El mes pasado pude ponerme al día con mi viejo amigo Guido Grillenmeier, que actualmente es tecnólogo jefe en DXC Technology. En 2007-2008, Guido y yo trabajamos juntos, desarrollando e impartiendo los talleres de recuperación de desastres "Active Directory Masters of Disaster" en la Directory Experts Conference. Por aquel entonces, era el único lugar en el que los profesionales de TI podían adquirir experiencia práctica en la recuperación de un bosque completo de Active Directory a partir de una copia de seguridad. Guido y yo hablamos de cómo el ransomware moderno ha aumentado drásticamente el riesgo de un colapso total de Active Directory. Sin embargo, el proceso real de recuperación de Active Directory no ha cambiado en absoluto en 15 años.
En aquella época, los debates sobre la recuperación de Active Directory (AD) se centraban en la posibilidad de que se produjeran interrupciones causadas por eventos localizados. Los culpables más comunes en estas discusiones eran incendios, huracanes y problemas eléctricos en el centro de datos. En el peor de los casos, se trataba de una actualización fallida del esquema que corrompía los controladores de dominio, algo que rara vez ocurría.
Hoy, sin embargo, el panorama de las amenazas ha cambiado. La prevalencia del ransomware significa que las empresas deben enfrentarse a la posibilidad real de que un actor de amenazas paralice todo su entorno de TI, todo, incluido Active Directory. La idea de tener que recuperar Active Directory desde cero ya no es teórica. Ahora debe ser una parte crítica de la planificación de respuesta a incidentes.
Lecturas relacionadas
Elaborar un plan detallado de recuperación de AD
Cuando se trata de la planificación de la recuperación, las organizaciones de hoy en día necesitan estar preparadas para las interrupciones causadas por una multitud de escenarios: eliminación accidental de objetos AD, controladores de dominio rotos, cambio accidental de atributos AD y la recuperación de una partición o un bosque entero.
Recuperarse de los primeros de estos escenarios es relativamente fácil. Por ejemplo, activar la función de papelera de reciclaje ofrece una forma práctica de recuperarse de la eliminación accidental de objetos. La alteración accidental de atributos puede resolverse identificando y aprovechando las copias de seguridad que contienen la información necesaria para restablecer los atributos a la normalidad. Las herramientas de terceros también pueden permitir a los usuarios revertir cualquier cambio.
Los escenarios más desafiantes implican la recuperación de una partición o bosque. Hacer frente a esta situación requiere una planificación detallada que se extiende a saber qué comandos individuales se ejecutarán en qué máquina. Debido a la complejidad de todo el proceso, este nivel de detalle en la planificación es necesario. Tras un ataque, la tensión será alta, y cuanto menos haya que pensar sobre la marcha, mejor.
La aplicación de los planes de recuperación puede dividirse en cinco fases:
- Fase previa a la recuperación
- Bosque inicial
- Limpiar y verificar
- Ampliación
- Conclusión
En la fase previa a la recuperación se reúne al equipo de recuperación, se pone en marcha el plan de comunicación corporativo, se empieza a colaborar con los demás equipos con los que hay que trabajar y se verifican las copias de seguridad que se van a utilizar para la recuperación y, sobre todo, se comprueba que las propias copias de seguridad no estén infectadas. La fase previa a la recuperación termina con el apagado de todos los controladores de dominio del entorno.
La siguiente fase de la recuperación consiste en construir el bosque inicial a partir de la copia de seguridad. Esto implica:
- Restauración del primer controlador de dominio (DC) del dominio a partir de la copia de seguridad.
- Eliminación de la partición del Catálogo Global
- Ajustar el conjunto de RID
- Aprovechar las funciones de la FSMO
- Limpieza de los metadatos: referencias a controladores de dominio que ya no existen.
- Restablecer credenciales e información de confianza
- Repita estos pasos para los demás dominios del bosque
- Esta fase finaliza cuando se vuelve a crear la partición del catálogo global en los DC adecuados y la replicación, autenticación y política de grupo funcionan correctamente en todo el bosque.
Una vez que haya suficientes DC, los demás equipos de recuperación podrán empezar a volver a poner en línea las aplicaciones.
Para que un plan de recuperación de AD sea eficaz, las organizaciones deben comprender las dependencias de los distintos sistemas y servicios que aprovechan AD en su entorno. Conocer esta información es crucial para determinar cómo secuenciar la recuperación de las distintas aplicaciones. Cada ordenador o aplicación que se una a un dominio AD debe tenerse en cuenta durante este proceso. Cualquier error puede hacer que los servicios fallen y ralentizar el ritmo de la recuperación.
Como cualquier otro plan de respuesta a incidentes, esto debe practicarse periódicamente. Los responsables de TI deberían crear un entorno de prueba en hosts virtuales e intentar recuperar los bosques de AD a partir de copias de seguridad. Sentirse cómodo con el plan de recuperación aumenta las probabilidades de que se aplique sin problemas en caso de que se produzca un incidente real.
No se olvide de lo básico
Detener los ataques es mucho mejor que recuperarse de ellos después de que su entorno haya sido atacado. Adoptar las mejores prácticas de seguridad hace más difícil que el malware explote los sistemas vulnerables y migre a otra máquina. La principal de estas prácticas es una buena gestión de los parches. Atrasarse en la aplicación de parches socava incluso la planificación de seguridad más intrincada. Muchas variantes de ransomware aprovechan las vulnerabilidades para abrirse camino a través de la empresa. En la lucha contra el ransomware, es imprescindible mantener los sistemas actualizados con los parches de seguridad. Cuando las organizaciones detectaron WannaCry en mayo de 2017, descubrieron que explotaba una vulnerabilidad que Microsoft ya había parcheado a principios de año. Las organizaciones que tardan en aplicar los parches o utilizan sistemas no compatibles corren el riesgo de dejar una puerta abierta a los atacantes. Una vez dentro, es casi seguro que AD se convertirá en un objetivo.
Lo siguiente en la lista de mejores prácticas debería ser aplicar el principio del menor privilegio. Dar a los usuarios acceso de administrador en sus dispositivos ayuda a los hackers criminales a superar un obstáculo crítico. Elevar los privilegios es un paso crucial para ampliar el punto de apoyo de los atacantes en el entorno comprometido, lo que convierte a AD en un objetivo atractivo. Seguir las mejores prácticas para proteger AD, como la supervisión continua, la implementación de un modelo de niveles administrativos y el funcionamiento de los DC de AD como un núcleo de servidores, reduce la superficie de ataque y disminuye el riesgo.
Mantenga algunas de sus copias de seguridad fuera de línea
Si un ataque de ransomware tiene éxito, cualquier sistema conectado a la red es susceptible de ser cifrado. En el caso del ataque a Maersk, al parecer pudieron recuperar su AD esencialmente gracias a la suerte: un corte de electricidad había desconectado un controlador de dominio en el momento del ataque, dejando un único controlador de dominio disponible para que la empresa se recuperara. Pasaron unas dos semanas antes de que la empresa pudiera volver a distribuir ordenadores personales a la mayor parte de la plantilla.
Si las copias de seguridad se guardan en un servidor no unido a un dominio, ofrece un lugar seguro para comenzar la recuperación de AD. Las empresas deberían separar una parte de su red de área de almacenamiento (SAN) y copiar allí sus copias de seguridad de forma segura y sin conexión. Otra estrategia consiste en utilizar herramientas de terceros para copiar las imágenes de las copias de seguridad en el almacenamiento blob de Azure o AWS. Mantener las copias de seguridad fuera de línea elimina la suerte de la ecuación al garantizar que una copia no afectada de Active Directory está ahí para ayudar a la empresa a reducir el tiempo de recuperación.
No dé por sentado que el ciberseguro le salvará
Al fin y al cabo, el tiempo es dinero, y cada momento de inactividad de la empresa tiene un precio. Los costes de las oportunidades de clientes perdidas y la reparación de incidentes no disminuyen, lo que hace que el ciberseguro sea imprescindible para las empresas. Sin embargo, mientras aumenta el coste de las primas de los ciberseguros, la posibilidad de que las compañías de seguros no cubran las pérdidas es real. Por ejemplo, Mondelez International demandó a Zurich Insurance después de que esta se negara a pagar una reclamación de 100 millones de dólares presentada por Mondelez tras infectarse con NotPetya. Zurich justificó su decisión citando una cláusula de "exclusión de guerra" y alegando que el ataque era resultado de una guerra cibernética.
Asegúrese de que la dirección no confía en que la perspectiva de una póliza de seguros les salve. Aunque las pólizas de ciberseguro proporcionan un nivel de protección financiera, la verdadera protección proviene de unas prácticas de seguridad sólidas y de una planificación adecuada.
Pero espere, hay más
Guido y yo disfrutamos tanto de esta discusión que decidimos organizar un seminario web que entra en detalle en estos y muchos otros Dos y Don'ts de recuperación de desastres de Active Directory. Puede encontrarlo aquí. Véalo y dígame lo que piensa.
Los tiempos han cambiado. Los enfoques empresariales de la recuperación de AD también tienen que cambiar.