Los ciberataques evolucionan rápidamente en sofisticación y escala. La línea que separa el ámbito digital del físico es cada vez más difusa. Ciberatacantes extranjeros han utilizado programas maliciosos destructivos para borrar datos de discos duros y han intentado infiltrarse en sistemas industriales. Dados los recientes acontecimientos políticos y las amenazas verbales, en el futuro podrían realizar acciones igualmente dañinas.
Cualquiera que esté a cargo de la preparación cibernética de la organización se encuentra en un lugar importante en este momento. El adagio "la mejor defensa es un buen ataque" no se aplica aquí. En este caso, la mejor defensa es una buena defensa.
En la práctica, hay que tener listos y probados tanto un plan de respuesta a incidentes (IR) como un plan de continuidad del negocio (BCP). Hay que ir más allá de la identificación de riesgos -tratando de protegerse contra ellos con métodos como la autenticación multifactor y detectarlos con escáneres de virus y sistemas SIEM- y responder a ellos. Hay que seguir hasta el final y pensar de antemano cómo se va a recuperar.
Los servicios de identidad están en el centro de la mayoría de los objetivos de las amenazas persistentes avanzadas (APT). Sabiendo esto, es inteligente probar su directorio activo (AD) BCP y el plan de recuperación de desastres (DRP) cada 13 meses, como mínimo. La razón por la que más gente no lo hace es que es algo mundano y difícil de hacer correctamente. Realizar una prueba de restauración en el entorno de producción no es una opción, y probar un entorno vainilla sólo es parcialmente útil. Tomar una copia de seguridad del entorno de producción y restaurarlo en un laboratorio aislado es el enfoque más eficaz.
A nuestros clientes les decimos que la mejor manera de poner a prueba sus planes BCP y DRP es asignar los procesos críticos de la organización a las aplicaciones que los soportan y, en última instancia, a la infraestructura que soporta esas aplicaciones. No hay dos organizaciones exactamente iguales, y para algunas, restaurar la sede central (HQ) puede ser la máxima prioridad, con las sucursales a continuación (un escenario común para las instituciones financieras), mientras que para otras puede ser al revés (un escenario común para las empresas manufactureras).
Decidir tener el mismo acuerdo de nivel de servicio (SLA) para toda su infraestructura es la decisión más fácil de tomar, pero en la mayoría de los casos significará que las aplicaciones críticas estarán en la misma cola que las no críticas. En la mayoría de las empresas, esto significa que todos los caminos conducen a AD. A pesar de ello, hemos visto que la planificación de la recuperación de AD a menudo se pasa por alto, a pesar de que es uno de los componentes más críticos de cualquier tipo de enfoque de DR basado en la cibernética.
La DR de AD es un proceso arduo. La empresa danesa Maersk tardó nueve días en recuperar su AD del ataque de malware NotPetya de 2017. Aproximadamente 55 000 dispositivos de la red mundial de Maersk se infectaron por completo en siete minutos, según Andy Powell, CISO de Maersk.
En un desastre cibernético, AD es una misión crítica porque es fundamental para recuperar todo lo demás en la red. Hasta que no haya recuperado con éxito su AD, no hay mucho más que pueda hacer. No basta con apagar los sistemas una vez iniciado el ataque. Debe conocer los vectores de ataque probables y los puntos débiles potenciales, y asumir que incluso sus servidores AD de copia de seguridad podrían verse comprometidos.
El consejo práctico de Andy Powell es que te asegures de que puedes recuperar tu AD en menos de 24 horas. Esto nos lleva a preguntarnos lo siguiente: ¿Cuándo fue la última vez que puso a prueba su plan de recuperación de AD? Igualmente importante, ¿ha actualizado su plan de recuperación de AD para incluir escenarios cibernéticos como un ataque de ransomware o wiper?
Para terminar, a veces es necesaria una amenaza inminente para que las empresas se tomen más en serio sus planes fundamentales de detección y respuesta ante amenazas. Ahora es un buen momento para intentar adelantarse trabajando para cerrar las brechas en sus planes BCP y DRP buscando los eslabones más débiles, empezando por su infraestructura AD y las aplicaciones que dependen de ella.
Profesionales de la seguridad AD, este es su momento de brillar. AD no sólo es igual de importante que las demás capas de cualquier estrategia de seguridad, sino que hoy en día lo es aún más. Y es su reto y responsabilidad convencer al resto de su equipo de que AD debe estar en el centro de su plan de defensa.
