Aunque todos los gestores o administradores de TI saben que un sólido plan de recuperación de Active Directory es un componente esencial de cualquier estrategia de continuidad del negocio, calcular el rendimiento práctico de la inversión (ROI) de un plan optimizado de recuperación de AD es notoriamente complicado. Hay demasiadas variables en juego como para generar un cálculo exacto y defendible. Y para establecer expectativas por adelantado: No voy a ofrecer aquí ningún tipo de calculadora interactiva del ROI.
En su lugar, quiero echar un vistazo a algunas formas prácticas de ver el rendimiento de su inversión para garantizar una recuperación adecuada de AD, lo que le permite hacer sus propios cálculos y llegar a sus propias conclusiones. Perder un controlador de dominio es un problema en sí mismo, pero veamos otro escenario cada vez más común que tiene consecuencias catastróficas: un ataque de ransomware que elimina todos los controladores de dominio de todos los sitios de la empresa. En esta situación, la recuperación de AD puede ser un reto muy complicado.
En el último año, hemos hablado de decenas de ataques de ransomware en los que los ciberdelincuentes modificaron AD de una forma u otra -mucho más allá de los cambios básicos en cuentas de usuario o contraseñas- para entrar en los sistemas de información y moverse lateralmente para propagar el malware. Los arquitectos del ransomware cuentan ahora con ingenieros en plantilla que diseccionan AD y sus actualizaciones de seguridad en busca de oportunidades para elevar los permisos y distribuir rápidamente el malware por toda la organización. Los análisis forenses posteriores a ataques anteriores de ransomware relacionados con AD han revelado que las amenazas se centran principalmente en los cambios en las cuentas de grupo, las cuentas de usuario, los objetos de directiva de grupo, el SYSVOL y los controladores de dominio.
Teniendo en cuenta estas tácticas de los ciberdelincuentes, considere los siguientes factores a la hora de calcular su propio ROI de recuperación de AD:
- Coste de las pérdidas operativas: Es probable que una parte importante de sus operaciones dependa de que AD esté en funcionamiento para autenticar a los usuarios como base para proporcionar acceso a aplicaciones, sistemas y datos. Por cada hora que AD no pueda funcionar, ¿cuántos ingresos o productividad perdería su empresa? ¿Cuántas horas, días o semanas pasarán antes de que la empresa llegue a un punto de no retorno y no pueda recuperarse económicamente? ¿Recuerda el ataque de ransomware a la ciudad de Baltimore? La recuperación de sus operaciones llevó meses y costó más de 18 millones de dólares.
- Falta de un plan de continuidad de negocio que incluya AD: Si su organización es lo suficientemente madura, tiene un plan de BC/DR en marcha que define el trabajo necesario para restaurar las operaciones de negocio después de una interrupción. La mayoría de los planes tienen en cuenta la pérdida de infraestructura o de una ubicación tras un desastre natural. Pero pocas empresas tienen un plan específico para restaurar el negocio tras un ciberataque, y especialmente uno tan impredecible como un ataque de ransomware. La forma de recuperar AD en un escenario como éste depende de los cambios que los ciberdelincuentes hayan realizado en AD. Es posible que planee recuperar AD a una versión anterior, pero ¿cómo determina cuánto tiempo atrás debe retroceder para encontrar una versión segura conocida? ¿Qué sistemas, servicios y aplicaciones dependientes de AD se verán afectados o no funcionarán en absoluto debido a una recuperación general a un estado anterior de AD? ¿Está seguro de poder encontrar una copia de seguridad reciente y sin malware a partir de la cual restaurar? Sin un plan o la capacidad de comprender qué cambió en AD antes de la recuperación, su organización gastará un tiempo incalculable en arreglar todos los problemas que causó la recuperación.
- La recuperación puede no ser la respuesta: Si todos los cambios realizados por los delincuentes durante un ataque se reducen a, digamos, añadir una cuenta al grupo de Administradores de Dominio, entonces recuperar AD a hace unos días o al mes pasado podría no ser la respuesta correcta. En su lugar, quizás el método menos costoso sea monitorizar los cambios en AD y tener la capacidad de no permitir cambios en cuentas "protegidas" (como el grupo de Administradores de Dominio) o revertir automáticamente un cambio a una configuración sancionada.
Las consideraciones anteriores se resumen en tres riesgos: el riesgo de una recuperación lenta, el riesgo de una recuperación que genere más trabajo de corrección y el riesgo de una recuperación que pueda considerarse excesiva para la naturaleza de los cambios realizados en AD.
Un enfoque diferente para calcular el ROI de la recuperación de EA
En lugar de buscar el ROI de la recuperación de AD utilizando alguna calculadora que haya encontrado en Internet, la mejor opción es trabajar con varios escenarios del mundo real y evaluar cómo le iría a su medio actual de recuperación de AD respondiendo a las siguientes preguntas basadas en los factores descritos anteriormente:
- ¿Qué partes críticas de la operación dependen de AD para funcionar? ¿Cuál es el coste estimado de su inactividad?
- ¿Cuánto tiempo se tardará en recuperar AD en función de los cambios realizados durante un ataque?
- ¿Dispone de visibilidad sobre los cambios maliciosos realizados en AD y, si no es así, desde cuándo tendrá que investigar y cuánto tiempo le llevará?
- ¿La recuperación afectará a otras partes de las operaciones que tendrás que arreglar y, en caso afirmativo, cuánto tiempo llevará? (Recuerda que algunas contraseñas de cuentas de usuario y de ordenador no coincidirán, lo que impedirá iniciar sesión en el dominio. Además, es posible que en las versiones anteriores falten cuentas, pertenencias a grupos, registros DNS, etc.)
- ¿Está seguro de que la recuperación le pondrá en un estado de seguridad conocido? Tenga cuidado con la diferencia entre reanudar las operaciones comerciales y recuperarlas: Si no dispone de una copia de seguridad limpia y libre de malware a partir de la cual realizar la recuperación, corre el riesgo de reintroducir las mismas vulnerabilidades que le dejaron expuesto al ataque en primer lugar.
En resumen, el ROI de la recuperación de AD tiene mucho más que ver con su capacidad actual para recuperarse a un estado conocido-productivo y conocido-seguro post-ataque que con una calculadora de ROI en línea que no tiene en cuenta las innumerables variables que intervienen en un ataque de ransomware. (Pero si quiere ver una calculadora de ROI en acción, eche un vistazo a esta calculadora de tiempo de inactividad AD de Itergy). Al analizar algunos escenarios y pensar específicamente en cuáles son sus capacidades de recuperación actuales, expondrá los costes que pueden eliminarse si dispone de una solución de recuperación de AD adecuada, una que esté diseñada para proteger, prevenir y recuperarse de cambios maliciosos en AD.
Historias breves sobre el terreno:
Semperis proporciona una recuperación ante desastres de primera clase para Active Directory. Algunos de los resultados que nuestros clientes han reportado después de implementar Semperis Active Directory Forest Recovery:
- La aerolínea israelí El Al desplegó Semperis ADFR y redujo el tiempo de recuperación completa del bosque AD de 24 a dos horas.
- Un minorista global con 2,2 millones de usuarios y 500 centros de distribución cambió a Semperis ADFR desde su solución existente y redujo el tiempo de recuperación de un bosque de AD de 6 días a 6 horas.
- Una empresa sanitaria con un DIT de 65 GB redujo el tiempo de recuperación del bosque AD de 1,5 días con su solución existente a menos de 4 horas con Semperis ADFR.
"Hemos protegido 3 bosques con ADFR. Nuestras restauraciones de prueba son fiables, y me siento seguro de que podríamos recuperar completamente nuestros bosques de AD en poco tiempo utilizando la opción Full Forest Recovery."
¿Desea obtener más información? Consulte los siguientes recursos de nuestro equipo de expertos en AD para obtener más información sobre cómo garantizar un plan completo de recuperación de AD.