Der går nærmest ikke en uge uden, at en privat virksomhed eller offentlig institution bliver ramt af et ransomware- eller wiper-angreb. Blandt de seneste tæller datacentervirksomheden Support IT Network, der drifter en lang række ejendomsmæglervirksomheder.

Samtidigt er Danske Regioner bange for, at vores sundhedsvæsen bliver lammet af et hackerangreb, som det skete med det Grønlandske sundhedsvæsen, hvor man i flere uger ikke kunne tilgå patientjournaler. Normalt taler vi om, hvor vigtig gendannelse er, men glemmer, at kompleksiteten i forbindelse med gendannelse er steget gevaldigt.

Gartner har i sin seneste Emerging Risks Monitor Report identificeret truslen fra nye ransomware-modeller som den største risiko, organisationer står over for. Samtidig har Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) i sin seneste trusselsrapport erklæret, at vi er vidne til ’ransomwares gyldne æra’.

I betragtning af det intense trusselslandskab, der er i dag, er evnen til hurtigt at kunne genoprette sine it­tjenester blevet afgørende. Her er identitetsstyringssystemet Microsoft Active Directory (AD) en utrolig vigtig komponent. Det er nemlig herfra, en organisations digitale identiteter styres, og her man tildeler brugerrettigheder. Kompromitteres ens AD, skal man hurtigt stoppe hackerne fra at give sig selv administratorrettigheder til virksomhedens netværk og systemer. Samtidigt skal man også kunne genoprette sit AD-miljø hurtigt – ellers er alle systemer et lukket land. Men det er desværre ikke spor nemt.

Gendannelse af identitetsstyringssystemer er en kompliceret proces

I de seneste år har Microsoft arbejdet på at forbedre Windows-sikkerheden betydeligt. De har tilføjet funktioner og muligheder for at forenkle gendannelse af AD-objekter og forbedre AD’s adfærd, når det kører i et virtualiseret miljø. De grundlæggende problemer med at gendanne en hel dataskov fra backup’en har dog ikke ændret sig. Det er stadig en fejlbehæftet og kompleks proces, som kræver planlægning og øvelse, på nær for de mest trivielle AD-implementeringer.

Gendannelse af et domæne indebærer mange manuelle trin. Disse er beskrevet i Microsofts Active Directory Forest Recovery Guide, men her er der tale om en omfattende guide med mange eksterne henvisninger. Disse henvisninger skal læses og forstås fuldt ud for at kunne gennemføre en gendannelse af domænet med bare nogen grad af succes.

At gennemføre genoprettelsesprocessen med succes kræver koordinering mellem AD-specialister og de teams, der står for genoprettelse og virtualisering. Alle skal udføre deres opgaver fejlfrit og i den rigtige rækkefølge på et tidspunkt, hvor pres og stress formentlig aldrig har været højere.

Situationen kompliceres yderligere, hvis AD-skoven består af flere domæner, der skaber en kæde af indbyrdes afhængighed, som gør genoprettelsen endnu vanskeligere. En virksomhed vil altid være nødt til at genoprette hoveddomænet, før de kan genoprette eventuelle underordnede domæner. Hvis du kun har ét domæne, er du online igen, når du har genoprettet dette – selvom du har skullet gennemføre en kompleks genoprettelsesproces. Men hvis du har et miljø med mange domæner eller endda subdomæner, bliver det et administrativt mareridt.

Du kan ikke gendanne alle domæner på samme tid i et parallelt forløb. De skal gendannes et ad gangen i en seriel proces, der er langvarig, vanskelig og meget fejlbehæftet, hvilket skaber en situation med eksponentiel kompleksitet.

Omkostningerne ved ransomware og betydningen af sikkerhedskopier

Det er på grund af disse vanskeligheder, at ransomware-angreb ofte kan koste organisationer kolossale beløb. Det tager nemlig tid og penge at genoprette. Især når der er tale om komplekse processer, som f.eks. genoprettelse af flere domæner. For at undgå at havne her, er det vigtigt, at virksomheder har passende og tilstrækkelige genoprettelsesplaner på plads, så de hurtigt kan komme online igen efter et angreb.

Til start skal man tilsikre sig et klart billede af strukturen i ens AD-skov, så man ved, hvor genopretningen skal begynde. Her er det afgørende at sikre sig gyldige sikkerhedskopier. Alt for ofte opdager virksomheden først, at de ikke har gyldige sikkerhedskopier, når det er for sent. Derfor er det klogt at kontrollere sikkerhedskopierne regelmæssigt og sikre, at disse er helt adskilt og frakoblet fra dit it-miljø.

Her er et par råd til, hvordan man kan forberede sig på AD disaster recovery

• Udover at sikre eksterne sikkerhedskopier, bør man øve sig med en simuleret AD-genoprettelse. Så kan man høste den nødvendige erfaring og få indsigt i udfordringerne og processen, skulle man blive udsat for et rigtigt hacker-angreb. Med den erfaring i bagagen er det væsentligt nemmere at udvikle en plan, som beskriver hele AD-katastrofeberedskabet og klart definerer hvem, der har ansvaret for hvad.
• Ligeledes kan der implementeres værktøjer og løsninger, der kan hjælpe med at forhindre en AD-katastrofe i at ske i første omgang og som giver de ekstra forsvarslinjer, der kan stoppe en angriber. Desværre findes der ingen løsninger, der med 100 procents garanti kan stoppe et angreb. Uanset hvor meget du investerer i forebyggelse, skal du altid kunne modstå et angreb. Dét kræver en passende genopretningsplan.

Førhen var angreb på en virksomheds AD sjældent, men i dag findes denne slags angreb desværre også som ransomware-as-a-service-løsninger, så selv ufaglærte angribere kan gennemføre sofistikerede angreb.

Desuden dukker der hele tiden nye sårbarheder op. Javist, sikkerhedshullerne lukkes, så hurtigt som muligt, men it-kriminelle når typisk at udnytte sårbarheden inden det sker. Derfor er virksomheder nødt til at forberede sig, så de kan sikre, at netværket ikke er tabt.

Klumme: Statslige it-projekter i havsnød

Klumme: Ambitiøs vindstrategi kræver data og software