Der praktische ROI einer schnellen Active Directory-Wiederherstellung

Während jeder IT-Manager oder Administrator weiß, dass ein solider Active Directory-Wiederherstellungsplan eine wesentliche Komponente jeder Business-Continuity-Strategie ist, ist die Berechnung des praktischen Return on Investment (ROI) eines optimierten AD-Wiederherstellungsplans notorisch schwierig. Es spielen zu viele Variablen eine Rolle, um eine vertretbare, exakte Berechnung zu erstellen. Und um die Erwartungen vorweg zu nehmen: Ich werde hier in diesem Artikel keinen interaktiven ROI-Rechner anbieten. 

Stattdessen Sean Deuby, Director of Services, Semperis, befasst sich mit einigen praktischen Möglichkeiten, wie sich Ihre Investition in die Sicherstellung einer ordnungsgemäßen AD-Wiederherstellung rentiert, sodass Sie Ihre eigenen Berechnungen durchführen und Ihre eigenen Schlussfolgerungen ziehen können. Natürlich ist der Verlust eines Domänencontrollers an sich schon ein Problem, aber schauen wir uns ein anderes Szenario an, das immer häufiger vorkommt und katastrophale Folgen hat: ein Ransomware-Angriff, der jeden Domänencontroller an allen Unternehmensstandorten außer Gefecht setzt. In dieser Situation kann die Wiederherstellung von AD eine knifflige Herausforderung sein. 

Im letzten Jahr haben wir zahlreiche Ransomware-Angriffe besprochen, bei denen Cyberkriminelle AD auf die eine oder andere Weise verändert haben – weit über die grundlegenden Änderungen an Benutzerkonten oder Passwörtern hinaus – um Zugang zu Informationssystemen zu erhalten und sich seitlich zu bewegen, um Malware zu verbreiten. Ransomware-Architekten beschäftigen jetzt Ingenieure, die AD und seine Sicherheitsupdates analysieren und nach Möglichkeiten suchen, Berechtigungen zu erhöhen und Malware schnell im gesamten Unternehmen zu verteilen. Die Forensik nach Angriffen früherer Ransomware-Angriffe mit AD hat ergeben, dass sich Bedrohungsakteure hauptsächlich auf Änderungen an Gruppenkonten, Benutzerkonten, Gruppenrichtlinienobjekten, SYSVOL und Domänencontrollern konzentrieren. Berücksichtigen Sie im Hinblick auf diese cyberkriminellen Taktiken die folgenden Faktoren bei der Berechnung Ihres eigenen AD-Wiederherstellungs-ROI: Kosten für Betriebsverluste. 

Ein wesentlicher Teil Ihres Betriebs hängt wahrscheinlich davon ab, dass AD betriebsbereit ist, um Benutzer als Grundlage für den Zugriff auf Anwendungen, Systeme und Daten zu authentifizieren. Wie viel Umsatz oder Produktivität würde Ihr Unternehmen für jede Stunde verlieren, in der AD nicht betrieben werden kann? Wie viele Stunden, Tage oder Wochen würde es dauern, bis das Unternehmen einen Point of no Return passiert und sich finanziell nicht erholen kann? Erinnern Sie sich an den Ransomware-Angriff auf die Stadt Baltimore? Die Wiederherstellung des Betriebs dauerte Monate und kostete über 18 Millionen US-Dollar.

Fehlen eines Business-Continuity-Plans, der AD umfasst 

Wenn Ihr Unternehmen ausgereift genug ist, verfügen Sie über einen BC/DR-Plan, der die Arbeiten definiert, die zur Wiederherstellung des Geschäftsbetriebs nach einem Ausfall erforderlich sind. Die meisten Pläne berücksichtigen den Verlust der Infrastruktur oder den Verlust eines Standorts nach einer Naturkatastrophe. Aber nur wenige Unternehmen haben einen Plan speziell für die Wiederherstellung des Geschäfts nach einem Cyberangriff, insbesondere einem so unvorhersehbaren wie einem Ransomware-Angriff. Wie Sie AD in einem solchen Szenario wiederherstellen, hängt davon ab, welche Änderungen Cyberkriminelle in AD vorgenommen haben. Möglicherweise planen Sie, AD auf eine frühere Version zurückzusetzen, aber wie bestimmen Sie, wie weit Sie zurückgehen müssen, um eine bekannte sichere Version zu finden? Welche AD-abhängigen Systeme, Dienste und Anwendungen sind betroffen oder funktionieren überhaupt nicht, weil eine umfassende Wiederherstellung in einen früheren AD-Zustand erfolgt? Sind Sie zuversichtlich, dass Sie sogar ein aktuelles, Malware-freies Backup finden können, aus dem Sie es wiederherstellen können? Ohne einen Plan oder die Fähigkeit zu verstehen, was in AD vor der Wiederherstellung geändert wurde, wird Ihr Unternehmen unkalkulierbare Zeit damit verbringen, alle Probleme zu beheben, die die Wiederherstellung verursacht hat. 

Wiederherstellung ist möglicherweise nicht die Antwort 

Wenn alle Änderungen, die von den Bösewichten während eines Angriffs vorgenommen werden, darauf hinauslaufen, sagen wir, das Hinzufügen eines Kontos zur Gruppe der Domänen-Admins, dann ist die Wiederherstellung von AD auf vor ein paar Tagen oder im letzten Monat möglicherweise nicht die richtige Antwort. Stattdessen besteht die vielleicht weniger kostspielige Methode darin, Änderungen in AD zu überwachen und die Möglichkeit zu haben, entweder Änderungen an „geschützten“ Konten (wie der Gruppe „Domänen-Admins“) zu verbieten oder eine Änderung an einer sanktionierten Konfiguration automatisch rückgängig zu machen. 

Die obigen Überlegungen lassen sich zu drei Risiken zusammenfassen: 

1. Das Risiko einer langsamen Erholung

2. Das Risiko einer Wiederherstellung, die weitere Sanierungsarbeiten nach sich zieht

3. Das Risiko einer Wiederherstellung, die aufgrund der Art der an AD vorgenommenen Änderungen als übertrieben angesehen werden könnte.

Anstatt den ROI der AD-Wiederherstellung mit einem Rechner zu betrachten, den Sie online gefunden haben, ist es die bessere Wahl, mehrere reale Szenarien durchzuarbeiten und zu bewerten, wie Ihre aktuellen Mittel zur AD-Wiederherstellung abschneiden würden. Dies kann durch die Beantwortung der folgenden Fragen auf der Grundlage der oben genannten Faktoren erfolgen: 

• Welche kritischen Teile des Betriebs hängen von AD ab, um zu funktionieren? Wie hoch sind die geschätzten Kosten ihrer Ausfallzeit? 

• Wie lange dauert es, AD basierend auf den während eines Angriffs vorgenommenen Änderungen wiederherzustellen?

• Haben Sie Einblick in die böswilligen Änderungen, die in AD vorgenommen wurden, und wenn nicht, wie weit zurück müssen Sie Nachforschungen anstellen und wie lange werden Sie dafür brauchen? 

• Wirkt sich die Wiederherstellung auf andere Teile des Betriebs aus, die Sie beheben müssen, und wenn ja, wie lange wird dies dauern? (Denken Sie daran, dass einige Kennwörter von Benutzer- und Computerkonten nicht übereinstimmen, was die Anmeldung bei der Domäne behindert. Außerdem könnten in früheren Versionen Konten, Gruppenmitgliedschaften, DNS-Einträge usw. fehlen.) 

• Sind Sie zuversichtlich, dass die Wiederherstellung Sie in einen bekanntermaßen sicheren Zustand versetzt? Beachten Sie den Unterschied zwischen der Wiederaufnahme des Geschäftsbetriebs und der Wiederherstellung des Geschäftsbetriebs: Wenn Sie kein sauberes, Malware-freies Backup zur Wiederherstellung haben, laufen Sie Gefahr, dieselben Schwachstellen erneut einzuführen, die Sie überhaupt anfällig für Angriffe gemacht haben . 

Kurz gesagt, der ROI der AD-Wiederherstellung hat viel mehr mit Ihrer aktuellen Fähigkeit zu tun, nach einem Angriff einen bekanntermaßen produktiven und sicheren Zustand wiederherzustellen, als mit einem Online-ROI-Rechner, der die unzähligen beteiligten Variablen nicht berücksichtigt bei einem Ransomware-Angriff. Indem Sie einige Szenarien durchgehen und speziell über Ihre aktuellen Wiederherstellungsfähigkeiten nachdenken, werden Sie Kosten aufdecken, die durch eine geeignete AD-Wiederherstellungslösung eliminiert werden können – eine Lösung, die darauf ausgelegt ist, vor böswilligen AD-Änderungen zu schützen, sie zu verhindern und sich davon zu erholen.

WEITERLESEN:

• Die Kraft der KI zur Beschleunigung des Wachstums
• Warum Entwickler unsere beste Verteidigung gegen Cyberangriffe sind
• Vereinheitlichte Daten steuern die Fabrik von morgen
• CTOs geben Ratschläge an ihr 25-jähriges Ich

Über Semperis

Für Sicherheitsteams, die mit der Verteidigung von Hybrid- und Multi-Cloud-Umgebungen betraut sind, stellt Semperis die Integrität und Verfügbarkeit kritischer Unternehmensverzeichnisdienste bei jedem Schritt in der Cyber-Kill-Chain sicher und verkürzt die Wiederherstellungszeit um 90 %. Die patentierte Technologie von Semperis wurde speziell für die Sicherung von Active Directory entwickelt und schützt über 40 Millionen Identitäten vor Cyberangriffen, Datenschutzverletzungen und Betriebsfehlern. Infolgedessen vertrauen die weltweit führenden Organisationen Semperis, um Schwachstellen in Verzeichnissen zu erkennen, laufende Cyberangriffe abzufangen und sich schnell von Ransomware und anderen Datenintegritäts-Notfällen zu erholen. Semperis hat seinen Hauptsitz in New Jersey und ist international tätig, wobei sein Forschungs- und Entwicklungsteam auf San Francisco und Tel Aviv verteilt ist. Semperis hat seine veröffentlicht Halbzeitbericht zur Active Directory-Sicherheit. Der Bericht wird regelmäßig aktualisiert, um als zeitnaher, präziser Ressourcenindex für Organisationen zu dienen, die der Stärkung ihrer Active Directory- und Azure Active Directory-Abwehrmaßnahmen gegen eskalierende Cyberangriffe Priorität eingeräumt haben.

Vergessen Sie nicht, unser tägliches Bulletin zu abonnieren, um weitere Neuigkeiten von Top Business Tech zu erhalten!

Folge uns auf  LinkedIn und Twitter