A szervezet gyors védelme a zsarolóprogramok elleni támadások ellen

A ransomware egy kibertámadási típus, amelyet a kiberbűnözők nagy és kicsi szervezetek zsarolására használnak.

A zsarolóvírus-támadások elleni védelem és a minimális károkozás megértése fontos része a vállalat védelmének. Ez a cikk gyakorlati útmutatást nyújt a ransomware-védelem gyors konfigurálásához.

Az útmutató lépésekre van szervezve, kezdve a legsürgetőbb teendőkkel.

A lépések kiindulópontjaként jelölje meg ezt a lapot.

Fontos

Olvassa el a ransomware megelőzési sorozatot, és megnehezítse a szervezet kibertámadását.

• Helyreállítási terv
• Terv a károkozás korlátozására
• Megnehezíti a bejutás

Feljegyzés

Mi az a zsarolóprogram? Tekintse meg a ransomware definícióját itt.

A cikk fontos információi

Feljegyzés

Ezeknek a lépéseknek a sorrendje úgy van kialakítva, hogy a lehető leggyorsabban csökkentse a kockázatokat, és a súlyos sürgősség feltételezésére épül, amely felülírja a normál biztonsági és informatikai prioritásokat, hogy elkerülje vagy enyhítse a pusztító támadásokat.

Fontos megjegyezni , hogy ez a zsarolóprogram-megelőzési útmutató a megjelenített sorrendben követendő lépések szerint van strukturálva. Ennek az útmutatónak a helyzethez való legjobb igazítása:

1. Tartsa be az ajánlott prioritásokat

   A lépéseket kezdőtervként használhatja az első, a következő és a későbbi műveletekhez, így először a leghatásosabb elemeket kapja meg. Ezeket a javaslatokat a Teljes felügyelet szabálysértés feltételezésének elvével rangsorolja a rendszer. Ez arra kényszeríti, hogy az üzleti kockázat minimalizálására összpontosítson, feltéve, hogy a támadók egy vagy több módszerrel sikeresen hozzáférhetnek a környezethez.

2. Legyen proaktív és rugalmas (de ne hagyja ki a fontos feladatokat)

   A három lépés mindegyik szakaszának implementálási ellenőrzőlistáin végigolvasva megállapíthatja, hogy vannak-e olyan területek és feladatok, amelyeket gyorsan elvégezhet korábban. Ez azt jelenti, hogy gyorsabban végezheti el a műveleteket, mert már rendelkezik hozzáféréssel egy olyan felhőszolgáltatáshoz, amelyet nem használtak, de gyorsan és egyszerűen konfigurálhatók. A teljes terv áttekintésével ügyeljen arra, hogy ezek a későbbi területek és feladatok ne késleltetik a kritikus fontosságú területek, például a biztonsági mentések és a kiemelt hozzáférés befejezését !

3. Néhány elem párhuzamos megjelenítése

   Ha egyszerre próbál mindent megtenni, az túl sok lehet, de bizonyos elemek természetesen párhuzamosan is elvégezhetők. A különböző csapatok munkatársai egyszerre dolgozhatnak a feladatokon (például biztonsági mentési csapat, végpontcsoport, identitáscsoport), miközben a lépések prioritási sorrendben történő végrehajtásához is vezetnek.

A megvalósítási ellenőrzőlisták elemei az ajánlott rangsorolási sorrendben vannak, nem pedig technikai függőségi sorrendben.

Az ellenőrzőlisták segítségével szükség szerint megerősítheti és módosíthatja a meglévő konfigurációt, és úgy, hogy az a szervezetben is működjön. A legfontosabb biztonsági mentési elemben például biztonsági másolatot készít bizonyos rendszerekről, de előfordulhat, hogy ezek nem offline/nem módosíthatók, vagy nem teszteli a teljes vállalati visszaállítási eljárásokat, vagy előfordulhat, hogy nincsenek biztonsági másolatai kritikus üzleti rendszerekről vagy kritikus informatikai rendszerekről, például Active Directory tartományi szolgáltatások (AD DS) tartományvezérlőkről.

Feljegyzés

A folyamat további összefoglalását a Microsoft biztonsági blogbejegyzésében találja a zsarolóprogramok megelőzésének és helyreállításának 3 lépésével (2021. szeptember).

A rendszer beállítása a zsarolóprogramok megelőzésére

A lépések a következők:

1. lépés A ransomware helyreállítási tervének előkészítése

Ez a lépés a zsarolóprogram-támadók pénzügyi ösztönzőinek minimalizálására lett kialakítva a következő módon:

• Sokkal nehezebb hozzáférni és megzavarni a rendszereket, vagy titkosítani vagy károsítani a kulcsfontosságú szervezeti adatokat.
• A szervezet egyszerűbben tudja kilábalni egy támadásból a váltságdíj megfizetése nélkül.

Feljegyzés

Bár sok vagy az összes vállalati rendszer visszaállítása nehéz feladat, az alternatív megoldás, ha a támadónak fizet egy olyan helyreállítási kulcsért, amelyet esetleg nem, és a támadók által írt eszközökkel próbálják helyreállítani a rendszereket és az adatokat.

2. lépés A zsarolóprogram-károk hatókörének korlátozása

A támadók sokkal nehezebben férhetnek hozzá több üzleti szempontból kritikus rendszerhez kiemelt hozzáférési szerepkörökkel. A támadó jogosultsági hozzáférésének korlátozása sokkal nehezebbé teszi a szervezet elleni támadásból való profitálást, így nagyobb valószínűséggel feladják és máshová mennek.

3. lépés Megnehezíti a kiberbűnözők bejutása

Ez az utolsó feladatkészlet fontos, hogy súrlódást gördítsen a belépéshez, de egy nagyobb biztonsági folyamat részeként időt vesz igénybe. Ennek a lépésnek a célja, hogy a támadók munkáját sokkal nehezebbé tegyék, mivel megpróbálnak hozzáférést szerezni a helyszíni vagy felhőbeli infrastruktúrához a különböző gyakori belépési pontokon. Sok ilyen feladat létezik, ezért fontos, hogy a jelenlegi erőforrásaival milyen gyorsan tudja elvégezni ezeket a feladatokat.

Bár ezek közül sok ismerős és könnyen elvégezhető lesz, kritikus fontosságú, hogy a 3. lépésben végzett munkája ne lassítsa az 1. és a 2. lépés előrehaladását.

Ransomware-védelem egy pillantással

A lépéseket és azok implementálási ellenőrzőlistáit a ransomware-támadók elleni védelem szintjeként tekintheti meg a szervezet zsarolóprogram-plakátokkal szembeni védelmével.

Következő lépés

Kezdje az 1. lépéssel, hogy felkészítse a szervezetet arra, hogy a váltságdíj fizetése nélkül felépüljön a támadásból.

További ransomware-erőforrások

A Microsoft legfontosabb információi:

• A zsarolóvírusok növekvő fenyegetése, a Microsoft On the Issues blogbejegyzése 2021. július 20-án
• Ember által működtetett zsarolóprogramok
• 2021 Microsoft Digitális védelmi jelentés (lásd: 10–19. oldal)
• Ransomware: Egy átható és folyamatos fenyegetéselemzési jelentés a Microsoft Defender portálon
• A Microsoft észlelési és válaszcsapata (DART) ransomware megközelítése és esettanulmánya

Microsoft 365:

• Zsarolóprogram-védelem üzembe helyezése a Microsoft 365-bérlőn
• A Ransomware rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
• Helyreállítás zsarolóprogram-támadásból
• Kártevők és zsarolóprogramok elleni védelem
• Windows 10 rendszerű pc védelme zsarolóprogramokkal szemben
• Zsarolóprogramok kezelése a SharePoint Online-ban
• Zsarolóprogramok fenyegetéselemzési jelentései a Microsoft Defender portálon

Microsoft Defender XDR:

• Speciális vadászattal rendelkező zsarolóprogramok keresése

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• A Ransomware rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
• Biztonsági mentési és visszaállítási terv a zsarolóprogramok elleni védelemhez
• Segítség a zsarolóprogramok elleni védelemhez a Microsoft Azure Backup segítségével (26 perces videó)
• Helyreállítás rendszerszintű identitás sérüléséből
• Fejlett többfázisú támadásészlelés a Microsoft Sentinelben
• Fúziós észlelés ransomware-hez a Microsoft Sentinelben

Felhőhöz készült Microsoft Defender alkalmazások:

• Anomáliadetektálási szabályzatok létrehozása az Felhőhöz készült Defender Appsben

A Microsoft Security csapatának blogbejegyzései:

• 3 lépés a zsarolóvírusok megelőzéséhez és helyreállításához (2021. szeptember)

• Útmutató az ember által működtetett zsarolóprogramok elleni küzdelemhez: 1. rész (2021. szeptember)

  A Microsoft észlelési és válaszcsapatának (DART) a zsarolóprogram-incidensek kivizsgálásához szükséges főbb lépések.

• Útmutató az ember által működtetett zsarolóprogramok elleni küzdelemhez: 2. rész (2021. szeptember)

  Javaslatok és ajánlott eljárások.

• Ellenállóvá válás a kiberbiztonsági kockázatok megértésével: 4. rész – a jelenlegi fenyegetések navigálása (2021. május)

  Lásd a Ransomware szakaszt.

• Ember által működtetett zsarolóprogram-támadások: Megelőzhető katasztrófa (2020. március)

  Tartalmazza a tényleges támadások támadáslánc-elemzését.

• Ransomware-válasz – fizetni vagy nem fizetni? (2019. december)

• A Norsk Hydro átláthatósággal válaszol a ransomware-támadásokra (2019. december)