Nasadit ochranu proti ransomwaru pro vašeho Microsoft 365 tenanta

Ransomware je typ útoku na vyděrače, který ničí nebo šifruje soubory a složky a brání tak přístupu k důležitým datům. Komoditní ransomware se obvykle šíří jako virus, který infikuje zařízení a vyžaduje pouze nápravu malwaru. Ransomware provozovaný lidmi je výsledkem aktivního útoku kybernetických zločinců, kteří infiltrují místní nebo cloudovou IT infrastrukturu organizace, zvyšují jejich oprávnění a nasazují ransomware na důležitá data.

Po dokončení útoku útočník požaduje peníze od obětí výměnou za odstraněné soubory, dešifrovací klíče za šifrované soubory nebo slib, že neuvolní citlivá data na tmavý web nebo veřejný internet. Ransomware ovládaný člověkem lze také použít k vypnutí důležitých počítačů nebo procesů, například těch, které jsou potřeba pro průmyslovou výrobu, zastavení normálního provozu, dokud nebude zaplaceno výkupné a škody se nenapraví, nebo organizace škodu sama napraví.

Útok ransomwaru provozovaný člověkem může být katastrofický pro firmy všech velikostí a je obtížné ho vyčistit, což vyžaduje úplné vyřazování nežádoucích prostředků, aby bylo možné chránit před budoucími útoky. Na rozdíl od komoditních ransomwarů může ransomware provozovaný člověkem i po prvotní žádosti o výkupné nadále ohrožovat provoz firmy.

Poznámka

Útok ransomwarem na tenanta Microsoftu 365 předpokládá, že útočník má platné přihlašovací údaje k uživatelskému účtu tenanta a má přístup ke všem souborům a prostředkům, které jsou pro tento uživatelský účet povolené. Útočník bez platných přihlašovacích údajů k uživatelskému účtu by musel dešifrovat neaktivní uložená data, která jsou zašifrovaná výchozím nastavením Microsoftu 365 a rozšířeným šifrováním. Další informace najdete v tématu Přehled šifrování a správy klíčů.

Další informace o ochraně proti ransomwaru napříč produkty Microsoftu najdete v těchto dalších zdrojích informací o ransomwaru.

Zabezpečení v cloudu je partnerství

Zabezpečení cloudových služeb Microsoftu je partnerství mezi vámi a Microsoftem:

  • Cloudové služby Microsoftu jsou postavené na základech důvěryhodnosti a zabezpečení. Microsoft vám poskytuje bezpečnostní prvky a možnosti, které vám pomůžou chránit vaše data a aplikace.
  • Vlastníte svá data a identity a odpovědnost za jejich ochranu, zabezpečení místních prostředků a zabezpečení cloudových komponent, které řídíte.

Kombinací těchto možností a zodpovědností můžeme poskytnout nejlepší ochranu proti útoku ransomwarem.

Možnosti zmírnění a obnovení ransomwaru poskytované s Microsoftem 365

Útočník ransomwaru, který se infiltroval do tenanta Microsoftu 365, může vaší organizaci podržet výkupné za následující:

  • Odstraňování souborů nebo e-mailů
  • Šifrování souborů na místě
  • Kopírování souborů mimo vašeho tenanta (exfiltrace dat)

Microsoft 365 online služby ale nabízí řadu integrovaných funkcí a ovládacích prvků, které chrání zákaznická data před útoky ransomwarem. Následující části obsahují souhrn. Další podrobnosti o tom, jak Microsoft chrání zákaznická data, ochranu před malwarem a ransomwarem v Microsoftu 365.

Poznámka

Útok ransomwarem na tenanta Microsoftu 365 předpokládá, že útočník má platné přihlašovací údaje k uživatelskému účtu tenanta a má přístup ke všem souborům a prostředkům, které jsou pro tento uživatelský účet povolené. Útočník bez platných přihlašovacích údajů k uživatelskému účtu by musel dešifrovat neaktivní uložená data, která jsou zašifrovaná výchozím nastavením Microsoftu 365 a rozšířeným šifrováním. Další informace najdete v tématu Přehled šifrování a správy klíčů.

Odstraňování souborů nebo e-mailů

Soubory v SharePointu a OneDrive pro firmy jsou chráněné pomocí:

  • Verzí

    Microsoft 365 ve výchozím nastavení zachovává minimálně 500 verzí souboru a dá se nakonfigurovat tak, aby se zachovalo více.

    Pokud chcete minimalizovat zátěž pro pracovníky technické podpory a zabezpečení, zaškolte uživatele, jak obnovit předchozí verze souborů.

  • Koš

    Pokud ransomware vytvoří novou zašifrovanou kopii souboru a odstraní starý soubor, mají zákazníci 93 dní na jeho obnovení z koše. Po 93 dnech existuje 14denní interval, ve kterém může Microsoft data obnovit.

    Pokud chcete minimalizovat zátěž na pracovníky technické podpory a zabezpečení, vyškolte uživatele, jak obnovit soubory z koše.

  • Obnovení souborů

    Kompletní řešení samoobslužného obnovení pro SharePoint a OneDrive, které správcům a koncovým uživatelům umožňuje obnovit soubory z libovolného bodu v čase během posledních 30 dnů.

    Pokud chcete minimalizovat zátěž pro pracovníky technické podpory a oddělení technické podpory, zaškolte uživatele na obnovení souborů.

U souborů OneDrivu a SharePointu se Microsoft může vrátit k předchozímu bodu v čase po dobu až 14 dnů, pokud vás zasáhne hromadný útok.

Email je chráněna:

  • Obnovení jedné položky a uchovávání poštovní schránky, ve kterých můžete obnovit položky v poštovní schránce při neúmyslné nebo škodlivém předčasném odstranění. Ve výchozím nastavení můžete vrátit zpět e-mailové zprávy odstraněné do 14 dnů, což je možné nakonfigurovat až na 30 dnů.

  • Zásady uchovávání informací umožňují uchovávat neměnné kopie e-mailů po nakonfigurovanou dobu uchovávání.

Šifrování souborů na místě

Jak jsme popsali dříve, soubory v SharePointu a OneDrive pro firmy jsou chráněny před škodlivým šifrováním pomocí:

  • Verzí
  • Koš
  • Knihovna blokování zachování

Další podrobnosti najdete v tématu Řešení poškození dat v Microsoftu 365.

Kopírování souborů mimo vašeho tenanta

Útočníkovi ransomwaru můžete zabránit v kopírování souborů mimo vašeho tenanta pomocí:

Co je v tomto řešení

Toto řešení vás provede nasazením funkcí ochrany a omezení rizik Microsoftu 365, konfigurací a probíhajících operací, abyste minimalizovali schopnost útočníka ransomwaru používat důležitá data ve vašem tenantovi Microsoft 365 a držet vaši organizaci za výkupné.

Kroky pro ochranu před ransomwarem pomocí Microsoftu 365

Postup v tomto řešení:

  1. Konfigurace výchozích hodnot zabezpečení
  2. Nasazení detekce útoků a reakce na ně
  3. Ochrana identit
  4. Ochrana zařízení
  5. Ochrana informací

Tady je pět kroků řešení nasazeného pro vašeho tenanta Microsoft 365.

Ochrana před ransomwarem pro tenanta Microsoftu 365

Toto řešení používá principy nulová důvěra (Zero Trust):

  • Explicitně ověřte: Vždy se ověřujte a autorizujete na základě všech dostupných datových bodů.
  • Používejte přístup s nejnižšími oprávněními: Omezte přístup uživatelů pomocí technologie JiT/JEA (Just-In-Time a Just-Enough-Access), adaptivních zásad založených na rizicích a ochrany dat.
  • Předpokládat porušení zabezpečení: Minimalizujte poloměr výbuchu a přístup k segmentům. Ověřte komplexní šifrování a využijte analýzy k získání přehledu, řízení detekce hrozeb a vylepšení ochrany.

Na rozdíl od konvenčního intranetového přístupu, který důvěřuje všemu, co je za bránou firewall organizace, nulová důvěra (Zero Trust) zachází s každým přihlášením a přístupem, jako by pocházely z nekontrolované sítě, ať už je za bránou firewall organizace nebo na internetu. nulová důvěra (Zero Trust) vyžaduje ochranu sítě, infrastruktury, identit, koncových bodů, aplikací a dat.

Možnosti a funkce Microsoftu 365

Pokud chcete ochránit svého tenanta Microsoft 365 před útokem ransomware, použijte tyto funkce a funkce Microsoftu 365 pro tyto kroky v řešení.

1. Standardní hodnoty zabezpečení

Funkce nebo funkce Popis Pomáhá... Licencování
Microsoft Secure Score Měří stav zabezpečení tenanta Microsoftu 365. Vyhodnoťte konfiguraci zabezpečení a navrhnete vylepšení. Microsoft 365 E3 nebo Microsoft 365 E5
Pravidla pro omezení potenciální oblasti útoku Snižuje zranitelnost vaší organizace vůči kybernetickým útokům pomocí různých nastavení konfigurace. Blokování podezřelých aktivit a zranitelného obsahu Microsoft 365 E3 nebo Microsoft 365 E5
Nastavení e-mailu Exchange Umožňuje služby, které omezují ohrožení zabezpečení vaší organizace vůči útokům založeným na e-mailech. Zabraňte počátečnímu přístupu k tenantovi prostřednictvím útoků phishing a dalších e-mailových útoků. Microsoft 365 E3 nebo Microsoft 365 E5
Nastavení Microsoft Windows, Microsoft Edge a Microsoft 365 Apps for Enterprise Poskytuje standardní konfigurace zabezpečení, které jsou obecně známé a dobře otestované. Zabraňte útokům prostřednictvím Windows, Edge a Microsoft 365 Apps for Enterprise. Microsoft 365 E3 nebo Microsoft 365 E5

2. Detekce a reakce

Funkce nebo funkce Popis Pomáhá zjišťovat a reagovat na... Licencování
Microsoft Defender XDR Kombinuje signály a orchestruje funkce do jediného řešení.

Umožňuje odborníkům na zabezpečení spojit dohromady signály hrozeb a určit úplný rozsah a dopad hrozby.

Automatizuje akce k zabránění nebo zastavení útoku a samoobslužné nápravy ovlivněných poštovních schránek, koncových bodů a identit uživatelů.
Incidenty, což jsou kombinované výstrahy a data, která tvoří útok. Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security
Microsoft Defender for Identity Identifikuje, detekuje a prošetřuje pokročilé hrozby, ohrožené identity a škodlivé akce insiderů zaměřené na vaši organizaci prostřednictvím cloudového rozhraní zabezpečení používá signály místní Active Directory Doménové služby (AD DS). Ohrožení zabezpečení přihlašovacích údajů pro účty služby AD DS Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security
Microsoft Defender pro Office 365 Chrání vaši organizaci před škodlivými hrozbami, které představují e-mailové zprávy, odkazy (adresy URL) a nástroje pro spolupráci.

Chrání před malwarem, phishingem, falšováním identity a dalšími typy útoků.
Phishingové útoky. Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security
Microsoft Defender for Endpoint Umožňuje detekci a reakci na pokročilé hrozby napříč koncovými body (zařízeními). Instalace malwaru a ohrožení zabezpečení zařízení. Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security
Microsoft Entra ID Protection Automatizuje detekci a nápravu rizik založených na identitách a prošetření těchto rizik. Ohrožení přihlašovacích údajů pro účty Microsoft Entra a eskalaci oprávnění Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security
Defender for Cloud Apps Zprostředkovatel zabezpečení přístupu ke cloudu pro zjišťování, šetření a zásady správného řízení ve všech cloudových službách Microsoftu a třetích stran. Laterální pohyb a exfiltrace dat. Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security

3. Identity

Funkce nebo funkce Popis Pomáhá zabránit... Licencování
ochrana heslem Microsoft Entra Blokování hesel ze společného seznamu a vlastních položek Určení hesla cloudového nebo místního uživatelského účtu Microsoft 365 E3 nebo Microsoft 365 E5
Vícefaktorové ověřování vynucené pomocí podmíněného přístupu Vyžadujte vícefaktorové ověřování na základě vlastností přihlašování uživatelů pomocí zásad podmíněného přístupu. Ohrožení zabezpečení přihlašovacích údajů a přístup k přihlašovacím údajům. Microsoft 365 E3 nebo Microsoft 365 E5
Vynucené vícefaktorové ověřování s podmíněným přístupem na základě rizik Vyžadujte vícefaktorové ověřování na základě rizika přihlášení uživatelů pomocí Microsoft Entra ID Protection. Ohrožení zabezpečení přihlašovacích údajů a přístup k přihlašovacím údajům. Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security

4. Zařízení

Pro správu zařízení a aplikací:

Funkce nebo funkce Popis Pomáhá zabránit... Licencování
Microsoft Intune Umožňuje spravovat zařízení a aplikace, které na nich běží. Ohrožení zabezpečení zařízení nebo aplikace a přístup. Microsoft 365 E3 nebo E5

Pro Windows 11 nebo 10 zařízení:

Funkce nebo funkce Popis Pomáhá... Licencování
brána firewall Microsoft Defender Poskytuje bránu firewall založenou na hostiteli. Zabraňte útokům z příchozího, nevyžádaného síťového provozu. Microsoft 365 E3 nebo Microsoft 365 E5
Antivirová ochrana v Microsoft Defenderu Poskytuje antimalwarovou ochranu zařízení (koncových bodů) pomocí strojového učení, analýzy velkých objemů dat, hloubkového výzkumu odolnosti vůči hrozbám a cloudové infrastruktury Microsoftu. Zabraňte instalaci a spuštění malwaru. Microsoft 365 E3 nebo Microsoft 365 E5
Filtr SmartScreen v programu Microsoft Defender Chrání před phishingovými nebo malwaremi weby a aplikacemi a před stahováním potenciálně škodlivých souborů. Blokování nebo upozornění při kontrole webů, stažených souborů, aplikací a souborů Microsoft 365 E3 nebo Microsoft 365 E5
Microsoft Defender for Endpoint Pomáhá předcházet pokročilým hrozbám, zjišťovat je, prošetřovat je a reagovat na ně na různých zařízeních (koncových bodech). Chraňte před neoprávněnou úpravou sítě. Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security

5. Informace

Funkce nebo funkce Popis Pomáhá... Licencování
Řízený přístup ke složkám Chrání vaše data kontrolou aplikací proti seznamu známých a důvěryhodných aplikací. Zabraňte úpravám nebo šifrování souborů ransomwarem. Microsoft 365 E3 nebo Microsoft 365 E5
Microsoft Purview – ochrana informací Umožňuje použití popisků citlivosti u informací, které jsou vykupitelné. Zabraňte použití exfiltrovaných informací. Microsoft 365 E3 nebo Microsoft 365 E5
Ochrana před únikem informací (DLP) Chrání citlivá data a snižuje riziko tím, že uživatelům brání v jejich nevhodném sdílení. Zabraňte exfiltraci dat. Microsoft 365 E3 nebo Microsoft 365 E5
Defender for Cloud Apps Zprostředkovatel zabezpečení přístupu ke cloudu pro zjišťování, šetření a zásady správného řízení. Detekujte laterální pohyb a zabraňte exfiltraci dat. Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Microsoft 365 E5 Security

Dopad na uživatele a správa změn

Nasazení dalších funkcí zabezpečení a implementace požadavků a zásad zabezpečení pro vašeho tenanta Microsoftu 365 může mít vliv na vaše uživatele.

Můžete například zavést nové zásady zabezpečení, které vyžadují, aby uživatelé vytvářeli nové týmy pro konkrétní použití se seznamem uživatelských účtů jako členů, místo aby snadněji vytvářeli tým pro všechny uživatele v organizaci. To může útočníkovi ransomwaru zabránit v tom, aby prozkoumal týmy, které nejsou dostupné pro ohrožený uživatelský účet útočníka, a zaměřil se na prostředky tohoto týmu při následném útoku.

Toto základní řešení určí, kdy můžou nové konfigurace nebo doporučené zásady zabezpečení ovlivnit vaše uživatele, abyste mohli provést požadovanou správu změn.

Další kroky

Pokud chcete nasadit komplexní ochranu pro vašeho tenanta Microsoft 365, postupujte následovně:

  1. Konfigurace výchozích hodnot zabezpečení
  2. Nasazení detekce útoků a reakce na ně
  3. Ochrana identit
  4. Ochrana zařízení
  5. Ochrana informací

Krok 1 pro ochranu před ransomwarem pomocí Microsoftu 365

Další materiály k ransomwaru

Klíčové informace od Microsoftu:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Příspěvky na blogu týmu Microsoft Security: