Darren Mar-Elia | Estratega jefe de seguridad

¿Qué significa realmente la resiliencia de la identidad ?

A nuestro sector le encantan las palabras de moda. Tras más de cuarenta años en este negocio, puedo afirmarlo sin exagerar lo más mínimo. La última palabra de moda es «resiliencia». La veo por todas partes, aplicada a todo. ¡Hoy en día incluso la oigo mencionar en relación con el rendimiento deportivo!

Pero cuando se trata de un tema que me toca muy de cerca —la identidad—, el concepto de «resiliencia identitaria» sí que tiene sentido. Un sistema de identidad resiliente es aquel que es capaz de «aguantar los golpes y seguir adelante» (por citar un eslogan de antaño).

La resiliencia significa que tu sistema de identidad, una vez comprometido e incluso potencialmente destruido, no solo puede recuperarse, sino que puede hacerlo de forma fiable.


La resiliencia de la identidad requiere un tipo de recuperación único

Es importante comprender la naturaleza específica de la recuperación de identidades porque, como todos sabemos a estas alturas, la supervivencia de la mayoría de las organizaciones depende de sus sistemas de identidades.

Cuando el sistema de identidad deja de funcionar, la organización se paraliza, sin más. Por eso, tu capacidad para restablecer ese sistema de identidad lo antes posible, hasta un nivel que permita mantener las funciones esenciales del negocio, es una de las tareas más importantes que se te encomendarán. Esto es algo que puede marcar el rumbo de tu carrera (o acabar con ella), y yo he vivido ambas situaciones una y otra vez.

En lo que respecta a Active Directory (AD), el sistema de identidades fundamental para la mayor parte del mundo, la resiliencia de las identidades tiene unas características muy concretas. En los más de ocho años que llevo hablando con los clientes sobre este tema, lo que destaco es algo que cualquiera que se haya adentrado en el laberinto que supone llevar a cabo una recuperación completa de un bosque de AD puede entender fácilmente:

Recuperar un dominio de Active Directory no es como recuperar un servidor de archivos, ni un servidor de bases de datos, ni un servidor de aplicaciones, ni… ya te haces una idea.

AD es una base de datos compleja, con múltiples servidores maestros y replicada. Hay que recuperarla siguiendo unos pasos muy precisos, en el orden correcto… o habrá que volver a empezar desde cero.

Además, si se trata de una organización de tamaño considerable con numerosas sedes geográficas, múltiples dominios y muchas dependencias de sistemas externos, el problema se vuelve aún más complejo.


Cómo elegir una solución de resiliencia de identidades: ¿qué es lo más importante?

Tuve el privilegio de formar parte de Semperis desde el principio, cuando estábamos desarrollando lo que acabó convirtiéndose en la primera solución de recuperación de bosques con conciencia cibernética.

Esa solución implicaba replantearse tanto el proceso de copia de seguridad como el de recuperación de AD: cómo se había llevado a cabo durante unos 16 años hasta ese momento y por qué ese proceso consolidado no resultaba suficiente para hacer frente a la creciente amenaza de los ataques dirigidos a AD.

Lo que aprendí es que no se puede considerar la recuperación ante desastres de Active Directory como «un problema de copias de seguridad más» que deba resolver «un proveedor de copias de seguridad más».

La experiencia es fundamental. No querrías que tu médico de cabecera te operara del cerebro. Del mismo modo, debes asegurarte de que tu solución de recuperación ante desastres de AD ofrezca una verdadera resiliencia de la identidad, y no solo una copia de seguridad.


Lista de verificación para elegir tu solución de resiliencia de identidad

Teniendo esto en cuenta, he elaborado esta lista de requisitos que deberían ser imprescindibles para ti en tu trabajo de garantizar la resiliencia de los sistemas de identidad críticos, como Active Directory.


1. Empieza por tener claro lo siguiente: la recuperación de la identidad no es algo que se pueda marcar en una lista.

Decir «Vale, ya he hecho una copia de seguridad de AD, estoy listo para empezar» es como «esperar»: no es una estrategia.


2. Lo más importante es demostrar la recuperación, no la copia de seguridad.

Esto es una consecuencia del punto n.º 1. Cualquiera puede realizar una copia de seguridad de AD con un conjunto de scripts utilizando herramientas integradas. Sin embargo, no todo el mundo es capaz de recuperar AD de una manera que satisfaga las necesidades de una organización compleja a la hora de restaurar la infraestructura de identidades tras un ciberataque (más información al respecto en el punto n.º 4).


3. A la hora de elegir una solución de resiliencia de identidades, no te limites a creer lo que dice el proveedor.

Si el éxito de tu organización depende totalmente de lo que te vendan, haz que lo demuestren. Realiza una prueba de concepto (PoC, también conocida como prueba de valor) con una representación realista de tu dominio de Active Directory (AD) de producción. Asegúrate de que la solución pueda recuperar el dominio de AD dentro del tiempo de recuperación objetivo (RTO) que hayas especificado.


4. Define tu RTO real.

Como corolario al punto 3, tu RTO debe incluir suficiente capacidad de AD para dar servicio a tus aplicaciones de negocio más críticas, lo que denominamos «empresa mínima viable» (MVC). Si el RTO de tu proveedor consiste en poner en funcionamiento un único controlador de dominio… ese no es tu RTO .

Si la restauración inicial del dominio no incluye esas capacidades empresariales críticas y tienes que dedicar uno o dos días más a conseguir la capacidad suficiente para restablecer las funciones empresariales, entonces ESE es el RTO de la solución.


5. Sepa cómo se reconoce un dominio de Active Directory comprometido.

Asegúrate también de que la solución que elijas comprenda lo que supone tener un Active Directory comprometido.

El Active Directory puede verse comprometido al menos de dos maneras. Los atacantes pueden comprometer el sistema operativo en el que se ejecuta el Active Directory, y pueden comprometer el propio Active Directory, creando mecanismos de persistencia y puertas traseras dentro de la base de datos del Active Directory.

Una solución que se autodenomine «cyber-first» debería poder ayudarte a abordar ambas cuestiones.

NOTA: No confíes en que el análisis antivirus resuelva un ataque. Si me dieran un dólar por cada vez que un antivirus no ha detectado un nuevo tipo de malware…

Y sí, la solución también debería poder ayudarte a localizar esos elementos persistentes una vez que se haya recuperado el Active Directory; pero, en realidad, aquí es donde la experiencia marca la diferencia. Asegúrate de contar con alguien que realmente entienda cómo se puede atacar el Active Directory. Si tu proveedor se ha enterado ayer mismo de la existencia del Active Directory porque la recuperación cibernética del Active Directory es la última novedad que está de moda ofrecer, tendrás el «privilegio» de sufrir esa falta de experiencia justo cuando más importa... y no en el buen sentido.


6. Por último —y esto es importante—: al igual que la resiliencia de la identidad es importante, también lo es la resiliencia de tu solución de resiliencia de la identidad.

Cuando estás en un buen lío (y los informáticos saben perfectamente de lo que hablo), todo lo que puede salir mal, sale mal.

Con todo el equipo directivo pisándote los talones, lo último que quieres decirles es: «Lo siento, ha fallado un paso en nuestra recuperación, así que tenemos que empezar de nuevo».

Tu solución de recuperación debe ser capaz de hacer frente a los imprevistos que surgen en caso de desastre. Esa capacidad se adquiere con la experiencia: la de un proveedor que sabe qué puede salir mal durante una recuperación y que está plenamente capacitado para ayudarte a sortear los obstáculos inesperados. Una vez más, no se trata de cosas que se puedan predecir; pero sí es posible simular ese tipo de caos y poner a prueba la solución.

Si tu proveedor no es capaz de gestionar la recuperación en una prueba de concepto, ¿de verdad crees que podrá hacerlo cuando se produzca una crisis cibernética real?


Demuestra que estás preparado cuando más importa

Espero de verdad que nunca tengas que recuperar tu dominio de Active Directory durante una crisis.

Pero si ha elegido una solución de resiliencia de identidades que cumpla estos requisitos, debería poder recuperarse con confianza, reducir el impacto en su negocio e incluso aprovechar la experiencia para reforzar su postura de seguridad de identidades frente a la próxima amenaza.

Eso es verdadera resiliencia.


Para saber más