiederherstellung im AD geändert wurde, wird Ihr Unternehmen unendlich viel Zeit damit verbringen, alle Probleme zu beheben, die durch die Wiederherstellung verursacht wurden.
- Wiederherstellung ist möglicherweise nicht die Antwort: Wenn alle Änderungen, die von den Bösewichten während eines Angriffs vorgenommen werden, darauf hinauslaufen, dass ein Konto zur Gruppe der Domänenadministratoren hinzugefügt wird, dann ist die Wiederherstellung des AD auf den Stand von vor ein paar Tagen oder vor einem Monat möglicherweise nicht die richtige Antwort. Stattdessen ist es vielleicht die kostengünstigere Methode, Änderungen im AD zu überwachen und die Möglichkeit zu haben, entweder Änderungen an "geschützten" Konten (wie der Gruppe der Domänenadministratoren) zu verbieten oder eine Änderung automatisch auf eine sanktionierte Konfiguration zurückzusetzen.
Die obigen Überlegungen lassen sich zu drei Risiken zusammenfassen: das Risiko einer langsamen Wiederherstellung, das Risiko einer Wiederherstellung, die mehr Sanierungsaufwand verursacht, und das Risiko einer Wiederherstellung, die angesichts der Art der an AD vorgenommenen Änderungen als Overkill angesehen werden könnte.
Ein anderer Ansatz zur Berechnung des ROI von AD Recovery
Anstatt den ROI der AD-Wiederherstellung mit Hilfe eines Online-Rechners zu ermitteln, sollten Sie lieber mehrere reale Szenarien durchspielen und bewerten, wie es um Ihre derzeitige AD-Wiederherstellung bestellt ist, indem Sie die folgenden Fragen anhand der oben genannten Faktoren beantworten:
- Welche kritischen Teile des Betriebs hängen von AD ab? Wie hoch sind die geschätzten Kosten für deren Ausfallzeit?
- Wie lange wird es dauern, AD auf der Grundlage der während eines Angriffs vorgenommenen Änderungen wiederherzustellen?
- Haben Sie Einblick in die böswilligen Änderungen, die in AD vorgenommen wurden, und wenn nicht, wie weit müssen Sie zurückgehen und wie lange wird es dauern, dies zu untersuchen?
- Wird sich die Wiederherstellung auf andere Bereiche des Betriebs auswirken, die Sie reparieren müssen, und wenn ja, wie lange wird dies dauern? (Denken Sie daran, dass eine Reihe von Passwörtern für Benutzer- und Computerkonten nicht übereinstimmen werden, was die Anmeldung bei der Domäne erschwert. Außerdem fehlen in früheren Versionen möglicherweise Konten, Gruppenmitgliedschaften, DNS-Einträge usw.)
- Sind Sie sicher, dass die Wiederherstellung Sie in einen bekannt sicheren Zustand versetzt? Achten Sie auf den Unterschied zwischen der Wiederaufnahme des Geschäftsbetriebs und der Wiederherstellung des Geschäftsbetriebs: Wenn Sie keine saubere, von Malware freie Sicherungskopie haben, von der Sie wiederherstellen können, laufen Sie Gefahr, dieselben Schwachstellen wieder einzuführen, die Sie überhaupt erst angreifbar gemacht haben.
Kurz gesagt, der ROI der AD-Wiederherstellung hat viel mehr mit Ihrer aktuellen Fähigkeit zu tun, einen bekannt produktiven und bekannt sicheren Zustand nach einem Angriff wiederherzustellen, als mit einem Online-ROI-Rechner, der die unzähligen Variablen eines Ransomware-Angriffs nicht berücksichtigt. (Aber wenn Sie einen ROI-Rechner in Aktion sehen möchten, schauen Sie sich diesen AD-Ausfallzeit-Rechner von Itergy an). Wenn Sie einige Szenarien durchspielen und genau überlegen, welche Wiederherstellungsmöglichkeiten Sie derzeit haben, werden Sie Kosten aufdecken, die durch eine geeignete AD-Wiederherstellungslösung vermieden werden können - eine Lösung, die zum Schutz vor, zur Vorbeugung von und zur Wiederherstellung nach bösartigen Änderungen an AD konzipiert ist.
Schnelle Geschichten aus der Praxis:
Semperis bietet eine erstklassige Cyber-First Disaster Recovery für Active Directory. Einige der Ergebnisse, die unsere Kunden nach dem Einsatz von Semperis Active Directory Forest Recovery gemeldet haben:
- Die israelische Fluggesellschaft El Al setzte Semperis ADFR ein und reduzierte die Zeit für die vollständige Wiederherstellung von AD-Wäldern von 24 Stunden auf zwei Stunden.
- Ein globaler Einzelhändler mit 2,2 Millionen Benutzern und 500 DCs wechselte von seiner bestehenden Lösung zu Semperis ADFR und reduzierte die Zeit für die Wiederherstellung eines AD-Forests von 6 Tagen auf 6 Stunden.
- Ein Unternehmen des Gesundheitswesens mit einem 65 GB großen DIT reduzierte die Zeit für die Wiederherstellung des AD-Forests von 1,5 Tagen mit der bestehenden Lösung auf unter 4 Stunden mit Semperis ADFR.
"Wir haben 3 Forests mit ADFR geschützt. Unsere Testwiederherstellungen sind zuverlässig, und ich bin zuversichtlich, dass wir unsere AD-Wälder mit der Option Full Forest Recovery in kurzer Zeit vollständig wiederherstellen können."
Sehen Sie die vollständige Bewertung auf Gartner Peer Insights
Sie möchten mehr erfahren? Schauen Sie sich die folgenden Ressourcen unseres AD-Expertenteams an, um weitere Informationen über einen vollständigen AD-Wiederherstellungsplan zu erhalten.