Ste pripravljeni na napad izsiljevalske programske opreme (ransomware)?
Nedavni kibernetski napadi so lahko preventivno opozorilo, da nihče ni varen.
Kako imate v podjetju poskrbljeno za kibernetsko varnost? Sledite pravilu 3-2-1? Tri varnostne kopije na dveh različnih vrstah pomnilnika in vsaj eno varnostno kopijo na drugi lokaciji? Potem ste bolje pripravljeni kot večina podjetij in se zavedate posledic uspešnega napada. Kakšno strategijo pa imate za obnovitev aktivnega imenika (angl. Active Directory; AD)?
Kot veste, če aktivni imenik odpove, je podjetje enako ladji brez kapitana, motorjev in posadke. Podjetje je slepo, zaposleni ne morejo dostopati do ničesar v IT okolju, od enostavnega prijavljanja v računalnik, dostopa do podatkov do izvajanja aplikacij in vsega ostalega. Dokler aktivni imenik zopet ne deluje, je usoda podjetja vsako uro bolj mračna.
Najboljši način za zmanjšanje teh izpadov je celovita strategija za obnovitev aktivnega imenika, ki jo zagotavlja Quest Recovery Manager for Active Directory (RMAD).
Kako poteka obnova aktivnega imenika?
Aktivni imenik (AD) je ključna sestavina infrastrukture IT v številnih organizacijah, saj zagotavlja bistvene storitve, kot sta avtentikacija in avtorizacija. Ker je v tem primeru čas denar, kako lahko postopek opravite čim hitreje? Za ponovno vzpostavitev sistemov je potrebno zagotoviti hitro obnovitev domenskih strežnikov (angl. domain controllers; DC).
Najboljša praksa za obnovitev aktivnega imenika, ki jo priporoča tudi Microsoft, je postopen pristop.
V prvi fazi obnovitve je cilj ponovno vzpostaviti delovanje enega ključnega domenskega strežnika v vsaki domeni, da hitro povrnete podjetju vsaj delno funkcionalnost. Začetni korak torej vključuje obnovitev izbranih domenskih strežnikov iz varnostne kopije. Metoda obnove je odvisna od razpoložljivih orodij. Osnovne rešitve lahko ponujajo obnovitev na ravni slike, kot na primer BRM obnovitev (angl. Bare Metal Recovery; BMR), kar vključuje tudi datoteke, ki niso del aktivnega imenika. Posledično ima zlonamerna programska oprema več mest, kamor se lahko skrije in zopet vrne po obnovitvi.
Poslovne rešitve pa lahko zagotavljajo čisto obnovo operacijskega sistema, funkcijo, ki presega zmogljivosti osnovnih orodij. Ko so domenski strežniki obnovljeni, jih je treba ponovno konfigurirati, da komunicirajo in delujejo kot del gozda aktivnega imenika.
V drugi fazi se lahko lotite še napredovanja ostalih domenskih krmilnikov. Microsoft priporoča uporabo namestitve direktno z medija (IFM), ker uporablja manj prometa in tako pohitri postopek napredovanja krmilnikov.
Quest Recovery Manager for Active Directory(»RMAD«) lahko dodatno pospeši obnovo
Vsebuje tudi namenski »Secure Storage« strežnik, ki je popolnoma izoliran od domenskega okolja in dosegljiv samo prek IPSec protokola, ki ne omogoča spreminjanja ali brisanja hranjenih varnostnih kopij. V najslabšem scenariju, ki vključuje izgubo domenskih krmilnikov, kompromitirano shrambo varnostnih kopij in tudi sam strežnik rešitve Quest Recovery Manager, se še lahko vedno zanesete na varen strežnik Secure Storage. Ta vam bo vedno omogočil hitro postavitev domene (tudi na prazne strežnike prek BMR). V primeru, da pa sumite, da je izsiljevalska oprema v okolju že nekaj časa pa lahko najprej odprete Imenik v »Izoliranem načinu« in spremenite vsa gesla preden ga postavite v okolje.
V postopku obnove je veliko ročnih procesov. Na primer, delegiranje enega strežnika v domenski strežnik lahko traja nekaj minut ali nekaj ur. Z uporabo rešitve RMAD lahko avtomatizirate vsa ročna opravila in hkrati poskrbite, da so koraki opravljeni v pravilnem vrstnem redu in brez napak. Quest rešitev vam lahko avtomatizira nameščanje domenskih krmilnikov z IFM in hkrati vzpostavi tudi vzporedno nameščaje več domenskih krmilnikov, kar občutno skrajša čas obnove.
Seveda obstaja tudi Powershell knjižnjica, ki omogoča še dodaten nivo avtomatizacije »RMAD«.
Quest Recovery Manager lahko po incidentu obnovi tudi aktivni imenik Microsofta Azure, kar je pomembno za preprečevanje težav s sinhronizacijo in zagotavljanje razpoložljivosti lokalnega in Azure aktivnega imenika. Preko enotne nadzorne plošče lahko IT oddelek enostavneje razlikuje med hibridnimi in oblačnimi objekti, primerja produkcijske varnostne kopije in kopije v realnem času.
Zagotavlja tudi možnost granularne obnovitve, kar pomeni, da lahko ekipe IT obnovijo le določene objekte in atribute brez potrebe po ponovnem zagonu domenskega krmilnika. Po napadu z izsiljevalsko opremo bo Quest Recovery Manager avtomatiziral celoten postopek obnovitve, vključno z več kot 40 korakih, opisanimi v Microsoftovem dokumentu o obnovitvi gozda aktivnih imenikov.
Pripravite se na ransomware in ostale kibernetske napade z rešitvijo Quest Recovery Manager, ki vam bo zagotovila najkrajši čas izpada in najhitrejšo vrnitev na delo.