Plán zálohování a obnovení pro ochranu před ransomwarem

  • Článek

Útoky ransomwarem záměrně šifrují nebo vymažou data a systémy, aby vaše organizace zaplatila útočníkům peníze. Tyto útoky cílí na vaše data, zálohy a také klíčovou dokumentaci potřebnou k obnovení bez placení útočníků (což znamená zvýšení pravděpodobnosti, že vaše organizace zaplatí).

Tento článek se zabývá tím, co dělat před útokem za účelem ochrany důležitých obchodních systémů a během útoku, aby se zajistilo rychlé obnovení obchodních operací.

Poznámka:

Příprava na ransomware také zvyšuje odolnost proti přírodním katastrofám a rychlým útokům, jako je WannaCry & (Ne)Petya.

Co je ransomware?

Ransomware je typ útoku na vyděračství, který šifruje soubory a složky a brání přístupu k důležitým datům a systémům. Útočníci používají ransomwar k vyděsení peněz z obětí tím, že vyžadují peníze, obvykle ve formě chrotů, výměnou za dešifrovací klíč nebo výměnou za neuvolňování citlivých dat na tmavý web nebo veřejný internet.

I když ransomwar většinou používal malware, který se šíří pomocí útoku phishing nebo mezi zařízeními, objevil se ransomware provozovaný člověkem, kde se objevil gang aktivních útočníků řízený operátory lidských útoků, cílí na všechny systémy v organizaci (místo jednoho zařízení nebo sady zařízení). Útok může:

  • Šifrování dat
  • Exfiltrace dat
  • Poškození záloh

Ransomware využívá znalosti běžných systémových a bezpečnostních chybných konfigurací a ohrožení zabezpečení k infiltraci organizace, navigaci v podnikové síti a přizpůsobení se prostředí a jeho slabým stránkám při přechodu.

Ransomwaru je možné nejprve infiltrovat vaše data před několika týdny nebo měsíci před tím, než se ransomwar skutečně provede v určitém datu.

Ransomware může také pomalu šifrovat vaše data a přitom udržovat klíč v systému. Díky vašemu klíči je stále dostupný, vaše data jsou pro vás použitelná a ransomwaru se neposunou. Vaše zálohy jsou ale šifrovaná data. Jakmile jsou všechna vaše data zašifrovaná a nedávné zálohy jsou také šifrovaná data, klíč se odebere, takže už nebudete moct číst data.

Skutečné škody se často provádějí, když útok vyfiltruje soubory a zároveň opouští zadní vrátka v síti pro budoucí škodlivou aktivitu – a tato rizika trvají bez ohledu na to, jestli je výkupné zaplaceno nebo ne. Tyto útoky můžou být katastrofické pro obchodní operace a obtížně se vyčistí, což vyžaduje úplné vyřazení nežádoucích prostředků, aby se chránily před budoucími útoky. Na rozdíl od ransomwaru, které vyžadovaly pouze nápravu malwaru, může lidské ransomwary i nadále ohrozit vaše obchodní operace po počátečním setkání.

Dopad útoku

Dopad útoku ransomwaru na jakoukoli organizaci je obtížné přesně kvantifikovat. V závislosti na rozsahu útoku může dopad zahrnovat:

  • Ztráta přístupu k datům
  • Přerušení obchodních operací
  • Finanční ztráta
  • Krádež duševního vlastnictví
  • Ohrožení důvěryhodnosti nebo znehodnocené pověsti zákazníka
  • Právní výdaje

Jak se můžete chránit?

Nejlepším způsobem, jak zabránit útoku ransomwaru, je implementovat preventivní opatření a mít nástroje, které chrání vaši organizaci před každým krokem, který útočníci přijmou k infiltraci vašich systémů.

Místní expozici můžete snížit přesunutím organizace do cloudové služby. Microsoft investoval do nativních možností zabezpečení, díky kterým je Microsoft Azure odolný proti útokům ransomwaru a pomáhá organizacím porazit techniky útoku ransomwaru. Pokud chcete získat komplexní přehled o ransomwaru a vydírání a o tom, jak chránit vaši organizaci, použijte informace v powerpointové prezentaci projektu pro zmírnění rizik ransomwaru provozovaného člověkem.

Měli byste předpokládat, že v určitém okamžiku budete obětí útoku ransomware. Jedním z nejdůležitějšíchkrokůch Vzhledem k tomu, že útočníci ransomwaru investovali do neutralizace zálohovacích aplikací a funkcí operačního systému, jako je stínová kopie svazku, je důležité mít zálohy, které jsou pro útočníka se zlými úmysly nepřístupné.

Azure Backup

Azure Backup poskytuje zabezpečení prostředí zálohování, a to jak při přenosu dat, tak i v klidovém stavu. Pomocí služby Azure Backup můžete zálohovat:

  • Místní soubory, složky a stav systému
  • Celé virtuální počítače s Windows nebo Linuxem
  • Spravované disky Azure
  • Sdílené složky Azure do účtu úložiště
  • Databáze SQL Serveru spuštěné na virtuálních počítačích Azure

Zálohovaná data jsou uložená v úložišti Azure a host nebo útočník nemá přímý přístup k úložišti záloh ani k jeho obsahu. Při zálohování virtuálních počítačů se vytvoření snímku zálohy a úložiště provádí prostředky infrastruktury Azure, kde host nebo útočník nemá jinou účast než v nečinnosti úlohy pro zálohy konzistentní vzhledem k aplikacím. S SQL a SAP HANA získá rozšíření zálohování dočasný přístup k zápisu do konkrétních objektů blob. Tímto způsobem ani v ohroženém prostředí se stávající zálohy nedají zfalšovat ani odstranit útočníkem.

Azure Backup poskytuje integrované možnosti monitorování a upozorňování pro zobrazení a konfiguraci akcí pro události související se službou Azure Backup. Sestavy zálohování slouží jako cíl pro sledování využití, auditování záloh a obnovení a identifikaci klíčových trendů na různých úrovních členitosti. Pomocí nástrojů pro monitorování a vytváření sestav služby Azure Backup můžete okamžitě po jejich výskytu upozornit na jakoukoli neoprávněnou, podezřelou nebo škodlivou aktivitu.

Byly přidány kontroly, aby se zajistilo, že mohou provádět různé operace pouze platné uživatele. Patří mezi ně přidání další vrstvy ověřování. Jako součást přidání další vrstvy ověřování pro důležité operace se před úpravou online záloh zobrazí výzva k zadání bezpečnostního PIN kódu.

Přečtěte si další informace o funkcích zabezpečení integrovaných ve službě Azure Backup.

Ověření záloh

Před obnovením ověřte, že je vaše záloha dobrá, protože je vaše záloha vytvořená. Doporučujeme použít trezor služby Recovery Services, což je entita úložiště v Azure, která je součástí dat. Těmito daty jsou zpravidla kopie dat nebo konfigurační informace pro virtuální počítače, úlohy, servery nebo pracovní stanice. Trezory služby Recovery Services můžete použít k ukládání zálohovaných dat pro různé služby Azure, jako jsou virtuální počítače IaaS (Linux nebo Windows) a databáze Azure SQL a také místní prostředky. Trezory služby Recovery Services usnadňují uspořádání zálohovaných dat a poskytují funkce, jako jsou:

  • Vylepšené možnosti, které vám pomůžou zabezpečit zálohy a bezpečně obnovit data, i když dojde k ohrožení produkčních a záložních serverů. Další informace.
  • Monitorování hybridního IT prostředí (virtuální počítače Azure IaaS a místní prostředky) z centrálního portálu Další informace.
  • Kompatibilita s řízením přístupu na základě role v Azure (Azure RBAC), která omezuje zálohování a obnovení přístupu k definované sadě rolí uživatelů. Azure RBAC poskytuje různé předdefinované role a Azure Backup má tři předdefinované role pro správu bodů obnovení. Další informace.
  • Ochrana proti obnovitelnému odstranění, i když aktér se zlými úmysly odstraní zálohu (nebo zálohovaná data se omylem odstraní). Zálohovaná data se uchovávají po dobu 14 dalších dnů, což umožňuje obnovení zálohované položky bez ztráty dat. Další informace.
  • Obnovení mezi oblastmi, které umožňuje obnovit virtuální počítače Azure v sekundární oblasti, což je spárovaná oblast Azure. Replikovaná data v sekundární oblasti můžete kdykoli obnovit. To vám umožní obnovit data sekundární oblasti kvůli dodržování předpisů auditu a během scénářů výpadků, aniž byste čekali, až Azure deklaruje havárii (na rozdíl od nastavení GRS trezoru). Další informace.

Poznámka:

Ve službě Azure Backup existují dva typy trezorů. Kromě trezorů služby Recovery Services existují také trezory služby Backup, které ukládají data pro novější úlohy podporované službou Azure Backup.

Co dělat před útokem

Jak už bylo zmíněno dříve, měli byste předpokládat, že v určitém okamžiku budete obětí útoku ransomwaru. Identifikace důležitých obchodních systémů a použití osvědčených postupů před útokem vám umožní co nejrychleji zprovoznění.

Určení toho, co je pro vás nejdůležitější

Ransomwar může napadnout, když plánujete útok, takže vaší první prioritou by měla být identifikace důležitých obchodních systémů, které jsou pro vás nejdůležitější, a začít s prováděním pravidelných záloh v těchto systémech.

V našem prostředí spadají pět nejdůležitějších aplikací pro zákazníky do následujících kategorií v tomto pořadí priority:

  • Systémy identit – vyžaduje se, aby uživatelé přistupovali k jakýmkoli systémům (včetně všech ostatních popsaných níže), jako jsou Active Directory, Microsoft Entra Připojení, řadiče domény AD.
  • Lidský život – jakýkoli systém, který podporuje lidský život, nebo by mohl ohrozit systémy zdravotní péče nebo životní podpory, bezpečnostní systémy (sanitky, dispečerské systémy, řízení semaforu), velké stroje, chemické/biologické systémy, výrobu potravin nebo osobních výrobků a další
  • Finanční systémy – systémy, které zpracovávají peněžní transakce a udržují provoz firmy, jako jsou platební systémy a související databáze, finanční systém pro čtvrtletní vykazování
  • Povolení produktů nebo služeb – všechny systémy, které jsou potřeba k poskytování obchodních služeb nebo k výrobě nebo dodávání fyzických produktů, za které vám zákazníci platí, systémy řízení výroby, dodávky a expediční systémy a podobné systémy
  • Zabezpečení (minimum) – Měli byste také určit prioritu systémů zabezpečení potřebných k monitorování útoků a poskytování minimálních služeb zabezpečení. Mělo by se zaměřit na to, aby aktuální útoky (nebo snadno oportunistické) nebyly okamžitě schopny získat (nebo znovu získat) přístup k obnovených systémům (nebo je znovu získat).

Seznam zálohování, u které máte nastavené priority, se stane také vaším seznamem obnovení s prioritou. Jakmile identifikujete kritické systémy a provádíte pravidelné zálohování, proveďte kroky ke snížení úrovně expozice.

Kroky, které je třeba provést před útokem

Použijte tyto osvědčené postupy před útokem.

Úloha Detail
Identifikujte důležité systémy, které potřebujete vrátit zpátky do online režimu (pomocí prvních pěti výše uvedených kategorií) a okamžitě začít provádět pravidelné zálohy těchto systémů. Pokud chcete po útoku co nejrychleji začít pracovat, zjistěte, co je pro vás nejdůležitější.
Migrace organizace do cloudu

Zvažte nákup plánu sjednocené podpory Microsoftu nebo spolupráci s partnerem Microsoftu, který vám pomůže podpořit přechod do cloudu.		 Snižte své místní riziko přesunem dat do cloudových služeb s automatickým zálohováním a samoobslužným vrácením zpět. Microsoft Azure nabízí robustní sadu nástrojů, které vám pomůžou zálohovat důležité obchodní systémy a rychleji obnovit zálohy.

Sjednocená podpora Microsoftu je model podpory cloudových služeb, který vám pomůže, kdykoli ji potřebujete. Jednotná podpora:

Poskytuje určený tým, který je k dispozici 24x7 s potřebným řešením problémů a eskalací kritického incidentu.

Pomáhá monitorovat stav vašeho IT prostředí a pracuje aktivně na tom, aby se zajistilo, že se problémům zabrání, než k nim dojde.
Přesuňte uživatelská data do cloudových řešení, jako je OneDrive a SharePoint, a využijte možnosti správy verzí a koše.

Informujte uživatele o tom, jak sami obnovit soubory, aby snížili zpoždění a náklady na obnovení. Pokud byly například soubory OneDrivu uživatele napadené malwarem, může obnovit celý Svůj OneDrive na předchozí čas.

Než uživatelům povolíte obnovení vlastních souborů, zvažte strategii ochrany, například XDR v programu Microsoft Defender.		 Uživatelská data v cloudu Microsoftu můžou být chráněná integrovanými funkcemi zabezpečení a správy dat.

Je dobré naučit uživatele, jak obnovit své vlastní soubory, ale musíte být opatrní, aby uživatelé neobnovili malware použitý k provedení útoku. Potřebujete:

Ujistěte se, že uživatelé své soubory neobnoví, dokud si nejste jistí, že útočník byl vyřazen.

Omezení rizik v případě, že uživatel obnoví některý malware

XDR v programu Microsoft Defender používá automatické akce AI a playbooky k nápravě ovlivněných prostředků zpět do zabezpečeného stavu. XDR v programu Microsoft Defender využívá možnosti automatické nápravy produktů sady k zajištění automatické nápravy všech ovlivněných prostředků souvisejících s incidentem, pokud je to možné.
Implementujte srovnávací test zabezpečení cloudu Microsoftu. Srovnávací test zabezpečení cloudu Microsoftu je naše architektura kontroly zabezpečení založená na architekturách pro řízení zabezpečení na základě odvětví, jako jsou NIST SP800-53, CIS Controls v7.1. Poskytuje organizace pokyny ke konfiguraci služeb Azure a Azure a implementaci kontrolních mechanismů zabezpečení. Viz Zálohování a obnovení.
Pravidelně si procvičujte plán provozní kontinuity a zotavení po havárii (BC/DR).

Simulace scénářů reakce na incidenty Cvičení, která provádíte při přípravě na útok, by měla být naplánována a provedena v seznamech zálohování a obnovení podle priority.

Pravidelně testujte scénář Zotavení od nuly, abyste zajistili, že bc/DR dokáže rychle přenést důležité obchodní operace do online režimu z nulové funkčnosti (všechny systémy mimo provoz).		 Zajišťuje rychlé zotavení obchodních operací tím, že zachází s ransomwarem nebo útokem na vydírání se stejnou důležitostí jako přírodní katastrofa.

Provádějte praktické cvičení a ověřte procesy napříč týmy a technické postupy, včetně komunikace zaměstnanců mimo skupinu a komunikace se zákazníky (předpokládejme, že všechny e-maily a chat jsou mimo provoz).
Zvažte vytvoření registru rizik, abyste identifikovali potenciální rizika a vyřešili způsob, jakým budete mediatovat prostřednictvím preventivních kontrol a akcí. Přidejte ransomwar k registraci rizik jako vysokou pravděpodobnost a scénář s vysokým dopadem. Registr rizik vám může pomoct určit prioritu rizik na základě pravděpodobnosti výskytu tohoto rizika a závažnosti vaší firmy v případě, že k riziku dojde.

Sledujte stav zmírnění rizik prostřednictvím cyklu posouzení ERM (Enterprise Risk Management).
Zálohujte všechny důležité obchodní systémy automaticky podle běžného plánu (včetně zálohování důležitých závislostí, jako je Active Directory).

Ověřte, že zálohování je dobré při vytváření zálohy.		 Umožňuje obnovit data až do poslední zálohy.
Ochrana (nebo tisk) podpůrných dokumentů a systémů potřebných k obnovení, jako jsou dokumenty procedur obnovení, CMDB, síťové diagramy a instance SolarWinds. Útočníci záměrně cílí na tyto prostředky, protože ovlivňují vaši schopnost obnovení.
Ujistěte se, že máte dobře zdokumentované postupy pro zapojení jakékoli podpory třetích stran, zejména podpory od poskytovatelů analýzy hrozeb, poskytovatelů antimalwarových řešení a od poskytovatele analýzy malwaru. Tyto postupy můžete chránit (nebo vytisknout). Kontakty třetích stran mohou být užitečné, pokud daná varianta ransomwaru má k dispozici známé slabé stránky nebo nástroje pro dešifrování.
Ujistěte se, že strategie zálohování a obnovení zahrnuje:

Schopnost zálohovat data k určitému bodu v čase

Několik kopií záloh se ukládá v izolovaných a offline umístěních (bez mezery vzduchu).

Cíle doby obnovení, které stanoví, jak rychle zálohované informace lze načíst a vložit do produkčního prostředí.

Rychlé obnovení zálohy do produkčního prostředí nebo sandboxu		 Zálohy jsou nezbytné pro odolnost po porušení zabezpečení organizace. Použijte pravidlo 3-2-1 pro maximální ochranu a dostupnost: 3 kopie (původní + 2 zálohy), 2 typy úložiště a 1 mimo pracoviště nebo studenou kopii.
Ochrana záloh před úmyslným vymazáním a šifrováním:

Ukládání záloh do offline nebo offline úložiště nebo v úložišti mimo lokalitu nebo v neměnném úložišti

Před povolením změny nebo vymazání online zálohy vyžadovat mimo pásmové kroky (například vícefaktorové ověřování nebo bezpečnostní PIN kód).

Vytvořte privátní koncové body ve vaší virtuální síti Azure, abyste mohli bezpečně zálohovat a obnovovat data z trezoru služby Recovery Services.		 Zálohy, které jsou přístupné útočníkům, se dají vykreslit jako nepoužitelné pro obnovení firmy.

Offline úložiště zajišťuje robustní přenos zálohovaných dat bez použití šířky pásma sítě. Azure Backup podporuje offline zálohování, které přenáší počáteční zálohovaná data offline bez použití šířky pásma sítě. Poskytuje mechanismus pro kopírování zálohovach dat do fyzických úložných zařízení. Zařízení se pak odešlou do blízkého datacentra Azure a nahrají se do trezoru služby Recovery Services.

Online neměnné úložiště (například Azure Blob) umožňuje ukládat důležité obchodní datové objekty do stavu WORM (Zapsat jednou, Číst mnoho). Díky tomuto stavu se data nedají vymazat a neupravují pro uživatelem zadaný interval.

Vícefaktorové ověřování (MFA) by mělo být povinné pro všechny účty správců a důrazně se doporučuje pro všechny uživatele. Upřednostňovanou metodou je místo SMS nebo hlasu používat ověřovací aplikaci, pokud je to možné. Při nastavování služby Azure Backup můžete nakonfigurovat služby recovery services tak, aby povolovaly vícefaktorové ověřování pomocí pin kódu zabezpečení vygenerovaného na webu Azure Portal. Tím se zajistí, že se vygeneruje pin zabezpečení pro provádění důležitých operací, jako je aktualizace nebo odebrání bodu obnovení.
Určete chráněné složky. Znesnadňuje neoprávněným aplikacím upravovat data v těchto složkách.
Zkontrolujte svá oprávnění:

Objevte obecná oprávnění k zápisu a odstraňování u sdílených složek, SharePointu a dalších řešeních. Široké je definováno, kolik uživatelů má oprávnění k zápisu nebo odstranění pro důležitá obchodní data.

Omezte široká oprávnění při splnění požadavků na obchodní spolupráci.

Auditujte a monitorujte, abyste měli jistotu, že se obecná oprávnění znovu nezobrazí.		 Snižuje riziko z rozsáhlých aktivit s povolením přístupu k ransomwaru.
Ochrana před pokusem o útok phishing:

Pravidelně trénujte povědomí o zabezpečení, abyste uživatelům pomohli identifikovat pokus o útok phishing a vyhnout se kliknutí na něco, co může vytvořit počáteční vstupní bod pro ohrožení zabezpečení.

Pomocí ovládacích prvků filtrování zabezpečení můžete e-mailem detekovat a minimalizovat pravděpodobnost úspěšného pokusu o útok phishing.		 Nejběžnější metodou, kterou útočníci používají k infiltraci organizace, je útok phishing prostřednictvím e-mailu. Exchange Online Protection (EOP) je cloudová služba filtrování, která chrání vaši organizaci před spamem, malwarem a dalšími e-mailovými hrozbami. EOP je součástí všech organizací Microsoftu 365 s poštovními schránkami Exchange Online.

Příkladem ovládacího prvku filtrování zabezpečení pro e-mail je Sejf odkazy. Sejf Odkazy je funkce v Defender pro Office 365, která poskytuje kontrolu a přepis adres URL a odkazů v e-mailových zprávách během příchozího toku pošty a ověření adres URL a odkazů v e-mailových zprávách a dalších umístěních (dokumenty Microsoft Teams a Office). Sejf kontroly odkazů dochází kromě pravidelné ochrany proti spamu a antimalwarové ochraně v příchozích e-mailových zprávách v EOP. Sejf vyhledávání odkazů může pomoct chránit vaši organizaci před škodlivými odkazy, které se používají při útoku phishing a dalších útocích.

Přečtěte si další informace o ochraně proti útokům phishing.

Co dělat během útoku

Pokud dojde k útoku, stane se váš seznam prioritního zálohování seznamem obnovení s prioritou. Před obnovením znovu ověřte, že je záloha dobrá. Možná budete moct vyhledat malware uvnitř zálohy.

Kroky, které se mají provést během útoku

Tyto osvědčené postupy použijte během útoku.

Úloha Detail
V rané fázi útoku zapojte podporu třetích stran, zejména podporu poskytovatelů analýzy hrozeb, poskytovatelů antimalwarových řešení a poskytovatele analýzy malwaru. Tyto kontakty mohou být užitečné, pokud daná varianta ransomwaru má k dispozici známé slabé nebo dešifrovací nástroje.

Microsoft Detection and Response Team (DART) vám může pomoct chránit před útoky. DarT se zabývá zákazníky po celém světě, pomáhá chránit a posílit ochranu před útoky dříve, než k nim dojde, a také prošetřuje a opravuje situace, kdy k útoku došlo.

Microsoft také poskytuje služby rychlého obnovení ransomwaru. Služby jsou poskytovány výhradně společností Microsoft Global Compromise Recovery Security Practice (CRSP).</a0> Cílem tohoto týmu během útoku ransomwarem je obnovit ověřovací službu a omezit dopad ransomwaru.

DART a CRSP jsou součástí linky zabezpečení microsoftu Industry Solutions Delivery Service.
Obraťte se na místní nebo federální orgány vynucování právních předpisů. Pokud jste v USA, obraťte se na FBI, aby nahlásila porušení zabezpečení ransomwaru pomocí formuláře pro doporučení stížnosti IC3.
Proveďte kroky k odebrání datové části malwaru nebo ransomwaru z vašeho prostředí a zastavte šíření.

Spusťte úplnou aktuální antivirovou kontrolu na všech podezřelých počítačích a zařízeních, abyste zjistili a odebrali datovou část přidruženou k ransomwaru.

Zkontrolujte zařízení, která synchronizují data, nebo cíle mapovaných síťových jednotek.		 Microsoft Security Essentials můžete použít v programu Windows Defender nebo (pro starší klienty).

Alternativou, která vám také pomůže odstranit ransomware nebo malware, je nástroj pro odstranění škodlivého softwaru (MSRT).
Nejprve obnovte důležité obchodní systémy. Před obnovením nezapomeňte znovu ověřit, že zálohování je dobré. V tomto okamžiku nemusíte všechno obnovovat. Zaměřte se na pět hlavních systémů důležitých pro firmy ze seznamu obnovení.
Pokud máte offline zálohy, můžete pravděpodobně obnovit šifrovaná data po odebrání datové části ransomwaru (malware) z vašeho prostředí. Abyste zabránili budoucím útokům, před obnovením se ujistěte, že ransomware nebo malware nejsou ve vašem offline zálohování.
Identifikujte bezpečnou bitovou kopii zálohy k určitému bodu v čase, která není známo, že není napadená.

Pokud používáte trezor služby Recovery Services, pečlivě zkontrolujte časovou osu incidentu, abyste porozuměli správnému bodu v čase pro obnovení zálohy.		 Pokud chcete předejít budoucím útokům, před obnovením vyhledejte zálohu ransomwaru nebo malwaru.
Pro úplné obnovení operačního systému a scénáře obnovení dat použijte bezpečnostní skener a další nástroje. Microsoft Bezpečnostní skener je nástroj pro vyhledávání a odstraňování malwaru z počítačů s Windows. Jednoduše si ho stáhněte a spusťte kontrolu a vyhledejte malware a zkuste vrátit změny provedené identifikovanými hrozbami.
Ujistěte se, že je vaše antivirové řešení nebo řešení detekce a reakce u koncových bodů (EDR) aktuální. Potřebujete také aktuální opravy. Preferuje se řešení EDR, jako je Microsoft Defender for Endpoint.
Po zprovoznění a provozu důležitých obchodních systémů obnovte další systémy.

Jakmile se systémy obnoví, začněte shromažďovat telemetrická data, abyste mohli rozhodovat o tom, co obnovujete.		 Telemetrická data by vám měla pomoct identifikovat, jestli je malware stále ve vašich systémech.

Po útoku nebo simulaci

Po útoku ransomwaru nebo simulaci reakce na incidenty vylepšete plány zálohování a obnovení a také stav zabezpečení:

  1. Identifikujte poznatky, ve kterých proces dobře nefunguje (a příležitosti ke zjednodušení, zrychlení nebo jinému zlepšení procesu).
  2. Proveďte analýzu hlavních příčin největších problémů (dostatečně podrobně, abyste zajistili řešení správného problému – vzhledem k lidem, procesům a technologiím).
  3. Prošetření a náprava původního porušení zabezpečení (pomoc s týmem DART (Microsoft Detection and Response Team)
  4. Aktualizace strategie zálohování a obnovení na základě získaných poznatků a příležitostí – stanovení priorit na základě nejvyššího dopadu a nejrychlejších kroků implementace

Další kroky

V tomto článku jste se dozvěděli, jak vylepšit plán zálohování a obnovení, který chrání před ransomwarem. Osvědčené postupy při nasazování ochrany ransomwaru najdete v tématu Rychlá ochrana před ransomwarem a vydíráním.

Klíčové informace o odvětví:

Microsoft Azure:

Microsoft 365:

XDR v programu Microsoft Defender:

Blogové příspěvky týmu zabezpečení Microsoftu: