Obrana před útoky ransomwaru
V této fázi ztěžujete přístup k místním nebo cloudovým systémům tím, že postupně odeberete rizika v bodech vstupu.
I když mnohé z těchto změn budou známé a snadno implementují, je velmi důležité, aby vaše práce na této části strategie nezpomaluje váš pokrok na ostatních důležitých částech.
Tady jsou odkazy na kontrolu třídílný plán prevence ransomwaru:
Vzdálený přístup
Získání přístupu k intranetu vaší organizace prostřednictvím připojení vzdáleného přístupu je vektor útoku pro aktéry hrozeb ransomware.
Jakmile dojde k ohrožení zabezpečení místního uživatelského účtu, může aktér hrozeb využít intranet ke shromažďování informací, zvýšení oprávnění a instalaci ransomwaru. Příkladem je kybernetický útok na colonial pipeline v roce 2021.
Závazky členských programů a projektů pro vzdálený přístup
Tato tabulka popisuje celkovou ochranu vašeho řešení vzdáleného přístupu před ransomwarem z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.
| Lead | Implementátor | Odpovědnost |
|---|---|---|
| CISO nebo CIO | Podpora z vedení | |
| Vedoucí programu v centrální it infrastruktuře nebo síťovém týmu | Podpora výsledků a spolupráce mezi týmy | |
| IT a bezpečnostní architekti | Určení priority integrace komponent do architektur | |
| Centrální tým IT Identity | Konfigurace ID Microsoft Entra a zásad podmíněného přístupu | |
| Centrální provoz IT | Implementace změn v prostředí | |
| Vlastníci úloh | Pomoc s oprávněními RBAC pro publikování aplikací | |
| Zásady zabezpečení a standardy | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování pro zajištění dodržování předpisů | |
| Tým pro vzdělávání uživatelů | Aktualizace všech pokynů k změnám pracovního postupu a provádění vzdělávání a správy změn |
Kontrolní seznam implementace pro vzdálený přístup
Tyto osvědčené postupy použijte k ochraně infrastruktury vzdáleného přístupu před aktéry hrozeb ransomware.
| Hotovo | Úloha | Popis |
|---|---|---|
| Udržujte aktualizace softwaru a zařízení. Vyhněte se chybějícím nebo zanedbáváním ochrany výrobce (aktualizace zabezpečení, podporovaný stav). | Aktéři hrozeb používají známá ohrožení zabezpečení, která ještě nebyla opravena jako vektory útoku. | |
| Nakonfigurujte ID Microsoft Entra pro existující vzdálený přístup tak, že pomocí podmíněného přístupu vynucujete nulová důvěra (Zero Trust) ověření uživatele a zařízení. | nulová důvěra (Zero Trust) poskytuje několik úrovní zabezpečení přístupu k vaší organizaci. | |
| Nakonfigurujte zabezpečení pro stávající řešení VPN třetích stran (Cisco AnyConnect, Palo Alto Networks GlobalProtect & vázaný portál, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) a další. | Využijte integrované zabezpečení řešení pro vzdálený přístup. | |
| Nasaďte síť VPN typu Point-to-Site (P2S) Azure pro zajištění vzdáleného přístupu. | Využijte integraci s Microsoft Entra ID a vašimi stávajícími předplatnými Azure. | |
| Publikování místních webových aplikací pomocí proxy aplikací Microsoft Entra | Aplikace publikované pomocí proxy aplikací Microsoft Entra nepotřebují připojení ke vzdálenému přístupu. | |
| Zabezpečený přístup k prostředkům Azure pomocí služby Azure Bastion. | Bezpečně a bezproblémově se připojte k virtuálním počítačům Azure přes PROTOKOL SSL. | |
| Auditujte a monitorujte, abyste našli a opravili odchylky od směrného plánu a potenciálních útoků (viz Detekce a reakce). | Snižte riziko z aktivit ransomwaru, které testují základní funkce zabezpečení a nastavení. |
E-mail a spolupráce
Implementujte osvědčené postupy pro řešení pro e-maily a spolupráci, která ztěžují aktéry hrozeb, aby je zneužívali a zároveň umožnili pracovníkům snadný a bezpečný přístup k externímu obsahu.
Aktéři hrozeb často do prostředí zavádějí škodlivý obsah maskovaný v rámci autorizovaných nástrojů pro spolupráci, jako jsou e-maily a sdílení souborů a přesvědčiví uživatelé, aby mohli obsah spouštět. Microsoft investoval do vylepšených zmírnění rizik, které výrazně zvyšují ochranu před těmito vektory útoku.
Závazky členů programu a projektu pro e-mail a spolupráci
Tato tabulka popisuje celkovou ochranu vašich řešení pro e-mail a spolupráci před ransomwarem z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.
| Lead | Implementátor | Odpovědnost |
|---|---|---|
| CISO, CIO nebo Identity Director | Podpora z vedení | |
| Vedoucí programu od týmu architektury zabezpečení | Podpora výsledků a spolupráce mezi týmy | |
| IT architekti | Určení priority integrace komponent do architektur | |
| Produktivita cloudu nebo tým pro koncové uživatele | Povolení Defender pro Office 365, Azure Site Recovery a AMSI | |
| Infrastruktura architektury zabezpečení / + koncový bod | Pomoc s konfigurací | |
| Tým pro vzdělávání uživatelů | Aktualizace pokynů ke změnám pracovního postupu | |
| Zásady zabezpečení a standardy | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování pro zajištění dodržování předpisů |
Kontrolní seznam implementace pro e-mail a spolupráci
Tyto osvědčené postupy použijte k ochraně vašich řešení pro e-maily a spolupráci před hrozbami ransomwaru.
| Hotovo | Úloha | Popis |
|---|---|---|
| Povolte AMSI pro Office VBA. | Detekce útoků maker Office pomocí nástrojů koncových bodů, jako je Defender for Endpoint. | |
| Implementujte pokročilé zabezpečení e-mailu pomocí Defender pro Office 365 nebo podobného řešení. | E-mail je běžný vstupní bod pro aktéry hrozeb. | |
| Nasaďte pravidla omezení prostoru pro útoky (Azure Site Recovery), která blokují běžné techniky útoku, mezi které patří: – Zneužití koncových bodů, jako je krádež přihlašovacích údajů, aktivita ransomwaru a podezřelé použití PsExec a WMI. - Zbraňové aktivity dokumentů Office, jako je pokročilá aktivita makra, spustitelný obsah, vytváření procesů a injektáž procesů iniciovaná aplikace Office lications. Poznámka: Nejprve nasaďte tato pravidla v režimu auditování, pak vyhodnoťte jakýkoli negativní dopad a pak je nasaďte v režimu blokování. |
Azure Site Recovery poskytuje další vrstvy ochrany určené speciálně pro zmírnění běžných metod útoku. | |
| Auditujte a monitorujte, abyste našli a opravili odchylky od směrného plánu a potenciálních útoků (viz Detekce a reakce). | Snižuje riziko aktivit ransomwaru, které testují základní funkce zabezpečení a nastavení. |
Koncové body
Implementujte relevantní funkce zabezpečení a pečlivě dodržujte osvědčené postupy údržby softwaru pro koncové body (zařízení) a aplikace, upřednostněte aplikace a serverové/klientské operační systémy přímo vystavené internetovému provozu a obsahu.
Internetové koncové body jsou běžným vstupním vektorem, který poskytuje subjektům hrozeb přístup k prostředkům organizace. Upřednostněte blokování běžných ohrožení zabezpečení operačního systému a aplikací s preventivními kontrolními mechanismy, abyste je zpomalili nebo zastavili v provádění dalších fází.
Závazky členů programu a projektu pro koncové body
Tato tabulka popisuje celkovou ochranu koncových bodů před ransomwarem z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.
| Lead | Implementátor | Odpovědnost |
|---|---|---|
| Vedení firmy zodpovídá za obchodní dopad výpadků i poškození útoku | Executive sponsorship (údržba) | |
| Centrální IT provoz nebo it oddělení | Executive Sponsorship (ostatní) | |
| Vedoucí programu od týmu centrální infrastruktury IT | Podpora výsledků a spolupráce mezi týmy | |
| IT a bezpečnostní architekti | Určení priority integrace komponent do architektur | |
| Centrální provoz IT | Implementace změn v prostředí | |
| Produktivita cloudu nebo tým pro koncové uživatele | Povolení snížení počtu prostorů pro útoky | |
| Úlohy / Vlastníci aplikací | Identifikace časových období údržby pro změny | |
| Zásady zabezpečení a standardy | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování pro zajištění dodržování předpisů |
Kontrolní seznam implementace pro koncové body
Tyto osvědčené postupy použijte pro všechny koncové body Windows, Linux, macOS, Android, iOS a další koncové body.
| Hotovo | Úloha | Popis |
|---|---|---|
| Zablokujte známé hrozby s pravidly redukce prostoru pro útoky, manipulací a blokováním na první pohled. | Nenechte se používat tyto předdefinované funkce zabezpečení jako důvod, proč útočník vstoupil do vaší organizace. | |
| Použití standardních hodnot zabezpečení k posílení zabezpečení internetových serverů a klientů a klientů a aplikace Office lications. | Chraňte svoji organizaci s minimální úrovní zabezpečení a sestavte ji odsud. | |
| Udržujte svůj software tak, aby byl: - Aktualizováno: Rychlé nasazení důležitých aktualizací zabezpečení pro operační systémy, prohlížeče a e-mailové klienty - Podporováno: Upgradujte operační systémy a software pro verze podporované vašimi dodavateli. |
Útočníci se spoléhají na to, že vám chybí nebo zanedbáváte aktualizace a upgrady výrobce. | |
| Izolujte, zakažte nebo vyřadte nezabezpečené systémy a protokoly, včetně nepodporovaných operačních systémů a starších protokolů. | Útočníci používají známá ohrožení zabezpečení starších zařízení, systémů a protokolů jako vstupní body do vaší organizace. | |
| Zablokujte neočekávaný provoz pomocí brány firewall založené na hostiteli a ochrany sítě. | Některé malwarové útoky spoléhají na nevyžádaný příchozí provoz hostitelů jako způsob vytvoření připojení k útoku. | |
| Auditujte a monitorujte, abyste našli a opravili odchylky od směrného plánu a potenciálních útoků (viz Detekce a reakce). | Snižuje riziko aktivit ransomwaru, které testují základní funkce zabezpečení a nastavení. |
Účty
Stejně jako starožitné kostry klíče nebudou chránit dům proti modernímu zloději, hesla nemohou chránit účty před běžnými útoky, které dnes vidíme. I když vícefaktorové ověřování (MFA) bylo jednou náročným krokem navíc, ověřování bez hesla zlepšuje přihlašování pomocí biometrických přístupů, které nevyžadují, aby si uživatelé heslo pamatovali nebo zadali. Kromě toho infrastruktura nulová důvěra (Zero Trust) ukládá informace o důvěryhodných zařízeních, což snižuje výzvu k otravným zastaralým akcím vícefaktorového ověřování.
Počínaje účty správců s vysokými oprávněními pečlivě dodržujte tyto osvědčené postupy pro zabezpečení účtů, včetně použití bez hesla nebo vícefaktorového ověřování.
Závazky členů programu a projektu pro účty
Tato tabulka popisuje celkovou ochranu vašich účtů před ransomwarem z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.
| Lead | Implementátor | Odpovědnost |
|---|---|---|
| CISO, CIO nebo Identity Director | Podpora z vedení | |
| Vedoucí programu od týmů pro správu identit a klíčů nebo architekturu zabezpečení | Podpora výsledků a spolupráce mezi týmy | |
| IT a bezpečnostní architekti | Určení priority integrace komponent do architektur | |
| Správa identit a klíčů nebo centrální provoz IT | Implementace změn konfigurace | |
| Zásady zabezpečení a standardy | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování pro zajištění dodržování předpisů | |
| Tým pro vzdělávání uživatelů | Aktualizace pokynů k heslu nebo přihlašování a provádění vzdělávání a správy změn |
Kontrolní seznam implementace pro účty
Tyto osvědčené postupy použijte k ochraně účtů před útočníky ransomwaru.
| Hotovo | Úloha | Popis |
|---|---|---|
| Vynucujte silné vícefaktorové ověřování nebo bez hesla pro všechny uživatele. Začněte s účty s oprávněními správce a priority pomocí jednoho nebo více z těchto účtů: – Ověřování bez hesla pomocí Windows Hello nebo aplikace Microsoft Authenticator. - Vícefaktorové ověřování. – Řešení vícefaktorového ověřování třetích stran. |
Znesnadnit útočníkovi napadení přihlašovacích údajů pouhým určením hesla uživatelského účtu. | |
| Zvýšení zabezpečení hesel: – Pro účty Microsoft Entra použijte ochranu heslem Microsoft Entra k detekci a blokování známých slabých hesel a dalších slabých termínů, které jsou specifické pro vaši organizaci. – Pro účty místní Active Directory Domain Services (AD DS) rozšiřte ochranu heslem Microsoft Entra na účty AD DS. |
Zajistěte, aby útočníci nemohli určit běžná hesla nebo hesla na základě názvu vaší organizace. | |
| Auditujte a monitorujte, abyste našli a opravili odchylky od směrného plánu a potenciálních útoků (viz Detekce a reakce). | Snižuje riziko aktivit ransomwaru, které testují základní funkce zabezpečení a nastavení. |
Výsledky a časové osy implementace
Zkuste dosáhnout těchto výsledků do 30 dnů:
100 % zaměstnanců aktivně využívá vícefaktorové ověřování
100% nasazení vyššího zabezpečení hesel
Další zdroje informací o ransomwaru
Klíčové informace od Microsoftu:
Moonstone Sleet se objeví jako nový severokorejský herec hrozeb s novým taškou triků, Microsoft Blog, květen 2024
2023 Microsoft Digital Defense Report (viz stránky 17–26)
Ransomwaru: Sestava analýzy hrozeb pro trvalou a průběžnou hrozbu na portálu Microsoft Defender
Přístup k ransomwaru Microsoftu (dříve DART) a případová studie
Microsoft 365:
- Nasazení ochrany ransomwaru pro vašeho tenanta Microsoftu 365
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
- Zotavení z útoku ransomwarem
- Ochrana proti malwaru a ransomwaru
- Ochrana počítače s Windows 10 před ransomwarem
- Zpracování ransomwaru v SharePointu Online
- Sestavy analýzy hrozeb pro ransomware na portálu Microsoft Defenderu
XDR v programu Microsoft Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
- Plán zálohování a obnovení pro ochranu před ransomwarem
- Pomoc s ochranou před ransomwarem pomocí služby Microsoft Azure Backup (26minutové video)
- Zotavení z ohrožení systémové identity
- Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel
- Fúzní detekce ransomwaru v Microsoft Sentinelu
Microsoft Defender for Cloud Apps:
Blogové příspěvky týmu zabezpečení Microsoftu:
Průvodce bojem proti ransomwaru provozovanému člověkem: část 1 (září 2021)
Klíčové kroky týkající se toho, jak tým Microsoftu pro detekci a reakce (DART) provádí vyšetřování incidentů ransomwaru.
Průvodce bojem proti ransomwaru provozovanému člověkem: část 2 (září 2021)
Doporučení a osvědčené postupy
-
Viz část Ransomware.
Útoky ransomwaru provozované lidmi: Prevence havárie (březen 2020)
Zahrnuje analýzy skutečných útoků z řetězu útoků.
Norsk Hydro reaguje na útok ransomwaru s transparentností (prosinec 2019)