Kriss Stephen | Arquiteto de soluções principal

As empresas modernas não conseguem funcionar sem identidade. Quando os sistemas de identidade falham, a atividade empresarial pára. Caso a sua organização seja alvo de um ciberataque ou de outra crise cibernética, a capacidade de recuperar rapidamente os sistemas de identidade para um estado fiável e seguro é o primeiro passo para recuperar a sua Empresa Mínima Viável (MVC), por vezes designada por Negócio Mínimo Viável (MVB). E esse é o primeiro passo para colocar toda a sua empresa novamente em funcionamento.

O que é o MVC, como se determina, qual é a sua relação com a identidade e como se pode garantir a sua recuperação?

Para responder a estas perguntas, vamos analisar uma empresa fictícia: a Megakorp, uma empresa que desenvolve e fabrica componentes de automação industrial de nível empresarial utilizados por outros fabricantes em todo o mundo.

Nota: Este blogue centra-se na recuperação da Minimum Viable Company (MVC) em ambiente local. Abordarei cenários de recuperação da MVC na nuvem no meu próximo post.


O panorama atual da identidade

Nas empresas modernas, quase tudo gira em torno da identidade. É por isso que hoje consideramos a identidade como o perímetro de segurança moderno. Para a maioria das organizações, a identidade começa com o Active Directory (AD) e estende-se até à nuvem (por exemplo, Entra ID, Okta) para dar suporte a aplicações modernas baseadas em SaaS (Figura 1).

Figura 1. A infraestrutura híbrida moderna de identidade

O que é a «Empresa Mínima Viável» e como se aplica à identidade?

A KPMG, empresa global de serviços profissionais, define a «Empresa Mínima Viável» como «a versão mais reduzida possível de uma organização que ainda consegue funcionar e prestar serviços aos clientes, caso um incidente provoque a paralisação de parte ou partes das operações e dos sistemas».

A PwC define o MVC como «a identificação dos serviços, processos e funções essenciais que devem permanecer operacionais para manter a viabilidade financeira, operacional e estratégica da organização numa situação de crise».

Uma vez que a identidade é fundamental para as operações empresariais, constitui o componente mais importante da sua Empresa Mínima Viável. Sem uma infraestrutura de identidade operacional, os utilizadores não conseguem autenticar-se, as aplicações não arrancam, a VPN falha e o acesso de administrador torna-se impossível.


Um dia na vida da Megakorp

Tal como muitas empresas modernas, o nosso exemplo fictício, a Megakorp, estende as suas identidades locais ao Entra ID para dar suporte a aplicações baseadas em SaaS, como o Microsoft 365. A Figura 2 ilustra o ambiente do Active Directory da Megakorp em condições normais de funcionamento.

Figura 2. Implementação global padrão do Active Directory da Megakorp

Como ilustra este diagrama, a Megakorp opera dois centros de dados principais que alojam e prestam serviços a cargas de trabalho de infraestruturas críticas, tais como VPN, RADIUS, ERP, SQL, Entra ID Connect e sistemas de cópia de segurança e recuperação. A estes centros de dados principais estão ligadas várias instalações regionais, bem como uma fábrica de produção de importância crítica.


A perspetiva do Conselho de Administração: O tempo de inatividade é mais do que um problema de TI

Como fornecedora de componentes essenciais para fabricantes em todo o mundo, quando a Megakorp pára, os seus clientes também param.

O Conselho de Administração da Megakorp compreendeu que uma interrupção prolongada não seria apenas um problema financeiro, mas também um problema de reputação. Esta realidade levou a organização a encarar a resiliência não como uma métrica de TI, mas como um imperativo essencial para o negócio.

Com base em incidentes anteriores noticiados nos meios de comunicação social envolvendo organizações semelhantes, a Megakorp decidiu definir e compreender o que o conceito de «Empresa Mínima Viável» significava para o seu negócio. Reconhecendo que a verdadeira resiliência cibernética não começa durante um incidente, mas sim meses ou mesmo anos antes, o Conselho de Administração encomendou um programa de investigação, documentação e análise.


A Megakorp e os 5 Ps

O que são os 5 P? Um planeamentoadequado evita um desempenho insatisfatório.

A Megakorp introduziu manuais de procedimentos, manuais operacionais, exercícios simulados e um processo de aperfeiçoamento contínuo para garantir que a organização pudesse responder de forma rápida e segura caso fosse necessário.

A equipa de identidade determinou que eram necessários dois controladores de domínio (DCs) em cada local principal para dar apoio à análise forense pós-violação, aos esforços de correção e à restauração dos serviços de autenticação iniciais (Figura 3). Assim que a conectividade da rede global fosse restabelecida, os locais regionais poderiam continuar a autenticar-se através da WAN.

Figura 3. Active Directory mínimo da Megakorp

Pessoas: O elemento humano do MVC

Durante a fase de planeamento, tornou-se imediatamente evidente para a Megakorp que as pessoas desempenhariam o papel mais importante em qualquer esforço de recuperação. No âmbito tanto do plano MVC de recuperação de identidade como da estratégia MVC empresarial mais ampla, a Megakorp definiu quem seria responsável, quem prestaria contas, quem seria consultado e quem seria informado ( RACI) em cada fase do processo de recuperação. Ao fazê-lo, a empresa garantiu que, quando uma tarefa precisasse de ser executada, não houvesse ambiguidade quanto ao responsável.


Flexibilidade e tolerância a falhas durante a recuperação

No âmbito da estratégia global de recuperação de identidade, a Megakorp receava que a falha de um único centro de dados durante a recuperação pudesse paralisar todo o processo. Para mitigar este risco, a Megakorp determinou que o seu processo de recuperação de identidade deveria ser simultaneamente tolerante a falhas e flexível (Figura 4).

Figura 4. O Semperis Active Directory Forest Recovery ADFR) permite a tolerância a falhas

A Megakorp também reconheceu que os requisitos legais impostos por entidades internas ou externas, tais como as autoridades policiais, poderiam impedir a reutilização do seu hardware original. Por conseguinte, o seu plano de recuperação MVC tinha de permitir a restauração dos serviços de identidade em diferentes plataformas; por exemplo, de servidores físicos para máquinas virtuais ou mesmo de um fornecedor de identidade na nuvem para outro.

Ficou também claro que o espaço de endereços IP existente da empresa poderia não estar disponível durante ou após a recuperação. Consequentemente, o plano de recuperação teve de ter em conta cenários em que a infraestrutura teria de ser reconstruída utilizando um novo esquema de endereçamento de rede (Figura 5).

Figura 5. O Semperis ADFR uma recuperação flexível

Por que a Megakorp evitou a recuperação do estado do sistema e a recuperação a partir do hardware

Uma das principais preocupações da Megakorp era perceber como proceder à recuperação de forma segura e sem malware. A equipa rapidamente percebeu que os métodos tradicionais de recuperação, como a recuperação do estado do sistema e a recuperação a partir do zero (BMR), podiam acarretar o risco de restaurar sistemas operativos comprometidos ou de reintroduzir malware no ambiente.

A Megakorp também estava preocupada com a data a que os cópias de segurança teriam de ser restauradas para evitar com segurança uma nova infeção.

Devido a estas preocupações, a Megakorp decidiu que a recuperação da sua infraestrutura de identidade deveria permitir a reconstrução dos centros de dados em sistemas operativos limpos, garantindo um processo de recuperação isento de malware. Recuperar o MVC de identidade e correr o risco de ser novamente comprometido devido à persistência baseada no sistema operativo era simplesmente inaceitável.


Para além do MVC: Uma abordagem de recuperação por fases

Consciente de que a restauração do MVC representa apenas a fase inicial da recuperação, a Megakorp compreendeu que outras aplicações, infraestruturas e cargas de trabalho essenciais seriam gradualmente repostas em funcionamento.

Para apoiar esta iniciativa, a organização planeou a reintrodução gradual de infraestruturas de identidade adicionais, à medida que o tempo e os recursos o permitissem (Figura 6).

Figura 6. O Semperis ADFR uma recuperação por fases

O pior dia de sempre.

Todo esse planeamento existia por uma única razão: o dia que a Megakorp esperava que nunca chegasse.

E então aconteceu.

Um dia, a Megakorp enfrentou o pior cenário possível: um ataque destrutivo de ransomware que paralisou grande parte da sua infraestrutura de TI. A automação na linha de produção deixou de funcionar, os funcionários não conseguiam iniciar sessão, os sistemas ficaram offline e tudo começou a falhar.

Mas havia um plano. Um plano já testado e comprovado.

Após a contenção e a análise forense inicial após a violação, a Megakorp ativou a sua estratégia de recuperação «Minimum Viable Company».

No âmbito deste planeamento, a Megakorp determinou que a plataforma de recuperação de identidades devia funcionar de forma independente do ambiente de produção. Isto garantiu que as capacidades de recuperação continuariam disponíveis mesmo que a infraestrutura principal tivesse sido totalmente comprometida.

A empresa ativou o seu ambiente de recuperação isolado (IRE). Foram provisionados seis servidores em branco e ADFRam Active Directory Forest Recovery foram instalados e colocados em funcionamento.

Com ADFR, a equipa restaurou rapidamente os seis centros de dados que compunham a estrutura MVC de identidade.

Assim que o MVC de identidade foi restaurado e ficou disponível, deram-se início às atividades de contenção pós-violação e de Análise Forense de Identidade e Resposta a Incidentes (IFIR). Os sistemas foram reforçados e foi introduzida uma estrutura de camadas administrativas.

Nesta altura, o MVC no que dizia respeito à identidade já tinha sido recuperado com sucesso (Figura 7). Como a organização tinha dado prioridade à resiliência da identidade, conseguiu restaurar os serviços de identidade que sustentam a autenticação, a autorização e a auditoria (AAA) dentro do seu objetivo de tempo de recuperação (RTO) acordado. Esta ação permitiu que as cargas de trabalho críticas de autenticação fossem retomadas e que a «Minimum Viable Company» (MVC) em geral voltasse a funcionar.

Figura 7. O MVC recuperado

Resiliência empresarial: da sobrevivência à estabilidade

Com o MVC restaurado, protegido e reforçado, e os níveis de stress das partes interessadas a começarem a diminuir, a Megakorp conseguiu reintroduzir gradualmente infraestruturas adicionais para dar resposta ao aumento das cargas de trabalho AAA.

Sendo uma empresa global, nem todas as regiões conseguiram restabelecer as infraestruturas ao mesmo ritmo. À medida que a Ásia-Pacífico, o Canadá e a Europa foram repondo as infraestruturas em funcionamento, a Megakorp recuperou centros de dados adicionais para dar apoio aos serviços de autenticação regionais.

Nesta fase, a maioria das aplicações, utilizadores e sistemas da Megakorp voltaram a conseguir autenticar-se localmente. Os sistemas na América Latina continuaram a autenticar-se globalmente através da WAN, graças à natureza tolerante a falhas do Active Directory (Figura 8).

Figura 8. Recuperação da Fase 2

Após várias fases de implementação e aquisição de infraestruturas, o ambiente global do Active Directory, a meio do processo de recuperação, assemelhava-se ao ilustrado na Figura 9.

Figura 9. Recuperação na Fase 4

Após a conclusão do processo de recuperação, a infraestrutura de identidade totalmente restaurada apresentava-se conforme ilustrado na Figura 10. Durante a recuperação, a Megakorp tomou a decisão deliberada de reduzir o número de centros de dados a nível global, e o ambiente final reflete esta arquitetura atualizada.

Figura 10. Recuperação da Fase 5

Nessa altura, as operações globais estavam totalmente restabelecidas, com as aplicações, os utilizadores e os sistemas em todas as regiões a conseguirem autenticar-se localmente.


Construir o MVC alargado com base na identidade

Com a identidade estabilizada e a autenticação restabelecida, a Megakorp podia agora começar a recuperar com segurança todo o ambiente empresarial.

À medida que o tempo e os recursos o permitiam, a empresa foi repondo gradualmente o resto do ambiente em funcionamento. Todo o processo de recuperação seguiu as etapas descritas na Figura 11.

Figura 11. Nas fases de recuperação, tudo depende da identidade

Depois de tudo se acalmar

Com a Megakorp já a superar a fase de recuperação e as operações de volta ao normal, foram implementadas novas políticas e processos para reduzir a probabilidade de que algo semelhante volte a acontecer.

A recuperação reforçou uma lição importante:

  • É preciso, antes de mais, restaurar a identidade.
  • A autenticação deve seguir-se.
  • Os sistemas podem então ser devolvidos.
  • É possível retomar as candidaturas.
  • A empresa vai sobreviver.

A organização também integrou as lições aprendidas durante este incidente nos seus procedimentos de recuperação, garantindo que, caso tal situação volte a ocorrer, estará ainda mais eficiente e melhor preparada para recuperar.

O pior dia da Megakorp provou uma coisa: quando a identidade sobrevive, o negócio também sobrevive.

Para saber como a Semperis pode ajudá-lo a garantir a recuperação do seu MVC (e do seu negócio), marque uma demonstração.


Recursos adicionais