Ransomware und Wiper-Angriffe veranlassen Unternehmen dazu, ihre Backup- und Wiederherstellungsfunktionen neu zu bewerten. Eine offensichtliche Sorge ist, ob die Backups sicher sind - zum Beispiel, ob sie offline sind, wo sie nicht verschlüsselt oder gelöscht werden können.
Dies ist zwar ein guter erster Schritt, aber eben nur ein Schritt. Wir müssen auch prüfen, ob die von uns verwendeten Backup- und Wiederherstellungstechnologien die Wiederherstellung nach Cyberangriffen unterstützen. Dies ist besonders wichtig, wenn Bare-Metal-Recovery (BMR) Teil Ihres AD-Recovery-Plans ist.
Neues Gefühl der Dringlichkeit
Als Leiter der Produktabteilung bei Semperis spreche ich mit vielen CIOs und CISOs über Disaster Recovery (DR) für Microsoft Active Directory (AD). Die Aufmerksamkeit, die der AD-Wiederherstellung gewidmet wird, ist angesichts der kritischen Rolle von AD (wenn AD nicht verfügbar ist, ist nichts mehr verfügbar) und des spezialisierten Wiederherstellungsprozesses (wie viele Ihrer Kollegen haben schon einmal eine vollständige Wiederherstellung eines Waldes durchgeführt) wohlverdient.
Im letzten Jahr habe ich ein neues Gefühl der Dringlichkeit bei der AD-Wiederherstellung festgestellt. Es geht nicht mehr darum, ein Upgrade auf Forest-Ebene oder eine Schemaänderung rückgängig zu machen. Jetzt liegt der Schwerpunkt auf der Wiederherstellung von AD, wenn ein zerstörerischer, schnell voranschreitender Cyberangriff (wie NotPetya oder LockerGoga) alle Ihre Domänencontroller (DCs) ausschaltet.
Das war damals, das ist heute
BMR hat in der Vergangenheit eine bequeme Möglichkeit zur Wiederherstellung eines ganzen Servers geboten. Zum Beispiel konnte das DR-Team die Wiederherstellung selbst durchführen, ohne auf das Server-Provisioning-Team angewiesen zu sein. Aber in der neuen Bedrohungslandschaft ist die größte Stärke von BMR (Wiederherstellung des gesamten Betriebssystems) zu seiner größten Schwäche geworden (potenzielle Wiedereinführung von Malware).
Auch BMR ist in die Jahre gekommen. Es wurde für physische Computer entwickelt, als viele IT-Abteilungen noch Tage oder sogar Wochen für die Bereitstellung eines Servers benötigten. Aber die Virtualisierung hat das alles geändert.
Und BMR wurde vor dem Aufkommen von Cloud und Infrastructure-as-a-Service (IaaS) entwickelt, die eine kostengünstige, schnell verfügbare Alternative zu Standby-Hardware darstellen.
Wenn sich Ihr aktueller AD-Wiederherstellungsplan auf BMR stützt - oder wenn Sie neue automatisierte Wiederherstellungsfunktionen in Betracht ziehen, die sich auf BMR stützen (um DCs wiederherzustellen, wenn die Hardware oder das Betriebssystem betroffen sind) -, sollten Sie die folgenden Punkte beachten.
Reinfektion
BMR sichert und stellt alles auf dem DC wieder her, einschließlich des Betriebssystems (OS), der Registry, der Systemdateien usw. Das ist keine schlechte Sache, wenn ein Feuer oder eine Überschwemmung Ihre DCs auslöscht und Sie AD auf neuer Hardware wiederherstellen müssen. Aber es ist eine sehr schlechte Sache, wenn Ihre DCs von einem Cyberangriff betroffen sind.
Wenn ein Eindringling Rootkits, Ransomware oder andere Malware auf Ihren DCs installiert, sind all diese ausführbaren Dateien und DLLs in den BMR-Backups enthalten. Wenn Sie eine BMR-Wiederherstellung durchführen, wird die Malware, die Sie nicht wollen, zusammen mit dem Betriebssystem, der Registrierung, der AD-Datenbank und all den anderen Dingen, die Sie wollen, wiederhergestellt. (Beachten Sie, dass Malware auch bei der Wiederherstellung aus Systemstatus-Backups wieder eingeschleust werden kann).
Hier ist eine Demo, die das Risiko einer Reinfektion mit BMR veranschaulicht:
In manchen Fällen können Sie die Malware nach der Wiederherstellung identifizieren und entfernen. Ich persönlich würde mich mit diesem Ansatz nicht wohlfühlen und ihn nur als letzten Ausweg in Betracht ziehen (wenn keine andere Wiederherstellungsoption verfügbar ist). Ich würde auf keinen Fall empfehlen, Ihren AD-Wiederherstellungsplan darauf auszurichten.
Datenverlust
Wenn DCs bei der Erstellung von BMR-Backups infiziert sind - oder wenn Sie den Verdacht haben, dass dies der Fall sein könnte - besteht die traditionelle Vorgehensweise darin, zu einem früheren Backup zurückzukehren. Aber wie weit sollten Sie zurückgehen? Malware kann latent bleiben und wochen- oder sogar monatelang unentdeckt bleiben, so dass Sie möglicherweise sehr weit zurückgehen müssen.
Je weiter Sie zurückgehen, desto mehr Daten gehen natürlich verloren. Sie können tägliche Backups für ein 24-Stunden-RPO (Recovery Point Objective) machen, aber wenn Sie 2 Monate zurückgehen müssen, um ein gutes Backup zu erhalten, verpassen Sie dieses SLA ganz erheblich. Und wenn man bedenkt, wie viele Verzeichnisänderungen jeden Tag vorgenommen werden, summiert sich der Datenverlust wirklich.
Verlängerte Ausfälle
Jede Minute Ausfallzeit kostet Ihr Unternehmen bares Geld. BMR verlängert jedoch die Wiederherstellungszeit auf verschiedene Weise:
Hardware-Einrichtung: BMR ist für die Wiederherstellung auf passender Hardware konzipiert. Wenn Sie sich keine doppelte Standby-Hardware leisten können, brauchen Sie mindestens ein oder zwei Tage, um neue Hardware zu beschaffen. Dies allein liegt außerhalb der typischen RTO (Recovery Time Objective) für kritische Infrastrukturen (wie AD) und Tier-1-Anwendungen. Und wenn ein Cyberangriff viele Unternehmen trifft und zu Hardware-Engpässen führt, kann die Beschaffung noch viel länger dauern. Umgehungslösungen für die Wiederherstellung auf alternativer Hardware (z.B. Treiberinjektion) sind zwar möglich, nehmen aber Zeit in Anspruch und bergen zusätzliche Risiken.
Abrufen von Sicherungskopien: Da sie das gesamte System enthalten, sind BMR-Backups sehr groß. Ich wusste dies aus Erfahrung, wollte es aber quantifizieren. Also habe ich in meinem Labor einen einfachen Test mit einem "Vanilla" Windows Server 2016 DC mit einem im Wesentlichen leeren AD durchgeführt (um den mit verschiedenen Backup-Methoden verbundenen Overhead zu ermitteln). Ich habe Windows Server Backup verwendet, um ein BMR-Backup (sowie ein Systemstatus-Backup) zu erstellen, und ich habe Semperis AD Forest Recovery verwendet, um ein Semperis-Backup zu erstellen (das AD aus dem zugrunde liegenden Windows-Betriebssystem extrahiert). Hier sind die (unkomprimierten) Ergebnisse:
Größere Backups verbrauchen mehr Speicherplatz und Netzwerkbandbreite und werden tendenziell seltener durchgeführt (z.B. wöchentlich oder nach dem Patch Tuesday). Und bei der Wiederherstellung dauert es länger, sie abzurufen (insbesondere wenn sie in der Cloud gespeichert sind).
Auswahl des Backups: Die Suche nach einem sauberen BMR-Backup ist ein iterativer Prozess (abrufen, einhängen, extrahieren, testen, wiederholen), der Zeit kostet, wenn jede Minute teuer ist.
Nacharbeit: Die Wiederherstellung von AD aus einem älteren (und hoffentlich sauberen) BMR-Backup erfordert die Wiederherstellung von Verzeichnisänderungen, die Neukonfiguration von Anwendungen, die Wiederaufnahme von Workstations usw. - und all diese Nacharbeiten nehmen viel Zeit und Mühe in Anspruch.
Falsche Wiederherstellung: BMR birgt ein hohes Maß an Unsicherheit - waren DCs infiziert, wann waren sie infiziert, wie weit muss ich zurückgehen? Möglicherweise stellen Sie erst dann fest, dass Sie nicht weit genug zurückgegangen sind, wenn Sie den AD-Wiederherstellungsprozess abgeschlossen haben oder schon weit fortgeschritten sind. Die AD-Wiederherstellung ist keine einfache Aufgabe, und ein Neuanfang ist besonders schmerzhaft.
Fazit
Die Zeiten ändern sich, und das gilt auch für unsere DR-Pläne. Cyberangriffe sind eine klare und gegenwärtige Gefahr, die nicht ignoriert werden kann. BMR kann zwar bestimmte Wiederherstellungsszenarien abdecken, aber die AD-Wiederherstellung nach einem Cyberangriff gehört nicht dazu.
