Semperis amplía las capacidades de Active Directory Forest Recovery

Recomendados:  El nuevo paradigma de seguridad para entornos SDWAN Webinar Lee IT Digital Security (Marzo de 2022) para PC y Mac Leer Estrategia de Rusia en el ciberespacio Leer

Semperis anuncia una serie de mejoras en su producto Active Directory Forest Recovery (ADFR) que ayudan a las organizaciones a detectar y eliminar las puertas traseras y las situaciones persistentes que pueden quedar en el AD después de un incidente. También ofrecen una nueva herramienta de aprovisionamiento del SO que acelera el proceso de recuperación de AD.

"Cuando el entorno de Active Directory de una organización se ve afectado por un ciberataque, hay que buscar y eliminar rápidamente todo lo que suponga un peligro y recuperar AD por completo", explica Nuno Antunes, director regional para España y Portugal de Semperis. “Tras un ataque, como es comprensible, las organizaciones están ansiosas por volver a operar con normalidad lo antes posible. Pero si no se realiza un análisis completo del entorno en busca de cualquier vestigio que persista tras el ataque, la organización que lo ha sufrido corre el peligro de volver a introducir la infección, prolongando con ello la disrupción en la empresa. Las recientes innovaciones introducidas en ADFR proporcionan unas soluciones esenciales, que permiten responder de un modo rápido y completo al incidente, para que la empresa se recupere y minimice el daño".

En un informe reciente, Gartner ha previsto que en el año 2025, al menos el 75% de las organizaciones se enfrentarán a uno o más ataques. Para acelerar la recuperación tras los ataques, Gartner recomienda incorporar una herramienta específica para la realización de copias de seguridad y la recuperación de Microsoft Active Directory. El informe concluye que "las organizaciones que no dispongan de un sistema de respaldo útil se quedarán con muy pocas opciones y no tendrán más remedio que pagar el rescate”.1

Las nuevas funcionalidades de ADFR abordan un tipo cada vez más frecuente de ataque en el que los delincuentes penetran en el entorno semanas o meses antes de que la carga final del malware se ejecute. El análisis forense posterior a la recuperación de ADFR permite que los equipos encargados de responder al incidente identifiquen los cambios introducidos por los atacantes dentro de un intervalo de ataque definido, acelerando con ello la investigación. ADFR ayuda a las organizaciones a determinar si el ataque ya estaba en curso cuando se realizó una copia de seguridad del entorno. Tras una recuperación de AD, los equipos de respuesta pueden utilizar el análisis forense posterior a la recuperación de ADFR para detectar y resolver las vulnerabilidades antes de retornar el entorno recuperado a la producción.

La nueva herramienta de aprovisionamiento de SO de ADFR aborda el reto que plantea la creación rápida de un entorno de recuperación aislado, que es el primer paso para una recuperación de bosque de AD. Los equipos de respuesta pueden utilizar esta herramienta autónoma, basada en PowerShell, para crear un entorno de prueba con el que validar un plan de recuperación y para realizar un proceso de limpieza, sin que se enteren los actores malintencionados que pueden estar acechando en el entorno, preparados para desplegar más malware.