Los ataques de ransomware y wiper están haciendo que las organizaciones reevalúen sus capacidades de copia de seguridad y recuperación. Una preocupación obvia es si las copias de seguridad son seguras, por ejemplo, si están fuera de línea donde no pueden ser cifradas o borradas.
Aunque este es un buen primer paso, es sólo eso. También debemos evaluar si las tecnologías de copia de seguridad y recuperación que utilizamos son compatibles con la recuperación frente a ciberataques. Esto es especialmente importante si la recuperación bare-metal (BMR) forma parte de su plan de recuperación AD.
Nuevo sentido de la urgencia
Como jefe de producto de Semperis, hablo con muchos directores de sistemas de información y directores de sistemas de información sobre la recuperación ante desastres para Microsoft Active Directory (AD). La atención que se presta a la recuperación de AD es bien merecida, dado el papel fundamental de AD (si AD no está disponible, nada lo está) y el proceso de recuperación especializado (¿cuántos de sus colegas han realizado realmente una recuperación completa del bosque?).
En el último año he observado una nueva sensación de urgencia en torno a la recuperación de AD. Ya no se trata de deshacer una actualización a nivel de bosque o un cambio de esquema. Ahora la atención se centra en la recuperación de AD cuando un ciberataque destructivo y rápido (como NotPetya o LockerGoga) acaba con todos los controladores de dominio (DC).
Eso era antes, esto es ahora
BMR ha proporcionado históricamente una forma cómoda de recuperar un servidor completo. Por ejemplo, el equipo de DR podía realizar la recuperación por su cuenta, sin depender del equipo de aprovisionamiento del servidor. Pero en el nuevo panorama de amenazas, la mayor fortaleza de BMR (recupera todo en el sistema operativo) se ha convertido en su mayor debilidad (potencialmente reintroduce malware).
El BMR también se está quedando anticuado. Se creó para ordenadores físicos cuando muchos departamentos de TI necesitaban días o incluso semanas para aprovisionar un servidor. Pero la virtualización cambió todo eso.
Y BMR se construyó antes de la nube y la infraestructura como servicio (IaaS), que proporcionan una alternativa barata y fácilmente disponible al hardware de reserva.
Si su plan actual de recuperación de AD se basa en BMR - o si está considerando nuevas capacidades de recuperación automatizada que se basan en BMR (para recuperar DCs cuando el hardware o el sistema operativo se ven afectados) - a continuación hay algunas cosas a tener en cuenta.
Reinfección
BMR realiza copias de seguridad y restaura todo en el DC, incluido el sistema operativo (SO), el registro, los archivos de sistema, etc. Esto no es malo si un incendio o una inundación destruye sus DC y necesita restaurar AD en un nuevo hardware. Pero es algo muy malo si sus DC son víctimas de un ciberataque.
Cuando un intruso instala rootkits, ransomware u otro malware en sus DC, todos esos ejecutables y DLL se incluyen en las copias de seguridad de BMR. Al realizar una restauración BMR, el malware que no desea se restaura junto con el sistema operativo, el registro, la base de datos AD y todas las demás cosas que sí desea. (Tenga en cuenta que el malware también se puede reintroducir al restaurar a partir de copias de seguridad del estado del sistema).
He aquí una demostración que ilustra el riesgo de reinfección con BMR:
En algunos casos, es posible que puedas identificar y eliminar el malware después de la restauración. Personalmente, no me sentiría cómodo con este enfoque y sólo lo consideraría como último recurso (cuando no hay otra opción de restauración disponible). Desde luego, no recomiendo diseñar su plan de recuperación de AD en torno a él.
Pérdida de datos
Si los DC están infectados en el momento de realizar las copias de seguridad BMR, o si sospecha que podrían estarlo, el método tradicional consiste en volver a una copia de seguridad anterior. Pero, ¿hasta dónde hay que retroceder? Los programas maliciosos pueden permanecer latentes y pasar desapercibidos durante semanas o incluso meses, por lo que es posible que haya que retroceder mucho en el tiempo.
Por supuesto, cuanto más retrocedas, más datos perderás. Puedes hacer copias de seguridad diarias para un RPO (objetivo de punto de recuperación) de 24 horas, pero si tienes que retroceder 2 meses para conseguir una buena copia de seguridad, estás perdiendo ese SLA a lo grande. Y teniendo en cuenta el número de cambios de directorio que se realizan cada día, la pérdida de datos es considerable.
Interrupciones prolongadas
Cada minuto de inactividad cuesta dinero real a su organización. Sin embargo, BMR amplía el tiempo de recuperación de varias maneras:
Configuración de hardware: El BMR está diseñado para la recuperación en hardware compatible. A menos que pueda permitirse duplicar el hardware de reserva, necesitará al menos uno o dos días para adquirir nuevo hardware. Esto por sí solo está fuera del RTO (objetivo de tiempo de recuperación) típico para infraestructuras críticas (como AD) y aplicaciones de primer nivel. Y si un ciberataque afecta a muchas organizaciones y provoca escasez de hardware, la adquisición puede llevar mucho más tiempo. Las soluciones para restaurar el hardware alternativo (como la inyección de controladores) pueden ser posibles, pero llevan tiempo e introducen un riesgo adicional.
Recuperación de copias de seguridad: Como contienen todo el sistema, las copias de seguridad BMR son grandes. Lo sabía por experiencia, pero quería cuantificarlo, así que realicé una prueba sencilla en mi laboratorio utilizando un DC "vainilla" de Windows Server 2016 con un AD esencialmente vacío (para determinar la sobrecarga asociada a los diferentes métodos de copia de seguridad). Usé Windows Server Backup para hacer una copia de seguridad BMR (así como una copia de seguridad del estado del sistema), y usé Semperis AD Forest Recovery para hacer una copia de seguridad Semperis (que extrae AD del sistema operativo Windows subyacente). Aquí están los resultados (sin comprimir):
Las copias de seguridad más grandes consumen más almacenamiento y ancho de banda de red y tienden a producirse con menos frecuencia (por ejemplo, semanalmente o después del martes de parches). Y durante la recuperación, tardan más en recuperarse (especialmente cuando se almacenan en la nube).
Selección de copias de seguridad: Encontrar una copia de seguridad BMR limpia es un proceso iterativo (recuperar, montar, extraer, probar, repetir) que lleva tiempo cuando cada minuto es caro.
Vuelva a trabajar: Restaurar AD a partir de una copia de seguridad BMR antigua (y, con suerte, limpia) requiere recrear los cambios de directorio, reconfigurar las aplicaciones, volver a unir las estaciones de trabajo, etc. - y todo este trabajo requiere un tiempo y un esfuerzo considerables.
Recuperación falsa: La BMR conlleva un alto grado de incertidumbre: ¿se infectaron los DC, cuándo se infectaron, hasta dónde tengo que remontarme? Es posible que no descubra que no ha retrocedido lo suficiente hasta que haya completado o esté bien avanzado en el proceso de recuperación de AD. La recuperación de AD no es una tarea sencilla, por lo que empezar de nuevo es especialmente doloroso.
Conclusión
Los tiempos cambian y también deben hacerlo nuestros planes de DR. Los ciberataques son un peligro claro y presente que no puede ignorarse. Aunque el BMR puede abordar ciertos escenarios de recuperación, la recuperación de AD tras un ciberataque no es uno de ellos.
