Vaihe 5: Tietojen suojaaminen

Koska kiristyshaittaohjelman hyökkääjät tarkastelevat myös tiedostossa, tietokannassa ja muuntyyppisissä palvelimilla olevia paikallisia tietoja, yksi parhaista tavoista suojata nämä tiedot on siirtää ne Microsoft 365 -vuokraajaan. Sen jälkeen se voidaan suojata sisäisillä lievennys- ja palautusominaisuuksilla , kuten versioinnilla, roskakorilla ja tiedostojen palautuksella.

Luottamuksellisten tietojen lisäsuojaus Microsoft 365 -vuokraajassa:

• Etsi luottamukselliset tietosi.
• Ota käyttöön tiukat käyttöoikeudet ja poista laajat käyttöoikeudet (estä esimerkiksi liian monilta käyttäjiltä kirjoitus-, muokkaus- ja poisto-ominaisuuksia).
• Suojaa luottamukselliset tietosi.

Huomautus

Yksityiskohtaisia ohjeita tietosuojaan Microsoft 365 -vuokraajassa on artikkelissa Tietosuojamääräysten tietojen suojaamisen käyttöönotto. Vaikka ohjeistus on tarkoitettu tietosuojamääräyksiin, se koskee myös kiristyshaittaohjelmasuojausta.

Paikanna luottamukselliset tietosi

Ensimmäinen tehtävä on tunnistaa luottamuksellisten tietojen tyypit ja sijainnit vuokraajassa, mukaan lukien seuraavat tyypit:

• Herkkä
• Omistus- tai immateriaalioikeudet
• Säännellyt alueelliset säännökset, joissa määritetään tietojen henkilökohtaisten tunnistetietojen suojaaminen
• IT-palautussuunnitelmat

Määritä kullekin luottamuksellisten tietojen tyypille seuraavat:

• Tietojen käyttö organisaatiossasi

• Sen rahallisen arvon suhteellinen mittari, jos sitä pidettiin lunnaiden vaatimuksesta (kuten korkea, keskikokoinen, alhainen)

• Sen nykyinen sijainti, kuten OneDrive- tai SharePoint-kansio tai yhteistyöpaikka, kuten Microsoft Teams -tiimi

• Nykyiset käyttöoikeudet, jotka koostuvat seuraavista:

  • Käyttäjätilit, joilla on käyttöoikeus

  • Toiminnot, jotka sallitaan kullekin tilille, jolla on käyttöoikeus

Tarkkojen käyttöoikeuksien käyttöönotto arkaluonteisia tietoja sisältävissä sijainneissa

Tiukkojen käyttöoikeuksien toteuttaminen Microsoft 365 -vuokraajassa käyttää sijaintien ja viestintäpaikkojen pienimpien oikeuksien periaatetta. Microsoft 365:ssä ne ovat yleensä OneDrive-kansioita, SharePoint-sivustoja ja -kansioita sekä tiimejä.

Vaikka on helpompaa luoda tiedostojen tallennussijainteja tai tiimejä, joilla on laajat käyttöoikeudet (kuten kaikkien oletusarvo organisaatiossasi), luottamuksellisille tiedoille, sallituille käyttäjätileille ja sallituille toiminnoille on rajoitettava vähimmäisjoukkoon, joka tarvitaan yhteistyö- ja liiketoimintavaatimusten täyttämiseksi.

Kun kiristyshaittaohjelmahyökkääjä on soluttautunut vuokraajaan, hän yrittää eskaloida oikeuksiaan vaarantamalla käyttäjätilien tunnistetiedot laajemmilla käyttöoikeuksilla koko vuokraajassasi, kuten järjestelmänvalvojan roolitileillä tai käyttäjätileillä, joilla on pääsy luottamuksellisiin tietoihin.

Tämän tyypillisen hyökkääjän toiminnan perusteella hyökkääjällä on kaksi vaikeustasoa:

• Alhainen: Hyökkääjä voi käyttää matalan käyttöoikeuden tiliä ja löytää luottamuksellisia tietoja, koska heillä on laajat käyttöoikeudet koko vuokraajassa.
• Korkeampi: Hyökkääjä ei voi käyttää matalan käyttöoikeuden tiliä ja löytää arkaluontoisia tietojasi tiukkojen käyttöoikeuksien vuoksi. Heidän on eskaloitava käyttöoikeuksiaan määrittämällä ja vaarantamalla sitten sellaisen tilin tunnistetiedot, jolla on luottamuksellisia tietoja sisältävän sijainnin käyttöoikeus, mutta joka voi sitten suorittaa vain rajallisen määrän toimintoja.

Luottamuksellisten tietojen tapauksessa sinun on tehtävä vaikeusasteesta mahdollisimman suuri.

Voit varmistaa tiukat käyttöoikeudet vuokraajassasi seuraavasti:

1. Voit etsiä luottamuksellisia tietojasi ja tarkastella luottamuksellisten tietojen sijaintien käyttöoikeuksia.
2. Ota luottamukselliset tiedot käyttöön, kun täytät yhteistyö- ja liiketoimintavaatimukset, ja ilmoita niistä käyttäjille.
3. Suorita muutosten hallinta käyttäjillesi niin, että luottamuksellisten tietojen tulevat sijainnit luodaan ja ylläpidetään tiukoin käyttöoikeuksin.
4. Valvo luottamuksellisten tietojen sijainteja ja varmista, että laajoja käyttöoikeuksia ei myönnetä.

Lisätietoja on artikkelissa Suojatun tiedostojen jakamisen ja yhteistyön määrittäminen Microsoft Teamsin avulla . Esimerkki viestintä- ja yhteistyöpaikasta, jolla on tiukat käyttöoikeudet luottamuksellisiin tietoihin, on tiimi, joka on eristänyt suojauksen.

Luottamuksellisten tietojen suojaaminen

Luottamuksellisten tietojesi suojaamiseksi siltä varalta, että kiristyshaittaohjelmahyökkääjä saa sen käyttöoikeuden:

• Käytä valvottua kansion käyttöoikeutta , jotta luvattomien sovellusten on vaikea muokata valvotuissa kansioissa olevia tietoja.

• Käytä Microsoft Purview Information Protection ja luottamuksellisuustunnisteita ja käytä niitä luottamuksellisiin tietoihin. Luottamuksellisuustunnisteet voidaan määrittää lisäsalausta ja -käyttöoikeuksia varten määritettyjen käyttäjätilien ja sallittujen toimintojen avulla. Tämäntyyppisellä luottamuksellisuustunnisteella merkittyä tiedostoa, joka on suodatettu vuokraajasta, voi käyttää vain selitteessä määritetylle käyttäjätilille.

• Microsoft Purview Data Loss Prevention (DLP) -toiminnolla voit tunnistaa, varoittaa ja estää luottamuksellisuustunnisteisiin perustuvien henkilökohtaisten tai luottamuksellisten tietojen riskialttiin, tahattoman tai sopimattoman jakamisen sekä sisäisesti että ulkoisesti.

• Microsoft Defender for Cloud Apps avulla voit estää arkaluonteisten tietojen, kuten tiedostojen, lataamisen. Voit myös käyttää Defender for Cloud Appsin poikkeamien tunnistuskäytäntöjä tunnistaaksesi suuren määrän tiedostojen latauksia tai tiedostojen poistotoimintoja.

Vaikutus käyttäjiin ja muutosten hallintaan

Laajojen käyttöoikeuksien hallintamuutokset voivat johtaa siihen, että käyttäjiltä evätään käyttöoikeus tai he eivät voi suorittaa joitakin toimintoja.

Lisäksi microsoft 365 -vuokraajan luottamuksellisten tietojen suojaamiseksi sinun on koulutettava käyttäjät:

• Luo viestintä- ja yhteistyötiloja tiukoilla käyttöoikeuksilla (vähimmäismäärä käyttäjätilejä varten ja kunkin tilin sallitut vähimmäistoiminnot).
• Käytä asianmukaisia luottamuksellisuustunnisteita luottamuksellisiin tietoihin.
• Käytä valvottua kansion käyttöoikeutta.

Tuloksena saatava määritys

Tässä on vuokraajan kiristyshaittaohjelmasuoja vaiheille 1-5.

Lisää kiristyshaittaohjelmaresursseja

Tärkeimmät tiedot Microsoftilta:

• Kiristyshaittaohjelman kasvava uhka, Microsoft On the Issues -blogikirjoitus 20.7.2021
• Ihmisen operoimat kiristyshaittaohjelmat
• Ota kiristyshaittaohjelmien estot nopeasti käyttöön
• 2021 Microsoftin digitaalisen suojauksen raportti (katso sivut 10-19)
• Kiristyshaittaohjelma: laajalle levinnyt ja jatkuva uhka-analytiikkaraportti Microsoft Defender portaalissa
• Microsoftin havaitsemis- ja reagointitiimin (DART) kiristyshaittaohjelmalähestymistapa ja parhaat käytännöt ja tapaustutkimus

Microsoft 365:

• Maximize Ransomware Resiliency with Azure and Microsoft 365
• Ransomware-tapausten käsittelyn pelikirjat
• Haittaohjelmien ja kiristyshaittaohjelmien suojaus
• Suojaa Windows 10 PC kiristyshaittaohjelmalta
• Kiristysohjelman käsittely SharePoint Onlinessa
• Uhka-analytiikkaraportit kiristyshaittaohjelmista Microsoft Defender-portaalissa

Microsoft Defender XDR:

• Etsi kiristysohjelmia kehittyneellä metsästyksellä

Microsoft Azure:

• Azure-puolustukset kiristyshaittaohjelmahyökkäykselle
• Maximize Ransomware Resiliency with Azure and Microsoft 365
• Varmuuskopioinnin ja palautuksen suunnitelma suojautua kiristyshaittaohjelmilta
• Suojaa kiristysohjelmilta Microsoft Azure-varmuuskopiointi avulla (26 minuutin video)
• Palautuminen järjestelmän identiteetin kompromissista
• Edistynyt monivaihehyökkäysten tunnistaminen Microsoft Sentinelissä
• Kiristyshaittaohjelmien fuusion havaitseminen Microsoft Sentinelissä

Microsoft Defender for Cloud Apps:

• Poikkeamien tunnistuskäytäntöjen luominen Defender for Cloud Appsissa

Microsoftin tietoturvatiimin blogikirjoituksia:

• 3 vaihetta kiristyshaittaohjelmien ehkäisemiseksi ja palauttamiseksi (syyskuu 2021)

• Opas ihmisen ylläpitämän kiristyshaittaohjelman torjuntaan: Osa 1 (syyskuu 2021)

  Tärkeimmät vaiheet siihen, miten Microsoftin tunnistamis- ja reagointiryhmä (DART) suorittaa kiristyshaittaohjelmatapausten tutkimuksia.

• Opas ihmisen ylläpitämän kiristyshaittaohjelman torjuntaan: Osa 2 (syyskuu 2021)

  Suositukset ja parhaat käytännöt.

• Joustaminen ymmärtämällä kyberturvallisuusriskejä: Osa 4 – nykyisten uhkien navigointi (toukokuu 2021)

  Katso Ransomware-osio .

• Ihmisen operoimat kiristyshaittaohjelmahyökkäykset: Ehkäistävissä oleva katastrofi (maaliskuu 2020)

  Sisältää hyökkäysketjun analyysit todellisista hyökkäyksistä.

• Ransomware-vastaus – maksaa vai olla maksamatta? (joulukuu 2019)

• Norsk Hydro vastaa kiristyshaittaohjelmahyökkäykseen avoimuudella (joulukuu 2019)