Incluso después de más de 20 años de servicio, Active Directory (AD) sigue siendo uno de los componentes más críticos de la infraestructura de TI de la empresa típica. Los usuarios dan por sentada la seguridad de AD cuando funciona. Sin embargo, en caso de ataque, su importancia para las operaciones de la empresa puede resultar dolorosamente evidente.
Cuando se producen ataques a la seguridad, cada segundo que pasa antes de que se contenga la amenaza, se ponga remedio y se restablezcan los sistemas representa un golpe para la empresa. Cuanto mayor sea el tiempo de inactividad, mayor será la interrupción de las operaciones. La velocidad es importante, pero también lo es asegurarse de que la recuperación de AD se lleva a cabo con éxito, así como asegurarse de que se ha expulsado a cualquier agente de la amenaza y de que no existen puntos de entrada para futuros ataques.
El primer paso para llevar a cabo esa tarea tras un ataque es establecer un entorno de recuperación aislado (IRE). Sin embargo, como ocurre con el resto del proceso de recuperación, es necesario encontrar un equilibrio entre velocidad y seguridad. Es aquí donde empiezan a brillar las capacidades automatizadas de aprovisionamiento de sistemas operativos.
Lecturas relacionadas
Eliminando el dolor del proceso
Hace tiempo que pasaron los días en los que la preocupación por las interrupciones de AD se centraba en sucesos como desastres naturales y problemas eléctricos en el centro de datos. Hoy en día, las organizaciones se enfrentan a varios escenarios en los que puede ser necesario recuperar un bosque entero. Podría ser que un actor de amenazas haya realizado cambios maliciosos en el esquema de Active Directory. Puede que todos los controladores de dominio (DC) se hayan corrompido o dañado, haciendo que los servicios no estén disponibles. Sea cual sea la razón, la consecuencia de estos sucesos es un tiempo de inactividad que puede durar horas o días. Cuanto mayor sea el tiempo de inactividad, mayor será el daño a las operaciones de negocio.
Quienes han pasado por el proceso de recuperación saben muy bien que puede ser en gran medida manual y tedioso. Los entornos grandes pueden tardar varios días en volver a funcionar a pleno rendimiento sin la ayuda de herramientas de terceros. La automatización es su amiga; recuperar AD sin ella es como realizar una cirugía reconstructiva sin herramientas quirúrgicas.
Ya sea después de un ciberataque o cuando se trata de un ataque en curso, una organización que lleva a cabo la recuperación completa de un bosque de AD necesitará configurar una IRE y gestionar el aprovisionamiento del sistema operativo en máquinas virtuales. La IRE permite a las organizaciones comenzar el proceso de recuperación en un entorno inaccesible para los atacantes. Esto es fundamental: con frecuencia, los atacantes permanecen en secreto en un entorno de producción durante semanas antes de atacar. Si descubren que han sido detectados, pueden tomar medidas que podrían complicar la recuperación. En efecto, las IRE permiten al equipo de respuesta a incidentes probar los cambios de AD sin preocuparse de que las copias de seguridad se infecten y, en consecuencia, vuelvan a liberar malware en el entorno de producción.
Reproducir un entorno de producción puede ser una tarea que lleve mucho tiempo, por lo que es imprescindible un aprovisionamiento eficaz. En Semperis, hemos desarrollado una herramienta independiente basada en PowerShell y UI para preparar máquinas virtuales para la recuperación completa del bosque. Hemos añadido esta herramienta, que actualmente sólo es compatible con Hyper-V, a nuestra solución Active Directory Forest Recovery (ADFR). Ofrece varias capacidades, entre ellas
- Plena independencia para el equipo AD
- Posibilidad de crear una nueva máquina virtual que puede utilizarse para un nuevo centro de distribución (repotenciado), una máquina secundaria ADFR MS y un nuevo centro de distribución.
- Una vista de los metadatos de la copia de seguridad, como una lista de los DC incluidos en el conjunto de copias de seguridad y el estado de cada DC cuando se produjo la copia de seguridad.
- Configuración de aprovisionamiento al permitir seleccionar una plantilla por SO Windows y definir la configuración predeterminada de hardware y red que se aplicará a los DC de la copia de seguridad.
- Le permite editar la configuración (anulando la configuración predeterminada) para DC individuales antes de aprovisionar el sistema operativo de un ordenador.
- Instalación automática del agente ADFR
Semperis ADFR ofrece a los usuarios la posibilidad de restaurar AD en cualquier hardware local o en la nube. También simplifica el proceso de creación de una copia de los centros de distribución de producción en un laboratorio virtual, lo que reduce significativamente el tiempo necesario para mantener los entornos de desarrollo/prueba, ensayo, formación y soporte. Para mejorar aún más la seguridad, las capacidades forenses posteriores a la recuperación de ADFRpermiten a las organizaciones determinar si se estaba produciendo un ataque cuando se realizó la copia de seguridad de un entorno e identificar cualquier cambio realizado por los actores de la amenaza durante una ventana de ataque definida.
Evitar que los atacantes mantengan la persistencia es uno de los aspectos más importantes de la recuperación de AD, y las IRE proporcionan lugares seguros y contenidos para probar los cambios de AD sin correr el riesgo de comprometer más a las organizaciones. Con el reloj en marcha, habrá presión para que AD vuelva a estar en línea de forma rápida y segura, y eliminar parte del tiempo que se tarda en establecer una IRE con el aprovisionamiento automatizado del SO ayudará en esos esfuerzos.
He aquí una demostración rápida para mostrarle las próximas mejoras de ADFR OS Provisioning:
¿Tiene alguna pregunta o comentario? Estaremos encantados de escucharle. Póngase en contacto con nosotros en customersuccess@semperis.com.