Rychlé nasazení prevence ransomwaru

Poznámka

Tyto pokyny budou aktualizovány, jakmile budou k dispozici nové informace.

Zajištění ochrany před ransomwarem a zmírnění útoků na vydírání je prioritou pro velké i malé organizace, protože tyto útoky mají velký dopad a zvyšuje se pravděpodobnost, že k útokům dojde.

Poznámka

Pokud potřebujete definici ransomwaru, přečtěte si přehled tady.

Nastavení ochrany proti ransomwaru

Konkrétní pokyny, jak svoji organizaci co nejlépe připravit na mnoho forem ransomwaru a vydírání.

Tyto pokyny jsou uspořádané do fází podle priority. Každá fáze odkazuje na samostatný článek. Pořadí priorit je navržené tak, abyste v každé fázi co nejrychleji snížili riziko, a to na základě předpokladu velké naléhavosti, který přepíše běžné priority zabezpečení a IT, aby se těmto devastujícím útokům zabránilo nebo je zmírnilo.

Je důležité si uvědomit , že tyto pokyny jsou strukturovány jako prioritní fáze, které byste měli dodržovat v předepsaném pořadí. Pokud chcete tyto pokyny co nejlépe přizpůsobit vaší situaci:

1. Držte se doporučených priorit.

   Fáze použijte jako počáteční plán pro to, co dělat jako první, další a později, abyste nejprve získali co nejvýraznější prvky. Tato doporučení byla upřednostněna pomocí nulová důvěra (Zero Trust) principu předpokládat porušení zabezpečení. To vás vynutí zaměřit se na minimalizaci obchodního rizika za předpokladu, že útočníci mohou úspěšně získat přístup k vašemu prostředí pomocí jedné nebo více metod.

2. Buďte proaktivní a flexibilní (ale nepřeskakujte důležité úkoly)

   Projděte si kontrolní seznamy implementace pro všechny části všech tří fází a zjistěte, jestli existují nějaké oblasti a úkoly, které můžete rychle dokončit dříve (např. už máte přístup ke cloudové službě, která se nevyužívá, ale dá se rychle a snadno nakonfigurovat). Při pohledu na celý plán buďte velmi opatrní, aby tyto pozdější oblasti a úkoly nezpozdily dokončení kriticky důležitých oblastí, jako jsou zálohy a privilegovaný přístup.

3. Paralelně provádět některé položky

   Snažit se udělat všechno najednou může být ohromující, ale některé položky se dají přirozeně provádět paralelně. Pracovníci různých týmů můžou pracovat na úkolech současně (např. záložní tým, tým koncových bodů, tým identit) a zároveň řídit dokončení fází v pořadí podle priority.

Položky v kontrolních znacích implementace jsou v doporučeném pořadí stanovení priorit, nikoli v pořadí technických závislostí. Pomocí kontrolních seznamů můžete podle potřeby a způsobem, který funguje ve vaší organizaci, potvrdit a upravit stávající konfiguraci. Například v nejdůležitějším elementu zálohování zálohujete některé systémy, které ale nemusí být offline nebo neměnné, nebo nemusíte otestovat úplné postupy podnikového obnovení nebo nemusíte mít zálohy důležitých obchodních systémů nebo kritických IT systémů, jako jsou řadiče domény Active Directory Domain Services (AD DS).

Poznámka

Další shrnutí tohoto procesu najdete v příspěvku 3 kroky k prevenci a zotavení z ransomwaru (září 2021) na blogu o zabezpečení Microsoftu.

Fáze 1: Příprava plánu obnovení

Tato fáze je navržená tak, aby minimalizovala peněžní pobídku útočníků ransomwaru :

• Je mnohem obtížnější získat přístup k systémům a narušit je nebo šifrovat nebo poškodit klíčová data organizace.
• Pro vaši organizaci je snazší se zotavit z útoku bez zaplacení výkupného.

Poznámka

Obnovení mnoha nebo všech podnikových systémů je sice obtížné, ale alternativou je zaplatit útočníkovi za obnovovací klíč, který může nebo nemusí dodat, a použít nástroje napsané útočníky k pokusu o obnovení systémů a dat.

Fáze 2: Omezení rozsahu poškození

Znesnadněte útočníkům , aby získali přístup k několika důležitým podnikovým systémům prostřednictvím privilegovaných přístupových rolí. Omezení schopnosti útočníka získat privilegovaný přístup výrazně ztěžuje zisk z útoku na vaši organizaci, takže je pravděpodobnější, že se vzdá a půjde jinam.

Fáze 3: Ztěžujte přístup

Tato poslední sada úkolů je důležitá pro zvýšení třecí plochy pro vstup, ale dokončení v rámci větší cesty k zabezpečení bude nějakou dobu trvat. Cílem této fáze je výrazně ztížit práci útočníků, kteří se snaží získat přístup k místním nebo cloudovým infrastrukturám v různých společných vstupních bodech. Existuje spousta těchto úkolů, takže je důležité, abyste upřednostnili svou práci na základě toho, jak rychle je můžete provádět s vašimi aktuálními prostředky.

I když mnohé z nich budou známé a snadno rychle dosáhnout, je kriticky důležité, aby vaše práce na fázi 3 nezpomalovat váš postup ve fázích 1 a 2!

Ochrana proti ransomwaru na první pohled

Přehled fází a kontrolních seznamů jejich implementace jako úrovně ochrany před ransomwarovými útočníky najdete také na plakátu Ochrana organizace před ransomwarem.

Další krok

Začněte fází 1 a připravte svou organizaci na zotavení z útoku, aniž byste museli platit výkupné.

Další zdroje informací o ransomwaru

Klíčové informace od Microsoftu:

• Rostoucí hrozba ransomwaru, blogový příspěvek Microsoft On the Issues dne 20. července 2021
• Ransomwar ovládaný lidmi
• 2021 Microsoft Digital Defense Report (viz str. 10–19)
• Ransomware: Sestava analýzy všudypřítomných a probíhajících hrozeb na portálu Microsoft 365 Defender
• Přístup a případová studie ransomwarového týmu Microsoftu pro detekci a reakci (DART)

Microsoft 365:

• Nasazení ochrany před ransomwarem pro vašeho tenanta Microsoftu 365
• Maximalizace odolnosti proti ransomwaru s využitím Azure a Microsoftu 365
• Zotavení po útoku ransomwarem
• Ochrana proti malwaru a ransomwaru
• Ochrana počítače Windows 10 před ransomwarem
• Zpracování ransomwaru v SharePointu Online
• Sestavy analýzy hrozeb pro ransomware na portálu Microsoft 365 Defender

Microsoft 365 Defender:

• Vyhledání ransomwaru s pokročilým vyhledáváním

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximalizace odolnosti proti ransomwaru s využitím Azure a Microsoftu 365
• Plán zálohování a obnovení pro ochranu před ransomwarem
• Pomoc s ochranou před ransomwarem pomocí Microsoft Azure Backup (26minutové video)
• Zotavení po ohrožení systémové identity
• Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel
• Detekce fúzí pro ransomware ve službě Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Vytvoření zásad detekce anomálií v Defenderu for Cloud Apps

Příspěvky na blogu týmu Microsoft Security:

• 3 kroky pro prevenci a zotavení po ransomwaru (září 2021)

• Průvodce bojem proti ransomwaru provozovanému člověkem: Část 1 (září 2021)

  Klíčové kroky týkající se toho, jak tým microsoftu dart (Detection and Response Team) provádí šetření incidentů ransomwaru.

• Průvodce bojem proti ransomwaru provozovanému člověkem: Část 2 (září 2021)

  Doporučení a osvědčené postupy

• Jak se stát odolným díky porozumění kybernetickým rizikům: Část 4 – navigace v současných hrozbách (květen 2021)

  Viz část Ransomware .

• Útoky ransomwaru provozované lidmi: Katastrofa, které lze zabránit (březen 2020)

  Zahrnuje analýzy řetězu útoků skutečných útoků.

• Reakce ransomwaru – zaplatit, nebo neplatit? (prosinec 2019)

• Norsk Hydro reaguje na útok ransomwarem transparentně (prosinec 2019)