Copia de seguridad y restauración de Active Directory

13. Diciembre 2024
| No hay comentarios
Copia de seguridad y restauración de Active Directory
Anzeige

Compartir publicación

Las amenazas de ransomware o ataques activos forman parte desde hace mucho tiempo del día a día de las empresas. Muchos ataques a sistemas de identidad y especialmente a Active Directory siguen siendo las mayores amenazas. Los ciberatacantes utilizan datos de inicio de sesión robados mediante phishing, por ejemplo. La copia de seguridad y restauración de Active Directory preserva el negocio.

Cuanto más digitalicen las empresas los procesos operativos, mayor será la necesidad de resiliencia operativa y cibernética. En este contexto, los ataques basados ​​en sistemas de identidad combinados con ransomware representan una amenaza crítica, ya que pueden paralizar por completo las operaciones comerciales de las organizaciones. Para poder mantener las operaciones o restaurarlas de forma rápida y fiable incluso en caso de un ataque, la copia de seguridad y la restauración de Microsoft Active Directory (AD) desempeñan un papel fundamental.

Anzeige

El ransomware sigue siendo la amenaza número uno

La amenaza del ransomware se ha convertido desde hace mucho tiempo en parte del día a día de las empresas. Sin embargo, esto ha alcanzado un nuevo nivel gracias a los ataques a los sistemas de identidad y, sobre todo, al Active Directory. Los ciberatacantes utilizan credenciales robadas (por ejemplo, obtenidas mediante tácticas de phishing o pass-the-hash) para obtener acceso legítimo al sistema. Cada vez más, se dirigen a cuentas de servicios de Active Directory.

Centro de control de directorio activo

Active Directory actúa como un centro de control para gestionar todas las identidades corporativas digitales con sus permisos, acceso y derechos de autenticación en varios sistemas de servidores. Una implementación de AD está estructurada de la siguiente manera:

Anzeige

Suscríbete al boletín ahora

Lea las mejores noticias de SEGURIDAD CIBERNÉTICA B2B una vez al mes



Al hacer clic en "Registrarse", acepto el procesamiento y uso de mis datos de acuerdo con la declaración de consentimiento (abra para más detalles). Puedo encontrar más información en nuestro Política de privacidad . Después de registrarse, primero recibirá un correo electrónico de confirmación para que ninguna otra persona pueda pedir algo que no desea.
Ampliar para obtener detalles sobre su consentimiento
No hace falta decir que tratamos sus datos personales de forma responsable. Si recopilamos datos personales suyos, los procesamos de conformidad con las normas de protección de datos aplicables. Puede encontrar información detallada en nuestro Política de privacidad . Puedes darte de baja del newsletter en cualquier momento. Puede encontrar el enlace correspondiente en el boletín. Después de darse de baja, sus datos se eliminarán lo más rápido posible. La restauración no es posible. Si desea volver a recibir el boletín, simplemente vuelva a solicitarlo. Haga lo mismo si desea utilizar una dirección de correo electrónico diferente para su boletín. Si desea recibir el boletín informativo que se ofrece en el sitio web, necesitamos su dirección de correo electrónico, así como información que nos permita verificar que usted es el propietario de la dirección de correo electrónico proporcionada y que acepta recibir el boletín. No se recopilan más datos o solo se recopilan de forma voluntaria. Para procesar el boletín utilizamos proveedores de servicios de boletín, que se describen a continuación.

CleverReach

Este sitio web utiliza CleverReach para enviar boletines. El proveedor es CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Alemania (en adelante, "CleverReach"). CleverReach es un servicio que se puede utilizar para organizar y analizar la distribución de boletines. Los datos que introduce para recibir el boletín (por ejemplo, dirección de correo electrónico) se almacenan en los servidores de CleverReach en Alemania e Irlanda. Nuestros boletines enviados con CleverReach nos permiten analizar el comportamiento de los destinatarios del boletín. Esto puede incluir, entre otras cosas: Analiza cuántos destinatarios abrieron el mensaje del boletín y con qué frecuencia se hizo clic en qué enlace del boletín. Con la ayuda del llamado seguimiento de conversiones también se puede analizar si se ha realizado una acción predefinida (por ejemplo, comprar un producto en este sitio web) después de hacer clic en el enlace del boletín. Puede encontrar más información sobre el análisis de datos a través del boletín CleverReach en: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. El procesamiento de datos se basa en su consentimiento (Art. 6 Párr. 1 lit. a GDPR). Puede revocar este consentimiento en cualquier momento dándose de baja de la newsletter. La revocación no afectará a la legalidad de los tratamientos de datos ya realizados. Si no desea que CleverReach realice análisis, deberá darse de baja del boletín. Para ello, en cada mensaje del boletín ponemos a su disposición el enlace correspondiente. Los datos que nos proporcione con el fin de suscribirse al boletín serán almacenados por nosotros o por el proveedor del servicio del boletín hasta que se dé de baja del boletín y se eliminarán de la lista de distribución del boletín después de que se dé de baja del boletín. Los datos almacenados por nosotros para otros fines no se verán afectados. Una vez que se haya dado de baja de la lista de distribución del boletín, nosotros o el proveedor del servicio del boletín podemos almacenar su dirección de correo electrónico en una lista negra si esto es necesario para evitar futuros envíos. Los datos de la lista negra sólo se utilizarán para este fin y no se combinarán con otros datos. Esto sirve tanto para su interés como para el nuestro en el cumplimiento de los requisitos legales al enviar boletines informativos (interés legítimo en el sentido del art. 6, apartado 1, letra f del RGPD). El almacenamiento en la lista negra no está limitado en el tiempo. Puede oponerse al almacenamiento si sus intereses superan a nuestros intereses legítimos. Para obtener más información, consulte la política de privacidad de CleverReach en: https://www.cleverreach.com/de/datenschutz/.

Procesamiento de pedidos

Hemos concluido un contrato de procesamiento de pedidos (AVV) para el uso del servicio mencionado anteriormente. Este es un contrato requerido por la ley de protección de datos, que garantiza que los datos personales de los visitantes de nuestro sitio web solo se procesen de acuerdo con nuestras instrucciones y de conformidad con el RGPD.
  • Los dominios se refieren a una colección de objetos que representan recursos como usuarios o dispositivos en la red.
  • Árboles AD: Se crean estableciendo conexiones entre dominios a través de relaciones de confianza.
  • Un bosque AD comprende un grupo de árboles AD y representa el nivel organizativo más alto del AD. Dependiendo de la organización, puede haber solo uno o más bosques.
  • Controlador de dominio significa el servidor que aloja los Servicios de dominio de Active Directory (AD DS). Almacena información sobre cada objeto individual, como nombres y contraseñas, y permite a los usuarios autorizados acceder a esta información.

Diferentes grupos crean un concepto de autorización para acceder a los datos de la empresa. Sólo la membresía en dichos grupos otorga a los usuarios acceso a los datos y aplicaciones correspondientes. Si los atacantes logran hacerse un hueco en un entorno de TI, intentan ampliar sus derechos de acceso (escalada de privilegios) utilizando, entre otras cosas, políticas de grupo AD para poder implementar el ransomware lo más ampliamente posible.

Directorio Activo y su relevancia

La ciberresiliencia (la capacidad de mantener la continuidad del negocio durante o como resultado de un ataque) se está convirtiendo en una prioridad en las estrategias de seguridad de TI de las empresas a medida que avanza la transformación digital. Active Directory, que las empresas suelen utilizar en combinación con Entra ID, Okta u otro servicio de directorio basado en la nube, influye en esto de dos maneras:

1) Como objetivo principal

Durante gran parte de los casi 25 años de existencia de Active Directory, la seguridad ha sido secundaria a la usabilidad. La lista de vulnerabilidades conocidas es igualmente larga. A esto se suma la administración a menudo inadecuada por parte de las empresas, por ejemplo mediante configuraciones incorrectas como el acceso de lectura AD para todos los usuarios o la asignación de derechos de acceso sobredimensionados. Todos estos factores hacen que Active Directory sea extremadamente atractivo para los ciberdelincuentes, ya que aumentan las posibilidades de éxito de los ataques de ransomware.

2) Para la recuperación del sistema

Si los ciberdelincuentes han logrado infiltrarse total o parcialmente en una empresa e infectarla con ransomware, AD es la base crucial para restablecer las operaciones normales. Dado que todas las identidades de usuarios y dispositivos y sus derechos de acceso se crean allí, los equipos de TI generalmente solo pueden comenzar a restaurar aplicaciones o datos una vez que AD ​​está en funcionamiento nuevamente.

Conceptos básicos de copia de seguridad y restauración de Active Directory

Si es necesario reconstruir un bosque de AD completo, esto puede significar un tiempo de inactividad de varias semanas o incluso meses para las empresas si no hay copias de seguridad de AD específicas y utilizables disponibles. Sin embargo, las rutinas de respaldo ordinarias no son suficientes para AD, ya que existe el riesgo de reinstalar sistemas infectados con malware y los sistemas de respaldo tradicionales no están diseñados para una restauración confiable de un bosque completo. Para que esto sea confiable y mantener el tiempo de recuperación al mínimo, las empresas deben considerar los siguientes conceptos básicos:

  • Utilice una copia de seguridad de AD independiente: se debe realizar una copia de seguridad de Active Directory independientemente de las copias de seguridad del servidor y la recuperación completa, ya que plantean el riesgo de una nueva infección de malware en caso de una restauración. Una solución de respaldo de AD dedicada puede simplificar este proceso.
  • Proteja varios controladores de dominio: realizar una copia de seguridad de al menos dos controladores de dominio por dominio en el bosque de Active Directory proporciona redundancia. Las copias de seguridad de AD deben almacenarse de forma segura sin conexión o como copias de imágenes en Azure o AWS Blob Storage.

  • Oliver Keizers, vicepresidente de área central de EMEA en Semperis (Imagen: Semperis)

    Recuperación sin instantáneas: las instantáneas del controlador de dominio son inadecuadas para la recuperación de Active Directory por varias razones: Es probable que un bosque restaurado a partir de instantáneas cause problemas de coherencia de los datos. Si hay malware presente en un controlador de dominio en el momento en que se toma la instantánea, el malware se restaurará junto con el controlador de dominio. (Esto se aplica a cualquier copia de seguridad clásica).

  • Una copia de seguridad de AD aún no es una restauración de bosque: Microsoft describe el proceso oficial y correcto de una restauración de bosque e incluye muchos pasos que deben realizarse manualmente con una herramienta de copia de seguridad clásica y que pueden provocar fácilmente errores y retrasos. Para una restauración exitosa y confiable de un bosque, se debe utilizar una herramienta específica diseñada para la restauración forestal de DA y esto se debe practicar al menos una vez al año.
  • Copia de seguridad periódica: dependiendo de los procesos comerciales, se debe establecer un objetivo de punto de recuperación (RPO) apropiado que garantice que no se pueda perder una cantidad crítica de datos comerciales entre intervalos de copia de seguridad.
  • Pruebas: las pruebas periódicas del proceso de copia de seguridad y restauración de AD deben ser parte del plan de contingencia, especialmente si se trata de una restauración manual de AD, que es extremadamente complicada y requiere mucho tiempo.
    Además de procesos de recuperación sólidos, las organizaciones deben implementar soluciones de detección y respuesta a amenazas de identidad (ITDR) que puedan detectar anomalías en entornos de AD y ayudar a combatir los ataques de manera temprana.

La ciberresiliencia se basa en identidades seguras

Cuanto más procesos de negocio se lleven a cabo digitalmente, más grave puede ser el impacto en las brechas de ciberseguridad. Esto crea la necesidad de aumentar la resiliencia cibernética para minimizar la interrupción de las operaciones comerciales.
La evolución de las infraestructuras de TI y el cambiante panorama de amenazas han convertido a las identidades en una importante línea de defensa para las organizaciones. Teniendo esto en cuenta, Active Directory, el directorio de identidad más utilizado por las organizaciones, es a la vez un talón de Aquiles y un pilar, que requiere atención especial cuando se trata de copias de seguridad y recuperación.

Más en Semperis.com

 

Acerca de Semperis

Para los equipos de seguridad encargados de defender entornos híbridos y de múltiples nubes, Semperis garantiza la integridad y disponibilidad de los servicios de directorio empresarial críticos en cada paso de la cadena de ciberataque, reduciendo el tiempo de recuperación en un 90 por ciento. Semperis tiene su sede en Hoboken, Nueva Jersey y opera a nivel internacional, con su equipo de investigación y desarrollo repartido por Estados Unidos, Canadá e Israel.

 

Artículos relacionados con el tema

Los CIO modernos tienen diversas tareas

El papel de los CIO modernos ha cambiado significativamente: en el pasado, los CIO eran los principales responsables de mantener las operaciones de TI de las empresas. ➡ Leer más

Más de 130.000 filtraciones de datos en Europa en 2024

En 15 países europeos, en 2024 se produjeron más de 365 violaciones de protección de datos cada día, según los resultados de un análisis reciente. En Alemania ➡ Leer más

Ataques DDoS: el medio más importante de guerra cibernética

En la segunda mitad de 2024, hubo al menos 8.911.312 ataques DDoS en todo el mundo, según los resultados de un reciente Informe de inteligencia de amenazas DDoS. ➡ Leer más

Ciberdelincuencia: el movimiento clandestino rusoparlante lidera

Un nuevo informe de investigación ofrece una visión exhaustiva del mundo cibernético clandestino de habla rusa. Este ecosistema ha tenido un impacto significativo en el cibercrimen global en los últimos tiempos. ➡ Leer más

Ley de Ciberresiliencia: Las empresas deben actuar ahora

La Ley de Resiliencia Cibernética (CRA) está avanzando a grandes pasos. Para los fabricantes, esto significa que los dispositivos con vulnerabilidades de seguridad explotables pronto ya no estarán disponibles. ➡ Leer más

El uso de herramientas de IA/ML aumentó en un 3000 por ciento

Las herramientas de IA/ML son populares, según los resultados de un informe reciente sobre amenazas. Sin embargo, un uso creciente también conlleva riesgos de seguridad. Ciberdelincuentes ➡ Leer más

Vishing: los delincuentes recurren a ataques de phishing de voz

Utilizando deepfakes creados por IA, los ciberdelincuentes imitan voces confiables. El vishing se ha disparado en la segunda mitad de 2024, según los resultados de un ➡ Leer más

Índice de confianza digital: la confianza en los servicios digitales está disminuyendo

La confianza digital o el miedo a una filtración de datos influyen en si los consumidores recurren a las marcas o las abandonan, según los resultados ➡ Leer más

Stories
, , , ,