Tout plan de récupération d'un ransomware doit inclure des sauvegardes régulières des fichiers et des données chiffrées avec des copies hors ligne, comme l'a récemment rappelé la Cybersecurity and Infrastructure Security Agency (CISA) dans le cadre de sa campagne visant à faire connaître ses conseils et ses ressources en matière de ransomware. Ces orientations comprennent des bonnes pratiques et des listes de contrôle pour aider les entreprises à formuler leurs plans de réponse aux cyberattaques.
Et si les sauvegardes sont essentielles à tout plan de reprise, elles ne sauveront pas une organisation si l'attaque malveillante compromet Active Directory (AD), le service de gestion des identités utilisé par 90 % des entreprises. Comme le souligne Mickey Bresman, PDG de Semperis, dans son article intitulé "Repenser la sécurité de l'Active Directory", dès qu'un pirate accède à l'Active Directory, toutes les ressources de l'environnement logique sont vulnérables. Si l'attaque infecte les contrôleurs de domaine (DC) d'une entreprise, des mesures supplémentaires sont nécessaires pour remettre Active Directory en ligne sans réintroduire le logiciel malveillant.
Comme l'explique Gil Kirkpatrick, architecte en chef de Semperis, dans "The Dos and Don'ts of AD Recovery", la prolifération des attaques de ransomware augmente la probabilité que les équipes informatiques doivent procéder à une restauration complète de la forêt Active Directory, ce qui peut s'avérer un scénario difficile. La réussite de la restauration dépend de la compréhension par l'équipe de tous les systèmes et services qui utilisent AD dans leur environnement.
Le maintien de certaines sauvegardes hors ligne fait partie de cette équation : Lors de l'attaque Maersk NotPetya, la récupération n'a été possible que parce qu'une panne de courant a mis hors ligne un contrôleur de domaine pendant l'attaque, laissant un point de départ non contaminé à partir duquel commencer la reconstruction. Pour s'assurer d'avoir des sauvegardes pour sauver la situation en cas d'attaque par ransomware, M. Kilpatrick conseille de sauvegarder les sauvegardes sur un serveur non relié à un domaine ou de copier les images de sauvegarde sur le stockage blob d'Azure ou d'AWS.
Ressources pour renforcer votre plan de reprise d'Active Directory
Vous n'êtes pas encore sûr que votre plan de reprise d'activité en cas de ransomware soit à l'épreuve des balles ? En plus de suivre les recommandations de la CISA, consultez les ressources suivantes pour vous assurer que votre entreprise peut se remettre d'une attaque qui utilise AD comme point d'entrée, un scénario bien trop fréquent :
- Webinaire: Les choses à faire et à ne pas faire pour récupérer Active Directory après un désastre, présenté par Gil Kirkpatrick (Architecte en chef de Semperis) et Guido Grillenmeier (Technologue en chef de Semperis).
- Rapport: Récupérer Active Directory en cas de cyber-catastrophe
- Webinaire: A Cyber-First Approach to Disaster Recovery, présenté par Darren Mar-Elia (Semperis VP of Product) et John Pescatore (Director, Emerging Security Trends, SANS Institute)