Les dernières améliorations apportées à la solution Forest Recovery Active Directory (ADFR) de Semperis comportent des fonctions d’analyse après attaque pour récupérer son environnement Active Directory. Forest Recovery s’inscrit dans le cadre d’une stratégie de reprise après sinistre et permet de détecter et supprimer les portes dérobées et les mécanismes de persistance qui pourraient subsister dans AD même après une cyberattaque.
La solution fournit un nouvel outil d’approvisionnement de système d’exploitation qui accélère le processus de récupération d’AD. Il permet la création d’un environnement de récupération isolé, qui constitue la première étape de la récupération d’Active Directory. Les équipes d’intervention peuvent utiliser l’outil autonome basé sur PowerShell pour configurer un environnement de test afin de valider un plan de récupération, ainsi que pour mettre en œuvre des mesures de correction sans alerter les individus malveillants qui pourraient se cacher dans l’environnement, prêts à déployer d’autres logiciels malveillants.
Remonter l’historique de l’attaque
La solution permet de déterminer si une attaque était en cours lorsqu’une sauvegarde de l’environnement a été effectuée. À la suite d’une récupération d’AD, les équipes d’intervention peuvent utiliser les analyses post-récupération d’ADFR pour trouver et corriger les vulnérabilités avant de remettre l’environnement restauré en production.
Semperis propose en outre des fonctions automatisées, permettant de restaurer facilement les données après sinistre sur l’annuaire d’entreprise Active Directory. Les nouvelles fonctions d’ADFR répondent à un type d’attaques de plus en plus fréquent : l’infiltration. Le logiciel malveillant pénètre l’environnement des semaines ou des mois avant son exécution finale. Les analyses post-récupération d’ADFR permettent aux équipes dédiées d’identifier les modifications apportées par les assaillants dans une fenêtre d’attaque définie, accélérant ainsi les investigations.
Dans une situation où chaque minute compte, ces nouvelles capacités aident les victimes de cyberattaques à mener rapidement des reconnaissances lors du processus de gestion d’incident. Une stratégie de reprise après sinistre est essentielle à une planification plus globale de la continuité des opérations. Dans un récent rapport Gartner, il est précisé que d’ici l’année 2025, au moins 75 % des organisations seront confrontées à une ou plusieurs attaques. Le cabinet d’étude recommande d’intégrer à son environnement un outil spécialement dédié à la sauvegarde et à la restauration de Microsoft Active Directory.
« Il est normal que les organisations, après une attaque, soient impatientes de reprendre leurs activités le plus rapidement possible, a déclaré Mickey Bresman, CEO de Semperis. Mais si l’environnement n’est pas analysé en profondeur pour détecter toute trace de persistance post-attaque, l’organisation agressée risque de réintroduire l’infection, prolongeant alors l’interruption des activités. Les innovations récemment apportées à ADFR aident à gérer les incidents de manière rapide et approfondie, permettant ainsi de reprendre son activité et de limiter les dégâts ».