Krok 5. Ochrana informací

Vzhledem k tomu, že útočníci ransomware se budou také dívat na vaše místní data umístěná na souborech, databázích a dalších typech serverů, je jedním z nejlepších způsobů, jak tato data chránit, jejich migrace do vašeho tenanta Microsoftu 365. Tam ho můžete chránit integrovanými funkcemi pro zmírnění rizik a obnovení, jako je správa verzí, koš a obnovení souborů.

Zajištění další ochrany citlivých informací v tenantovi Microsoftu 365:

• Vyhledejte citlivé informace.
• Implementujte striktní oprávnění a eliminujte široký přístup (například zabraňte příliš velkému počtu uživatelů, kteří mají možnosti zápisu, úprav a odstraňování).
• Chraňte své citlivé informace.

Poznámka

Podrobné pokyny k nasazení ochrany informací v tenantovi Microsoftu 365 najdete v tématu Nasazení ochrany informací pro předpisy o ochraně osobních údajů dat. I když jsou určené pro předpisy o ochraně osobních údajů, většina těchto pokynů se vztahuje také na ochranu před ransomwarem.

Vyhledání citlivých informací

Prvním úkolem je identifikovat typy a umístění citlivých informací ve vašem tenantovi, které můžou zahrnovat následující typy:

• Citlivé
• Vlastnictví nebo duševní vlastnictví
• Regulované regionální předpisy, které určují ochranu osobních údajů
• Plány obnovení IT

Pro každý typ citlivých informací určete následující:

• Použití informací ve vaší organizaci

• Relativní míra jeho peněžní hodnoty, pokud byla držena za výkupné (například vysoká, střední, nízká)

• Jeho aktuální umístění, například složka OneDrive nebo SharePoint nebo místo pro spolupráci, jako je tým Microsoft Teams

• Aktuální oprávnění, která se skládají z:

  • Uživatelské účty, které mají přístup

  • Akce, které jsou povolené pro každý účet, který má přístup

Implementace striktních oprávnění pro umístění s citlivými informacemi

Implementace striktních oprávnění v rámci vašeho tenanta Microsoftu 365 používá princip nejnižších oprávnění pro umístění a místa komunikace, což jsou v Microsoftu 365 obvykle složky OneDrivu, sharepointové weby a složky a týmy.

I když je jednodušší vytvořit umístění úložiště souborů nebo týmy s širokým přístupem (například výchozí nastavení pro všechny uživatele ve vaší organizaci), u citlivých informací musí být povolené uživatelské účty a akce omezené na minimální sadu potřebnou ke splnění požadavků na spolupráci a obchodní požadavky.

Jakmile se útočník ransomwaru infiltruje do vašeho tenanta, pokusí se eskalovat jeho oprávnění tím, že zneuctí přihlašovací údaje uživatelských účtů s širším rozsahem oprávnění v rámci vašeho tenanta, jako jsou účty rolí správce nebo uživatelské účty, které mají přístup k citlivým informacím.

Na základě tohoto typického chování útočníka existují pro útočníka dvě úrovně potíží:

• Nízké: Útočník může použít účet s nízkým oprávněním a zjistit vaše citlivé informace kvůli širokému přístupu v celém tenantovi.
• Vyšší: Útočník nemůže použít účet s nízkými oprávněními a zjistit vaše citlivé informace kvůli striktním oprávněním. Musí eskalovat svá oprávnění určením a následným ohrožením přihlašovacích údajů účtu, který má přístup k umístění s citlivými informacemi, ale pak může provádět jenom omezenou sadu akcí.

U citlivých informací musíte nastavit úroveň obtížnosti co nejvyšší.

Striktní oprávnění v tenantovi můžete zajistit pomocí těchto kroků:

1. Při hledání citlivých informací zkontrolujte oprávnění pro umístění citlivých informací.
2. Implementujte striktní oprávnění pro citlivé informace při plnění spolupráce a obchodních požadavků a informujte ovlivněné uživatele.
3. Proveďte správu změn pro uživatele, aby budoucí umístění citlivých informací byla vytvořena a udržována s přísnými oprávněními.
4. Auditujte a monitorujte umístění pro citlivé informace, abyste měli jistotu, že se neudělují obecná oprávnění.

Podrobné pokyny najdete v tématu Nastavení zabezpečeného sdílení souborů a spolupráce pomocí Microsoft Teams . Příkladem místa komunikace a spolupráce s přísnými oprávněními k citlivým informacím je tým s bezpečnostní izolací.

Ochrana citlivých informací

Ochrana citlivých informací v případě, že k němu útočník ransomware získá přístup:

• Pomocí řízeného přístupu ke složkám znesnadněte neoprávněným aplikacím úpravu dat v řízených složkách.

• Použijte popisky Microsoft Purview Information Protection a citlivosti a použijte je u citlivých informací. Popisky citlivosti je možné nakonfigurovat pro další šifrování a oprávnění s definovanými uživatelskými účty a povolenými akcemi. Soubor označený tímto typem popisku citlivosti, který je exfiltrován z vašeho tenanta, bude možné použít pouze pro uživatelský účet definovaný v popisku.

• Pomocí ochrany před únikem informací (DLP) služby Microsoft Purview můžete zjišťovat, varovat a blokovat rizikové, neúmyslné nebo nevhodné sdílení dat obsahujících osobní nebo důvěrné informace na základě popisků citlivosti, a to interně i externě.

• Pomocí Microsoft Defender for Cloud Apps můžete blokovat stahování citlivých informací, jako jsou soubory. Pomocí zásad detekce anomálií defenderu for Cloud Apps můžete také zjistit vysokou míru nahrávání souborů nebo aktivit odstraňování souborů.

Dopad na uživatele a správa změn

Změny obecných oprávnění pro správu můžou vést k odepření přístupu nebo nemožnosti provést některé akce uživatelům.

Kromě toho pro ochranu citlivých informací ve vašem tenantovi Microsoftu 365 vytrénujte uživatele na:

• Vytvořte místa komunikace a spolupráce s přísnými oprávněními (minimální sada uživatelských účtů pro přístup a minimální povolené akce pro každý účet).
• U citlivých informací použijte správné popisky citlivosti.
• Používejte řízený přístup ke složkům.

Výsledná konfigurace

Tady je ochrana vašeho tenanta proti ransomwaru pro kroky 1 až 5.

Další materiály k ransomwaru

Klíčové informace od Microsoftu:

• Rostoucí hrozba ransomwaru, blogový příspěvek Microsoft On the Issues z 20. července 2021
• Ransomware ovládaný člověkem
• Rychlé nasazení prevence ransomwaru
• 2021 Microsoft Digital Defense Report (viz str. 10-19)
• Ransomware: Všudypřítomná a průběžná sestava analýzy hrozeb na portálu Microsoft Defender
• Přístup k ransomwaru od týmu DART (Detection and Response Team) společnosti Microsoft , osvědčené postupy a případová studie

Microsoft 365:

• Maximalizace odolnosti proti ransomwaru s využitím Azure a Microsoftu 365
• Playbooky reakcí na incidenty ransomwaru
• Ochrana proti malwaru a ransomwaru
• Ochrana počítače Windows 10 před ransomwarem
• Zpracování ransomwaru v SharePointu Online
• Sestavy analýzy hrozeb pro ransomware na portálu Microsoft Defender

Microsoft Defender XDR:

• Vyhledání ransomwaru s pokročilým vyhledáváním

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximalizace odolnosti proti ransomwaru s využitím Azure a Microsoftu 365
• Plán zálohování a obnovení pro ochranu před ransomwarem
• Pomoc s ochranou před ransomwarem pomocí Microsoft Azure Backup (26minutové video)
• Zotavení po ohrožení systémové identity
• Pokročilá detekce vícestupňových útoků ve službě Microsoft Sentinel
• Detekce fúze pro ransomware ve službě Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Vytvoření zásad detekce anomálií v Defenderu for Cloud Apps

Příspěvky na blogu týmu Microsoft Security:

• 3 kroky pro prevenci a zotavení po ransomwaru (září 2021)

• Průvodce bojem proti ransomwaru provozovanému člověkem: Část 1 (září 2021)

  Klíčové kroky týkající se toho, jak tým microsoftu pro detekci a odezvu (DART) provádí šetření incidentů ransomwaru.

• Průvodce bojem proti ransomwaru provozovanému člověkem: Část 2 (září 2021)

  Doporučení a osvědčené postupy

• Jak se stát odolnými díky porozumění kybernetickým rizikům: Část 4 – navigace v současných hrozbách (květen 2021)

  Viz část Ransomware .

• Útoky ransomware provozované lidmi: Katastrofa, které lze zabránit (březen 2020)

  Zahrnuje analýzy řetězců útoků skutečných útoků.

• Odpověď ransomwaru – zaplatit, nebo neplatit? (prosinec 2019)

• Norsk Hydro reaguje na útok ransomwarem transparentně (prosinec 2019)