Hallo,
Dies ist der zweite Teil eines Blogs, den ich früher geschrieben hatte. Im ersten Teil ging es darum, besser zu verstehen, welche Möglichkeiten Unternehmen haben, wenn ihr Active Directory kompromittiert wird. Wie können sie es so schnell wie möglich wieder zum Laufen bringen? Wie können sie so sicher wie möglich sein, dass sie keine Malware in die Instanz des wiederhergestellten Active Directory Forest zurückbringen?
Um den zweiten Teil vollständig zu verstehen, empfehle ich Ihnen, den ersten Teil zu lesen, den Siehier finden.
Denjenigen unter Ihnen, die den ersten Teil bereits gelesen haben, danke ich für das tolle Feedback. Alles gute Punkte und Kommentare.
Lassen Sie uns also mit dem Anwendungsfall beginnen, mit dem ich im ersten Teil aufgehört habe...
Alles ist verschlüsselt. Die Parkplätze sind leer. Die Fabriken sind still und der CEO ist alle 30 Sekunden am Telefon und sagt etwas "Buntes" über Ihre Abstammung. Leider ist das kein Szenario, das ich mir ausgedacht habe. Es ist ein monatliches und mittlerweile fast wöchentliches Gespräch, das ich führe. Es gehört zu meinem Beruf und in letzter Zeit ist es ein sehr hartes, realistisches Dilemma.
Die Kommentare, die ich zum ersten Teil des Blogs erhalten habe, fielen in zwei Bereiche. Der erste schlug vor, ein sichereres System zur Verwaltung von Berechtigungen zu verwenden. Das ist immer eine gute Idee, aber in diesem Fall ist es zu spät. Allerdings können wir uns das als Teil des Wiederherstellungsprozesses ansehen. Dazu später mehr. Der zweite Vorschlag war eine teilweise Wiederherstellung eines separaten Forests. Dieser zweite Forest wäre im Wesentlichen ein "VIP"-Forest, in dem alle wichtigen Vermögensinformationen des Unternehmens liegen würden. Das mag sein. Aber wie lange würde das dauern? Verfügt das Unternehmen über die Ressourcen, um einen ganzen Wald in kürzester Zeit neu zu gestalten? Denken Sie daran, dass ich das System gestern noch zum Laufen bringen muss.
Wenn es sich bei dem obigen Szenario um einen Angriff handelt und Sie wissen, wann Sie infiziert wurden und wie die Angreifer eingedrungen sind, dann ist die Antwort auf die Frage, was Sie tun müssen, in meinen Augen ziemlich einfach. Sie müssen eine Sicherungskopie Ihres Active Directory vom Tag vor dem Angriff erstellen und eine Wiederherstellung von Forest vornehmen. (Ich werde gleich auf die Rootkit-Herausforderung eingehen). Dann stellt sich nur noch die Frage, ob Sie in eine Lösung investiert haben, die eine Forest-Wiederherstellung automatisiert und in ein paar Stunden wiederherstellt, oder ob es sich bei Ihrem Backup eher um ein traditionelles Systemstatus-Backup des Active Directory handelt, bei dem Sie nicht über spezielle automatisierte Prozesse verfügen, um das Active Directory in seiner Gesamtheit wiederherzustellen. Wenn letzteres der Fall ist, sollten Sie vier oder fünf Arbeitstage einplanen, um Ihren Forest manuell wiederherzustellen.
In Wirklichkeit könnten einige der oben genannten Angriffsszenarien ein eingebettetes Rootkit enthalten. Es ist ein interessantes Rätsel... wie entfernen Sie bei dem oben beschriebenen Szenario ein Rootkit von einem Domain Controller. Das ist schwierig, denn für eine Wiederherstellung müssen Sie den Systemstatus übertragen, wobei Sie den Angreifer durchaus wieder einschleusen könnten. Das bedeutet auch, dass eine Bare-Metal-Backup-Wiederherstellung nicht funktionieren wird, da das Risiko gleich bleibt.
Erinnert sich noch jemand an den Film Stirb Langsam, in dem die Bösewichte wissen, dass das FBI bei Geiselnahmen den Strom abstellt und sie so in den Tresorraum der Bank gelangen können? Das ist hier die gleiche Übung. Ich weiß, und Sie wissen, was nötig ist, um einen Stromausfall wiederherzustellen, aber das eigentliche Problem ist - die Bösewichte wissen es auch. Sie werden sich darauf verlassen, dass jeder Microsofts "Standardbetriebsverfahren" befolgt. Es gibt keinen besseren Weg, um hartnäckig zu bleiben.
OK. Was würde ich also in einem Szenario tun, in dem der Angreifer schon eine Weile in Ihrem System ist oder Sie, wie in den meisten Fällen, nicht genau wissen, wann er eingedrungen ist, wie er eingedrungen ist, usw.
Der erste Teil wäre, alle Passwörter zurückzusetzen, oder zumindest alle privilegierten/sensiblen Konten. Ja, das ist eine sehr schwierige Aufgabe, aber ich würde sagen, sie ist viel einfacher und schneller als eine vollständige oder teilweise Wiederherstellung. Vergessen Sie nicht, dass die Uhr tickt. Natürlich sollte es selbstverständlich sein, dass Sie im Rahmen der Wiederherstellung der Berechtigungen die bewährten Verfahren zum Setzen oder in diesem Fall Zurücksetzen von Berechtigungen einbeziehen.
Der nächste Schritt wäre die Einführung einer automatisierten Forest Recovery-Lösung. Um es klar zu sagen: Diese Lösung muss eingerichtet werden, bevor irgendetwas davon passiert. Es handelt sich nicht um ein Tool, das Sie am nächsten Tag einführen können. Der Vorteil einer mehrtägigen Wiederherstellung gegenüber einer Wiederherstellung innerhalb weniger Stunden spricht für sich selbst. Eine weitere Überlegung, die vielen nicht bewusst ist, ist, dass AD funktionieren muss, damit viele Ihrer anderen DR-Lösungen funktionieren, da sie oft auf AD zur Authentifizierung und Autorisierung angewiesen sind, um Zugang zur DR-Lösung zu erhalten.
Unsere Forest Recovery-Lösung ist die Antwort auf das Rootkit-Problem. Ein Teil unseres Prozesses zur Wiederherstellung von Wäldern ist etwas, das wir "saubere Wiederherstellung" nennen. Ich werde nicht näher auf das Wie eingehen (das ist ein ganz anderes Blog), aber das Ergebnis ist, dass wir sicherstellen, dass nur die AD-Anteile des Systemstatus wiederhergestellt werden - nicht das Betriebssystem selbst. Sie können nun einen neuen Hardwareserver nehmen, ein frisches Windows-ISO laden und AD übernehmen, ohne das Risiko einer erneuten Einschleppung der Malware.
Es gibt noch einen weiteren erwähnenswerten Vorteil der Forest Recovery-Lösung, nämlich die Möglichkeit, bei der Wiederherstellung von AD auf einem Domain Controller hardwareunabhängig zu sein. Vor dieser Funktion mussten Sie, wenn Sie AD wiederherstellen wollten, AD auf der gleichen Hardware, dem gleichen Betriebssystem, den gleichen Patch-Levels und den gleichen Service Pack-Levels wiederherstellen. Wenn dies nicht der Fall ist, werden Sie während der Wiederherstellung wahrscheinlich einen blauen Bildschirm sehen und einige Stunden damit verbringen, die fehlenden Treiber und Ähnliches herauszufinden. Im Rahmen unserer Forest Recovery-Lösung sind wir heute unabhängig von der Hardware, den Service Packs oder Patch-Levels des betreffenden Domänencontrollers. Das Einzige, was übereinstimmen muss, ist, dass die Wiederherstellung unter der gleichen Betriebssystemnummer erfolgen muss, unter der das Backup erstellt wurde.
Dies führt zu viel mehr Flexibilität bei Szenarien wie der Wiederherstellung von physischen zu virtuellen Systemen, der Erstellung von Labs und der Wiederherstellung von AD in der Cloud.
Ich habe zuBeginn deserstenTeils erwähnt, dass ich darüber schreiben wollte, weil es zwar einige Dokumentationen und "Anleitungen" dazu gibt, aber ich fand sie langsam, unvollständig und in vielen Fällen unrealistisch. Die andere Motivation kam aus einer zeitlichen Perspektive. Als ich vor ein paar Jahren begann, mich mit diesem Thema zu beschäftigen, war es eher eine akademische oder theoretische Übung. Ein Artikel hier oder da. Jetzt ist es IMO von einem interessanten Randfall zu einer normalen "Was wäre wenn"-Frage für die Notfallplanung geworden. Unternehmen erkennen allmählich, dass sie, wenn sie in eine SLA von, sagen wir, einem Tag für ihre Disaster Recovery-Planung investiert haben, sehr wohl noch viele weitere Tage hinzufügen müssen, da nichts funktioniert, wenn der AD-Dienst nicht funktioniert.
Schließlich stand noch nie so viel auf dem Spiel wie heute. Die Überlebensfähigkeit ganzer Unternehmen steht auf dem Spiel. Verstehen Sie mich nicht falsch - ich habe nicht DIE "Wunderwaffe". Keiner hat das. Aber ich hoffe, dass ich einige neue Überlegungen zu einem sehr schwierigen Problem beitragen konnte.
Wenn Sie mehr über unsere Technologie erfahren möchten oder einfach nur mit mir diskutieren wollen ? Nehmen Sie Kontakt mit mir auf.
