Gli attacchi ransomware e wiper inducono le aziende a rivalutare le proprie capacità di backup e ripristino. Una preoccupazione ovvia è se i backup sono sicuri, ad esempio se sono offline e non possono essere crittografati o cancellati.
Sebbene sia un buon primo passo, si tratta solo di questo. Dobbiamo anche valutare se le tecnologie di backup e ripristino che utilizziamo supportano il ripristino da attacchi informatici. Questo è particolarmente importante se il ripristino bare-metal (BMR) fa parte del vostro piano di ripristino AD.
Nuovo senso di urgenza
In qualità di responsabile dei prodotti di Semperis, parlo con molti CIO e CISO di disaster recovery (DR) per Microsoft Active Directory (AD). L'attenzione per il ripristino di AD è ben meritata, dato il ruolo critico di AD (se AD non è disponibile, nulla lo è) e il processo di ripristino specializzato (quanti dei vostri colleghi hanno effettivamente eseguito un ripristino completo della foresta?).
Nell'ultimo anno ho notato un nuovo senso di urgenza per il ripristino di AD. Non si tratta più di annullare un aggiornamento a livello di foresta o una modifica dello schema. Ora l'attenzione si concentra sul ripristino di AD quando un cyberattacco distruttivo e in rapida evoluzione (come NotPetya o LockerGoga) mette fuori uso tutti i controller di dominio (DC).
Questo era allora, questo è oggi
Il BMR ha storicamente fornito un modo conveniente per ripristinare un intero server. Ad esempio, il team DR poteva eseguire il ripristino da solo, senza dipendere dal team di provisioning del server. Ma nel nuovo panorama delle minacce, il più grande punto di forza del BMR (recuperare tutto il sistema operativo) è diventato il suo più grande punto debole (reintrodurre potenzialmente il malware).
Anche BMR sta dimostrando la sua età. È stato costruito per i computer fisici, quando molti reparti IT richiedevano giorni o addirittura settimane per il provisioning di un server. Ma la virtualizzazione ha cambiato tutto questo.
Inoltre, il BMR è stato costruito prima del cloud e dell'infrastructure-as-a-service (IaaS), che offrono un'alternativa economica e prontamente disponibile all'hardware di riserva.
Se il vostro attuale piano di ripristino dell'AD si basa sul BMR o se state considerando nuove funzionalità di ripristino automatico che si basano sul BMR (per ripristinare i DC quando l'hardware o il sistema operativo sono danneggiati), ecco alcuni elementi da considerare.
Reinfezione
BMR esegue il backup e ripristina tutto ciò che si trova sul DC, compresi il sistema operativo (OS), il registro, i file di sistema e così via. Questo non è un male se un incendio o un'alluvione distruggono i vostri DC e dovete ripristinare AD su un nuovo hardware. Ma è una cosa molto negativa se i DC vengono colpiti da un attacco informatico.
Quando un intruso installa rootkit, ransomware o altro malware sui vostri DC, tutti gli eseguibili e le DLL sono inclusi nei backup BMR. Quando si esegue un ripristino BMR, il malware non desiderato viene ripristinato insieme al sistema operativo, al registro di sistema, al database AD e a tutti gli altri elementi desiderati. (Si noti che il malware può essere reintrodotto anche quando si ripristina da backup dello stato del sistema).
Ecco una dimostrazione che illustra il rischio di reinfezione con il BMR:
In alcuni casi, è possibile identificare e rimuovere il malware dopo il ripristino. Personalmente non mi sentirei a mio agio con questo approccio e lo prenderei in considerazione solo come ultima risorsa (quando non sono disponibili altre opzioni di ripristino). Di certo non consiglio di progettare il piano di ripristino dell'AD in base a questo approccio.
Perdita di dati
Se i DC sono infetti al momento dell'esecuzione dei backup BMR, o se si sospetta che lo siano, l'approccio tradizionale consiste nel tornare a un backup precedente. Ma quanto indietro si dovrebbe andare? Il malware può rimanere latente e passare inosservato per settimane o addirittura mesi, quindi potrebbe essere necessario tornare indietro di molto.
Naturalmente, più si va indietro, più dati si perdono. Si potrebbero eseguire backup giornalieri per un RPO (recovery point objective) di 24 ore, ma se si deve tornare indietro di 2 mesi per ottenere un buon backup, si sta perdendo lo SLA alla grande. E dato il numero di modifiche alla directory effettuate ogni giorno, la perdita di dati si fa sentire.
Interruzioni prolungate
Ogni minuto di inattività ha un costo reale per l'azienda. Tuttavia, il BMR allunga i tempi di recupero in diversi modi:
Configurazione hardware: BMR è progettato per il ripristino su hardware compatibile. A meno che non possiate permettervi un hardware di standby duplicato, avrete bisogno di almeno uno o due giorni per procurarvi un nuovo hardware. Questo non rientra nel tipico RTO (recovery time objective) per le infrastrutture critiche (come AD) e le applicazioni di primo livello. E se un cyberattacco colpisce molte organizzazioni e causa carenze di hardware, l'approvvigionamento può richiedere molto più tempo. È possibile ricorrere a soluzioni di ripristino su hardware alternativo (come l'iniezione di driver), ma richiedono tempo e comportano rischi aggiuntivi.
Recupero del backup: Poiché contengono l'intero sistema, i backup BMR sono grandi. Lo sapevo per esperienza, ma volevo quantificarlo, quindi ho eseguito un semplice test nel mio laboratorio utilizzando un DC Windows Server 2016 "vanilla" con un AD essenzialmente vuoto (per determinare l'overhead associato a diversi metodi di backup). Ho usato Windows Server Backup per eseguire un backup BMR (oltre a un backup dello stato del sistema) e ho usato Semperis AD Forest Recovery per eseguire un backup Semperis (che estrae l'AD dal sistema operativo Windows sottostante). Ecco i risultati (non compressi):
I backup più grandi consumano più spazio di archiviazione e larghezza di banda di rete e tendono a verificarsi con minore frequenza (ad esempio, settimanalmente o dopo il patch Tuesday). Inoltre, durante il ripristino, richiedono più tempo per essere recuperati (soprattutto se archiviati nel cloud).
Selezione del backup: Trovare un backup BMR pulito è un processo iterativo (recuperare, montare, estrarre, testare, ripetere) che richiede tempo quando ogni minuto è costoso.
Rielaborazione: Il ripristino di AD da un backup BMR più vecchio (e si spera pulito) richiede la ricreazione delle modifiche alle directory, la riconfigurazione delle applicazioni, il ricongiungimento delle workstation, ecc. - e tutto questo lavoro di rielaborazione richiede tempo e sforzi considerevoli.
Falso recupero: Il BMR comporta un elevato grado di incertezza: i DC sono stati infettati, quando sono stati infettati, quanto indietro devo andare? Potreste scoprire di non essere andati abbastanza indietro fino a quando non avrete completato il processo di ripristino dell'AD o sarete già a buon punto. Il ripristino dell'AD non è un compito semplice, quindi ricominciare da capo è particolarmente doloroso.
Conclusione
I tempi cambiano e anche i nostri piani di DR devono cambiare. I cyberattacchi sono un pericolo chiaro e presente che non può essere ignorato. Sebbene il BMR possa affrontare alcuni scenari di ripristino, il ripristino dell'AD dopo un cyberattacco non è uno di questi.
