Qualquer plano de recuperação de ransomware tem de incluir cópias de segurança regulares de ficheiros e dados encriptados com cópias offline, tal como a Cybersecurity and Infrastructure Security Agency (CISA) recordou recentemente como parte da campanha da organização para aumentar a sensibilização para as suas orientações e recursos sobre ransomware. As orientações incluem as melhores práticas e listas de verificação para ajudar as empresas a formular os seus planos de resposta a ciberataques.
E, embora os backups sejam fundamentais para qualquer plano de recuperação, esses backups não salvarão uma organização se o ataque malicioso comprometer o Active Directory (AD), o serviço de gestão de identidades que 90% das empresas utilizam. Tal como o CEO da Semperis, Mickey Bresman, salientou em "Rethinking Active Directory security" (Repensar a segurança do Active Directory), quando um atacante obtém acesso ao Active Directory, os recursos em qualquer parte do ambiente lógico ficam vulneráveis. Se o ataque infectar os controladores de domínio (DCs) de uma empresa, são necessárias medidas adicionais para colocar o Active Directory novamente online sem reintroduzir o malware.
Tal como o arquitecto chefe da Semperis, Gil Kirkpatrick, discute em "The Dos and Don'ts of AD Recovery", a proliferação de ataques de ransomware aumenta a probabilidade de as equipas de TI terem de realizar uma recuperação completa da floresta do Active Directory, o que pode ser um cenário desafiante. Uma recuperação bem-sucedida depende de a equipa compreender todos os sistemas e serviços que utilizam o AD no seu ambiente.
Manter alguns backups offline faz parte dessa equação: No ataque do Maersk NotPetya, a recuperação só foi possível porque uma falha de energia acabou por colocar um controlador de domínio offline durante o ataque, deixando um ponto de partida não contaminado a partir do qual se pode começar a reconstruir. Para garantir que tem cópias de segurança para salvar o dia no caso de um ataque de ransomware, Kilpatrick aconselha a guardar as cópias de segurança num servidor não ligado ao domínio ou a copiar as imagens de cópia de segurança para o armazenamento de blob do Azure ou AWS.
Recursos para reforçar o seu plano de recuperação do Active Directory
Ainda não tem a certeza se o seu plano de recuperação de ransomware é à prova de bala? Para além de seguir as orientações da CISA, investigue estes recursos para garantir que a sua empresa consegue recuperar de um ataque que utiliza o AD como ponto de entrada - um cenário demasiado frequente:
- Webinar: O que fazer e o que não fazer para recuperar o Active Directory de um desastre de terra arrasada, apresentado por Gil Kirkpatrick (arquiteto-chefe da Semperis) e Guido Grillenmeier (tecnólogo-chefe da Semperis)
- Relatório: Recuperar o Active Directory de desastres cibernéticos
- Webinar: A Cyber-First Approach to Disaster Recovery, apresentado por Darren Mar-Elia (VP de Produto da Semperis) e John Pescatore (Director, Emerging Security Trends, SANS Institute)