Cualquier plan de recuperación contra el ransomware debe incluir copias de seguridad periódicas de los archivos y datos cifrados con copias offline, como ha recordado recientemente la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) como parte de la campaña de la organización para dar a conocer sus orientaciones y recursos contra el ransomware. La guía incluye las mejores prácticas y listas de comprobación para ayudar a las empresas a formular sus planes de respuesta ante ciberataques.
Y aunque las copias de seguridad son fundamentales para cualquier plan de recuperación, esas copias no salvarán a una organización si el ataque malicioso compromete Active Directory (AD), el servicio de gestión de identidades que utiliza el 90% de las empresas. Como señaló Mickey Bresman, CEO de Semperis, en "Rethinking Active Directory security", una vez que un atacante obtiene acceso a Active Directory, los recursos de cualquier parte del entorno lógico son vulnerables. Si el ataque infecta los controladores de dominio (DC) de una empresa, se necesitan medidas adicionales para volver a poner en línea Active Directory sin reintroducir el malware.
Como explica el arquitecto jefe de Semperis, Gil Kirkpatrick, en "Quéhacer y qué no hacer en la recuperación de AD", la proliferación de ataques de ransomware aumenta la probabilidad de que los equipos de TI tengan que llevar a cabo una recuperación completa del bosque de Active Directory, lo que puede suponer todo un reto. El éxito de la recuperación depende de que el equipo comprenda todos los sistemas y servicios que utilizan AD en su entorno.
Mantener algunas copias de seguridad fuera de línea forma parte de esa ecuación: En el ataque NotPetya de Maersk, la recuperación solo fue posible porque un corte de energía desconectó un controlador de dominio durante el ataque, dejando un punto de partida intacto desde el que empezar a reconstruir. Para asegurarse de que tiene copias de seguridad para salvar el día en caso de un ataque de ransomware, Kilpatrick aconseja guardar copias de seguridad en un servidor no unido a un dominio o copiar imágenes de copia de seguridad en Azure o AWS blob storage.
Recursos para reforzar su plan de recuperación de Active Directory
¿Aún no está seguro de si su plan de recuperación de ransomware es a prueba de balas? Además de seguir las directrices de CISA, investigue estos recursos para asegurarse de que su empresa puede recuperarse de un ataque que utilice AD como punto de entrada, un escenario demasiado frecuente:
- Seminario web: The Dos and Don'ts of Recovering Active Directory from a Scorched Earth Disaster, presentado por Gil Kirkpatrick (Arquitecto Jefe de Semperis) y Guido Grillenmeier (Tecnólogo Jefe de Semperis).
- Informe: Recuperar Active Directory de los desastres cibernéticos
- Seminario web: A Cyber-First Approach to Disaster Recovery, presentado por Darren Mar-Elia (Vicepresidente de Producto de Semperis) y John Pescatore (Director, Tendencias de Seguridad Emergentes, SANS Institute).