Manter a continuidade dos negócios durante e após um ataque cibernético tornou-se um dos principais objetivos estratégicos, não apenas para a segurança cibernética da empresa, mas também para a TI e a liderança dos negócios. A Deteção e Resposta a Ameaças de Identidade (ITDR) eficaz, incluindo um plano documentado de backup e recuperação do Active Directory, é crucial para uma forte resiliência operacional.
A infraestrutura de identidade - Active Directory para a maioria das organizações, muitas vezes em combinação com Entra ID, Okta ou outro serviço de diretório baseado em nuvem - desempenha um papel fundamental no acesso e na autenticação. Resumindo: se o Active Directory estiver inoperante, sua empresa também estará. Saiba por que um plano de backup e recuperação do Active Directory é vital para a resiliência cibernética e comercial e como tirar o máximo proveito do backup do Active Directory.
Veja o impacto de uma solução eficaz de backup e recuperação do Active Directory
Porque é que precisa de uma cópia de segurança do Active Directory?
Mais de duas décadas após a sua criação, o Active Directory continua a ser uma parte fundamental da infraestrutura de TI das empresas. Uma implementação do Active Directory consiste em:
- Domínios: Uma coleção de objectos, que representam recursos como utilizadores e dispositivos na rede
- Árvores: Um conjunto de domínios ligados por relações de confiança
- Florestas: Um grupo de árvores
- Controladores de domínio: Um servidor que executa os Serviços de Domínio do Active Directory (AD DS), que armazena informações sobre objectos, tais como nomes e palavras-passe, e permite que os utilizadores autorizados acedam a essas informações.
Se o Active Directory for comprometido, as organizações precisam se recuperar rapidamente. Dado o número de aplicações integradas com o AD numa empresa típica, a incapacidade de recuperar o Active Directory pode ser um evento catastrófico. O tempo de inatividade custa dinheiro e prejudica a reputação.
Nos anos anteriores, as principais ameaças ao Active Directory eram desastres naturais e erros operacionais. No entanto, atualmente, as empresas têm de enfrentar um cenário de ameaças que inclui grupos de ransomware e outros atacantes que visam o Active Directory:
- Aumentar os privilégios
- Manter a persistência
- Roubar ou comprometer dados
A recuperação rápida de um ataque cibernético depende de um backup do Active Directory sem malware. Mas muitas organizações não têm um plano específico para efetuar cópias de segurança e restaurar o AD para além dos seus outros sistemas.
Desafios da cópia de segurança do Active Directory
As APIs da Microsoft suportam dois tipos de cópia de segurança:
- Uma cópia de segurança do estado do sistema copia os ficheiros do sistema operativo e quaisquer funções que estejam instaladas no servidor.
- Uma recuperação bare metal (BMR) inclui uma recuperação do estado do sistema e quaisquer outros volumes ligados ao servidor.
Um backup do estado do sistema ou BMR do Active Directory precisa de ser instalado na mesma configuração de hardware em que o serviço foi executado antes do evento cibernético ofensivo. Ambos os tipos de cópia de segurança contêm um componente essencial do sistema operativo conhecido como camada de abstração de hardware (HAL). A HAL é a interface entre o sistema operativo e os controladores de hardware únicos necessários para trabalhar com a plataforma de hardware específica do servidor.
Por exemplo, uma tentativa de restaurar uma cópia de segurança do estado do sistema de uma máquina virtual VMware para uma máquina virtual Hyper-V irá falhar. Os controladores VMware restaurados não funcionarão numa infraestrutura de hipervisor Hyper-V.
As organizações também podem escolher entre cópias de segurança incrementais e completas. As cópias de segurança incrementais fazem cópias de segurança apenas das alterações efectuadas desde a última cópia de segurança completa.
Esta abordagem tem a vantagem de utilizar menos armazenamento, uma vez que se concentra apenas nas alterações efectuadas aos objectos. No entanto, os backups incrementais podem significar mais trabalho durante a recuperação. Por conseguinte, recomendamos que as organizações efectuem sempre cópias de segurança completas do Active Directory.
O maior ficheiro de uma cópia de segurança do Active Directory é o ficheiro da base de dados NTDS.DIT, que é marcado como alterado para cada cópia de segurança. A utilização de cópias de segurança incrementais torna a recuperação mais lenta porque tem de montar cada incremental em vez de montar apenas a cópia de segurança mais recente. Além disso, se qualquer backup incremental for perdido, as alterações também serão perdidas.
Por exemplo, suponha que precisa de recuperar o Active Directory na quinta-feira. Se efetuar cópias de segurança completas aos domingos e cópias de segurança incrementais em dias alternados, terá de efetuar uma recuperação completa do ambiente de domingo e, em seguida, montar cada incremental.
Muitas organizações escolhem a forma mais simples de proceder: utilizar a Cópia de Segurança do Windows Server. Uma vez instalada, pode ser configurada para efetuar cópias de segurança automaticamente, de acordo com uma agenda definida pelo utilizador. Alguns produtos de terceiros também têm uma funcionalidade de agendamento. Mas esta abordagem faz o backup do Active Directory como parte do backup do servidor.
Melhores práticas de backup do Active Directory
A capacidade de restaurar o Active Directory começa com o cumprimento das práticas recomendadas para o backup do Active Directory. Aqui estão algumas dicas para lidar com o processo.
Prática recomendada nº 1: Separe o backup do Active Directory dos backups do sistema operacional e dos dados
Se as cópias de segurança do controlador de domínio incluírem o estado do sistema, é muito provável que estas cópias de segurança contenham malware, uma vez que o tempo de vida útil das cópias de segurança do AD é curto e o tempo de permanência do malware é longo. Este é também um problema potencial com as cópias de segurança BMR que contêm ficheiros de arranque ou do SO.
As soluções de proteção de dados podem fazer o backup dos ficheiros e dados nos seus controladores de domínio. No entanto, a recuperação bem sucedida de uma floresta do Active Directory requer muito mais do que isso.
Prática recomendada n.º 2: Efetuar cópias de segurança de, pelo menos, dois controladores de domínio por domínio
O backup de dois controladores de domínio por domínio na sua floresta do Active Directory fornece redundância. Armazene as cópias de segurança do Active Directory de forma segura e offline, ou copie imagens de cópia de segurança para o armazenamento de blob do Azure ou AWS.
Prática recomendada nº 3: Não use pontos de verificação para fazer backup do Active Directory em uma máquina virtual
Não há nada de errado em colocar o Active Directory em máquinas virtuais num ambiente VMware ou Hyper-V. No entanto, evite a tentação de confiar em instantâneos do controlador de domínio para a recuperação do Active Directory, por várias razões:
- Uma floresta recuperada a partir de instantâneos irá provavelmente causar problemas com a consistência dos dados.
- Se o malware estiver presente num controlador de domínio quando o instantâneo é tirado, o malware será restaurado juntamente com o controlador de domínio. (Isto aplica-se a qualquer cópia de segurança).
Prática recomendada nº 4: Faça backup do Active Directory regularmente
Com que frequência deve efetuar cópias de segurança do Active Directory? A resposta depende do objetivo de ponto de recuperação (RPO) da sua organização. O RPO representa a quantidade de tempo que pode passar antes que a organização perca uma quantidade inaceitável de informações.
Por exemplo, suponha que o seu RPO é de 30 dias. Nesse caso, os dados de backup nunca devem ter mais de 30 dias. A maioria das organizações cria um backup do Active Directory a cada 24 horas.
Prática recomendada nº 5: Teste o backup do Active Directory
Não deixe a recuperação do Active Directory ao acaso. Certifique-se de que o seu plano de recuperação de desastres inclui testes regulares do processo de backup e recuperação do AD. (Isso é especialmente importante se você planeja recuperar o AD manualmente, o que é um processo complicado e demorado).
Como a Semperis pode ajudar a proteger os backups do AD
Os especialistas em ITDR da Semperis desenvolveram o Active Directory Forest Recovery ( ADFR) para permitir o backup e a recuperação rápidos e sem malware do Active Directory. O ADFR usa um processo patenteado para fazer o backup da floresta do Active Directory, removendo a ameaça de reinfeção por malware. Os analistas da Forrester informam que o ADFR também reduz os prazos de backup e recuperação em 90%.
Juntos, a redução no tempo necessário para fazer backup e recuperação do Active Directory e a eliminação da persistência de malware podem economizar para uma organização quase US$ 4 milhões em perdas de mão de obra e receita relacionadas a ataques. E para ambientes de identidade híbrida que mantêm o Active Directory e o Entra ID, a Semperis oferece a Recuperação de desastres para o Entra ID. O DRET faz o backup das políticas de acesso condicional do Entra ID e dos objetos de usuário, grupo e função para o armazenamento gerenciado seguro certificado SOC 2 (Tipo II), permitindo uma recuperação mais rápida de um ambiente híbrido do Active Directory.