Embora todos os gestores ou administradores de TI saibam que um plano de recuperação do Active Directory sólido é um componente essencial de qualquer estratégia de continuidade empresarial, calcular o retorno prático do investimento (ROI) de um plano de recuperação do AD optimizado é notoriamente complicado. Há demasiadas variáveis em jogo para gerar um cálculo defensável e exacto. E para definir expectativas antecipadamente: Não vou oferecer aqui nenhum tipo de calculadora de ROI interactiva.
Em vez disso, quero analisar algumas formas práticas de ver o retorno do seu investimento para garantir uma recuperação adequada do AD, permitindo-lhe fazer os seus próprios cálculos e chegar às suas próprias conclusões. A perda de um controlador de domínio é um problema em si, mas vejamos outro cenário cada vez mais comum que tem consequências catastróficas: um ataque de ransomware que elimina todos os controladores de domínio em todos os locais da empresa. Nessa situação, a recuperação do AD pode ser um desafio difícil e difícil de superar.
No último ano, falámos de vários ataques de ransomware em que os cibercriminosos modificaram o AD de uma forma ou de outra - muito para além das alterações básicas às contas de utilizador ou palavras-passe - para entrarem nos sistemas de informação e se moverem lateralmente para propagar malware. Os arquitectos de ransomware têm agora engenheiros na equipa que dissecam o AD e as suas actualizações de segurança à procura de oportunidades para aumentar as permissões e distribuir rapidamente o malware por toda a organização. A análise forense pós-ataque de ataques de ransomware anteriores envolvendo o AD revelou que os agentes de ameaças se concentram principalmente em alterações a contas de grupo, contas de utilizador, objectos de Política de Grupo, SYSVOL e controladores de domínio.
Com estas tácticas cibercriminosas em mente, considere os seguintes factores para calcular o seu próprio ROI de recuperação de AD:
- Custo das perdas operacionais: É provável que uma parte material das suas operações dependa do facto de o AD estar a funcionar para autenticar utilizadores como base para fornecer acesso a aplicações, sistemas e dados. Por cada hora em que o AD não pode funcionar, quanto rendimento ou produtividade perderia a sua empresa? Quantas horas, dias ou semanas seriam necessárias para que a empresa ultrapassasse um ponto de não retorno e não conseguisse recuperar financeiramente? Lembra-se do ataque de ransomware à cidade de Baltimore? A recuperação das operações demorou meses e custou mais de 18 milhões de dólares.
- Falta de um plano de continuidade do negócio que inclua o AD: Se a sua organização for suficientemente madura, tem um plano de BC/DR em vigor que define o trabalho necessário para restaurar as operações comerciais após uma falha. A maioria dos planos tem em conta a perda de infra-estruturas ou a perda de uma localização após uma catástrofe natural. Mas poucas empresas têm um plano específico para restabelecer a actividade após um ciberataque, especialmente um tão imprevisível como um ataque de ransomware. A forma como recupera o AD num cenário como este depende das alterações que os cibercriminosos fizeram no AD. Poderá planear recuperar o AD para uma versão anterior, mas como é que determina até que ponto é necessário recuar para encontrar uma versão segura conhecida? Que sistemas, serviços e aplicações dependentes do AD serão afectados ou deixarão de funcionar devido a uma recuperação generalizada para um estado anterior do AD? Tem a certeza de que consegue localizar uma cópia de segurança recente e sem malware para efectuar o restauro? Sem um plano ou a capacidade de compreender o que foi alterado no AD antes da recuperação, a sua organização gastará um tempo incalculável a resolver todos os problemas causados pela recuperação.
- A recuperação pode não ser a resposta: Se todas as alterações feitas pelos bandidos durante um ataque se resumirem a, digamos, adicionar uma conta ao grupo Admins do domínio, então recuperar o AD para alguns dias atrás ou para o mês passado pode não ser a resposta certa. Em vez disso, talvez o método menos dispendioso seja monitorizar as alterações no AD e ter a capacidade de não permitir alterações a contas "protegidas" (como o grupo Admins. do Domínio) ou de reverter automaticamente uma alteração para uma configuração sancionada.
As considerações acima resumem-se a três riscos: o risco de uma recuperação lenta, o risco de uma recuperação que crie mais trabalho de correcção e o risco de uma recuperação que possa ser considerada excessiva para a natureza das alterações efectuadas ao AD.
Uma abordagem diferente para calcular o ROI da recuperação de AD
Em vez de analisar o ROI da recuperação de AD utilizando uma calculadora que encontrou online, a melhor opção é trabalhar com vários cenários reais e avaliar o desempenho dos seus actuais meios de recuperação de AD, respondendo às seguintes perguntas com base nos factores acima descritos:
- Que partes críticas da operação dependem da AD para funcionar? Qual é o custo estimado do seu tempo de inactividade?
- Quanto tempo será necessário para recuperar o AD com base nas alterações efectuadas durante um ataque?
- Tem visibilidade sobre as alterações maliciosas efectuadas no AD e, se não tiver, até que ponto terá de investigar e quanto tempo demorará a fazê-lo?
- A recuperação terá impacto noutras partes das operações que terão de ser corrigidas e, em caso afirmativo, quanto tempo demorará? (Lembre-se de que um certo número de palavras-passe de contas de utilizador e de computador não corresponderá, impedindo a capacidade de iniciar sessão no domínio. Além disso, as versões anteriores podem não ter contas, associações a grupos, registos DNS, etc.)
- Está confiante de que a recuperação o colocará num estado de segurança conhecido? Tenha em atenção a diferença entre retomar as operações comerciais e recuperar as operações comerciais: Se não tiver uma cópia de segurança limpa e sem malware a partir da qual possa recuperar, corre o risco de reintroduzir as mesmas vulnerabilidades que o deixaram exposto a ataques.
Em suma, o ROI da recuperação do AD tem muito mais a ver com a sua capacidade actual de recuperar para um estado pós-ataque reconhecidamente produtivo e reconhecidamente seguro do que com uma calculadora de ROI online que não tem em conta as inúmeras variáveis envolvidas num ataque de ransomware. (Mas se quiser ver uma calculadora de ROI em acção, veja esta calculadora de tempo de inactividade de AD da Itergy). Ao analisar alguns cenários e pensar especificamente nas suas capacidades de recuperação actuais, irá expor os custos que podem ser eliminados se tiver uma solução de recuperação do AD adequada, concebida para proteger, prevenir e recuperar de alterações maliciosas ao AD.
Histórias rápidas do terreno:
A Semperis fornece a melhor recuperação de desastres cibernéticos para o Active Directory. Alguns dos resultados que nossos clientes relataram após a implantação do Semperis Active Directory Forest Recovery:
- A companhia aérea israelita El Al implementou o Semperis ADFR e reduziu o tempo de recuperação completa da floresta AD de 24 horas para duas horas.
- Um retalhista global com 2,2 milhões de utilizadores e 500 DCs mudou para o Semperis ADFR a partir da sua solução existente e reduziu o tempo de recuperação de uma floresta AD de 6 dias para 6 horas.
- Uma empresa de cuidados de saúde com um DIT de 65 GB reduziu o tempo de recuperação da floresta AD de 1,5 dias com a sua solução existente para menos de 4 horas com o Semperis ADFR.
"Protegemos 3 florestas com ADFR. Os nossos restauros de teste são fiáveis e sinto-me confiante de que poderíamos recuperar totalmente as nossas florestas AD num curto espaço de tempo utilizando a opção Full Forest Recovery."
Quer saber mais? Consulte os seguintes recursos da nossa equipa de especialistas em AD para obter mais informações sobre como garantir um plano de recuperação de AD completo.