Il primo passo dovrebbe essere quello di seguire il piano di risposta agli incidenti della sicurezza delle informazioni dell'organizzazione. Se non l'hai mai provato prima, in alcune cose probabilmente mancherà, quindi assicurati di prendere appunti mentre lo fai e aggiornalo dopo l'incidente. Il prossimo passo della tua azienda dovrebbe essere quello di coinvolgere un'azienda di sicurezza esterna per aiutare a risolvere il problema.
Fino al loro arrivo, è necessario iniziare bloccando completamente l'attaccante. Isolare l'intera foresta dei server di Active Directory dal resto della rete. Crea nuovi account dedicati per i tuoi amministratori di dominio da utilizzare esclusivamente per scopi di amministrazione del dominio e poi rimuovi l'autorizzazione di amministratore di dominio da tutti utenti, incluso te stesso. Prendi una copia dei registri di Active Directory, in modo da poter capire quali account ha potuto accedere, modificare o utilizzare. Questi account sono ovviamente la tua priorità per il cambio della password.
Ora è possibile ricollegare i server AD alla rete. Da questo punto in avanti, utilizzare solo quegli account speciali per le attività di amministrazione del dominio; e mai usano quegli account speciali per accedere a qualsiasi macchina che non sia un server AD.
Non concedere mai privilegi di amministratore di dominio a qualsiasi account che possa essere utilizzato per accedere al di fuori dei server AD. Invece, utilizzare i nuovi account per gestire il dominio solo tramite login locale. Il motivo è che probabilmente l'autore dell'attacco ha compromesso una workstation su cui uno degli amministratori del tuo dominio aveva effettuato l'accesso. L'utente malintenzionato ha quindi utilizzato un attacco pass-the-hash per accedere ai server AD, e in quel momento è stato il game over per te. Non si desidera mai che le credenziali di amministratore del dominio vengano esposte al di fuori dell'ambiente del server AD.
Successivamente, chiudi i punti di entrata e uscita degli attaccanti. Spegnere o disconnettere dalla rete qualsiasi macchina compromessa; a seconda dei dati contenuti in tali macchine, potrebbe essere necessario conservarli come prova. Dovrai anche capire cosa ha preso, raccogliere prove, segnalarlo alle autorità competenti, inviare notifiche di violazione se necessario, ecc. Ecc. Ecc.
Solo dopo aver eseguito questi primi passi di risposta è tempo di pensare che gli utenti possano cambiare le loro password.
C'è un modo semplice per convincere il resto della tua gente a cambiare le loro password personali: invia una notifica a tutti coloro che richiederanno loro di cambiare le loro password, quindi imposta "L'utente deve cambiare la password all'accesso successivo" segnala su tutti gli account che consentono il login interattivo. Alcuni giorni dopo averli avvisati, dovresti bloccare tutti gli account che hanno ancora password invariate. Tutti gli utenti interessati restanti dovranno chiamare l'help desk per sbloccare il proprio account prima che possano accedere.
Probabilmente avrai anche molte credenziali non utente nella tua organizzazione. Questi sono gli account di servizio per tutti i tuoi sistemi back-end e devono essere tutti modificati. Dovrai sicuramente trovare i proprietari tecnici di ciascuno di questi sistemi e collaborare con loro per apportare le modifiche. Cambiare dozzine di password non utente è una cosa, ma cambiarne migliaia è un compito troppo grande per una persona. Avrai bisogno di organizzazione. Dovrai assegnare le persone di sicurezza a ciascuna delle due o più divisioni e reparti. Se non hai abbastanza personale di sicurezza, dovrai delegare alcuni dei tuoi tecnici fidati.
Dovrai anche eseguire la scansione di tutte le macchine nel tuo dominio; rivedere ogni membro dei gruppi di amministratori che trovi; e scoprire eventuali account locali (amministratori o meno). Anche gli account locali devono avere le loro password modificate. È possibile implementare questo inviando un criterio di gruppo ai computer aggiunti al dominio per richiedere agli account locali di forzare una modifica della password.
Ma non coinvolgere gli utenti fino a quando non sei assolutamente sicuro di aver protetto i tuoi sistemi e sai che l'intruso non può tornare. Non stai solo perdendo il loro tempo se li fai fare due volte, ma li stai apparendo come se stessi faticando. C'è un enorme colpo psicologico alle persone quando sono state violate, e dovrai proiettare all'esterno un'immagine di controllo situazionale. "Uh, hey ragazzi, potete cambiare di nuovo la vostra password?" non è un costruttore di fiducia tra le truppe.