Il mese scorso ho avuto modo di incontrare il mio amico di lunga data Guido Grillenmeier, attualmente Chief Technologist presso DXC Technology. Nel 2007-2008, Guido e io abbiamo lavorato insieme, sviluppando e tenendo i workshop sul disaster recovery "Active Directory Masters of Disaster" alla Directory Experts Conference. All'epoca era l'unico posto in cui i professionisti IT potevano fare esperienza pratica di ripristino di un'intera foresta Active Directory dal backup. Guido e io abbiamo parlato di come i moderni ransomware abbiano aumentato drasticamente il rischio di un crollo totale di Active Directory. Eppure, il processo effettivo di ripristino di Active Directory non è cambiato affatto in 15 anni.
All'epoca, le discussioni sul ripristino di Active Directory (AD) si concentravano sulla possibilità di interruzioni causate da eventi localizzati. I colpevoli più comuni in queste discussioni erano gli incendi, gli uragani e i problemi elettrici nel data center. Nella peggiore delle ipotesi, si trattava di un aggiornamento dello schema non riuscito che corrompeva i controller di dominio, cosa che accadeva raramente.
Oggi, tuttavia, il panorama delle minacce è cambiato. La prevalenza del ransomware significa che le aziende devono affrontare la possibilità concreta che un attore di minacce paralizzi l'intero ambiente IT - tutto, compreso l'AD. L'idea di dover ripristinare Active Directory da zero non è più teorica. Ora deve essere una parte fondamentale della pianificazione della risposta agli incidenti.
Lettura correlata
Fare - Sviluppare un piano di ripristino AD dettagliato
Quando si tratta di pianificare il ripristino, le organizzazioni di oggi devono essere preparate ad affrontare le interruzioni causate da una moltitudine di scenari: cancellazione accidentale di oggetti AD, controller di dominio guasti, modifica accidentale degli attributi AD e ripristino di una partizione o di un'intera foresta.
Il recupero dai primi scenari è relativamente semplice. Ad esempio, l'attivazione della funzione del cestino offre un modo pratico per ripristinare l'eliminazione accidentale di un oggetto. L'alterazione accidentale degli attributi può essere risolta identificando e sfruttando i backup che contengono le informazioni necessarie per riportare gli attributi alla normalità. Strumenti di terze parti possono anche consentire agli utenti di eseguire il rollback delle modifiche.
Gli scenari più difficili riguardano il ripristino di una partizione o di una foresta. Questa situazione richiede una pianificazione dettagliata che si estende alla conoscenza dei singoli comandi da eseguire su quale macchina. A causa della complessità dell'intero processo, questo livello di pianificazione è necessario. Nel periodo successivo a un attacco, la tensione sarà alta e meno si dovrà pensare al volo, meglio sarà.
L'attuazione dei piani di recupero può essere suddivisa in cinque fasi:
- Fase di pre-ricovero
- Foresta iniziale
- Pulire e verificare
- Scale-out
- Avvolte
La fase di pre-recupero è quella in cui si riunisce il team di ripristino, si implementa il piano di comunicazione aziendale, si inizia a collaborare con gli altri team con cui è necessario lavorare e si verificano i backup che si utilizzeranno per il ripristino, assicurandosi in particolare che i backup stessi non siano infetti. La fase di pre-recupero si conclude con lo spegnimento di tutti i controller di dominio dell'ambiente.
La fase successiva del ripristino consiste nel costruire la foresta iniziale dal backup. Questo comporta:
- Ripristino del primo controller di dominio (DC) del dominio dal backup.
- Rimozione della partizione del catalogo globale
- Regolazione del pool RID
- Assumere il ruolo di FSMO
- Pulizia dei metadati: riferimenti a controller di dominio non più esistenti.
- Ripristino delle credenziali e delle informazioni di fiducia
- Ripetere questi passaggi per gli altri domini della foresta.
- Questa fase termina quando si ricrea la partizione del catalogo globale sui DC appropriati e la replica, l'autenticazione e i criteri di gruppo funzionano correttamente in tutta la foresta.
Una volta che ci sono abbastanza DC, gli altri team di recupero possono iniziare a riportare le applicazioni online.
Affinché un piano di ripristino di AD sia efficace, le organizzazioni devono comprendere le dipendenze dei diversi sistemi e servizi che sfruttano AD nel loro ambiente. Conoscere queste informazioni è fondamentale per determinare la sequenza di ripristino delle varie applicazioni. Ogni computer o applicazione che si unisce a un dominio AD deve essere tenuto in considerazione durante questo processo. Qualsiasi errore può causare l'interruzione dei servizi e rallentare il ritmo del ripristino.
Come qualsiasi altro piano di risposta agli incidenti, questo deve essere praticato periodicamente. I responsabili IT dovrebbero creare un ambiente di prova su host virtuali e tentare di ripristinare le foreste AD dai backup. La familiarità con il piano di ripristino aumenta le possibilità di implementazione in caso di incidente reale.
Non dimenticate di occuparvi delle cose fondamentali
Bloccare gli attacchi è molto meglio che recuperarli dopo che l'ambiente è stato colpito. L'adozione delle migliori pratiche di sicurezza rende più difficile per il malware sfruttare i sistemi vulnerabili e migrare su un altro computer. La principale di queste pratiche è una buona gestione delle patch. Un ritardo nell'applicazione delle patch mina anche la più complessa pianificazione della sicurezza. Molte varianti di ransomware sfruttano le vulnerabilità per farsi strada nell'azienda. Nella lotta contro il ransomware, è indispensabile mantenere i sistemi aggiornati con le patch di sicurezza. Quando le organizzazioni hanno individuato WannaCry nel maggio 2017, hanno scoperto che sfruttava una vulnerabilità che Microsoft aveva già patchato all'inizio dell'anno. Le organizzazioni che tardano ad applicare le patch o utilizzano sistemi non supportati rischiano di lasciare una porta aperta agli aggressori. Una volta entrati, l'AD diventerà quasi certamente un obiettivo.
Il prossimo punto dell'elenco delle best practice dovrebbe essere l'applicazione del principio del minimo privilegio. Concedere agli utenti l'accesso come amministratore ai loro dispositivi aiuta gli hacker criminali a superare un ostacolo critico. L'elevazione dei privilegi è un passo cruciale verso l'espansione della posizione degli aggressori nell'ambiente compromesso, rendendo l'AD un obiettivo interessante. Seguire le best practice per la protezione di AD, come il monitoraggio continuo, l'implementazione di un modello di livello amministrativo e la gestione dei DC AD come core server, riduce la superficie di attacco e il rischio.
Conservare alcuni backup offline
Se un attacco ransomware ha successo, qualsiasi sistema connesso alla rete è suscettibile di essere crittografato. Nel caso dell'attacco a Maersk, l'azienda è riuscita a recuperare l'AD essenzialmente grazie alla fortuna: un'interruzione di corrente aveva messo offline un controller di dominio al momento dell'attacco, lasciando un unico controller di dominio disponibile per il recupero. Sono passate circa due settimane prima che l'azienda fosse in grado di riemettere i personal computer alla maggior parte del personale.
Se i backup vengono salvati su un server non unito al dominio, questo rappresenta un punto di partenza sicuro per il ripristino di AD. Le aziende dovrebbero ritagliare una parte della loro Storage Area Network (SAN) e copiarvi i backup in modo sicuro e offline. Un'altra strategia consiste nell'utilizzare strumenti di terze parti per copiare le immagini di backup nello storage blob di Azure o AWS. Mantenere i backup offline elimina la fortuna dall'equazione, garantendo la presenza di una copia non compromessa di Active Directory per aiutare l'azienda a ridurre i tempi di ripristino.
Non date per scontato che la cyber-assicurazione vi salverà
Il tempo, dopo tutto, è denaro e ogni momento di inattività ha un prezzo. I costi delle opportunità perse dai clienti e della riparazione degli incidenti non diminuiscono, rendendo la cyber-assicurazione un must per le aziende. Tuttavia, mentre il costo dei premi di assicurazione informatica aumenta, la possibilità che le compagnie assicurative non coprano le perdite è reale. Ad esempio, Mondelez International ha citato in giudizio Zurich Insurance dopo che quest'ultima si era rifiutata di pagare una richiesta di risarcimento di 100 milioni di dollari presentata da Mondelez dopo essere stata infettata da NotPetya. Zurich ha giustificato la decisione citando una clausola di "esclusione dalla guerra" e sostenendo che l'attacco fosse il risultato di una guerra informatica.
Assicuratevi che il management non si affidi alla prospettiva di una polizza assicurativa per salvarsi. Sebbene le polizze di assicurazione informatica forniscano un livello di protezione finanziaria, la vera protezione deriva da pratiche di sicurezza solide e da una pianificazione adeguata.
Ma aspettate, c'è di più
Guido e io abbiamo apprezzato così tanto questa discussione che abbiamo deciso di organizzare un webinar che approfondisce questi e molti altri "Dos" e "Don't" del disaster recovery di Active Directory. Lo trovate qui. Guardatelo e ditemi cosa ne pensate.
I tempi sono cambiati. Anche l'approccio aziendale al recupero degli AD deve cambiare.