Qualsiasi piano di recupero da ransomware deve includere backup regolari dei file e dei dati crittografati con copie offline, come ha recentemente ricordato la Cybersecurity and Infrastructure Security Agency (CISA) nell'ambito della campagna di sensibilizzazione dell'organizzazione sulle sue linee guida e risorse per il ransomware. La guida include best practice e liste di controllo per aiutare le aziende a formulare i loro piani di risposta ai cyberattacchi.
Sebbene i backup siano fondamentali per qualsiasi piano di ripristino, questi non salveranno un'organizzazione se l'attacco dannoso compromette Active Directory (AD), il servizio di gestione delle identità utilizzato dal 90% delle aziende. Come ha sottolineato Mickey Bresman, CEO di Semperis, in "Ripensare la sicurezza di Active Directory", una volta che un attaccante ottiene l'accesso ad Active Directory, le risorse all'interno dell'ambiente logico sono vulnerabili. Se l'attacco infetta i controller di dominio (DC) di un'azienda, sono necessarie misure aggiuntive per riportare Active Directory online senza reintrodurre il malware.
Come spiega Gil Kirkpatrick, Chief Architect di Semperis, in "The Dos and Don'ts of AD Recovery", la proliferazione degli attacchi ransomware aumenta la probabilità che i team IT debbano condurre un ripristino completo della foresta di Active Directory, che può essere uno scenario difficile. Il successo del ripristino dipende dalla comprensione di tutti i sistemi e servizi che utilizzano AD nel loro ambiente.
Mantenere alcuni backup offline fa parte di questa equazione: Nell'attacco Maersk NotPetya, il recupero è stato possibile solo perché un'interruzione di corrente ha messo offline un controller di dominio durante l'attacco, lasciando un punto di partenza non contaminato da cui iniziare la ricostruzione. Per assicurarsi di avere backup in grado di salvare la situazione in caso di attacco ransomware, Kilpatrick consiglia di salvare i backup su un server non unito al dominio o di copiare le immagini di backup su Azure o AWS blob storage.
Risorse per rafforzare il piano di ripristino di Active Directory
Non siete ancora sicuri che il vostro piano di recupero da ransomware sia a prova di bomba? Oltre a seguire la guida CISA, analizzate queste risorse per garantire che la vostra azienda sia in grado di riprendersi da un attacco che utilizza l'AD come punto di accesso, uno scenario fin troppo frequente:
- Webinar: Le cose da fare e da non fare per recuperare Active Directory da un disastro di terra bruciata, presentato da Gil Kirkpatrick (Chief Architect di Semperis) e Guido Grillenmeier (Chief Technologist di Semperis).
- Rapporto: Recupero di Active Directory dai disastri informatici
- Webinar: A Cyber-First Approach to Disaster Recovery, presentato da Darren Mar-Elia (vicepresidente di prodotto di Semperis) e John Pescatore (direttore di Emerging Security Trends, SANS Institute).