Semperis, pioniere della resilienza informatica basata sull’identità per le aziende, ha annunciato le novità in arrivo per Active Directory Forest Recovery (ADFR). I risultati sono un’offerta più ampia e la possibilità concreta per le organizzazioni di eseguire rapide analisi forensi e di ripristinare Active Directory in un ambiente attendibile e privo di malware in caso di attacco informatico.
I miglioramenti presentati consentono di individuare e rimuovere le backdoor e la persistenza all’interno dell’ambiente AD dopo un attacco informatico, oltre a fornire un nuovo tool per il provisioning del sistema operativo che velocizza il ripristino di Active Directory. Viene ancora una volta confermata la mission di Semperis: creare prodotti per il ripristino di emergenza di Active Directory (AD) in cui la sicurezza informatica è al primo posto. Queste nuove funzionalità permettono alle organizzazioni vittime di attacchi informatici di svolgere ricerche in tempi brevissimi durante la risposta a eventi imprevisti post-attacco.
Come sottolineato in una nota stampa da Mickey Bresman, CEO di Semperis: «Quando l’ambiente di Active Directory di un’organizzazione subisce un attacco informatico, ogni minuto è prezioso per eliminare le tracce della compromissione e ripristinare completamente AD. Collaboriamo con alcune delle maggiori aziende mondiali di consulenza e sicurezza informatica per aiutare le multinazionali colpite da attacchi informatici a rispondere in modo tempestivo agli eventi imprevisti. Dopo un attacco, le organizzazioni non vedono l’ora di riprendere le attività il più presto possibile. Tuttavia, senza un’analisi approfondita dell’ambiente per rilevare le possibili tracce di una persistenza post-attacco, c’è il rischio di reintrodurre il problema, prolungando i tempi di interruzione. Le recenti innovazioni di ADFR offrono gli strumenti essenziali per rispondere a eventi imprevisti in maniera rapida e completa, riprendere le attività e ridurre al minimo i danni».
Una strategia per il ripristino di emergenza orientata alla sicurezza informatica è essenziale in un piano di continuità operativa più ampio. In un recente report Gartner ha previsto che, entro il 2025, almeno il 75% delle organizzazioni IT sarà vittima di uno o più attacchi. Per velocizzare il ripristino, Gartner consiglia di dotarsi di uno strumento dedicato per il backup e il ripristino di Microsoft Active Directory. Il report si chiude affermando che “le organizzazioni senza un sistema di backup adeguato non avranno altra scelta se non quella di pagare il riscatto“.1
Le nuove funzionalità di ADFR affrontano le tipologie di attacco via via più frequenti in cui l’ambiente viene infettato per settimane o mesi prima che il payload finale del malware sia eseguito. L’analisi forense post-ripristino di ADFR permette ai team di risposta a eventi imprevisti di rilevare le modifiche apportate dagli autori dell’attacco entro un determinato intervallo, velocizzando le indagini. ADFR consente inoltre di determinare se un attacco era già in corso quando è stato eseguito il backup di un ambiente. Dopo il ripristino di AD, i team di risposta possono usare l’analisi forense di ADFR per trovare e risolvere le vulnerabilità prima di riportare l’ambiente in produzione.
Il nuovo strumento di provisioning del sistema operativo di ADFR agisce creando un ambiente di ripristino isolato: è questa la prima mossa per un ripristino Active Directory Forest Recovery. I team di risposta possono usare il tool standalone basato su PowerShell per configurare un ambiente di test dove convalidare il piano di ripristino e intervenire con azioni di rimedio senza eliminare gli utenti malintenzionati che potrebbero nascondersi nell’ambiente, pronti a distribuire altri malware.
Come concluso da Darren Mar-Elia, VP of Products di Semperis: «Semperis è stata la prima azienda a occuparsi del ripristino di Active Directory in un ambiente pulito con l’introduzione di ADFR. Con le nuove funzionalità di ADFR siamo stati i primi a offrire la possibilità di trovare dopo un attacco informatico l’ago nel pagliaio, ossia le backdoor di sicurezza persistenti e potenzialmente devastanti che possono tenere in stallo le operazioni. Le innovazioni di ADFR sono incentrate sul ripristino di AD e mettono al primo posto la sicurezza informatica. Questo è un vantaggio per le vittime di attacchi informatici che possono contare sul ripristino completo dei sistemi aziendali essenziali in un ambiente attendibile e verificabile».
1Gartner, Inc., “How to Protect Backup Systems from Ransomware Attacks” [Come proteggere i sistemi di backup dagli attacchi ransomware], Nik Simpson, 21 settembre 2021.