Imaginaos que uno de vuestros sistemas más críticos y fundamentales no tiene un plan de recuperación ante desastres. Si se cae, nadie tiene la menor idea de cómo restaurarlo. Ahora, tratad de imaginar que no sólo no hay un plan, sino que tampoco hay copias de seguridad.
Esto no es sólo un cuento de miedo que hace que los CISOs no puedan dormir bien por la noche. Es la pura realidad en muchas más organizaciones de lo que uno puede pensar – en Norteamérica, por ejemplo, es el caso en más de la mitad de las empresas. ¿Y cuál es el sistema crítico en cuestión? El Directorio Activo – el sistema utilizado para organizar y gestionar todos los elementos de una red informática: ordenadores, grupos, usuarios, dominios, políticas de seguridad, y cualquier tipo de objetos definidos para el usuario.
MS Recomienda
Así que nos enfrentamos a un escenario de pesadilla. Al mismo tiempo que los ciberataques están en su punto más alto de la historia, y la mayoría de los atacantes utilizan el Active Directory como vector de ataque, nadie tiene ni idea de cómo o dónde empezar a planificar una recuperación ante un ataque al AD.
¿Qué se puede hacer entonces en este escenario? A continuación, ofrecemos los cinco consejos para la recuperación proactiva ante desastres de Active Directory.
Reconocer que el panorama de las amenazas ha cambiado
En el pasado, básicamente no existía la idea de recuperar Active Directory desde cero. Sin embargo, en los últimos tres a cinco años, con la prevalencia de los ataques de ransomware y las ciber-amenazas, el riesgo de que alguien puede llegar a borrar un Directorio Activo por completo es realmente significativo. Mientras que antes era casi inaudito, ahora se oye hablar de ello casi a diario.
Si vuestra empresa quiere recuperarse de un ataque de este tipo, debe estar preparada con antelación. Eso significa mantener copias de seguridad aisladas y en buen estado de su entorno de Active Directory. Y lo que es más importante, significa incluir Active Directory en su estrategia global de continuidad de negocio.
Comprender que la recuperación de Active Directory ante un desastre es compleja
La complejidad de Active Directory no es algo nuevo ni reciente. Sin embargo, es sorprendente saber que la recuperación de desastres ahora es, en su mayor parte, menos complicada de lo que solía ser antes. En gran parte, esto se debe a que hoy en día, muchos de los aspectos más complejos pueden ser transferidos a soluciones de seguridad y recuperación de terceros.
Eso no quiere decir que el proceso no tenga muchos desafíos. La recuperación de un entorno AD a partir de una copia de seguridad es un proceso increíblemente complicado, con unos sesenta o setenta pasos. Hemos comprobado que sólo un veinte o treinta por ciento de los técnicos de seguridad saben hacerlo.
Siempre que una organización utilice las herramientas adecuadas, el principal reto actual consiste en evaluar los distintos escenarios de recuperación. Si, por ejemplo, el sistema ha sido atacado con software malicioso, no puede simplemente recuperar los sistemas potencialmente comprometidos. La recuperación del estado del sistema o del entorno ‘bare-metal’ podría reintroducir el malware.
Lo más importante que hay que tener en cuenta es que no se pueden abordar las copias de seguridad y la recuperación de Active Directory de forma tradicional. Hay que utilizar otras copias de seguridad para la recuperación de la base, y luego seguir un proceso diferente para la recuperación del bosque. El camino que aconsejamos es trabajar con reinstalaciones limpias del sistema operativo y luego llevar los datos de Active Directory a ellas.
Entender por qué a los atacantes les encanta el AD y cómo lo utilizan
Recientemente estuvimos hablando con expertos de seguridad de una gran empresa de consultoría y nos dijeron que de los cerca de 100 incidentes en los que habían tenido que intervenir en la reparación, 99 estaban relacionados con Active Directory. Resulta que hay una buena razón para ello. De hecho, hay varias.
Cuando un intruso entra por primera vez en la red, normalmente no tiene altos privilegios en ese entorno. A menudo terminan comprometiendo solo un dispositivo, probablemente a través de phishing o un enlace malintencionado. En lo que respecta a la red, es un usuario normal, sin los permisos necesarios para causar un daño duradero.
Ahí es donde los atacantes empiezan a utilizar Active Directory. Cada usuario de dominio simple tiene una tonelada de permisos de lectura por defecto, incluso en el lado de la configuración. Un atacante puede utilizar esto para elevar sus privilegios y encontrar el camino hacia el dominio principal, concediéndole acceso a cualquier cosa en el entorno.
Tomar medidas para acelerar el tiempo de recuperación
Cuando el Active Directory se cae, todo lo demás se cae con él. Nadie puede iniciar sesión, nadie puede trabajar, nadie puede comunicarse. Y todo el mundo corre de un lado para otro en estado de pánico. Para evitar esto, aconsejamos un enfoque proactivo.
Es fundamental desarrollar un plan de recuperación con antelación. Intentar definir uno el mismo día del desastre no sirve de nada porque ya es tarde. No es posible averiguar cómo recuperar su Directorio Activo en el acto, es algo que tiene que haber sido planeado y practicado mucho antes.
Automatizar, automatizar, automatizar
No es ningún secreto que el Active Directory puede ser increíblemente complejo, especialmente en lo que respecta a la recuperación de desastres. Hay tantas partes móviles, pasos y configuraciones diferentes que es increíblemente fácil equivocarse. Ahí es donde entra en juego la automatización.
En lugar de tener que hacerlo todo manualmente, se pueden automatizar muchos de los pasos implicados en tareas como la limpieza de metadatos. Y es importante hacerlo porque la probabilidad de cometer un error después de un ataque cuando todo se desmorona es extremadamente alta.
También hay otro aspecto. Como si los desafíos técnicos de la recuperación de Active Directory a partir de una copia de seguridad no fueran lo suficientemente complicados, también hay todo tipo de procesos organizativos que hay que llevar a cabo tanto durante como después de la recuperación. Al automatizar la mayor parte posible de la recuperación, los responsables de seguridad quedan más libres para centrarse en estos procesos.
La recuperación proactiva de Active Directory es vital
La recuperación ante desastres es algo de lo que por supuesto todo el mundo tiene que ocuparse. Ya no es algo que se pueda ignorar con seguridad. El riesgo de perder la infraestructura es real, y la matriz de riesgos apunta a la necesidad de algún tipo de plan de recuperación.
Pero no sólo hay que estar preparado para la recuperación. Los procesos de seguridad y recuperación no empiezan en el momento de un ataque, si no con la prevención de que se produzcan las vulneraciones y tomando la seguridad en serio hoy – porque mañana puede ser demasiado tarde.
Firmado: Ray Mills, director de ventas en España para Semperis
