Gil Kirkpatrick

Le mois dernier, j'ai pu retrouver mon ami de longue date Guido Grillenmeier, qui est actuellement technologue en chef chez DXC Technology. En 2007-2008, Guido et moi avons travaillé ensemble à l'élaboration et à l'organisation des ateliers de reprise après sinistre "Active Directory Masters of Disaster" lors de la conférence Directory Experts. À l'époque, c'était le seul endroit où les professionnels de l'informatique pouvaient acquérir une expérience pratique de la récupération d'une forêt Active Directory entière à partir d'une sauvegarde. Guido et moi avons parlé de la façon dont les ransomwares modernes ont considérablement augmenté le risque d'un effondrement total d'Active Directory. Pourtant, le processus de récupération d'Active Directory n'a pas changé en 15 ans.

À l'époque, les discussions sur la récupération d'Active Directory (AD) se concentraient sur la possibilité de pannes causées par des événements localisés. Les coupables les plus fréquents étaient les incendies, les ouragans et les problèmes électriques dans le centre de données. Dans le pire des cas, il s'agissait d'une mise à jour de schéma ratée qui corrompait les contrôleurs de domaine, ce qui arrivait rarement.

Aujourd'hui, cependant, le paysage des menaces a changé. La prévalence des ransomwares signifie que les entreprises doivent faire face à la possibilité réelle qu'un acteur de la menace paralyse l'ensemble de leur environnement informatique - tout, y compris AD. L'idée de devoir restaurer Active Directory à partir de zéro n'est plus théorique. Elle doit désormais faire partie intégrante de la planification de la réponse aux incidents.

Lecture associée

À faire - Élaborer un plan de reprise d'activité détaillé

Lorsqu'il s'agit de planifier la reprise, les organisations d'aujourd'hui doivent être préparées à des perturbations causées par une multitude de scénarios : suppression accidentelle d'objets AD, contrôleurs de domaine en panne, modification accidentelle d'attributs AD et reprise d'une partition ou d'une forêt entière.

La récupération des premiers scénarios est relativement facile. Par exemple, l'activation de la fonction de corbeille offre un moyen pratique de récupérer un objet supprimé accidentellement. La modification accidentelle d'attributs peut être résolue en identifiant et en exploitant les sauvegardes qui contiennent les informations nécessaires pour rétablir les attributs à la normale. Des outils tiers peuvent également permettre aux utilisateurs de revenir en arrière en cas de modification.

Les scénarios les plus difficiles concernent la restauration d'une partition ou d'une forêt. La gestion de cette situation nécessite une planification détaillée qui va jusqu'à la connaissance des commandes individuelles qui seront exécutées sur chaque machine. En raison de la complexité de l'ensemble du processus, ce niveau de planification est nécessaire. À la suite d'une attaque, la tension sera élevée et moins il faudra réfléchir à la volée, mieux ce sera.

La mise en œuvre des plans de reprise peut être décomposée en cinq phases : 

  • Phase de pré-recouvrement 
  • Forêt initiale 
  • Nettoyer et vérifier 
  • Mise à l'échelle 
  • Récapitulation 

La phase de pré-récupération consiste à rassembler l'équipe de récupération, à mettre en œuvre le plan de communication de l'entreprise, à commencer à collaborer avec les autres équipes avec lesquelles vous devez travailler et à vérifier les sauvegardes que vous utiliserez pour la récupération, et en particulier à vous assurer que les sauvegardes elles-mêmes ne sont pas infectées. La phase de pré-reprise se termine par l'arrêt de tous les contrôleurs de domaine de l'environnement.

La phase suivante de la récupération consiste à construire la forêt initiale à partir de la sauvegarde. Cela implique 

  • Restauration du premier contrôleur de domaine (DC) du domaine à partir d'une sauvegarde.
  • Suppression de la partition Global Catalog
  • Adaptation du pool RID 
  • S'emparer des rôles du FSMO 
  • Nettoyage des métadonnées - références à des contrôleurs de domaine qui n'existent plus
  • Réinitialisation des informations d'identification et de confiance 
  • Répétez ces étapes pour les autres domaines de la forêt
  • Cette phase se termine lorsque vous recréez la partition du catalogue global sur les DC appropriés et que la réplication, l'authentification et la stratégie de groupe fonctionnent correctement dans l'ensemble de la forêt.

Une fois qu'il y a suffisamment de DC, les autres équipes de récupération peuvent commencer à remettre les applications en ligne.

Pour qu'un plan de reprise d'AD soit efficace, les organisations doivent comprendre les dépendances des différents systèmes et services utilisant AD dans leur environnement. La connaissance de ces informations est cruciale pour déterminer comment séquencer la reprise des différentes applications. Chaque ordinateur ou application relié à un domaine AD doit être pris en compte au cours de ce processus. Toute erreur peut entraîner une défaillance des services et ralentir le rythme de la reprise.

Comme tout autre plan de réponse aux incidents, il doit être mis en œuvre périodiquement. Les responsables informatiques devraient mettre en place un environnement de test sur des hôtes virtuels et tenter de récupérer les forêts AD à partir des sauvegardes. En se familiarisant avec le plan de reprise, on a plus de chances que la mise en œuvre se déroule sans problème en cas d'incident réel.

N'oubliez pas de gérer l'essentiel

Il est bien plus facile de stopper les attaques que de s'en remettre une fois que l'environnement a été touché. En adoptant les meilleures pratiques en matière de sécurité, il est plus difficile pour les logiciels malveillants d'exploiter les systèmes vulnérables et de migrer vers une autre machine. La principale de ces pratiques est une bonne gestion des correctifs. Un retard dans l'application des correctifs compromet même les plans de sécurité les plus complexes. De nombreuses variantes de ransomwares exploitent les vulnérabilités pour se frayer un chemin dans l'entreprise. Dans la lutte contre les ransomwares, il est indispensable de maintenir les systèmes à jour avec les correctifs de sécurité. Lorsque les organisations ont détecté WannaCry en mai 2017, elles ont découvert qu'il exploitait une vulnérabilité que Microsoft avait déjà corrigée plus tôt dans l'année. Les organisations qui tardent à appliquer les correctifs ou qui utilisent des systèmes non pris en charge risquent de laisser une porte ouverte aux attaquants. Une fois qu'ils sont à l'intérieur, l'AD deviendra presque certainement une cible.

L'application du principe du moindre privilège devrait figurer en deuxième position sur la liste des meilleures pratiques. En donnant aux utilisateurs un accès administrateur sur leurs appareils, les pirates franchissent un obstacle critique. L'élévation des privilèges est une étape cruciale qui permet aux attaquants d'étendre leur emprise sur l'environnement compromis, ce qui fait d'AD une cible attrayante. Le respect des meilleures pratiques de protection d'AD, telles que la surveillance continue, la mise en œuvre d'un modèle de niveau administratif et l'exploitation des DC AD en tant que noyau de serveur, réduit la surface d'attaque et diminue les risques.

A faire - Conserver certaines de vos sauvegardes hors ligne

Si une attaque par ransomware réussit, tout système connecté au réseau est susceptible d'être crypté. Dans le cas de l'attaque contre Maersk, l'entreprise aurait réussi à récupérer son AD essentiellement par chance : une panne d'électricité avait mis hors ligne un contrôleur de domaine au moment de l'attaque, laissant un seul contrôleur de domaine disponible pour l'entreprise. Environ deux semaines se sont écoulées avant que l'entreprise ne soit en mesure de distribuer à nouveau des ordinateurs personnels à la plupart de ses employés.

Si les sauvegardes sont enregistrées sur un serveur non rattaché à un domaine, elles constituent un point de départ sûr pour la restauration AD. Les entreprises devraient découper une partie de leur réseau de stockage (SAN) et y copier leurs sauvegardes en toute sécurité et hors ligne. Une autre stratégie consiste à utiliser des outils tiers pour copier les images de sauvegarde sur Azure ou AWS blob storage. Le fait de conserver les sauvegardes hors ligne élimine le facteur chance de l'équation en garantissant qu'une copie non affectée d'Active Directory est disponible pour aider l'entreprise à réduire le temps de reprise.

Ne présumez pas que la cyber-assurance vous sauvera

Le temps, après tout, c'est de l'argent, et chaque moment où l'entreprise est en panne a un prix. Les coûts liés aux opportunités manquées pour les clients et à la résolution des incidents ne diminuent pas, ce qui fait de la cyber-assurance une nécessité pour les entreprises. Cependant, alors que le coût des primes de cyber-assurance augmente, la possibilité que les compagnies d'assurance ne couvrent pas les pertes est réelle. Par exemple, Mondelez International a intenté un procès à Zurich Insurance après que celle-ci a refusé de payer une demande d'indemnisation de 100 millions de dollars déposée par Mondelez à la suite de l'infection par NotPetya. Zurich a justifié sa décision en citant une clause d'"exclusion de guerre" et en soutenant que l'attaque était le résultat d'une cyberguerre.

Assurez-vous que la direction ne compte pas sur la perspective d'une police d'assurance pour la sauver. Si les polices de cyber-assurance offrent un certain niveau de protection financière, la véritable protection provient de pratiques de sécurité saines et d'une planification adéquate.

Mais attendez, ce n'est pas tout

Guido et moi avons tellement apprécié cette discussion que nous avons décidé d'organiser un webinaire qui aborde en détail ces questions et bien d'autres choses à faire et à ne pas faire dans le cadre de la reprise après sinistre d'Active Directory. Vous pouvez le trouver ici. Regardez-le et dites-moi ce que vous en pensez.

Les temps ont changé. Les approches des entreprises en matière de récupération des données doivent également changer.