Anche dopo oltre 20 anni di servizio, Active Directory (AD) rimane uno dei componenti più critici dell'infrastruttura IT di un'azienda. Per gli utenti è facile dare per scontata la sicurezza dell'AD quando funziona. Tuttavia, in caso di attacco, la sua criticità per le operazioni aziendali può diventare dolorosamente evidente.
Quando si verificano attacchi alla sicurezza, ogni secondo che passa prima che la minaccia sia contenuta e rimediata e che i sistemi siano ripristinati rappresenta un danno per l'azienda. Più lungo è il tempo di inattività, maggiore è l'interruzione delle operazioni. La velocità è importante, ma è altrettanto importante garantire che l'AD sia ripristinato con successo, così come assicurarsi che gli attori delle minacce siano stati eliminati e che non ci siano punti di ingresso per attacchi futuri.
Il primo passo per realizzare questo compito dopo un attacco è la creazione di un ambiente di ripristino isolato (IRE). Tuttavia, come per il resto del processo di ripristino, è necessario trovare un equilibrio tra velocità e sicurezza. È qui che le capacità di provisioning automatico del sistema operativo iniziano a brillare.
Lettura correlata
Eliminare il dolore dal processo
Sono ormai lontani i tempi in cui le preoccupazioni per le interruzioni dell'AD si concentravano su eventi come disastri naturali e problemi elettrici nel data center. Oggi le organizzazioni si trovano ad affrontare diversi scenari in cui può essere necessario ripristinare un'intera foresta. Può darsi che un attore minaccioso abbia apportato modifiche dannose allo schema di Active Directory. Forse tutti i controller di dominio (DC) sono stati danneggiati o danneggiati, rendendo i servizi non disponibili. Indipendentemente dal motivo, la conseguenza di questi eventi è un tempo di inattività che può estendersi da ore a giorni. Più lungo è il tempo di inattività, maggiore è il danno alle operazioni aziendali.
Chi ha affrontato il processo di ripristino sa bene che può essere molto manuale e noioso. Gli ambienti di grandi dimensioni possono richiedere diversi giorni per essere riportati alla piena funzionalità senza l'aiuto di strumenti di terze parti. L'automazione è vostra amica; recuperare l'AD senza di essa è come eseguire un intervento di chirurgia ricostruttiva senza strumenti chirurgici.
Sia all'indomani di un cyberattacco sia quando si tratta di un attacco in corso, un'organizzazione che esegue il ripristino completo della foresta AD dovrà impostare un IRE e gestire il provisioning del sistema operativo sulle macchine virtuali. L'IRE consente alle organizzazioni di iniziare il processo di ripristino in un ambiente inaccessibile agli aggressori. Questo aspetto è fondamentale: spesso gli aggressori rimangono in segreto in un ambiente di produzione per settimane prima di colpire. Se scoprono di essere stati individuati, potrebbero intraprendere azioni che potrebbero complicare il ripristino. In effetti, gli IRE consentono al team di risposta agli incidenti di testare le modifiche all'AD senza temere che i backup vengano infettati e quindi rilascino malware nell'ambiente di produzione.
La riproduzione di un ambiente di produzione può richiedere molto tempo e un provisioning efficace è indispensabile. Semperis ha sviluppato uno strumento autonomo basato su UI e PowerShell per preparare le macchine virtuali per il ripristino completo della foresta. Abbiamo aggiunto questo strumento, che attualmente supporta solo Hyper-V, alla nostra soluzione Active Directory Forest Recovery (ADFR). Offre diverse funzionalità, tra cui:
- Piena indipendenza del team AD
- La possibilità di creare nuove macchine virtuali che possono essere utilizzate per un nuovo DC (ripromosso), per un MS secondario ADFR e per un nuovo DP.
- Una vista dei metadati di backup, come l'elenco dei DC inclusi nel set di backup e lo stato di ciascun DC al momento del backup.
- Configurazione del provisioning che consente di selezionare un modello per sistema operativo Windows e di definire le impostazioni hardware e di rete predefinite da applicare ai DC nel backup.
- Consente di modificare le impostazioni (sovrascrivendo quelle predefinite) per i singoli DC prima di eseguire il provisioning del sistema operativo di un computer.
- Installazione automatica dell'agente ADFR
Semperis ADFR offre agli utenti la possibilità di ripristinare AD su qualsiasi hardware on-premises o nel cloud. Inoltre, semplifica il processo di creazione di una copia dei DC di produzione in un laboratorio virtuale, riducendo significativamente il tempo necessario per mantenere gli ambienti di sviluppo/test, staging, formazione e supporto. Per supportare ulteriormente la sicurezza, le funzionalità forensi post-recupero di ADFRconsentono alle aziende di determinare se un attacco era in corso quando è stato eseguito il backup dell'ambiente e di identificare eventuali modifiche apportate dagli attori delle minacce durante una finestra di attacco definita.
Impedire agli aggressori di mantenere la persistenza è uno degli aspetti più importanti del ripristino dell'AD e gli IRE forniscono luoghi sicuri e contenuti per testare le modifiche all'AD senza correre il rischio di compromettere ulteriormente le organizzazioni. Con il passare del tempo, ci sarà pressione per riportare l'AD online in modo rapido e sicuro e l'eliminazione di parte del tempo necessario per stabilire un IRE con il provisioning automatico del sistema operativo aiuterà in questi sforzi.
Ecco una rapida demo per mostrarvi i prossimi miglioramenti di ADFR OS Provisioning:
Avete domande o commenti? Saremo lieti di ascoltarvi. Contattateci all'indirizzo customersuccess@semperis.com.