Sean Deuby | Tecnologo principale

Sebbene ogni manager o amministratore IT sappia che un solido piano di ripristino di Active Directory è un componente essenziale di qualsiasi strategia di continuità aziendale, calcolare il ritorno pratico sull'investimento (ROI) di un piano di ripristino AD ottimizzato è notoriamente difficile. Sono troppe le variabili in gioco per generare un calcolo esatto e difendibile. E per definire le aspettative in anticipo: non offrirò qui alcun tipo di calcolatore interattivo del ROI.

Voglio invece illustrare alcuni modi pratici per vedere il ritorno sull'investimento effettuato per garantire un corretto ripristino dell'AD, consentendovi di fare i vostri calcoli e giungere alle vostre conclusioni. La perdita di un controller di dominio è già di per sé un problema, ma consideriamo un altro scenario sempre più comune che ha conseguenze catastrofiche: un attacco ransomware che mette fuori uso ogni controller di dominio in tutti i siti aziendali. In questa situazione, il ripristino di AD può essere una sfida all'ultimo sangue.

Nell'ultimo anno abbiamo parlato di decine di attacchi ransomware in cui i criminali informatici hanno modificato l'AD in un modo o nell'altro - ben oltre le modifiche di base agli account utente o alle password - per entrare nei sistemi informativi e spostarsi lateralmente per propagare il malware. Gli architetti del ransomware hanno ora a disposizione ingegneri che analizzano l'AD e i suoi aggiornamenti di sicurezza alla ricerca di opportunità per elevare le autorizzazioni e distribuire rapidamente il malware nell'intera organizzazione. Le analisi forensi post-attacco di precedenti attacchi ransomware che hanno coinvolto AD hanno rivelato che gli attori delle minacce si concentrano principalmente sulle modifiche agli account di gruppo, agli account utente, agli oggetti dei Criteri di gruppo, al SYSVOL e ai controller di dominio.

Tenendo conto di queste tattiche dei criminali informatici, considerate i seguenti fattori per calcolare il ROI del vostro recupero AD:

  • Costo delle perdite operative: È probabile che una parte sostanziale delle vostre operazioni si basi sul fatto che AD sia attivo e funzionante per autenticare gli utenti come base per fornire l'accesso ad applicazioni, sistemi e dati. Per ogni ora in cui l'AD non può funzionare, quante entrate o produttività perderebbe la vostra azienda? Quante ore, giorni o settimane ci vorrebbero prima che l'azienda superi il punto di non ritorno e non possa riprendersi finanziariamente? Ricordate l'attacco ransomware alla città di Baltimora? Il ripristino delle operazioni è durato mesi ed è costato oltre 18 milioni di dollari.
  • Mancanza di un piano di continuità operativa che includa l'AD: se la vostra organizzazione è abbastanza matura, avete già un piano di BC/DR che definisce il lavoro necessario per ripristinare le operazioni aziendali dopo un'interruzione. La maggior parte dei piani tiene conto della perdita dell'infrastruttura o della perdita di una sede dopo un disastro naturale. Ma poche aziende hanno un piano specifico per il ripristino dell'attività dopo un attacco informatico, soprattutto se imprevedibile come un attacco ransomware. Il modo in cui ripristinare l'AD in uno scenario come questo dipende dalle modifiche apportate dai criminali informatici all'interno dell'AD. Si potrebbe pensare di ripristinare l'AD a una versione precedente, ma come si fa a determinare quanto indietro bisogna andare per trovare una versione sicura conosciuta? Quali sistemi, servizi e applicazioni che dipendono dall'AD saranno interessati o non funzioneranno affatto a causa di un ampio ripristino di uno stato precedente dell'AD? Siete sicuri di poter trovare un backup recente e privo di malware da cui effettuare il ripristino? Senza un piano o senza la capacità di capire cosa è stato modificato nell'AD prima del ripristino, la vostra organizzazione spenderà un tempo incalcolabile per risolvere tutti i problemi causati dal ripristino.
  • Il ripristino potrebbe non essere la risposta: Se tutte le modifiche apportate dai malintenzionati durante un attacco si riducono, ad esempio, all'aggiunta di un account al gruppo Domain Admins, il ripristino dell'AD a qualche giorno fa o al mese scorso potrebbe non essere la risposta giusta. Il metodo meno costoso è invece quello di monitorare le modifiche in AD e avere la possibilità di non consentire le modifiche agli account "protetti" (come il gruppo degli amministratori di dominio) o di ripristinare automaticamente una modifica a una configurazione autorizzata.

Le considerazioni di cui sopra si riassumono in tre rischi: il rischio di un ripristino lento, il rischio di un ripristino che crea più lavoro di bonifica e il rischio di un ripristino che potrebbe essere considerato eccessivo per la natura delle modifiche apportate all'AD.

Un approccio diverso per calcolare il ROI del recupero AD

Invece di esaminare il ROI del ripristino dell'AD utilizzando una calcolatrice trovata online, la scelta migliore è quella di lavorare su diversi scenari reali e valutare come si comporterebbe il vostro attuale mezzo di ripristino dell'AD rispondendo alle seguenti domande in base ai fattori sopra descritti:

  • Quali parti critiche dell'operazione dipendono dall'AD per funzionare? Qual è il costo stimato dei loro tempi di inattività?
  • Quanto tempo ci vorrà per recuperare l'AD in base alle modifiche apportate durante un attacco?
  • Avete visibilità su quali modifiche dannose sono state apportate in AD e, in caso contrario, quanto indietro dovrete indagare e quanto tempo vi ci vorrà?
  • Il ripristino avrà un impatto su altre parti delle operazioni che sarà necessario correggere e, in caso affermativo, quanto tempo richiederà? (Ricordate che un certo numero di password di account utente e computer non corrisponderanno, impedendo la possibilità di accedere al dominio. Inoltre, nelle versioni precedenti potrebbero mancare account, appartenenze a gruppi, record DNS e così via).
  • Siete sicuri che il ripristino vi porterà in uno stato di sicurezza conosciuto? Fate attenzione alla differenza tra la ripresa delle operazioni aziendali e il ripristino delle operazioni aziendali: Se non disponete di un backup pulito e privo di malware da cui effettuare il ripristino, correte il rischio di reintrodurre le stesse vulnerabilità che vi hanno esposto agli attacchi.

In breve, il ROI del ripristino dell'AD ha molto più a che fare con la vostra attuale capacità di ripristinare uno stato post-attacco noto e produttivo che con un calcolatore di ROI online che non tiene conto della miriade di variabili coinvolte in un attacco ransomware. (Ma se volete vedere un calcolatore di ROI in azione, date un'occhiata a questo calcolatore di downtime AD di Itergy). Esaminando alcuni scenari e riflettendo in modo specifico sulle vostre attuali capacità di ripristino, scoprirete i costi che possono essere eliminati con una soluzione di ripristino AD adeguata, progettata per proteggere, prevenire e ripristinare le modifiche dannose all'AD.


Storie veloci dal campo:

Semperis offre un disaster recovery cyber-first di altissimo livello per Active Directory. Alcuni dei risultati ottenuti dai nostri clienti dopo l'implementazione di Semperis Active Directory Forest Recovery:

  • La compagnia aerea israeliana El Al ha utilizzato Semperis ADFR e ha ridotto il tempo di ripristino completo della foresta AD da 24 ore a due ore.
  • Un rivenditore globale con 2,2 milioni di utenti e 500 DC è passato a Semperis ADFR dalla soluzione esistente e ha ridotto il tempo di ripristino di una foresta AD da 6 giorni a 6 ore.
  • Un'azienda sanitaria con un DIT da 65 GB ha ridotto il tempo di ripristino della foresta AD da 1,5 giorni con la soluzione esistente a meno di 4 ore con Semperis ADFR.

"Abbiamo protetto 3 foreste con ADFR. I nostri ripristini di prova sono affidabili e sono certo che potremo ripristinare completamente le nostre foreste AD in breve tempo utilizzando l'opzione Full Forest Recovery".

Vedi la recensione completa su Gartner Peer Insights

Volete saperne di più? Consultate le seguenti risorse del nostro team di esperti di AD per ulteriori informazioni su come garantire un piano di ripristino AD completo.