Zsarolóprogram-támadások észlelése és megválaszolás
Számos lehetséges eseményindító utalhat zsarolóprogram-incidensre. Sok más típusú kártevőtől eltérően a legtöbb esetben nagyobb megbízhatósági eseményindítók lesznek (ahol az incidens bejelentése előtt kevés további vizsgálatra vagy elemzésre van szükség) a kevésbé megbízható triggerek helyett (ahol valószínűleg több vizsgálatra vagy elemzésre lenne szükség az incidens bejelentése előtt).
Általánosságban elmondható, hogy az ilyen fertőzések nyilvánvalóak az alapvető rendszer viselkedéséből, a kulcsrendszer vagy a felhasználói fájlok hiányából, valamint a váltságdíj iránti igényből. Ebben az esetben az elemzőnek meg kell fontolnia, hogy azonnal deklarálja és eszkalálja-e az incidenst, beleértve a támadás mérséklése érdekében végzett automatizált műveleteket is.
Zsarolóprogram-támadások észlelése
Felhőhöz készült Microsoft Defender kiváló minőségű fenyegetésészlelési és -reagálási képességeket biztosít, más néven kiterjesztett észlelési és reagálási (XDR) funkciókat.
Gondoskodjon a virtuális gépek, SQL Serverek, webalkalmazások és identitások gyakori támadásainak gyors észleléséről és elhárításáról.
- A gyakori belépési pontok rangsorolása – A Ransomware (és más) operátorok előnyben részesítik az Endpoint/Email/Identity + Remote Desktop Protocol (RDP) protokollt
- Integrált XDR – Az integrált kiterjesztett észlelési és reagálási (XDR) eszközök, például a Microsoft Felhőhöz készült Defender használatával kiváló minőségű riasztásokat biztosít, és minimálisra csökkenti a súrlódást és a manuális lépéseket a válasz során
- Találgatásos kényszerítés – A jelszópermethez hasonló találgatásos kísérletek monitorozása
- A támadók biztonsági letiltásának monitorozása – mivel ez gyakran része az emberi üzemeltetésű Ransomware (HumOR) támadási láncának
- Eseménynaplók törlése – különösen a biztonsági eseménynapló és a PowerShell működési naplói
- Biztonsági eszközök/vezérlők letiltása (egyes csoportokhoz társítva)
- Ne hagyja figyelmen kívül az árutőzsdei kártevőket – A ransomware-támadók rendszeresen vásárolnak hozzáférést a célszervezetekhez sötét piacokról
- Külső szakértők integrálása – a szakértelem kiegészítésére szolgáló folyamatokba, például a Microsoft Észlelési és Válaszcsapatába (DART).
- Gyorsan elkülönítheti a sérült számítógépeket a Defender for Endpoint használatával a helyszíni üzembe helyezés során.
Válasz a ransomware-támadásokra
Incidens deklarációja
A sikeres ransomware-fertőzés megerősítése után az elemzőnek ellenőriznie kell, hogy ez egy új incidenst jelent-e, vagy egy meglévő incidenshez kapcsolódik-e. Keresse meg a jelenleg megnyitott jegyeket, amelyek hasonló incidenseket jeleznek. Ha igen, frissítse az aktuális incidensjegyet új információkkal a jegykezelő rendszerben. Ha ez egy új incidens, az incidenst be kell jelenteni a megfelelő jegyrendszerben, és eszkalálni kell a megfelelő csapatokhoz vagy szolgáltatókhoz az incidens megfékezése és enyhítése érdekében. Vegye figyelembe, hogy a zsarolóprogram-incidensek kezelése több informatikai és biztonsági csapat által végzett műveleteket igényelhet. Ha lehetséges, győződjön meg arról, hogy a jegy egyértelműen zsarolóprogram-incidensként van azonosítva a munkafolyamat irányításához.
Elszigetelés/kockázatcsökkentés
Általánosságban elmondható, hogy a különböző kiszolgálói/végponti kártevőirtókat, az e-mail kártevőirtókat és a hálózatvédelmi megoldásokat úgy kell konfigurálni, hogy automatikusan tartalmazzák és mérsékeljék az ismert zsarolóprogramokat. Lehetnek azonban olyan esetek, amikor az adott ransomware-változat képes volt megkerülni az ilyen védelmet, és sikeresen megfertőzni a célrendszereket.
A Microsoft széles körű erőforrásokat biztosít az incidenskezelési folyamatok frissítéséhez az Azure legfontosabb biztonsági ajánlott eljárásaiban.
Az alábbiak javasolt intézkedések a zsarolóprogramokkal kapcsolatos deklarált incidensek megfékezésére vagy enyhítésére, ha a kártevőirtó rendszerek által végrehajtott automatizált műveletek sikertelenek voltak:
- Kártevőirtó-gyártók bevonása standard támogatási folyamatokon keresztül
- Kártevőkkel kapcsolatos kivonatok és egyéb információk manuális hozzáadása kártevőirtó rendszerekhez
- Kártevőirtó szállítói frissítések alkalmazása
- Az érintett rendszereket mindaddig tartalmazza, amíg azok szervizelésre nem kerülnek
- Feltört fiókok letiltása
- Alapvető okok elemzése
- Releváns javítások és konfigurációs módosítások alkalmazása az érintett rendszereken
- Zsarolóprogram-kommunikáció letiltása belső és külső vezérlőkkel
- Gyorsítótárazott tartalom törlése
Út a helyreállításhoz
A Microsoft észlelési és válaszcsapata segít megvédeni Önt a támadásoktól
A zsarolóprogramok áldozatai számára prioritást kell biztosítani a kompromisszumhoz vezető alapvető biztonsági problémák megértése és javítása.
Külső szakértők integrálása olyan folyamatokba, amelyek szakértelmet egészítenek ki, például a Microsoft Észlelési és Válaszcsapatát (DART). A DART világszerte kapcsolatba lép az ügyfelekkel, segít megvédeni és megerősíteni a támadásokat, mielőtt bekövetkeznének, valamint kivizsgálja és elhárítja a támadásokat.
Az ügyfelek közvetlenül a Microsoft Defender portálon keresztül is kapcsolatba léphetnek biztonsági szakértőinkkel, hogy időben és pontosan válaszolnak. A szakértők elemzéseket nyújtanak a szervezetet érintő összetett fenyegetések jobb megértéséhez, a riasztási vizsgálatoktól, a potenciálisan sérült eszközöktől a gyanús hálózati kapcsolat kiváltó okán át a folyamatos, folyamatos, állandó fenyegetéskampányokkal kapcsolatos további fenyegetésfelderítésig.
A Microsoft készen áll arra, hogy segítse a vállalatot a biztonságos működéshez való visszatérésben.
A Microsoft több száz kompromisszumos helyreállítást hajt végre, és kipróbált és igaz módszertant használ. Nem csak, hogy kapsz egy biztonságosabb helyzetben, ez lehetővé teszi, hogy fontolja meg a hosszú távú stratégia helyett reagál a helyzetre.
A Microsoft gyors ransomware recovery szolgáltatásokat nyújt. Ennek keretében minden területen segítséget nyújtunk, például az identitásszolgáltatások helyreállítását, a szervizelést és a megerősítést, valamint az üzembe helyezés monitorozását, hogy segítsünk a zsarolóprogram-támadások áldozatainak abban, hogy a lehető legrövidebb időn belül visszatérjenek a normál üzletmenethez.
A Rapid Ransomware Recovery szolgáltatásainkat "Bizalmas" néven kezeljük az előjegyzés időtartama alatt. A Rapid Ransomware Recovery-előjegyzéseket kizárólag a Compromise Recovery Security Practice (CRSP) csapata biztosítja, amely az Azure Cloud &AI-tartomány része. További információkért forduljon a CRSP-hez a Kérelem kapcsolattartónál az Azure-biztonsággal kapcsolatban.
A következő lépések
Lásd a tanulmányt: Azure defenses for ransomware attack whitepaper.
A sorozat további cikkei: