No mês passado, tive a oportunidade de falar com o meu amigo de longa data Guido Grillenmeier, que é actualmente Chief Technologist na DXC Technology. Em 2007-2008, o Guido e eu trabalhámos juntos, desenvolvendo e apresentando os workshops de recuperação de desastres "Active Directory Masters of Disaster" na Directory Experts Conference. Na altura, este era o único local onde os profissionais de TI podiam obter experiência prática na recuperação de toda uma floresta do Active Directory a partir de cópias de segurança. Guido e eu falamos sobre como o ransomware moderno aumentou drasticamente o risco de um colapso total do Active Directory. No entanto, o processo real de recuperação do Active Directory não mudou nada em 15 anos.
Naquela época, as discussões sobre a recuperação do Active Directory (AD) se concentravam na possibilidade de interrupções causadas por eventos localizados. Os culpados mais comuns nestas discussões eram incêndios, furacões e problemas eléctricos no centro de dados. Na pior das hipóteses, era uma falha na actualização do esquema que corrompia os controladores de domínio, algo que raramente acontecia.
Hoje, no entanto, o cenário de ameaças mudou. A prevalência do ransomware significa que as empresas têm de lidar com a possibilidade real de um agente de ameaças paralisar todo o seu ambiente de TI - tudo, incluindo o AD. A ideia de ter de recuperar o Active Directory a partir do zero já não é teórica. Agora deve ser uma parte crítica do planeamento de resposta a incidentes.
Leitura relacionada
Fazer-Desenvolver um plano detalhado de recuperação de AD
No que diz respeito ao planeamento da recuperação, as organizações actuais têm de estar preparadas para interrupções causadas por uma multiplicidade de cenários: eliminação acidental de objectos do AD, controladores de domínio avariados, alteração acidental de atributos do AD e recuperação de uma partição ou de uma floresta inteira.
A recuperação dos primeiros cenários é relativamente fácil. Por exemplo, a activação da funcionalidade da reciclagem oferece uma forma prática de recuperar da eliminação acidental de objectos. A alteração acidental de atributos pode ser resolvida identificando e aproveitando as cópias de segurança que contêm as informações necessárias para restaurar os atributos ao normal. As ferramentas de terceiros também podem permitir que os utilizadores revertam quaisquer alterações.
Os cenários mais desafiadores envolvem a recuperação de uma partição ou floresta. Lidar com esta situação requer um planeamento detalhado que se estende a saber que comandos individuais serão executados em que máquina. Devido à complexidade de todo o processo, este nível de detalhe de planeamento é necessário. No rescaldo de um ataque, a tensão será elevada, e quanto menos pensar de improviso for necessário, melhor.
A implementação dos planos de recuperação pode ser dividida em cinco fases:
- Fase de pré-recuperação
- Floresta inicial
- Limpar e verificar
- Aumento de escala
- Concluir
A fase de pré-recuperação é quando se reúne a equipa de recuperação, se implementa o plano de comunicação empresarial, se começa a colaborar com as outras equipas com as quais é necessário trabalhar e se verificam as cópias de segurança que serão utilizadas para a recuperação e, em particular, se as próprias cópias de segurança não estão infectadas. A fase de pré-recuperação termina com o encerramento de todos os controladores de domínio no ambiente.
A fase seguinte da recuperação consiste em criar a floresta inicial a partir do backup. Isso envolve:
- Restaurar o primeiro controlador de domínio (DC) no domínio a partir da cópia de segurança.
- Remover a partição do Catálogo Global
- Ajustar o pool RID
- Assumir os papéis de OMAPE
- Limpar os metadados - referências a controladores de domínio que já não existem
- Redefinição de credenciais e informações de confiança
- Repita estes passos para os outros domínios da floresta
- Esta fase termina quando recriar a partição do catálogo global nos DCs apropriados e a replicação, autenticação e política de grupo estiverem a funcionar correctamente em toda a floresta.
Quando houver DCs suficientes, as outras equipas de recuperação podem começar a colocar as aplicações novamente em linha.
Para que um plano de recuperação do AD seja eficaz, as organizações precisam de compreender as dependências dos diferentes sistemas e serviços que utilizam o AD no seu ambiente. O conhecimento destas informações é crucial para determinar como sequenciar a recuperação de várias aplicações. Todos os computadores ou aplicações que estão ligados a um domínio AD devem ser tidos em conta durante este processo. Qualquer erro pode causar falhas nos serviços e abrandar o ritmo da recuperação.
Tal como qualquer outro plano de resposta a incidentes, este deve ser praticado periodicamente. Os líderes de TI devem configurar um ambiente de teste em anfitriões virtuais e tentar recuperar florestas do AD a partir de cópias de segurança. O facto de se sentirem confortáveis com o plano de recuperação aumenta as probabilidades de a implementação correr melhor no caso de um incidente real.
Não se esqueça de tratar dos aspectos básicos
Impedir os ataques é muito melhor do que recuperá-los depois de o seu ambiente ter sido atingido. A adopção das melhores práticas de segurança torna mais difícil que o malware explore sistemas vulneráveis e migre para outra máquina. A principal destas práticas é uma boa gestão de patches. Ficar para trás na aplicação de patches prejudica até mesmo o planeamento de segurança mais complexo. Muitas variantes de ransomware aproveitam as vulnerabilidades para se infiltrarem na empresa. Na luta contra o ransomware, manter os sistemas actualizados com patches de segurança é uma obrigação. Quando as organizações detetaram o WannaCry em maio de 2017, descobriram que este explorava uma vulnerabilidade que a Microsoft já tinha corrigido no início do ano. As organizações que são lentas a aplicar patches ou que utilizam sistemas não suportados arriscam-se a deixar uma porta aberta para os atacantes. Uma vez lá dentro, o AD tornar-se-á quase de certeza um alvo.
O próximo passo na lista de boas práticas deve ser a aplicação do princípio do menor privilégio. Dar aos utilizadores acesso de administrador nos seus dispositivos ajuda os hackers criminosos a ultrapassar um obstáculo crítico. A elevação de privilégios é um passo crucial para expandir a posição que os atacantes têm no ambiente comprometido, tornando o AD um alvo atractivo. Seguir as melhores práticas para proteger o AD, como a monitorização contínua, a implementação de um modelo de nível administrativo e o funcionamento dos DCs do AD como um núcleo de servidor, reduz a superfície de ataque e diminui o risco.
Fazer - Manter algumas das suas cópias de segurança offline
Se um ataque de ransomware for bem sucedido, qualquer sistema ligado à rede é susceptível de ser encriptado. No caso do ataque à Maersk, a empresa terá conseguido recuperar o seu AD essencialmente devido à sorte - uma falha de energia tinha colocado um controlador de domínio offline na altura do ataque, deixando um único controlador de domínio disponível para a empresa recuperar. Passaram-se cerca de duas semanas até que a empresa conseguisse reemitir computadores pessoais para a maioria dos funcionários.
Se as cópias de segurança forem guardadas num servidor não associado ao domínio, este oferece um local seguro para começar a recuperação do AD. As empresas devem separar uma parte da sua Rede de Área de Armazenamento (SAN) e copiar as suas cópias de segurança para lá de forma segura e offline. Outra estratégia é utilizar ferramentas de terceiros para copiar imagens de cópia de segurança para o armazenamento de blob do Azure ou AWS. Manter as cópias de segurança offline elimina a sorte da equação, garantindo a existência de uma cópia não afectada do Active Directory para ajudar a empresa a reduzir o tempo de recuperação.
Não assuma que o seguro cibernético o salvará
Afinal, tempo é dinheiro, e cada momento em que a empresa está em baixo tem um preço. Os custos das oportunidades perdidas pelos clientes e da correcção de incidentes não estão a diminuir, o que faz do ciberseguro uma necessidade para as empresas. No entanto, enquanto o custo dos prémios de ciberseguros aumenta, a possibilidade de as companhias de seguros não cobrirem as perdas é real. Por exemplo, a Mondelez International processou a Zurich Insurance depois de esta se ter recusado a pagar um pedido de indemnização de 100 milhões de dólares apresentado pela Mondelez após ter sido infectada pelo NotPetya. A Zurich justificou a decisão invocando uma cláusula de "exclusão de guerra" e alegando que o ataque era o resultado de uma guerra cibernética.
Certifique-se de que a administração não está a contar com a perspectiva de uma apólice de seguro para os salvar. Embora as apólices de seguro cibernético ofereçam um nível de protecção financeira, a verdadeira protecção advém de práticas de segurança sólidas e de um planeamento adequado.
Mas espere, há mais
O Guido e eu gostámos tanto desta discussão que decidimos organizar um webinar que aborda em pormenor estes e muitos outros prós e contras da recuperação de desastres do Active Directory. Pode encontrá-lo aqui. Veja-o e diga-me o que pensa.
Os tempos mudaram. As abordagens empresariais à recuperação do AD também têm de mudar.
