Mickey Bresman Director Executivo, Semperis

Os ciberataques estão a evoluir rapidamente em termos de sofisticação e escala. A linha entre o domínio digital e o domínio físico tornou-se mais ténue. Os ciberataques estrangeiros utilizaram malware destrutivo para apagar dados de discos rígidos e infiltraram-se em sistemas industriais. No futuro, poderão tomar medidas igualmente prejudiciais, tendo em conta os recentes acontecimentos políticos e as ameaças verbais.

Qualquer pessoa responsável pela preparação da organização para o ciberespaço está numa posição importante neste momento. O ditado "a melhor defesa é um bom ataque" não se aplica aqui. Neste caso, a melhor defesa é uma boa defesa.

Na prática, é necessário ter um plano de resposta a incidentes (IR) e um plano de continuidade da actividade (BCP) prontos e testados. É preciso ir além da identificação de riscos - tentando proteger-se contra eles com métodos como a autenticação multifactor e detectá-los com scanners de vírus e sistemas SIEM - e responder a eles. É necessário seguir até ao fim e pensar antecipadamente na forma como se vai recuperar.

Os serviços de identidade estão no cerne da maioria dos alvos de ameaças persistentes avançadas (APT). Sabendo isto, é inteligente testar o seu BCP do Active Directory (AD) e o plano de recuperação de desastres (DRP) a cada 13 meses, no mínimo. A razão pela qual mais pessoas não fazem isso é que é mundano e difícil de fazer corretamente. Efectuar um teste de restauro no ambiente de produção não é uma opção, e testar um ambiente simples é apenas parcialmente útil. Fazer um backup do ambiente de produção e restaurá-lo num laboratório isolado é a abordagem mais eficaz.

Dizemos aos nossos clientes que a melhor forma de testar os seus planos de BCP e DRP é mapear os processos organizacionais críticos para as aplicações que os suportam e, por fim, para a infra-estrutura que suporta essas aplicações. Não existem duas organizações exactamente iguais e, para algumas, o restabelecimento da sede (HQ) pode ser a prioridade máxima, seguindo-se as sucursais (um cenário comum para as instituições financeiras), enquanto para outras pode ser o contrário (um cenário comum para as empresas de produção).

Decidir ter o mesmo acordo de nível de serviço (SLA) para toda a sua infra-estrutura é a decisão mais fácil de tomar, mas na maioria dos casos significa que as aplicações críticas estarão na mesma fila que as não críticas. Na maioria das empresas, isso significa que todos os caminhos levam ao AD. Apesar disso, vimos que o planeamento da recuperação do AD é muitas vezes ignorado, apesar de ser um dos componentes mais importantes de qualquer tipo de abordagem à recuperação de desastres cibernéticos.

A recuperação de dados do AD é um processo árduo. A empresa dinamarquesa Maersk demorou nove dias a recuperar o seu AD do ataque de malware NotPetya de 2017. Cerca de 55 000 dispositivos na rede mundial da Maersk foram totalmente infectados em sete minutos, de acordo com Andy Powell, CISO da Maersk.

Num desastre cibernético, o AD é essencial porque é fundamental para a recuperação de tudo o resto na rede. Até ter recuperado com êxito o AD, não há muito mais que possa fazer. Desligar os sistemas assim que um ataque começa não funciona. É necessário compreender os vectores de ataque prováveis e os potenciais pontos fracos e assumir que até os seus servidores AD de cópia de segurança podem ser comprometidos.

O conselho de boas práticas de Andy Powell é certificar-se de que pode recuperar o AD em menos de 24 horas. Portanto, isso levanta a questão: Quando foi a última vez que testou o seu plano de recuperação do AD? Igualmente importante, o seu plano de recuperação do AD foi actualizado para incluir cenários cibernéticos, como um ataque de ransomware ou wiper?

Para concluir, por vezes é necessária uma ameaça iminente para que as empresas levem mais a sério os seus planos fundamentais de detecção e resposta a ameaças. Agora é uma boa altura para tentar adiantar-se, trabalhando para colmatar as lacunas nos seus planos BCP e DRP, procurando os elos mais fracos, começando pela sua infra-estrutura AD e pelas aplicações que dela dependem.

Profissionais de segurança de AD, este é o vosso momento para brilhar. O AD não é apenas igualmente crítico para as outras camadas em qualquer estratégia de segurança - hoje em dia, diríamos que é ainda mais. E é seu desafio e responsabilidade convencer o resto da sua equipa de que o AD tem de estar no centro do seu plano de defesa.