خطة النسخ الاحتياطي والاستعادة للحماية من برامج الفدية الضارة
تقوم هجمات برامج الفدية الضارة بتشفير البيانات والأنظمة أو مسحها عن عمد وذلك لإجبار مؤسستك على دفع الأموال للمهاجمين. هذه الهجمات تستهدف بياناتك ونسخك الاحتياطية وكذلك الوثائق الرئيسية المطلوبة للاسترداد دون دفع المهاجمين (كوسيلة لزيادة فرص دفع مؤسستك).
تتناول هذه المقالة ما يجب فعله قبل هجوم لحماية أنظمة أعمالك الهامة وأثناء الهجوم لضمان الاسترداد السريع للعمليات التجارية.
إشعار
كما يعمل التحضير لبرنامج الفدية الضارة على تحسين المرونة في مواجهة الكوارث الطبيعية والهجمات السريعة مثل WannaCry و (Not)Petya.
ما هي برامج الفدية الضارة؟
تعد برامج الفدية أحد أنواع هجمات الابتزاز التي تقوم بتشفير الملفات والمجلدات، مما يمنع الوصول إلى البيانات والأنظمة المهمة. المهاجمون يستخدمون برامج الفدية الضارة لابتزاز الأموال من الضحايا من خلال المطالبة بالأموال، عادة في شكل عملات مشفرة، مقابل مفتاح فك تشفير أو مقابل عدم إطلاق بيانات حساسة على الويب المظلم أو الإنترنت العام.
بينما تستخدم برامج الفدية الضارة المبكرة في الغالب البرامج الضارة التي تنتشر مع التصيد الاحتيالي أو بين الأجهزة، فقد ظهرت برامج الفدية الضارة التي يديرها الإنسان حيث تستهدف عصابة من المهاجمين النشطين، الذين يقودهم مشغلو الهجوم البشري، جميع الأنظمة في المؤسسة (بدلا من جهاز واحد أو مجموعة من الأجهزة). يمكن للهجوم أن يتسبب فيما يلي:
- تشفير بياناتك
- النقل غير المصرح به لبياناتك
- إتلاف النسخ الاحتياطية لديك
برامج الفدية الضارة تستفيد من معرفة المهاجمين بالنظام المشترك والتكوينات الأمنية الخاطئة والثغرات الأمنية للتسلل إلى المؤسسة، والتنقل في شبكة المؤسسة، وتتكيف مع البيئة ونقاط ضعفها أثناء انتقالهم.
يمكن تنظيم برامج الفدية الضارة لتصفية بياناتك أولاً على مدى عدة أسابيع أو أشهر، قبل تنفيذ برامج الفدية الضارة فعليًا في تاريخ محدد.
كما يمكن أن تقوم برامج الفدية الضارة بتشفير بياناتك ببطء مع الاحتفاظ بمفتاحك على النظام. مع استمرار توفر مفتاحك، تكون بياناتك قابلة للاستخدام لك وتتخفى برامج الفدية الضارة. ومع ذلك، فإن نسخك الاحتياطية هي من البيانات المشفرة. كما أنه بمجرد تشفير جميع بياناتك والنسخ الاحتياطية الأخيرة من البيانات المشفرة، تتم إزالة مفتاحك حتى لا تتمكن من قراءة بياناتك بعد الآن.
غالبًا ما يحدث الضرر الحقيقي عندما يقوم الهجوم بتصفية الملفات أثناء ترك الأبواب الخلفية في الشبكة للنشاط الضار في المستقبل - وتستمر هذه المخاطر سواء تم دفع الفدية أم لا. هذه الهجمات يمكن أن تكون كارثية على العمليات التجارية ويصعب تنظيفها، مما يتطلب إخلاء كامل من الخصم للحماية من الهجمات المستقبلية. على عكس الأشكال المبكرة من برامج الفدية الضارة التي تتطلب معالجة البرامج الضارة فقط، يمكن أن تستمر برامج الفدية التي يديرها الإنسان في تهديد عمليات عملك بعد اللقاء الأولي.
تأثير الهجوم
من الصعب تحديد تأثير هجوم برامج الفدية الضارة على أي مؤسسة بدقة. اعتمادًا على نطاق الهجوم، التأثير يمكن أن يشمل ما يلي:
- فقدان الوصول إلى البيانات
- تعطيل العمليات التجارية
- خسارة مالية
- سرقة الملكية الفكرية
- فقدان ثقة العملاء أو تشوه السمعة
- النفقات القانونية
كيف يمكنك حماية نفسك؟
أفضل طريقة لمنع الوقوع ضحية برامج الفدية الضارة هي تنفيذ تدابير وقائية والحصول على أدوات تحمي مؤسستك من كل خطوة يتخذها المهاجمون للتسلل إلى أنظمتك.
يمكنك تقليل تعرضك المحلي عن طريق نقل مؤسستك إلى خدمة سحابية. لقد استثمرت Microsoft في قدرات الأمان الأصلية التي تجعل Microsoft Azure مرنة ضد هجمات برامج الفدية الضارة، وتساعد المؤسسات على هزيمة تقنيات هجوم برامج الفدية الضارة. للحصول على نظرة شاملة على برامج الفدية الضارة والابتزاز وكيفية حماية مؤسستك، استخدم المعلومات الموجودة في العرض التقديمي PowerPoint خطة مشروع التخفيف من برامج الفدية الضارة التي يديرها الإنسان.
يجب أن تفترض أنه في مرحلة ما من الوقت ستقع ضحية لهجوم برامج الفدية الضارة. إحدى أهم الخطوات التي يمكنك اتخاذها لحماية بياناتك وتجنب دفع فدية تتمثل في الحصول على خطة موثوقة للنسخ الاحتياطي والاستعادة للمعلومات المهمة لأعمالك. نظرًا إلى أن مهاجمي برامج الفدية قد استثمروا بكثافة في تحييد تطبيقات النسخ الاحتياطي وميزات نظام التشغيل مثل النسخة الاحتياطية لوحدة التخزين، فمن الأهمية بمكان أن يكون لديك نُسخ احتياطية لا يمكن للمهاجم الضار الوصول إليها.
النسخ الاحتياطي في Azure
Azure Backup يوفر الأمان لبيئة النسخ الاحتياطي، سواء أثناء نقل وثبات بياناتك. باستخدام Azure Backup، يمكنك إجراء نسخ احتياطي لما يلي:
- الملفات والمجلدات وحالة النظام المحلية
- أجهزة Windows/Linux الظاهرية بأكملها
- أقراص مدارة من Azure
- مشاركة ملفات Azure إلى حساب تخزين
- تشغيل قواعد بيانات SQL Server على أجهزة Azure الظاهرية
يتم تخزين بيانات النسخ الاحتياطي في تخزين Azure، ولا يمكن للضيف أو المهاجم الوصول المباشر إلى تخزين النسخ الاحتياطي أو محتوياته. باستخدام عملية النسخ الاحتياطي للجهاز الظاهري، يتم إنشاء لقطة النسخ الاحتياطي وتخزينها بواسطة تصميم Azure حيث لا يكون للضيف أو المهاجم أي مشاركة سوى إلغاء تنشيط العمل حمل العمل للنُسخ الاحتياطية المتناسقة مع التطبيق. باستخدام SQL وSAP HANA، يحصل ملحق النسخ الاحتياطي على إمكانية وصول مؤقت للكتابة إلى الكائنات الثنائية كبيرة الحجم محددة. وبهذه الطريقة، حتى في بيئة المعرضة للخطر، لا يمكن العبث بالنُسخ الاحتياطية الموجودة أو حذفها من قِبل المهاجم.
توفر Azure Backup إمكانات مراقبة وتنبيه مضمنة لعرض وتكوين الإجراءات للأحداث المتعلقة بـ Azure Backup. تعمل تقارير النسخ الاحتياطي كوجهة واحدة لتتبع الاستخدام، وتدقيق النُسخ الاحتياطية وعمليات الاستعادة، وتحديد الاتجاهات الرئيسية على مستويات مختلفة من النقاوة. يمكن أن يؤدي استخدام أدوات المراقبة والإبلاغ في Azure Backup إلى تنبيهك إلى أي نشاط غير مصرح به، أو مريب، أو ضار بمجرد حدوثه.
تمت إضافة عمليات التحقق للتأكد من أن المستخدمين الصالحين فقط يمكنهم إجراء عمليات مختلفة. ويشمل ذلك إضافة طبقة إضافية من المصادقة. كجزء من إضافة طبقة إضافية من المصادقة للعمليات الهامة، تتم مطالبتك بإدخال رقم تعريف شخصي للأمان قبل تعديل النسخ الاحتياطية عبر الإنترنت.
تعرف على المزيد حول ميزات الأمان المضمنة في Azure Backup.
التحقق من صحة النسخ الاحتياطية
تحقق من أن نسخك الاحتياطية جيدة عند إنشاء نسخة احتياطية وقبل الاستعادة. نوصي باستخدام مخزن خدمات الاسترداد، وهو كيان تخزين في Azure يضم البيانات. البيانات هي عادة نسخ من البيانات أو معلومات التكوين للأجهزة الظاهرية (VMs) أو أحمال العمل أو الخوادم أو محطات العمل. يُمكنك استخدام مخازن خدمات الاسترداد للاحتفاظ بالبيانات التي تم نسخها احتياطيًا للعديد من خدمات Azure، مثل قواعد بيانات أجهزة IaaS الظاهرية (نظامَي Linux أو Windows) وAzure SQL بالإضافة إلى أصولك المحلية. تسهل مخازن خدمات الاسترداد تنظيم بيانات النسخ الاحتياطي وتوفير ميزات مثل:
- القدرات المحسنة لضمان إمكانية تأمين النُسخ الاحتياطية واستعادة البيانات بأمان، حتى في حالة تعرض خوادم الإنتاج والنسخ الاحتياطي للخطر. اعرف المزيد.
- مراقبة بيئة تكنولوجيا المعلومات المختلطة (أجهزة Azure IaaS الظاهرية والأصول المحلية) من مدخل مركزي. اعرف المزيد.
- التوافق مع التحكم في الوصول استنادًا إلى الدور من Azure (Azure RBAC)، والذي يقيد عملية النسخ الاحتياطي، ويستعيد إمكانية الوصول إلى مجموعة محددة من أدوار المستخدم. تقدم Azure RBAC العديد من الأدوار المضمنة، إذ تحتويAzure Backup على ثلاثة أدوار مدمجة لإدارة نقاط الاسترداد. اعرف المزيد.
- حماية الحذف المبدئي، حتى إذا قام ممثل ضار بحذف نسخة احتياطية (أو يتم حذف بيانات النسخ الاحتياطي عن طريق الخطأ). يتم الاحتفاظ ببيانات النسخ الاحتياطي لمدة 14 يوما إضافيا، مما يسمح باسترداد عنصر النسخ الاحتياطي هذا دون فقدان البيانات. اعرف المزيد.
- تسمح لك الاستعادة عبر المناطق باستعادة أجهزة Azure الظاهرية في منطقة ثانوية، وهي منطقة Azure المزدوجة. البيانات المنسوخة نسخًا متماثلاً يمكنك استعادتها في المنطقة الثانوية في أي وقت. يمكّنك هذا من استعادة بيانات المنطقة الثانوية للتوافق مع التدقيق، وأثناء سيناريوهات الانقطاع، دون انتظار Azure للإعلان عن كارثة (على عكس إعدادات GRS للمخزن). اعرف المزيد.
إشعار
هناك نوعان من الخزائن في Azure Backup. بالإضافة إلى مخازن خدمات الاسترداد، هناك أيضًا مخازن النسخ الاحتياطي التي تضم البيانات لأحمال العمل الأحدث التي يدعمها Azure Backup.
ما يجب فعله قبل الهجوم
كما ذكرنا سابقًا، يجب أن تفترض أنه في مرحلة ما من الوقت ستقع ضحية لهجوم برامج الفدية الضارة. تحديد الأنظمة الهامة للأعمال وتطبيق أفضل الممارسات قبل الهجوم سيؤدي إلى إجراء نسخ احتياطي وتشغيلها في أسرع وقت ممكن.
تحديد ما هو الأكثر أهمية بالنسبة لك
برامج الفدية الضارة يمكن أن تهاجم أثناء التخطيط لهجوم، لذا يجب أن تكون أولويتك الأولى هي تحديد الأنظمة المهمة للأعمال الأكثر أهمية بالنسبة لك والبدء في إجراء نسخ احتياطية منتظمة على تلك الأنظمة.
في تجربتنا، تندرج التطبيقات الخمسة الأكثر أهمية للعملاء في الفئات التالية في ترتيب الأولوية هذا:
- أنظمة الهوية – مطلوبة للمستخدمين للوصول إلى أي أنظمة (بما في ذلك جميع الأنظمة الأخرى الموضحة أدناه) مثل Active Directory وMicrosoft Entra الاتصال ووحدات تحكم مجال AD
- الحياة البشرية – أي نظام يدعم الحياة البشرية أو يمكن أن يعرضها للخطر مثل أنظمة الدعم الطبي أو الحياة، وأنظمة السلامة (سيارات الإسعاف، وأنظمة الإرسال، ومراقبة إشارة المرور)، والآلات الكبيرة، والأنظمة الكيميائية/البيولوجية، وإنتاج الأغذية أو المنتجات الشخصية، وغيرها
- الأنظمة المالية – الأنظمة التي تعالج المعاملات النقدية وتحافظ على عمل الأعمال، مثل أنظمة الدفع وقواعد البيانات ذات الصلة، والنظام المالي لإعداد التقارير ربع السنوية
- تمكين المنتج أو الخدمة - أي أنظمة مطلوبة لتوفير خدمات الأعمال أو إنتاج/تسليم المنتجات المادية التي يدفعها عملاؤك لك، وأنظمة التحكم في المصنع، وأنظمة تسليم/إرسال المنتجات، وما شابه ذلك
- الأمان (الحد الأدنى) - يجب عليك أيضا تحديد أولويات أنظمة الأمان المطلوبة لمراقبة الهجمات وتوفير الحد الأدنى من خدمات الأمان. يجب أن يركز هذا على ضمان أن الهجمات الحالية (أو الهجمات الانتهازية السهلة) غير قادرة على الفور على الحصول على (أو استعادة) الوصول إلى أنظمتك المستعادة
تصبح قائمة النسخ الاحتياطي ذات الأولوية أيضا قائمة الاستعادة ذات الأولوية. بمجرد تحديد الأنظمة الهامة الخاصة بك وإجراء نسخ احتياطية منتظمة، ثم اتخاذ خطوات لتقليل مستوى التعرض.
الخطوات التي يجب اتخاذها قبل الهجوم
تطبيق أفضل الممارسات هذه قبل الهجوم.
| المهمة | تفاصيل |
|---|---|
| حدد الأنظمة المهمة التي تحتاج إلى إعادتها عبر الإنترنت أولاً (باستخدام أعلى خمس فئات أعلاه) وابدأ على الفور في إجراء نسخ احتياطية منتظمة لتلك الأنظمة. | للحصول على نسخة احتياطية وتشغيلها في أسرع وقت ممكن بعد الهجوم، حدد الآن ما هو الأكثر أهمية بالنسبة لك. |
| ترحيل مؤسستك إلى السحابة. ضع في اعتبارك شراء خطة الدعم الشامل من Microsoft أو العمل مع شريك Microsoft للمساعدة في دعم انتقالك إلى السحابة. |
تقليل مخاطر تعرضك المحلي عن طريق نقل البيانات إلى الخدمات السحابية مع التراجع التلقائي للخدمة الذاتية للنسخ الاحتياطي. يحتوي Microsoft Azure على مجموعة قوية من الأدوات لمساعدتك على إجراء نسخ احتياطي للأنظمة المهمة للأعمال واستعادة النسخ الاحتياطية بشكل أسرع. الدعم الشامل من Microsoft هو نموذج دعم للخدمات السحابية موجود لمساعدتك كلما احتجت إليه. الدعم الشامل: يوفر فريقا معينا متوفرا على مدار الساعة و7 مع حل المشكلات حسب الحاجة وتصعيد الحوادث الحرجة يساعدك على مراقبة صحة بيئة تكنولوجيا المعلومات ويعمل بشكل استباقي للتأكد من منع المشاكل قبل حدوثها |
| انقل بيانات المستخدم إلى حلول السحابة مثل OneDrive وSharePoint للاستفادة من إمكانات سلة الإصدارات والمحذوفات. تثقيف المستخدمين حول كيفية استرداد ملفاتهم بأنفسهم لتقليل التأخير وتكلفة الاسترداد. على سبيل المثال، إذا أصيبت ملفات OneDrive الخاصة بمستخدم بالبرامج الضارة، فيمكنه استعادة OneDrive بأكمله إلى وقت سابق. ضع في اعتبارك استراتيجية دفاعية، مثل Microsoft Defender XDR، قبل السماح للمستخدمين باستعادة ملفاتهم الخاصة. |
يمكن حماية بيانات المستخدم في سحابة Microsoft من خلال ميزات الأمان وإدارة البيانات المضمنة. من الجيد تعليم المستخدمين كيفية استعادة ملفاتهم الخاصة، ولكن يجب أن تكون حذرًا من ألا يستعيد المستخدمون البرامج الضارة المستخدمة لتنفيذ الهجوم. تحتاج إلى: تأكد من عدم استعادة المستخدمين لملفاتهم حتى تكون واثقا من أن المهاجم قد تم إخلائه الحصول على تخفيف في حالة استعادة المستخدم لبعض البرامج الضارة يستخدم Microsoft Defender XDR الإجراءات التلقائية التي تعمل الذكاء الاصطناعي ودلائل المبادئ لمعالجة الأصول المتأثرة مرة أخرى إلى حالة آمنة. يستفيد Microsoft Defender XDR من قدرات المعالجة التلقائية لمنتجات المجموعة لضمان معالجة جميع الأصول المتأثرة المتعلقة بالحادث تلقائيا حيثما أمكن ذلك. |
| تنفيذ معيار أمان السحابة من Microsoft. | معيار أمان السحابة من Microsoft هو إطار عمل التحكم في الأمان الخاص بنا استنادا إلى أطر التحكم في الأمان المستندة إلى الصناعة مثل NIST SP800-53 و CIS Controls v7.1. ويوفر إرشادات للمؤسسات حول طريقة تكوين Azure وخدمات Azure وتنفيذ عناصر التحكم في الأمان. راجع النسخ الاحتياطي والاسترداد. |
| ممارسة خطة استمرارية الأعمال/الإصلاح بعد كارثة (BC/DR) بانتظام. محاكاة سيناريوهات الاستجابة للحوادث. يجب التخطيط للتمارين التي تقوم بها في التحضير لهجوم وإجراءها حول قوائم النسخ الاحتياطي والاستعادة ذات الأولوية. اختبر سيناريو الاسترداد من الصفر بانتظام ضمان خطة استمرارية الأعمال/ الإصلاح بعد كارثة والذي يمكن أن يجلب بسرعة العمليات التجارية الحرجة عبر الإنترنت من وظائف صفرية (جميع الأنظمة معطلة). |
يضمن التعافي السريع من العمليات التجارية من خلال التعامل مع هجوم الفدية الضارة أو الابتزاز بنفس أهمية الكارثة الطبيعية. قم بإجراء ممارسات التحقق من صحة العمليات عبر الفريق والإجراءات التقنية، بما في ذلك اتصالات الموظفين والعملاء خارج النطاق (افترض أن جميع رسائل البريد الإلكتروني والدردشة معطلة). |
| خذ بعين الاعتبار إنشاء سجل مخاطر لتحديد المخاطر المحتملة ومعالجة كيفية التوسط من خلال عناصر التحكم والإجراءات الوقائية. إضافة برامج الفدية الضارة إلى سجل المخاطر كسيناريوهات عالية الاحتمال وتأثير كبير. | يمكن أن يساعدك سجل المخاطر في تحديد أولويات المخاطر استنادًا إلى احتمال حدوث هذا الخطر وشدة نشاطك التجاري في حالة حدوث هذا الخطر. تعقب حالة التخفيف من المخاطر عبر دورة تقييم إدارة مخاطر المؤسسية (ERM). |
| قم بعمل نسخة احتياطية من جميع أنظمة الأعمال الهامة تلقائيا على جدول زمني منتظم (بما في ذلك النسخ الاحتياطي للتبعيات الهامة مثل Active Directory). تحقق من أن نسخك الاحتياطي جيد عند إنشاء نسخك الاحتياطي. |
يتيح لك استعادة البيانات حتى النسخة الاحتياطية الأخيرة. |
| حماية (أو طباعة) المستندات والأنظمة الداعمة المطلوبة للاسترداد مثل مستندات إجراء الاستعادة وCMDB والرسومات التخطيطية للشبكة ومثيلات SolarWinds. | المهاجمون يستهدفون هذه الموارد عمدًا لأنها تؤثر على قدرتك على الاسترداد. |
| تأكد من أن لديك إجراءات موثقة جيدا لإشراك أي دعم من جهة خارجية، خاصة الدعم من موفري خدمة التحليل الذكي للمخاطر، وموفري خدمة حلول مكافحة البرامج الضارة، وموفر تحليل البرامج الضارة. قم بحماية (أو طباعة) هذه الإجراءات. | قد تكون جهات الاتصال التابعة لجهات خارجية مفيدة إذا كان متغير برامج الفدية الضارة المحدد لديه نقاط ضعف معروفة أو تتوفر أدوات فك التشفير. |
| تأكد من أن استراتيجية النسخ الاحتياطي والاسترداد تتضمن: القدرة على نسخ البيانات احتياطيًا إلى نقطة زمنية محددة. يتم تخزين نسخ متعددة من النسخ الاحتياطية في مواقع معزولة وغير متصلة (غير المتصلة). أهداف وقت الاسترداد التي تحدد مدى سرعة استرداد المعلومات يمكن نسخها احتياطيًا ووضعها في بيئة الإنتاج. استعادة سريعة للنسخ الاحتياطي إلى بيئة إنتاج/ بيئة اختبار معزولة. |
النسخ الاحتياطية ضرورية للمرونة بعد اختراق المؤسسة. تطبيق قاعدة 3-2-1 للحصول على أقصى قدر من الحماية والتوافر: 3 نسخ (النسخ الاحتياطية الأصلية + 2)، ونوعين من التخزين، ونسخة واحدة خارج الموقع أو نسخة باردة. |
| حماية النسخ الاحتياطية من المحو المتعمد والتشفير: تخزين النسخ الاحتياطية في تخزين غير متصل أو خارج الموقع و/ أو تخزين غير قابل للتغيير. المطالبة بخطوات خارج النطاق (مثل MFA أو رقم تعريف شخصي للأمان) قبل السماح بتعديل نسخة احتياطية عبر الإنترنت أو مسحها. إنشاء نقاط نهاية خاصة داخل شبكة Azure الظاهرية لنسخ البيانات احتياطيا واستعادتها بأمان من مخزن خدمات الاسترداد. |
يمكن عرض النسخ الاحتياطية التي يمكن للمهاجمين الوصول إليها غير قابلة للاستخدام لاسترداد الأعمال. التخزين غير المتصل يضمن النقل القوي لبيانات النسخ الاحتياطي دون استخدام أي نطاق ترددي للشبكة. Azure Backup يدعم النسخ الاحتياطي دون اتصال، والذي ينقل بيانات النسخ الاحتياطي الأولية دون اتصال، دون استخدام النطاق الترددي للشبكة. يوفر آلية لنسخ البيانات الاحتياطية على أجهزة التخزين المادية. يتم بعد ذلك شحن الأجهزة إلى مركز بيانات Azure قريب وتحميلها إلى مخزن خدمات الاسترداد. يمكنك التخزين غير القابل للتغيير عبر الإنترنت (مثل Azure Blob) من تخزين كائنات البيانات المهمة للأعمال في حالة WORM (الكتابة مرة واحدة، قراءة العديد). هذه الحالة تجعل البيانات غير قابلة للمسح وغير قابلة للتعديل لفاصل زمني محدد من قبل المستخدم. المصادقة متعددة العوامل (MFA) يجب أن تكون إلزامية لجميع حسابات المسؤولين ويوصى بها بشدة لجميع المستخدمين. الطريقة المفضلة هي استخدام تطبيق المصدق بدلاً من الرسائل القصيرة أو الصوت، حيثما أمكن ذلك. عند إعداد Azure Backup، يمكنك تكوين خدمات الاسترداد لتمكين المصادقة متعددة العوامل (MFA) باستخدام رقم التعريف الشخصي للأمان الذي تم إنشاؤه في مدخل Microsoft Azure. يضمن هذا إنشاء رقم تعريف شخصي للأمان لتنفيذ عمليات مهمة مثل تحديث نقطة استرداد أو إزالتها. |
| قم بتعيين مجلدات محمية. | يجعل من الصعب على التطبيقات غير المصرح بها تعديل البيانات في هذه المجلدات. |
| راجع أذوناتك: اكتشاف أذونات الكتابة/ الحذف الواسعة على fileshares وSharePoint والحلول الأخرى يتم تعريف Broad على أنه العديد من المستخدمين الذين لديهم أذونات الكتابة/ الحذف للبيانات المهمة للأعمال. تقليل أذونات الوصول الواسعة أثناء تلبية متطلبات التعاون في العمل. التدقيق والمراقبة لضمان عدم ظهور أذونات الوصول الواسعة مرة أخرى. |
يقلل من المخاطر الناجمة عن أنشطة برامج الفدية الضارة واسعة النطاق التي تمكن الوصول. |
| الحماية من محاولة التصيد الاحتيالي: قم بإجراء تدريب على التوعية الأمنية بانتظام لمساعدة المستخدمين على تحديد محاولة التصيد الاحتيالي وتجنب النقر فوق شيء يمكن أن ينشئ نقطة دخول أولية للاختراق. تطبيق عناصر تحكم تصفية الأمان على البريد الإلكتروني للكشف عن احتمالية نجاح محاولة التصيد الاحتيالي وتقليلها. |
الطريقة الأكثر شيوعًا التي يستخدمها المهاجمون للتسلل إلى مؤسسة هي محاولات التصيد الاحتيالي عبر البريد الإلكتروني. Exchange Online Protection (EOP) هي خدمة التصفية المستندة إلى السحابة التي تحمي مؤسستك من البريد العشوائي والبرامج الضارة وغيرها من تهديدات البريد الإلكتروني. يتم تضمين EOP في جميع مؤسسات Microsoft 365 مع علب بريد Exchange Online. مثال على عنصر تحكم تصفية الأمان للبريد الإلكتروني هو الارتباطات الآمنة. خزينة Links هي ميزة في Defender لـ Office 365 توفر مسحا ضوئيا وإعادة كتابة عناوين URL والارتباطات في رسائل البريد الإلكتروني أثناء تدفق البريد الوارد، والتحقق من وقت النقر لعناوين URL والارتباطات في رسائل البريد الإلكتروني والمواقع الأخرى (Microsoft Teams ومستندات Office). يتم فحص الارتباطات الآمنة بالإضافة إلى الحماية العادية من البريد العشوائي ومكافحة البرامج الضارة في رسائل البريد الإلكتروني الواردة في EOP. مسح الارتباطات الآمنة يمكن أن يساعد في حماية مؤسستك من الارتباطات الضارة المستخدمة في التصيد الاحتيالي والهجمات الأخرى. تعرف على المزيد حول الحماية من التصيد الاحتيالي. |
ما يجب فعله أثناء الهجوم
في حالة تعرضك للهجوم، تصبح قائمة النسخ الاحتياطي ذات الأولوية قائمة الاستعادة ذات الأولوية. قبل الاستعادة، تحقق مرة أخرى من أن نسخك الاحتياطي جيد. قد تتمكن من البحث عن البرامج الضارة داخل النسخ الاحتياطي.
الخطوات التي يجب اتخاذها أثناء الهجوم
تطبيق أفضل الممارسات هذه أثناء الهجوم.
| المهمة | تفاصيل |
|---|---|
| في وقت مبكر من الهجوم، شارك في دعم الجهات الخارجية، ولا سيما الدعم من موفري التحليل الذكي للمخاطر وموفري حلول مكافحة البرامج الضارة ومن موفر تحليل البرامج الضارة. | قد تكون جهات الاتصال هذه مفيدة إذا كان متغير برامج الفدية الضارة المحدد لديه نقطة ضعف معروفة أو تتوفر أدوات فك التشفير. فريق الكشف والاستجابة من Microsoft (DART) يمكن أن يساعد في حمايتك من الهجمات. يتفاعل DART مع العملاء في جميع أنحاء العالم، مما يساعد على الحماية من الهجمات والوقاية منها قبل حدوثها، بالإضافة إلى التحقيق والمعالجة عند وقوع هجوم. مما توفر Microsoft خدمات استرداد برامج الفدية الضارة السريعة. يتم تقديم الخدمات حصريًا من خلال ممارسة أمان استرداد التسوية العالمية من Microsoft (CRSP). أثناء هجوم برامج الفدية الضارة، ينصب تركيز هذا الفريق على استعادة خدمة المصادقة والحد من تأثير برامج الفدية الضارة. DART وCRSP هما جزء من خط خدمة أمان تسليم حلول الصناعة من Microsoft. |
| اتصل بوكالات إنفاذ القانون المحلية أو الفيدرالية. | إذا كنت في الولايات المتحدة، فاتصل بمكتب التحقيقات الفيدرالي للإبلاغ عن خرق برامج الفدية الضارة باستخدام نموذج إحالة الشكوى IC3. |
| اتخذ خطوات لإزالة البرامج الضارة أو حمولة برامج الفدية الضارة من بيئتك وإيقاف الانتشار. قم بتشغيل فحص كامل وحديث للحماية من الفيروسات على جميع أجهزة الكمبيوتر والأجهزة المشتبه بها للكشف عن الحمولة المرتبطة ببرامج الفدية الضارة وإزالتها. فحص الأجهزة التي تقوم بمزامنة البيانات أو أهداف محركات أقراص الشبكة المعينة. |
يمكنك استخدام Windows Defender أو (للعملاء الأقدم) Microsoft Security Essentials. البديل الذي سيساعدك أيضا على إزالة برامج الفدية الضارة أو البرامج الضارة هو أداة إزالة البرامج الضارة (MSRT). |
| استعادة الأنظمة المهمة للأعمال أولاً. تذكر أن تتحقق مرة أخرى من أن نسخك الاحتياطي جيد قبل الاسترداد. | في هذه المرحلة، لا تحتاج إلى استعادة كل شيء. ركز على أفضل خمسة أنظمة مهمة للأعمال من قائمة الاستعادة. |
| إذا كان لديك نسخ احتياطية دون اتصال، فمن المحتمل أن تتمكن من استعادة البيانات المشفرة بعد إزالة حمولة برامج الفدية الضارة (البرامج الضارة) من بيئتك. | لمنع الهجمات المستقبلية، تأكد من عدم وجود برامج الفدية الضارة أو البرامج الضارة على النسخ الاحتياطي دون اتصال قبل الاستعادة. |
| حدد صورة احتياطية آمنة في نقطة زمنية معروفة بأنها غير مصابة. إذا كنت تستخدم مخزن خدمات الاسترداد، فراجع بعناية المخطط الزمني للحادث لفهم النقطة المناسبة في الوقت المناسب لاستعادة نسخة احتياطية. |
لمنع الهجمات المستقبلية، افحص النسخ الاحتياطي بحثًا عن برامج الفدية الضارة أو البرامج الضارة قبل الاستعادة. |
| استخدم ماسح ضوئي للسلامة وأدوات أخرى لاستعادة نظام التشغيل الكامل بالإضافة إلى سيناريوهات استعادة البيانات. | برنامج مكافحة الفيروسات من Microsoft هي أداة فحص مصممة للعثور على البرامج الضارة وإزالتها من أجهزة كمبيوتر Windows. ما عليك سوى تنزيله وتشغيل فحص للعثور على البرامج الضارة ومحاولة عكس التغييرات التي تم إجراؤها بواسطة التهديدات المحددة. |
| تأكد من أن حل الكشف عن الفيروسات أو نقطة النهاية والاستجابة (EDR) محدث. كما تحتاج إلى تصحيحات محدثة. | يفضل حل EDR، مثل Microsoft Defender لنقطة النهاية. |
| بعد تشغيل الأنظمة المهمة للأعمال، قم باستعادة الأنظمة الأخرى. مع استعادة الأنظمة، ابدأ في جمع بيانات تتبع الاستخدام حتى تتمكن من اتخاذ قرارات تكوينية حول ما تقوم باستعادة. |
بيانات تتبع الاستخدام يجب أن تساعدك في تحديد ما إذا كانت البرامج الضارة لا تزال موجودة على أنظمتك. |
ما بعد الهجوم أو المحاكاة
بعد هجوم برامج الفدية الضارة أو محاكاة الاستجابة للحوادث، اتبع الخطوات التالية لتحسين خطط النسخ الاحتياطي والاستعادة بالإضافة إلى وضع الأمان الخاص بك:
- تحديد الدروس المستفادة حيث لم تعمل العملية بشكل جيد (وفرص لتبسيط العملية أو تسريعها أو تحسينها بطريقة أخرى)
- إجراء تحليل السبب الجذري لأكبر التحديات (بتفاصيل كافية لضمان معالجة الحلول للمشكلة الصحيحة - النظر في الأشخاص والعملية والتكنولوجيا)
- التحقيق في الخرق الأصلي ومعالجته (إشراك فريق الكشف والاستجابة من Microsoft (DART) للمساعدة)
- تحديث استراتيجية النسخ الاحتياطي والاستعادة استنادًا إلى الدروس المستفادة والفرص — تحديد الأولويات استنادًا إلى أعلى التأثير وأسرع خطوات التنفيذ أولا
الخطوات التالية
في هذه المقالة، تعلمت كيفية تحسين خطة النسخ الاحتياطي والاستعادة للحماية من برامج الفدية الضارة. للحصول على أفضل الممارسات حول نشر الحماية من برامج الفدية الضارة، راجع الحماية السريعة من برامج الفدية الضارة والابتزاز.
معلومات الصناعة الرئيسية:
- 2021 تقرير الدفاع الرقمي من Microsoft (راجع الصفحات 10-19)
Microsoft Azure:
- المساعدة في الحماية من برامج الفدية الضارة باستخدام Microsoft Azure Backup (فيديو مدته 26 دقيقة)
- التعافي من اختراق الهوية النظامية
- الكشف المتقدم عن الهجمات متعددة المراحل في Microsoft Sentinel
Microsoft 365:
- التعافي من هجوم برامج الفدية الضارة
- الحماية من البرامج الضارة وبرامج الفدية الضارة
- حماية جهاز الكمبيوتر Windows 10 من برامج الفدية الضارة
- التعامل مع برامج الفدية الضارة في SharePoint Online
Microsoft Defender XDR:
منشورات مدونة فريق Microsoft Security:
- المرونة من خلال فهم مخاطر الأمان عبر الإنترنت: الجزء 4، التنقل في التهديدات الحالية (مايو 2021). راجع قسم برامج الفدية الضارة
- هجمات برامج الفدية الضارة التي يديرها الإنسان: كارثة يمكن الوقاية منها (مارس 2020). يتضمن تحليل سلسلة الهجوم لهجمات برامج الفدية الضارة الفعلية التي يديرها الإنسان
- استجابة برامج الفدية الضارة — تدفع أو لا تدفع؟ (ديسمبر 2019)
- Norsk Hydro يستجيب لهجوم برامج الفدية الضارة بالشفافية (ديسمبر 2019)