Sdílet prostřednictvím

Omezení rozsahu a dopadu útoků ransomwaru

  • Článek

Dalším krokem, jak zabránit útokům ransomwaru, je chránit privilegované role – druh úloh, ve kterých lidé zpracovávají velké množství privilegovaných informací v organizaci.

Cílem této fáze prevence ransomwaru je zabránit kybernetickým útočníkům v získání velkého množství přístupu k vašim systémům.

Čím větší je přístup kyberzločince, musí mít vaše organizace a zařízení vyšší potenciální škody na vašich datech a systémech.

Důležité

Přečtěte si řadu prevence ransomwaru a ztěžujte kybernetický útok vaší organizace.

Vytvoření ransomwaru "strategie privilegovaného přístupu"

Abyste snížili riziko ohrožení privilegovaného přístupu, musíte použít důkladnou a komplexní strategii.

Jakýkoli jiný bezpečnostní prvek, který použijete, může útočník snadno zneplatnit s privilegovaným přístupem ve vašem prostředí. Útočníci ransomwaru používají privilegovaný přístup jako rychlou cestu k řízení všech důležitých prostředků v organizaci za účelem útoku a následného vydírání.

Kdo zodpovídá za program nebo projekt

Tato tabulka popisuje strategii privilegovaného přístupu, která brání ransomwaru z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem řízení výsledků.

Lead Implementátor Odpovědnost
CISO nebo CIO Podpora z vedení
Vedoucí programu Podpora výsledků a spolupráce mezi týmy
IT a bezpečnostní architekti Stanovení priorit integrace komponent do architektur
Správa identit a klíčů Implementace změn identity
Centrální produktivita IT / tým koncových uživatelů Implementace změn v zařízeních a tenantovi Office 365
Zásady zabezpečení a standardy Aktualizace standardů a dokumentů zásad
Správa dodržování předpisů zabezpečení Monitorování pro zajištění dodržování předpisů
Tým pro vzdělávání uživatelů Aktualizace pokynů k heslám

Kontrolní seznam ransomwaru "strategie privilegovaného přístupu"

Vytvořte vícedílnou strategii s využitím pokynů v https://aka.ms/SPA tomto kontrolním seznamu.

Hotovo Úloha Popis
Vynucujte zabezpečení kompletní relace. Explicitně ověří důvěryhodnost uživatelů a zařízení před povolením přístupu k rozhraním pro správu (pomocí podmíněného přístupu Microsoft Entra).
Ochrana a monitorování systémů identit Zabraňuje útokům na eskalaci oprávnění, včetně adresářů, správy identit, účtů správců a skupin a konfigurace udělení souhlasu.
Zmírnění laterální procházení Zajišťuje, aby ohrožení zabezpečení jednoho zařízení okamžitě vedlo k řízení mnoha nebo všech ostatních zařízení pomocí místních hesel účtů, hesel účtů služeb nebo jiných tajných kódů.
Zajistěte rychlou reakci na hrozby. Omezuje přístup a čas nežádoucího uživatele v prostředí. Další informace najdete v tématu Detekce a odpověď .

Výsledky a časové osy implementace

Zkuste dosáhnout těchto výsledků za 30 až 90 dní:

  • K používání zabezpečených pracovních stanic se vyžaduje 100 % správců.
  • 100 % místních hesel pracovních stanic/serverů jsou náhodná
  • Nasadí se 100 % omezení eskalace oprávnění.

Detekce a reakce ransomwaru

Vaše organizace potřebuje rychlou detekci a nápravu běžných útoků na koncové body, e-maily a identity. Záleží na minutách.

Abyste omezili čas útočníka na pozdější procházení vaší organizace, musíte rychle napravit běžné vstupní body útoku.

Kdo zodpovídá za program nebo projekt

Tato tabulka popisuje zlepšení možností detekce a reakce proti ransomwaru z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.

Lead Implementátor Odpovědnost
CISO nebo CIO Podpora z vedení
Vedoucí programu z operací zabezpečení Podpora výsledků a spolupráce mezi týmy
Tým centrální infrastruktury IT Implementace klientských a serverových agentů/funkcí
Operace zabezpečení Integrace všech nových nástrojů do procesů operací zabezpečení
Centrální produktivita IT / tým koncových uživatelů Povolení funkcí pro Defender for Endpoint, Defender pro Office 365, Defender for Identity a Defender for Cloud Apps
Centrální tým IT Identity Implementace zabezpečení Microsoft Entra a Defenderu for Identity
Architekti zabezpečení Rady o konfiguraci, standardech a nástrojích
Zásady zabezpečení a standardy Aktualizace standardů a dokumentů zásad
Správa dodržování předpisů zabezpečení Monitorování pro zajištění dodržování předpisů

Kontrolní seznam k detekci ransomwaru a odpovědi

Použijte tyto osvědčené postupy pro zlepšení detekce a odezvy.

Hotovo Úloha Popis
Určení priority společných vstupních bodů:

– Pomocí integrovaných nástrojů rozšířené detekce a reakce (XDR), jako je XDR v programu Microsoft Defender, můžete poskytovat vysoce kvalitní výstrahy a minimalizovat tření a ruční kroky během reakce.

- Monitorujte pokusy o hrubou silou, jako je třeba password spray.		 Ransomwarové operátory (a další) upřednostňují koncový bod, e-mail, identitu a protokol RDP jako vstupní body.
Monitorování pro nežádoucí osobu, která zakazuje zabezpečení (často je součástí řetězu útoků), například:

– Vymazání protokolu událostí, zejména protokolu událostí zabezpečení a provozních protokolů PowerShellu.

- Zakázání nástrojů a ovládacích prvků zabezpečení.		 Útočníci cílí na zařízení pro detekci zabezpečení, aby mohli pokračovat v útoku bezpečněji.
Neignorujte komoditní malware. Útočníci ransomwaru pravidelně nakupují přístup k cílovým organizacím z tmavých trhů.
Integrujte externí odborníky do procesů pro doplnění odborných znalostí, jako je tým Microsoftu pro detekci a reakce (DART). Počty zkušeností pro detekci a obnovení
Rychle izolovat ohrožené počítače pomocí defenderu for Endpoint. Integrace s Windows 11 a 10 usnadňuje.

Další krok

Fáze 3. Ztěžujte se dostat do

Pokračujte ve fázi 3, abyste útočníkovi znesnadněli dostat se do vašeho prostředí tím, že postupně odeberete rizika.

Další zdroje informací o ransomwaru

Klíčové informace od Microsoftu:

Microsoft 365:

XDR v programu Microsoft Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Blogové příspěvky týmu zabezpečení Microsoftu týkající se pokynů ke zmírnění rizik ransomwaru: