Cuando llega una tormenta, el que está más preparado es el que mejor la capea. En el caso de TI, esta tormenta es digital, una avalancha de ciberataques que toca habitualmente las costas de Microsoft Active Directory (AD).
AD es un objetivo jugoso, y todos sabemos por qué. Es la clave para que un atacante eleve privilegios, y el impacto de una interrupción puede ser catastrófico. En el pasado, la mayor amenaza para AD podría haber sido un desastre natural o un error operativo. Hoy en día, es el creciente número de ciberataques rápidos, lo que presenta una pregunta crítica: ¿cómo están preparadas las organizaciones para recuperarse si sus controladores de dominio son infectados por ransomware o eliminados por completo?
Para averiguarlo, hemos encuestado a más de 350 profesionales de la seguridad informática, líderes de IAM y ejecutivos de nivel C. En nuestro estudio de 2020 "Recuperación de Active Directory de desastres cibernéticos descubrimos que, aunque las empresas son conscientes de los riesgos, sus procesos de recuperación van a la zaga. A pesar de que el 97% de las organizaciones encuestadas afirmaron que AD es una misión crítica, más de la mitad nunca pusieron a prueba su proceso de recuperación ante ciberdesastres de AD o no contaban con ningún plan.
Estos son nuestros principales hallazgos:
- Las empresas son conscientes de que una interrupción de AD tendría un impacto significativo en las operaciones. Casi todos los encuestados (97%) afirmaron que la AD es una misión crítica para la empresa, y el 84% dijo que una interrupción de la AD sería significativa, grave o catastrófica.
- Muchas organizaciones no confían en su capacidad para recuperar AD rápidamente. La mayoría de los encuestados (71%) se mostraban algo confiados, poco confiados o inseguros sobre su capacidad para recuperar AD en nuevos servidores en el momento oportuno. Sólo una pequeña parte (3%) dijo estar "extremadamente segura".
- La mayoría de las organizaciones no han puesto a prueba su plan de recuperación de AD. Los encuestados expresaron muchas preocupaciones sobre la recuperación de AD, siendo la falta de pruebas la preocupación número uno. Esto incluye a las organizaciones que no han probado la recuperación de AD en absoluto y las que lo han intentado pero han fracasado.
Encuesta respondientes rank "Falta de pruebas" como top concern feguido por "Falta de Plan de Recuperación"
Tan crítico como Activo Directorio para las empresas, éstas luchan por gestionarlo de forma segura al tiempo que adoptan la computación en nube y las plantillas remotas. La creciente complejidad de los entornos de TI ha aumentado la complejidad de la gestión de AD, y el efecto dominó de esta realidad afecta directamente a la respuesta ante incidentes. Sólo el 34% de los encuestados afirmó que su organización comprende la complejidad de la recuperación de bosques. Aunque esta cifra es baja, tampoco es sorprendente. En una extensa guía técnica, Microsoft enumera el proceso manual multihilo de 28 pasos necesario para realizar una recuperación forestal, y el proceso es en su mayor parte manual. Peor aún, no hay forma de saber si se ha cometido un error hasta el final, y entonces hay que volver a empezar.
Las pruebas son, naturalmente, una parte vital para evitar errores. Sin embargo, las organizaciones también fallan en este aspecto. Según la encuesta, el 33% -el grupo más numeroso- afirma tener un plan de recuperación ante ciberdesastres de AD, pero nunca lo ha puesto a prueba. El 21% no tiene ningún plan, y sólo 15% afirmó tener un plan y haberlo probado en los últimos seis meses. Sin una evaluación periódica, los procesos de recuperación pueden tener información desactualizada sobre la topología de AD, lo que puede dificultar los tiempos de recuperación en caso de incidente.
Es fácil entender por qué estos planes no se ponen a prueba. La recuperación de AD no suele ser un ejercicio sencillo, y la falta de automatización puede hacer que el proceso sea engorroso y dé lugar a errores.-error. Además, históricamente, tener que recuperar un despliegue de AD desde cero era poco probable. Sin embargo, teniendo en cuenta que los ciberataques infligen más daño y golpean con más frecuencia que los desastres naturales, es hora de pensar en "lo cibernético primero". ¿Su manual de recuperación ante desastres tiene en cuenta esta realidad?
Centrarse en la estrategia de seguridad y recuperación de AD
La buena noticia es que la mayoría de los encuestados son conscientes de lo importante que es Active Directory para su empresa. El 84% de los encuestados afirmaron que experimentarían un impacto significativo, grave o catastrófico si se produjera una interrupción de Active Directory. Por tanto, la primera prioridad debe ser hacer de AD un objetivo más difícil. Reduzca la superficie de ataque siguiendo las mejores prácticas, como la implantación de una supervisión continua, el aprovechamiento de un modelo de niveles administrativos y la aplicación inmediata de parches.
Cuando se trata de prepararse para un escenario que implica la recuperación de una partición o un bosque, los planes deben ser extremadamente detallados, hasta qué comandos individuales se ejecutarán en una máquina en particular. El estrés de enfrentarse a un ataque ya es bastante. En nuestra encuesta encuesta, la gran mayoría de los encuestados (69%) afirmaron estar cada vez más preocupados por el impacto que un ciberataque podría tener en su carrera profesional. Contar con planes detallados hará que las secuelas de un ataque sean menos estresantes al eliminando la incertidumbre y la necesidad de pensar sobre la marcha.
En el mismo modo, acostumbrarse al plan de recuperación mediante la práctica supone un enorme diferencia. Las organizaciones deberían crear un entorno de prueba en hosts virtuales e intentar recuperar bosques de AD a partir de copias de seguridad. Aumentar el nivel de comodidad con el plan de recuperación aumenta las posibilidades de que funcione sin problemas si alguna vez hay que utilizarlo.y todos dormiremos mejor por la noche.
Preparado o no, el panorama de las amenazas para AD evoluciona rápidamente. El enfoque en la protección de AD y la recuperación de ciberataques debe evolucionar con él. Para obtener una visión completa de los resultados de la encuesta, descargue el informe aquí.