Thomas Leduc

Quando uma tempestade se aproxima, aquele que está mais preparado é o que melhor a resistirá. Para as TI, esta tempestade é digital, uma enxurrada de ciberataques que, de forma rotineira, atinge as margens do Microsoft Active Directory (AD).

O AD é um alvo interessante, e todos sabemos porquê. É a chave para um atacante elevar os privilégios, e o impacto de uma interrupção pode ser catastrófico. No passado, a maior ameaça ao AD poderia ter sido uma catástrofe natural ou um erro operacional. Actualmente, é o número crescente de ciberataques rápidos, o que coloca uma questão crítica: até que ponto as organizações estão preparadas para recuperar se os seus controladores de domínio forem infectados por ransomware ou completamente eliminados?

Para o descobrir, inquirimos mais de 350 profissionais de segurança de TI, líderes de IAM e executivos de nível C. No nosso estudo de 2020 "Recuperar o Active Directory de desastres cibernéticosdescobrimos que, embora as empresas estejam cientes dos riscos, seus processos de recuperação estão atrasados. Apesar de 97% das organizações inquiridas terem afirmado que o AD é essencial, mais de metade nunca testou o seu processo de recuperação de desastres cibernéticos do AD ou não tem um plano implementado.

Eis as nossas principais conclusões:

  • As empresas estão conscientes de que uma paragem da DA teria um impacto significativo nas operações. Quase todos os inquiridos (97%) afirmaram que o AD é essencial para a empresa e 84% disseram que uma falha do AD seria significativa, grave ou catastrófica.
  • Muitas organizações não estão confiantes na sua capacidade de recuperar o AD rapidamente. A maioria dos inquiridos (71%) mostrou-se apenas um pouco confiante, não confiante ou insegura quanto à sua capacidade de recuperar o AD para novos servidores em tempo útil. Apenas uma pequena parte (3%) disse estar "extremamente confiante".
  • A maioria das organizações não testou o seu plano de recuperação de AD. Os inquiridos expressaram muitas preocupações sobre a recuperação do AD, sendo a falta de testes a preocupação número um. Isso inclui organizações que não testaram a recuperação de AD e aquelas que tentaram, mas não conseguiram.

Inquérito respondentes rança "Falta de testes" como top concern feguido por "Falta de plano de recuperação"

Tão crítico quanto Activo Directório seja crítico para as empresas, estas têm dificuldade em geri-lo de forma segura enquanto adoptam a computação em nuvem e as forças de trabalho remotas. A crescente complexidade dos ambientes de TI aumentou a complexidade da gestão do AD, e o efeito cascata desta realidade afecta directamente a resposta a incidentes. Apenas 34% dos inquiridos afirmaram que a sua organização compreende a complexidade da recuperação florestal. Embora essa estatística seja baixa, ela também não é surpreendente. Num extenso guia técnico, a Microsoft enumera o processo manual multithread de 28 passos necessário para efectuar uma recuperação florestal, e o processo é maioritariamente manual. Pior ainda, não há como saber se um erro foi cometido até o final - e então você tem que começar de novo.

Os testes são naturalmente uma parte vital para evitar erros. No entanto, as organizações também estão a falhar neste aspecto. De acordo com o inquérito, 33% - o maior grupo - afirmaram ter um plano de recuperação de ciberdanos AD, mas nunca o testaram. Vinte e um por cento não têm qualquer plano, e apenas 15% afirmaram ter um plano e tê-lo testado nos últimos seis meses. Sem uma avaliação regular, os processos de recuperação podem ter informações desactualizadas sobre a topologia do AD, o que pode dificultar os tempos de recuperação no caso de um incidente.

É fácil perceber porque é que estes planos não são testados. A recuperação de AD não é geralmente um exercício simples e a falta de automatização pode tornar o processo incómodo e susceptível de erros-e propenso a erros. Além disso, historicamente, ter de recuperar uma implementação do AD a partir do zero era improvável. No entanto, considerando que os ataques cibernéticos causam mais danos e ocorrem com mais frequência do que os desastres naturais, é hora de pensar "cibernético primeiro". O seu manual de recuperação de desastres aborda esta realidade?

Foco na segurança do AD e na estratégia de recuperação

A boa notícia é que a maioria dos inquiridos compreende a importância do Active Directory para os seus negócios. Oitenta e quatro por cento dos inquiridos afirmaram que sofreriam um impacto significativo, grave ou catastrófico se ocorresse uma falha do Active Directory. A primeira prioridade, então, deve ser tornar o AD um alvo mais difícil. Reduza a superfície de ataque seguindo as práticas recomendadas, como a implementação de monitoramento contínuo, o uso de um modelo de camada administrativa e a aplicação imediata de patches.  

Quando se trata de se preparar para um cenário que envolve a recuperação de uma partição ou floresta, os planos devem ser extremamente detalhados, até os comandos individuais que serão executados em uma determinada máquina. O stress de lidar com um ataque já é suficientemente mau. Em nossa inquérito, a grande maioria dos inquiridos (69%) afirmaram estar cada vez mais preocupados com o impacto que um ciberataque pode ter na sua carreira. Ter planos detalhados tornará o rescaldo de um ataque menos stressante ao eliminando a incerteza e reduzindo a necessidade de pensar em improviso.

Em da Da mesma forma, habituar-se ao plano de recuperação através da prática grande diferença também. As organizações devem criar um ambiente de teste em anfitriões virtuais e tentar recuperar florestas do AD a partir de cópias de segurança. Aumentar o nível de conforto com o plano de recuperação aumenta a probabilidade de este correr bem se alguma vez tiver de ser utilizadoe todos nós dormiremos melhor à noite.

Preparados ou não, o cenário de ameaças para o AD está a evoluir rapidamente. O foco na protecção do AD e na recuperação de ciberataques tem de evoluir com ele. Para obter uma visão completa dos resultados do inquérito, descarregue o relatório aqui.