Biztonsági mentési és visszaállítási terv a zsarolóprogramok elleni védelemhez

  • Cikk

A ransomware-támadások szándékosan titkosítják vagy törlik az adatokat és rendszereket, hogy a szervezet pénzt fizessen a támadóknak. Ezek a támadások az adatokra, a biztonsági másolatokra, valamint a támadók fizetése nélküli helyreállításhoz szükséges kulcsfontosságú dokumentációra irányulnak (ami növeli a szervezet által fizetendő esélyeket).

Ez a cikk azt ismerteti, hogy mit kell tenni a kritikus üzleti rendszerek védelmére irányuló támadás előtt és egy támadás során az üzleti műveletek gyors helyreállítása érdekében.

Feljegyzés

A ransomware-re való felkészülés emellett javítja a természeti katasztrófák és a gyors támadások, például a WannaCry & (Nem)Petya rugalmasságát.

Mi az a zsarolóprogram?

A zsarolóprogram egyfajta zsarolási támadás, amely titkosítja a fájlokat és mappákat, megakadályozva a fontos adatokhoz és rendszerekhez való hozzáférést. A támadók zsarolóprogramokkal zsarolják ki a pénzt az áldozatoktól azáltal, hogy pénzt követelnek, általában kriptovaluták formájában, visszafejtési kulcsért cserébe, vagy azért cserébe, hogy nem adnak ki bizalmas adatokat a sötét webe vagy a nyilvános internetre.

Míg a korai zsarolóprogramok többnyire adathalászattal vagy eszközök között terjedő kártevőket használtak, az ember által működtetett zsarolóprogramok olyan helyen jelentek meg, ahol az emberi támadási operátorok által irányított aktív támadók bandája egy szervezet összes rendszerét célozza meg (nem egyetlen eszközt vagy eszközkészletet). A támadás a következő lehet:

  • Adatok titkosítása
  • Adatok kiszivárgása
  • Biztonsági másolatok sérülése

A ransomware kihasználja a támadók általános rendszer- és biztonsági konfigurációs és biztonsági hibákkal kapcsolatos ismereteit, hogy beszivárogjanak a szervezetbe, navigáljanak a vállalati hálózaton, és alkalmazkodjanak a környezethez és annak gyengeségeihez, ahogy haladnak.

A zsarolóprogramokat úgy lehet szakaszolni, hogy először, több hét vagy hónap alatt kiszűrje az adatokat, mielőtt a zsarolóprogram ténylegesen végrehajt egy adott dátumot.

A ransomware is lassan titkosítja az adatokat, miközben a kulcsot a rendszeren tartja. Ha a kulcs továbbra is elérhető, az adatok felhasználhatók Önnek, és a zsarolóprogram észrevétlen marad. A biztonsági másolatok azonban a titkosított adatokról vannak. Ha az összes adat titkosítva van, és a legutóbbi biztonsági másolatok is titkosított adatokból állnak, a rendszer eltávolítja a kulcsot, hogy többé ne tudja olvasni az adatokat.

A valódi kár gyakran akkor fordul elő, ha a támadás kiszűri a fájlokat, miközben hátrahagyja a háttérrendszert a hálózaton a jövőbeli rosszindulatú tevékenységek miatt– és ezek a kockázatok továbbra is fennállnak, függetlenül attól, hogy a váltságdíjat kifizetik-e. Ezek a támadások katasztrofálisak lehetnek az üzleti műveletek számára, és nehezen tisztíthatók, és teljes kizárást igényelnek a jövőbeli támadások elleni védelem érdekében. Ellentétben a zsarolóvírusok korai formáival, amelyek csak a kártevők szervizelését igényelték, az ember által működtetett zsarolóprogramok továbbra is veszélyeztethetik üzleti műveleteit a kezdeti találkozás után.

A támadás hatása

A zsarolóprogram-támadások bármilyen szervezetre gyakorolt hatását nehéz pontosan számszerűsíteni. A támadás hatókörétől függően a hatás a következők lehetnek:

  • Adathozzáférés elvesztése
  • Üzleti műveletek megszakítása
  • Pénzügyi veszteség
  • Szellemi tulajdon ellopás
  • Sérült ügyfélmegbízhatóság vagy kifáradt hírnév
  • Jogi költségek

Hogyan védheti meg magát?

A zsarolóprogramok áldozatává vált támadások megelőzésének legjobb módja, ha megelőző intézkedéseket vezet be, és olyan eszközökkel rendelkezik, amelyek megvédik a szervezetet minden olyan lépéstől, amelyet a támadók megtesznek a rendszerekbe való behatoláshoz.

Csökkentheti a helyszíni kitettséget úgy, hogy a szervezetet egy felhőszolgáltatásba helyezi át. A Microsoft olyan natív biztonsági képességekbe fektetett be, amelyek ellenállóvá teszik a Microsoft Azure-t a ransomware-támadásokkal szemben, és segít a szervezeteknek legyőzni a ransomware támadási technikákat. A zsarolóprogramok és zsarolás átfogó megtekintéséhez és a szervezet védelmének módjához használja az emberi üzemeltetésű ransomware-kockázatcsökkentő projektterv PowerPoint-bemutatójában található információkat.

Azt kell feltételeznie, hogy valamikor egy ransomware-támadás áldozatává válik. Az adatok védelme és a váltságdíj fizetésének elkerülése érdekében az egyik legfontosabb lépés, ha megbízható biztonsági mentési és visszaállítási tervvel rendelkezik az üzleti szempontból kritikus fontosságú információkhoz. Mivel a ransomware-támadók nagy mértékben fektettek a biztonsági mentési alkalmazások és az operációs rendszer olyan funkcióinak semlegesítésére, mint a kötet árnyékmásolata, kritikus fontosságú, hogy a biztonsági másolatok elérhetetlenek legyenek a rosszindulatú támadók számára.

Azure Backup

Az Azure Backup biztonságot nyújt a biztonsági mentési környezetnek, mind az adatok átvitele közben, mind inaktív állapotban. Az Azure Backup segítségével a következőkről készíthet biztonsági másolatot:

  • Helyszíni fájlok, mappák és rendszerállapot
  • Teljes Windows/Linux rendszerű virtuális gépek
  • Azure Managed Disks
  • Azure-fájlmegosztások tárfiókba
  • Azure-beli virtuális gépeken futó SQL Server-adatbázisok

A biztonsági mentési adatok az Azure Storage-ban vannak tárolva, és a vendég vagy a támadó nem rendelkezik közvetlen hozzáféréssel a biztonsági mentési tárhoz vagy annak tartalmához. A virtuális gépek biztonsági mentésével a biztonsági mentés pillanatképének létrehozását és tárolását az Azure Fabric végzi, ahol a vendég vagy a támadó nem vesz részt másként, mint az alkalmazáskonzisztens biztonsági mentések számítási feladatainak leállítása. Az SQL és az SAP HANA használatával a biztonsági mentési bővítmény ideiglenes hozzáférést kap az adott blobokhoz való íráshoz. Ily módon a meglévő biztonsági másolatokat nem módosíthatja vagy törölheti a támadó még egy sérült környezetben sem.

Az Azure Backup beépített monitorozási és riasztási képességeket biztosít az Azure Backuphoz kapcsolódó események műveleteinek megtekintéséhez és konfigurálásához. A biztonsági mentési jelentések egyablakos célként szolgálnak a használat nyomon követéséhez, a biztonsági mentések és visszaállítások naplózásához, valamint a különböző részletességi szintek kulcsfontosságú trendjeinek azonosításához. Az Azure Backup monitorozási és jelentéskészítési eszközeinek használatával azonnal riasztást kaphat a jogosulatlan, gyanús vagy rosszindulatú tevékenységekről.

Az ellenőrzésekkel meggyőződhet arról, hogy csak érvényes felhasználók hajthatnak végre különböző műveleteket. Ezek közé tartozik egy további hitelesítési réteg hozzáadása. A kritikus műveletekhez szükséges további hitelesítési réteg hozzáadása részeként a rendszer arra kéri, hogy az online biztonsági mentések módosítása előtt adjon meg egy biztonsági PIN-kódot.

További információ az Azure Backupba beépített biztonsági funkciókról .

Biztonsági másolatok ellenőrzése

Ellenőrizze, hogy a biztonsági másolat megfelelő-e a biztonsági mentés létrehozásakor és a visszaállítás előtt. Javasoljuk, hogy használjon egy Recovery Services-tárolót, amely egy azure-beli tárolási entitás, amely adatokat tárol. Az adatok általában virtuális gépek, számítási feladatok, kiszolgálók vagy munkaállomások adatainak vagy konfigurációs információinak másolatai. A Recovery Services-tárolókkal biztonsági mentési adatokat tárolhat különböző Azure-szolgáltatásokhoz, például IaaS virtuális gépekhez (Linux vagy Windows) és Azure SQL-adatbázisokhoz, valamint helyszíni objektumokhoz. A Recovery Services-tárolók megkönnyítik a biztonsági mentési adatok rendszerezését, és olyan funkciókat biztosítanak, mint például:

  • Továbbfejlesztett képességek a biztonsági mentések biztonságossá tételéhez és az adatok biztonságos helyreállításához, még akkor is, ha az éles és biztonsági mentési kiszolgálók sérültek. További információ.
  • A hibrid informatikai környezet (Azure IaaS virtuális gépek és helyszíni eszközök) monitorozása egy központi portálról. További információ.
  • Kompatibilitás az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC), amely korlátozza a biztonsági mentést és a hozzáférés visszaállítását egy meghatározott felhasználói szerepkörökhöz. Az Azure RBAC különböző beépített szerepköröket biztosít, az Azure Backup pedig három beépített szerepkört tartalmaz a helyreállítási pontok kezeléséhez. További információ.
  • Helyreállítható törlés elleni védelem akkor is, ha egy rosszindulatú szereplő töröl egy biztonsági másolatot (vagy véletlenül törli a biztonsági mentési adatokat). A biztonsági mentési adatok további 14 napig maradnak meg, ami lehetővé teszi egy adatvesztés nélküli biztonsági mentési elem helyreállítását. További információ.
  • Régiók közötti visszaállítás, amely lehetővé teszi az Azure-beli virtuális gépek visszaállítását egy másodlagos régióban, amely egy Azure-párosított régió. A replikált adatokat bármikor visszaállíthatja a másodlagos régióban. Ez lehetővé teszi, hogy visszaállítsa a másodlagos régió adatait az auditmegfeleléshez és a kimaradás esetén anélkül, hogy arra várna, hogy az Azure vészhelyzetet deklaráljon (a tároló GRS-beállításaival ellentétben). További információ.

Feljegyzés

Az Azure Backupban kétféle tároló található. A Recovery Services-tárolók mellett biztonsági mentési tárolók is találhatók, amelyek az Azure Backup által támogatott újabb számítási feladatok adatainak tárolására használhatók.

Mi a teendő a támadás előtt?

Ahogy korábban említettük, feltételezzük, hogy valamikor egy ransomware-támadás áldozatává válik. Az üzletileg kritikus rendszerek azonosítása és az ajánlott eljárások alkalmazása a támadás előtt a lehető leggyorsabban biztonsági mentést és futtatást tesz lehetővé.

Határozza meg, mi a legfontosabb Az Ön számára

A zsarolóprogramok támadást okozhatnak, miközben támadást tervez, így az első prioritás az, hogy azonosítsa azokat az üzletileg kritikus rendszereket, amelyek a legfontosabbak Önnek, és megkezdjék a rendszeres biztonsági mentéseket ezeken a rendszereken.

Tapasztalataink szerint az ügyfeleknek nyújtott öt legfontosabb alkalmazás a következő kategóriákba tartozik ebben a prioritási sorrendben:

  • Identitásrendszerek – minden olyan rendszerhez (beleértve az alább leírt összes többit is) való hozzáféréshez szükséges, mint az Active Directory, a Microsoft Entra Csatlakozás, az AD-tartományvezérlők
  • Emberi élet – minden olyan rendszer, amely támogatja az emberi életet, vagy veszélyeztetheti azt, például orvosi vagy élettámogatási rendszerek, biztonsági rendszerek (mentőautók, diszpécserrendszerek, közlekedési fényvezérlés), nagy gépek, kémiai/biológiai rendszerek, élelmiszer- vagy személyes termékek előállítása és mások
  • Pénzügyi rendszerek – pénzügyi tranzakciókat feldolgozó és az üzleti működést megtartó rendszerek, mint például a fizetési rendszerek és a kapcsolódó adatbázisok, a negyedéves jelentéskészítés pénzügyi rendszere
  • Termék- vagy szolgáltatás-engedélyezés – minden olyan rendszer, amely az üzleti szolgáltatások nyújtásához vagy az ügyfelek által fizetett fizikai termékek előállításához/szállításához szükséges, gyári vezérlőrendszerek, termékkézbesítési/kiszállítási rendszerek és hasonlók
  • Biztonság (minimum) – Fontossági sorrendbe kell helyeznie a támadások monitorozásához és a minimális biztonsági szolgáltatások biztosításához szükséges biztonsági rendszereket is. Ennek arra kell összpontosítania, hogy a jelenlegi (vagy könnyen opportunista) támadások ne legyenek képesek azonnal hozzáférni a visszaállított rendszerekhez (vagy visszanyerni)

A rangsorban szereplő biztonsági mentési lista lesz a rangsorban szereplő visszaállítási lista is. Miután azonosította a kritikus rendszereket, és rendszeres biztonsági mentéseket végez, lépéseket kell tennie az expozíció szintjének csökkentése érdekében.

A támadás előtti lépések

Alkalmazza ezeket az ajánlott eljárásokat a támadás előtt.

Feladatok Részlet
Azonosítsa azokat a fontos rendszereket, amelyeket először online állapotba kell hoznia (a fenti öt kategória használatával), és azonnal megkezdheti ezeknek a rendszereknek a rendszeres biztonsági mentését. Ha egy támadás után a lehető leggyorsabban szeretne biztonsági mentést készíteni és futni, határozza meg, hogy mi a legfontosabb Önnek.
A szervezet migrálása a felhőbe.

Fontolja meg egy Microsoft Egyesített támogatás-csomag megvásárlását, vagy egy Microsoft-partnerrel együttműködve támogassa a felhőbe való áttérést.		 Az adatok felhőszolgáltatásokba való automatikus biztonsági mentéssel és önkiszolgáló visszaállítással történő áthelyezésével csökkentheti a helyszíni kitettséget. A Microsoft Azure számos olyan eszközzel rendelkezik, amelyek segítenek az üzleti szempontból kritikus rendszerek biztonsági mentésében és a biztonsági mentések gyorsabb visszaállításában.

Microsoft Egyesített támogatás egy felhőszolgáltatás-támogatási modell, amely segít, amikor szüksége van rá. Egyesített támogatás:

A szükséges problémamegoldással és kritikus incidensek eszkalálásával 24x7-es rendelkezésre állású kijelölt csapatot biztosít

Segít monitorozni az informatikai környezet állapotát, és proaktívan dolgozik annak érdekében, hogy a problémák megelőzhetők legyenek, mielőtt azok bekövetkeznének
A felhasználói adatok áthelyezése felhőalapú megoldásokba, például a OneDrive-ba és a SharePointba a verziószámozás és a lomtár képességeinek kihasználása érdekében.

Tájékoztassa a felhasználókat arról, hogyan állíthatják helyre saját fájljaikat a késések és a helyreállítási költségek csökkentése érdekében. Ha például egy felhasználó OneDrive-fájljait kártevők fertőzték meg, visszaállíthatja a teljes OneDrive-ot egy korábbi időpontra.

Fontolja meg a védelmi stratégiát, például a Microsoft Defender XDR-t, mielőtt lehetővé tenné a felhasználók számára a saját fájljaik visszaállítását.		 A Microsoft-felhőben lévő felhasználói adatok beépített biztonsági és adatkezelési funkciókkal védhetők.

Jó, ha megtanítja a felhasználóknak, hogyan állíthatják vissza a saját fájljaikat, de óvatosnak kell lennie, hogy a felhasználók ne állítsák vissza a támadás végrehajtásához használt kártevőket. A következőkre van szüksége:

Győződjön meg arról, hogy a felhasználók mindaddig nem visszaállítják a fájljaikat, amíg nem biztos abban, hogy a támadót kizárták

Megoldásra van lehetőség arra az esetre, ha a felhasználó visszaállítja a kártevők egy részét

A Microsoft Defender XDR mesterséges intelligenciával működő automatikus műveleteket és forgatókönyveket használ az érintett objektumok biztonságos állapotba történő elhárításához. A Microsoft Defender XDR a csomagtermékek automatikus szervizelési képességeit használja annak érdekében, hogy az incidenshez kapcsolódó összes érintett eszköz automatikusan szervizelhető legyen, ahol csak lehetséges.
Implementálja a Microsoft felhőbiztonsági teljesítménytesztét. A Microsoft felhőbiztonsági benchmarkja az iparágon alapuló biztonsági ellenőrzési keretrendszerünk, például NIST SP800-53, CIS Controls v7.1. Útmutatást nyújt a szervezeteknek az Azure és az Azure-szolgáltatások konfigurálásához és a biztonsági vezérlők implementálásához. Lásd: Biztonsági mentés és helyreállítás.
Rendszeresen gyakorolja üzletmenet-folytonossági/vészhelyreállítási (BC/DR) tervét.

Incidenskezelési forgatókönyvek szimulálása. A támadásra való felkészülés során végrehajtott gyakorlatokat a rangsorban szereplő biztonsági mentési és visszaállítási listák köré kell megtervezni és végrehajtani.

A "Helyreállítás nulláról" forgatókönyv rendszeres tesztelése annak biztosítása érdekében, hogy a BC/DR gyorsan online állapotba hozza a kritikus üzleti műveleteket a zéró működésből (minden rendszer leáll).		 Biztosítja az üzleti műveletek gyors helyreállítását úgy, hogy a zsarolóprogramokat vagy zsarolóvírusokat ugyanolyan fontossággal kezeli, mint egy természeti katasztrófa.

Gyakorlat(ok) végzése csapatközi folyamatok és technikai eljárások ellenőrzésére, beleértve a sávon kívüli alkalmazotti és ügyfélkommunikációt is (feltételezve, hogy az összes e-mail és csevegés leállt).
Érdemes lehet létrehozni egy kockázatregisztrációs nyilvántartást a lehetséges kockázatok azonosításához, és kezelni a megelőzési vezérlők és műveletek segítségével történő közvetítés módját. Adjon hozzá zsarolóprogramokat a kockázatregisztráláshoz nagy valószínűséggel és nagy hatással járó forgatókönyvként. A kockázatregisztráló segítségével rangsorolhatja a kockázatokat a kockázat bekövetkezésének valószínűsége és a kockázat bekövetkezése esetén a vállalkozás súlyossága alapján.

A kockázatcsökkentés állapotának nyomon követése a vállalati kockázatkezelés (ERM) értékelési ciklusán keresztül.
Minden kritikus üzleti rendszer biztonsági mentése automatikusan, rendszeres ütemezés szerint (beleértve a kritikus függőségek, például az Active Directory biztonsági mentését is).

Ellenőrizze, hogy a biztonsági mentés megfelelő-e a biztonsági mentés létrehozásakor.		 Lehetővé teszi az adatok helyreállítását az utolsó biztonsági mentésig.
A helyreállításhoz szükséges dokumentumok és rendszerek védelme (vagy nyomtatása), mint például a helyreállítási eljárás dokumentumai, a CMDB, a hálózati diagramok és a SolarWinds-példányok. A támadók szándékosan megcélzták ezeket az erőforrásokat, mert ez hatással van a helyreállítás képességére.
Győződjön meg arról, hogy megfelelően dokumentált eljárásokkal rendelkezik a külső támogatás, különösen a fenyegetésfelderítési szolgáltatók, a kártevőirtó-megoldásszolgáltatók és a kártevő-elemzési szolgáltató támogatásához. Az eljárások védelme (vagy nyomtatása). A külső partnerek akkor lehetnek hasznosak, ha az adott ransomware-változat ismert gyengeségekkel rendelkezik, vagy a visszafejtési eszközök elérhetők.
Győződjön meg arról, hogy a biztonsági mentési és helyreállítási stratégia a következőket tartalmazza:

Adatok biztonsági mentése adott időpontra.

A biztonsági másolatok több példányát elkülönített, offline (légi hozzáférésű) helyeken tárolja a rendszer.

Helyreállítási idő célkitűzései, amelyek megállapítják, hogy milyen gyorsan kérhetők le és helyezhetők el a biztonsági mentési adatok az éles környezetben.

A biztonsági mentés gyors visszaállítása éles környezetbe/tesztkörnyezetbe.		 A biztonsági mentések elengedhetetlenek a szervezet sérülése utáni rugalmassághoz. A maximális védelem és rendelkezésre állás érdekében alkalmazza a 3-2-1 szabályt: 3 másolat (eredeti + 2 biztonsági másolat), 2 tárolási típus és 1 külső vagy hideg másolat.
A biztonsági mentések védelme a szándékos törlés és titkosítás ellen:

A biztonsági másolatokat offline vagy nem helyszíni tárolóban és/vagy nem módosítható tárolóban tárolhatja.

A sávon kívüli lépések (például MFA vagy biztonsági PIN-kód) megkövetelése az online biztonsági mentés módosításának vagy törlésének engedélyezése előtt.

Hozzon létre privát végpontokat az Azure Virtual Networkben az adatok biztonságos biztonsági mentéséhez és helyreállításához a Recovery Services-tárolóból.		 A támadók által elérhető biztonsági másolatok nem használhatók az üzleti helyreállításhoz.

Az offline tárolás biztosítja a biztonsági mentési adatok robusztus átvitelét hálózati sávszélesség használata nélkül. Az Azure Backup támogatja az offline biztonsági mentést, amely a kezdeti biztonsági mentési adatokat offline, hálózati sávszélesség használata nélkül továbbítja. Lehetővé teszi a biztonsági mentési adatok fizikai tárolóeszközökre való másolását. Az eszközöket ezután a rendszer egy közeli Azure-adatközpontba szállítja, és feltölti egy Recovery Services-tárolóba.

Az online nem módosítható tároló (például az Azure Blob) lehetővé teszi az üzletileg kritikus fontosságú adatobjektumok WORM (Egyszer írás, több olvasás) állapotban történő tárolását. Ez az állapot nem teszi törölhetővé és nem módosíthatóvá az adatokat egy felhasználó által megadott időközönként.

A többtényezős hitelesítésnek (MFA) kötelezőnek kell lennie az összes rendszergazdai fiók esetében, és minden felhasználó számára erősen ajánlott. Az előnyben részesített módszer egy hitelesítő alkalmazás használata sms vagy hang helyett, ahol lehetséges. Az Azure Backup beállításakor konfigurálhatja a helyreállítási szolgáltatásokat az MFA engedélyezésére az Azure Portalon létrehozott biztonsági PIN-kód használatával. Ez biztosítja, hogy létrejön egy biztonsági pin-kód, amely olyan kritikus műveleteket hajt végre, mint a helyreállítási pont frissítése vagy eltávolítása.
Jelöljön ki védett mappákat. Megnehezíti a jogosulatlan alkalmazások számára a mappákban lévő adatok módosítását.
Tekintse át az engedélyeket:

A fájlmegosztásokra, a SharePointra és más megoldásokra vonatkozó széles körű írási/törlési engedélyek felfedezése. A széles körű definíció szerint az üzletileg kritikus fontosságú adatokra vonatkozó írási/törlési engedélyekkel rendelkező felhasználók száma.

Csökkentse a széles körű engedélyeket, miközben megfelel az üzleti együttműködési követelményeknek.

Naplózás és figyelés annak érdekében, hogy a széles körű engedélyek ne jelennek meg újra.		 Csökkenti a széles körű hozzáférést lehetővé tevő ransomware-tevékenységek kockázatát.
Védelem adathalászati kísérlet ellen:

Rendszeresen végezzen biztonsági tudatossági képzést, amely segít a felhasználóknak azonosítani az adathalászati kísérleteket, és elkerülni, hogy olyan dolgokra kattintanak, amelyek kezdeti belépési pontot hozhatnak létre a kompromisszumhoz.

A biztonsági szűrési vezérlők alkalmazásával észlelheti és minimalizálhatja a sikeres adathalászati kísérletek valószínűségét.		 A támadók által a szervezetbe való behatolás leggyakoribb módszere az e-mailen keresztüli adathalászati kísérletek. Exchange Online Védelmi szolgáltatás (EOP) egy felhőalapú szűrési szolgáltatás, amely megvédi a szervezetet a levélszemét, a kártevők és az egyéb e-mail-fenyegetések ellen. Az EOP minden Exchange Online-postaládával rendelkező Microsoft 365-szervezetben megtalálható.

Az e-mailek biztonsági szűrési vezérlője például Széf Hivatkozások. Széf A hivatkozások a Office 365-höz készült Defender egyik funkciója, amely bemutatja és újraírja az URL-címeket és az e-mailekben lévő hivatkozásokat a bejövő levelek során, valamint az e-mailekben és más helyeken (Microsoft Teams- és Office-dokumentumokban) található URL-címek és hivatkozások kattintásra történő ellenőrzését. Széf A hivatkozások vizsgálata az EOP-ban lévő bejövő e-mailekben a szokásos levélszemét- és kártevőirtó-védelem mellett történik. Széf A hivatkozások vizsgálata segíthet megvédeni a szervezetet az adathalászatban és más támadásokban használt rosszindulatú hivatkozásoktól.

További információ az adathalászat elleni védelemről.

Mi a teendő a támadás során?

Ha támadás éri, a rangsorban szereplő biztonsági mentési lista lesz a rangsorban szereplő visszaállítási lista. A visszaállítás előtt ellenőrizze újra, hogy a biztonsági mentés megfelelő-e. Előfordulhat, hogy a biztonsági másolatban kártevőt is kereshet.

A támadás során követendő lépések

Alkalmazza ezeket az ajánlott eljárásokat egy támadás során.

Feladatok Részlet
A támadás korai szakaszában vegye fel a kapcsolatot külső fél támogatásával, különösen a fenyegetésfelderítési szolgáltatók, a kártevőirtó-megoldásszolgáltatók és a kártevő-elemzési szolgáltató támogatásával. Ezek a kapcsolatok akkor lehetnek hasznosak, ha az adott ransomware-változat ismert gyenge vagy visszafejtési eszközökkel rendelkezik.

A Microsoft Detection and Response Team (DART) segíthet megvédeni Önt a támadásoktól. A DART világszerte kapcsolatba lép az ügyfelekkel, segít megvédeni és megerősíteni a támadásokat, mielőtt bekövetkeznének, valamint kivizsgálja és elhárítja a támadásokat.

A Microsoft a Rapid Ransomware Recovery szolgáltatást is biztosítja. A szolgáltatásokat kizárólag a Microsoft Global Compromise Recovery Security Practice (CRSP) biztosítja. Ennek a csapatnak a fókusza a ransomware-támadások során a hitelesítési szolgáltatás visszaállítása és a zsarolóprogramok hatásának korlátozása.

A DART és a CRSP a Microsoft Industry Solutions Delivery biztonsági szolgáltatásának része.
Lépjen kapcsolatba a helyi vagy a szövetségi bűnüldöző szervekkel. Ha a Egyesült Államok van, forduljon az FBI-hoz, hogy jelentsen egy zsarolóvírus-incidenst az IC3 panasztételi űrlap használatával.
Tegyen lépéseket a kártevők vagy a ransomware hasznos adatainak eltávolításához a környezetből, és állítsa le a terjedését.

Futtasson egy teljes, aktuális víruskereső vizsgálatot az összes gyanús számítógépen és eszközön a ransomware-hez társított hasznos adatok észleléséhez és eltávolításához.

Vizsgálja meg az adatokat szinkronizáló eszközöket vagy a leképezett hálózati meghajtók céljait.		 Használhatja a Windows Defendert vagy (régebbi ügyfelek esetén) a Microsoft Security Essentialst.

Egy másik lehetőség, amely segít a zsarolóprogramok vagy kártevők eltávolításában is, a kártevő szoftver eltávolító eszköz (MSRT).
Először állítsa vissza az üzleti szempontból kritikus rendszereket. Ne felejtse el ismét ellenőrizni, hogy a biztonsági mentés megfelelő-e a visszaállítás előtt. Ezen a ponton nem kell mindent visszaállítania. A visszaállítási lista öt legfontosabb üzleti szempontból kritikus rendszerére összpontosítson.
Ha offline biztonsági másolatokkal rendelkezik, valószínűleg visszaállíthatja a titkosított adatokat , miután eltávolította a ransomware hasznos adatait (kártevőket) a környezetéből. A jövőbeli támadások megelőzése érdekében győződjön meg arról, hogy a ransomware vagy a kártevő nem szerepel az offline biztonsági mentésen a visszaállítás előtt.
Azonosíthat egy biztonságos időponthoz kötött biztonsági mentési rendszerképet, amelyről ismert, hogy nem fertőzött.

Ha Recovery Services-tárolót használ, gondosan tekintse át az incidens ütemtervét, hogy megértse a biztonsági mentés visszaállításához szükséges időpontot.		 A jövőbeli támadások megelőzése érdekében a visszaállítás előtt vizsgálja meg a zsarolóprogramok vagy kártevők biztonsági mentését.
Használjon biztonsági ellenőrzőt és egyéb eszközöket az operációs rendszer teljes visszaállításához, valamint az adat-visszaállítási forgatókönyvekhez. Microsoft Biztonsági ellenőrzőeszköz egy olyan ellenőrzési eszköz, amely a Windows rendszerű számítógépek kártevőinek megkeresésére és eltávolítására szolgál. Egyszerűen töltse le, és futtasson egy vizsgálatot a kártevők megkereséséhez, és próbálja meg visszafordítani az azonosított fenyegetések által végrehajtott módosításokat.
Győződjön meg arról, hogy a víruskereső vagy végponti észlelés és reagálás (Végponti észlelés és reagálás) megoldás naprakész. Naprakész javításokkal is rendelkeznie kell. Előnyben részesítik az Végponti észlelés és reagálás megoldást, például a Végponthoz készült Microsoft Defender.
Az üzletileg kritikus fontosságú rendszerek működése után állítsa vissza a többi rendszert.

A rendszerek visszaállításakor kezdje el a telemetriai adatok gyűjtését, hogy formatív döntéseket hozzon a visszaállított adatokról.		 A telemetriai adatok segítenek azonosítani, hogy a kártevők továbbra is a rendszereken található-e.

Támadás vagy szimuláció utáni

Zsarolóprogram-támadás vagy incidens-válaszszimuláció után hajtsa végre a következő lépéseket a biztonsági mentési és visszaállítási tervek, valamint a biztonsági helyzet javítása érdekében:

  1. Azonosítsa azokat a tanulságokat, amelyekben a folyamat nem működött megfelelően (és lehetőség van a folyamat egyszerűsítésére, felgyorsítására vagy más módon történő javítására)
  2. Alapvető okok elemzése a legnagyobb kihívásokról (elég részletességgel ahhoz, hogy a megoldások megoldják a megfelelő problémát – figyelembe véve az embereket, a folyamatot és a technológiát)
  3. Az eredeti szabálysértés kivizsgálása és elhárítása (segítségért forduljon a Microsoft észlelési és válaszcsapatához (DART)
  4. A biztonsági mentési és visszaállítási stratégia frissítése a tanultak és lehetőségek alapján – rangsorolás a legnagyobb hatás és a leggyorsabb megvalósítási lépések alapján

Következő lépések

Ebben a cikkben megtanulta, hogyan javíthatja biztonsági mentési és visszaállítási tervét a zsarolóprogramok elleni védelem érdekében. A zsarolóprogramok elleni védelem telepítésével kapcsolatos ajánlott eljárásokért tekintse meg a zsarolóprogramok és zsarolóprogramok elleni gyors védelmet.

Főbb iparági információk:

Microsoft Azure:

Microsoft 365:

Microsoft Defender XDR:

A Microsoft Security csapatának blogbejegyzései: