I cyberattacchi si stanno rapidamente evolvendo in termini di sofisticazione e scala. La linea di demarcazione tra il regno digitale e quello fisico è diventata sempre più labile. I cyberattaccanti stranieri hanno usato malware distruttivi per cancellare i dati dai dischi rigidi e si sono infiltrati nei sistemi industriali. In futuro potrebbero compiere mosse altrettanto dannose, visti i recenti eventi politici e le minacce verbali.
Chiunque sia responsabile della preparazione informatica dell'organizzazione si trova in un momento importante. L'adagio "la miglior difesa è un buon attacco" non si applica a questo caso. In questo caso, la miglior difesa è una buona difesa.
In pratica, è necessario disporre di un piano di risposta agli incidenti (IR) e di un piano di continuità operativa (BCP) pronti e testati. Dovete andare oltre l'identificazione dei rischi - cercando di proteggervi da essi con metodi come l'autenticazione multifattoriale e di rilevarli con scanner di virus e sistemi SIEM - e rispondere ad essi. È necessario seguire tutto il percorso e pensare in anticipo a come riprendersi.
I servizi di identità sono al centro della maggior parte degli obiettivi delle minacce costanti avanzate (APT). Sapendo questo, è intelligente testare il BCP e il piano di disaster recovery (DRP) di Active Directory (AD) almeno ogni 13 mesi. Il motivo per cui molte persone non lo fanno è che è banale e difficile da eseguire correttamente. Eseguire un test di ripristino sull'ambiente di produzione non è un'opzione, e testare un ambiente vanilla è utile solo in parte. L'approccio più efficace è quello di eseguire un backup dell'ambiente di produzione e ripristinarlo in un laboratorio isolato.
Ai nostri clienti diciamo che il modo migliore per testare i piani BCP e DRP è quello di mappare i processi organizzativi critici alle applicazioni che li supportano e, in ultima analisi, all'infrastruttura che supporta tali applicazioni. Non esistono due organizzazioni esattamente uguali e per alcune il ripristino della sede centrale (HQ) potrebbe essere la priorità più alta, con le filiali a seguire (uno scenario comune per le istituzioni finanziarie), mentre per altre potrebbe essere il contrario (uno scenario comune per le aziende manifatturiere).
Decidere di avere lo stesso accordo sul livello di servizio (SLA) per tutta l'infrastruttura è la decisione più semplice da prendere, ma nella maggior parte dei casi significa che le applicazioni critiche saranno nella stessa coda di quelle non critiche. Nella maggior parte delle aziende, questo significa che tutte le strade portano all'AD. Ciononostante, abbiamo visto che la pianificazione del ripristino dell'AD viene spesso trascurata, anche se è uno dei componenti più critici di qualsiasi tipo di approccio cyber-first al ripristino.
L'AD DR è un processo arduo. L'azienda danese Maersk ha impiegato nove giorni per ripristinare il suo AD dall'attacco malware NotPetya del 2017. Secondo Andy Powell, CISO di Maersk, circa 55.000 dispositivi della rete mondiale sono stati completamente infettati in sette minuti.
In caso di disastro informatico, l'AD è mission-critical perché è fondamentale per il ripristino di tutto il resto della rete. Finché non si è riusciti a recuperare l'AD, non si può fare molto altro. Non basta spegnere i sistemi una volta iniziato l'attacco. È necessario comprendere i probabili vettori di attacco e i potenziali punti deboli e ipotizzare che anche i server AD di backup possano essere compromessi.
Il consiglio di Andy Powell è di assicurarsi di poter recuperare l'AD in meno di 24 ore. Quindi, la domanda sorge spontanea: Quando è stata l'ultima volta che avete testato il vostro piano di ripristino dell'AD? E, cosa altrettanto importante, il vostro piano di ripristino dell'AD è stato aggiornato per includere scenari informatici come un attacco ransomware o wiper?
Per concludere, a volte è necessaria una minaccia imminente perché le aziende prendano sul serio i loro piani fondamentali di rilevamento e risposta alle minacce. Questo è un buon momento per cercare di colmare le lacune dei vostri piani BCP e DRP cercando gli anelli più deboli, a partire dall'infrastruttura AD e dalle applicazioni che vi si appoggiano.
Professionisti della sicurezza AD, questo è il vostro momento di brillare. L'AD non è solo ugualmente critico rispetto agli altri livelli di qualsiasi strategia di sicurezza, ma al giorno d'oggi lo è ancora di più. È vostra la sfida e la responsabilità di convincere il resto del team che l'AD deve essere al centro del vostro piano di difesa.
