Védelem a zsarolóprogramok ellen 1. lépés: Zsarolóprogram-támadás helyreállítási tervének előkészítése

Az egyik dolog, amit meg kell tennie a kiberbűnözők zsarolóprogram-támadása előtt, hogy előkészítse a szervezetet, hogy alternatíva legyen a váltságdíj fizetésére.

A szervezetet irányító kiberbűnözők többféleképpen is nyomást gyakorolnak a fizetésre. Az igények elsősorban két kategóriára összpontosítanak:

  • Váltságdíj fizetése a hozzáférés visszanyeréséhez

    A támadók fizetést követelnek azzal a fenyegetéssel, hogy nem adnak vissza hozzáférést a rendszerekhez és az adatokhoz. Ez általában a rendszerek és az adatok titkosításával, valamint a visszafejtési kulcs kifizetésének megkövetelésével történik.

    Fontos

    A váltságdíj kifizetése nem olyan egyszerű és tiszta megoldás, mint amilyennek tűnhet.

Mivel olyan kiberbűnözőkkel foglalkozik, akiket csak a fizetés motivál (és gyakran viszonylag amatőr operátorok, akik valaki más által biztosított eszközkészletet használnak), sok a bizonytalanság a váltságdíj kifizetése körül. Nincs jogi garancia arra, hogy olyan kulcsot biztosítanak, amely visszafejti a rendszerek és adatok 100%-át, vagy egyáltalán megad egy kulcsot. Ezeknek a rendszereknek a visszafejtése házi támadóeszközöket használ, ami gyakran ügyetlen és manuális folyamat.

  • Fizetés a közzététel elkerülése érdekében

    A támadók fizetést követelnek azért, hogy ne adjanak ki bizalmas vagy kínos adatokat a sötét webe (más bűnözők) vagy a nyilvánosság számára.

Annak érdekében, hogy elkerülje a fizetésre való kényszerítést (a támadók számára jövedelmező helyzetet), a lehető legközvetítettebb és leghatékonyabb művelet annak biztosítása, hogy a szervezet visszaállíthassa a teljes vállalatot a nem módosítható tárolóból, amelyet sem a támadó, sem Ön nem módosíthat.

A legérzékenyebb eszközök azonosítása és magasabb szintű biztonságuk biztosítása szintén kritikus fontosságú, de egy hosszabb és nagyobb kihívást jelentő folyamat. Nem szeretnénk, ha az 1. vagy a 2. fázisban más területeket tartana, de javasoljuk, hogy kezdje el a folyamatot az üzleti, informatikai és biztonsági érdekelt felek összefogásával, hogy kérdéseket tegyenek fel és válaszoljanak meg, például:

  • Milyen üzleti eszközök lennének a legkárosabbak, ha veszélybe kerülnek? Például milyen eszközökkel hajlandó lenne üzletvezetésünk zsarolási követelést fizetni, ha a támadók irányítják őket?
  • Hogyan fordítják le ezeket az üzleti eszközöket informatikai eszközökre (például fájlokra, alkalmazásokra, adatbázisokra, kiszolgálókra és vezérlőrendszerekre)?
  • Hogyan védhetjük meg vagy különíthetjük el ezeket az eszközöket, hogy az általános informatikai környezethez hozzáféréssel rendelkező támadók ne férhessenek hozzá hozzájuk?

Biztonsági mentések biztonságossá tétele

Gondoskodnia kell arról, hogy a kritikus rendszerekről és adataikról biztonsági másolat készüljön, és a biztonsági másolatok védve legyenek a támadók szándékos törlésével vagy titkosításával szemben.

A biztonsági mentések elleni támadások arra összpontosítanak, hogy megbénítják a szervezet fizetős válaszképességét, gyakran a helyreállításhoz szükséges biztonsági másolatokat és kulcsfontosságú dokumentációkat célozva kényszerítik a zsarolási igények teljesítésére.

A legtöbb szervezet nem védi a biztonsági mentési és visszaállítási eljárásokat a szándékos célzás ezen szintje ellen.

Feljegyzés

Ez az előkészítés emellett javítja a természeti katasztrófák és a gyors támadások, például a WannaCry és a (nem)Petya ellenálló képességét.

A zsarolóprogramok elleni védelemre vonatkozó biztonsági mentési és visszaállítási terv foglalkozik azzal, hogy mit kell tennie egy támadás előtt a kritikus üzleti rendszerek védelme érdekében, valamint egy támadás során, hogy biztosítsa az üzleti műveletek gyors helyreállítását.

Program- és projekttag-fiókképességek

Ez a táblázat az adatok zsarolóprogramokkal szembeni általános védelmét ismerteti egy szponzorálási/programkezelési/projektkezelési hierarchia alapján az eredmények meghatározásához és irányításához.

Érdeklődő Implementátor Elszámoltathatóság
Központi informatikai műveletek vagy CIO Vezetői szponzorálások
Programvezető a központi informatikai infrastruktúrából Eredmények és csapatközi együttműködés
Központi informatikai infrastruktúra/biztonsági mentés Infrastruktúra biztonsági mentésének engedélyezése
Központi informatikai hatékonyság / Végfelhasználó A OneDrive biztonsági mentésének engedélyezése
Biztonsági architektúra Tanácsadás a konfigurációval és a szabványokkal kapcsolatban
Biztonsági szabályzat és szabványok Szabványok és szabályzatdokumentumok frissítése
Biztonsági megfelelőség kezelése Figyelés a megfelelőség biztosításához

Megvalósítási ellenőrzőlista

Alkalmazza ezeket az ajánlott eljárásokat a biztonsági mentési infrastruktúra védelméhez.

Kész Feladatok Leírás
Az összes kritikus adat biztonsági mentése automatikusan, rendszeres ütemezés szerint. Lehetővé teszi az adatok helyreállítását az utolsó biztonsági mentésig.
Rendszeresen gyakorolja üzletmenet-folytonossági/vészhelyreállítási (BC/DR) tervét. Biztosítja az üzleti műveletek gyors helyreállítását úgy, hogy a zsarolóprogramokat vagy zsarolóvírusokat ugyanolyan fontossággal kezeli, mint egy természeti katasztrófa.
A biztonsági mentések védelme a szándékos törlés és titkosítás ellen:

– Erős védelem – Az online biztonsági mentések (például az Azure Backup) módosítása előtt sávon kívüli lépések (MFA vagy PIN-kód) megkövetelése.

– Legerősebb védelem – A biztonsági másolatokat online nem módosítható tárolóban (például Azure Blobban) és/vagy teljesen offline vagy nem a helyszínen tárolja.
A támadók által elérhető biztonsági másolatok nem használhatók az üzleti helyreállításhoz. Nagyobb biztonságot valósíthat meg a biztonsági másolatokhoz való hozzáféréshez, valamint a biztonsági másolatokban tárolt adatok módosításának képtelenségéhez.
Védje a helyreállításhoz szükséges dokumentumokat, például a visszaállítási eljárás dokumentumait, a konfigurációkezelési adatbázist (CMDB) és a hálózati diagramokat. A támadók szándékosan megcélzták ezeket az erőforrásokat, mert ez hatással van a helyreállítás képességére. Győződjön meg arról, hogy túlélik a ransomware támadást.

Megvalósítási eredmények és ütemtervek

30 napon belül győződjön meg arról, hogy a helyreállítás középideje (MTTR) megfelel a BC/DR-célnak a szimulációk és a valós műveletek során mért módon.

Adatvédelem

Adatvédelmi intézkedéseket kell végrehajtania a ransomware-támadások gyors és megbízható helyreállításához, valamint a támadók bizonyos technikáinak letiltásához.

A zsarolóprogramok zsarolása és romboló támadásai csak akkor működnek, ha az adatokhoz és rendszerekhez való minden jogszerű hozzáférés elveszik. Annak biztosítása, hogy a támadók ne tudják megszüntetni a fizetés nélküli működés folytatásának képességét, azzal megvédheti vállalkozását, és aláássa a szervezet elleni támadás pénzügyi ösztönzőit.

Program- és projekttag-fiókképességek

Ez a táblázat a szervezeti adatok zsarolóprogramokkal szembeni általános védelmét ismerteti szponzorálási/programkezelési/projektkezelési hierarchia alapján az eredmények meghatározásához és irányításához.

Érdeklődő Implementátor Elszámoltathatóság
Központi informatikai műveletek vagy CIO Vezetői szponzorálások
Programvezető az Adatbiztonságból Eredmények és csapatközi együttműködés
Központi informatikai hatékonyság / Végfelhasználó A Microsoft 365-bérlő módosításainak implementálása a OneDrive-hoz és a védett mappákhoz
Központi informatikai infrastruktúra/biztonsági mentés Infrastruktúra biztonsági mentésének engedélyezése
Üzlet / alkalmazás Kritikus fontosságú üzleti eszközök azonosítása
Biztonsági architektúra Tanácsadás a konfigurációval és a szabványokkal kapcsolatban
Biztonsági szabályzat és szabványok Szabványok és szabályzatdokumentumok frissítése
Biztonsági megfelelőség kezelése Figyelés a megfelelőség biztosításához
Felhasználói oktatási csapat Útmutatás biztosítása a felhasználók számára a szabályzatfrissítéseknek megfelelően

Megvalósítási ellenőrzőlista

Alkalmazza ezeket az ajánlott eljárásokat a szervezeti adatok védelméhez.

Kész Feladatok Leírás
A szervezet migrálása a felhőbe:

– A felhasználói adatok áthelyezése felhőalapú megoldásokba, például a OneDrive/SharePointba a verziószámozás és a lomtár képességeinek kihasználása érdekében.

– Tájékoztassa a felhasználókat arról, hogyan állíthatják helyre saját fájljaikat a késések és a helyreállítási költségek csökkentése érdekében.
A Microsoft-felhőben lévő felhasználói adatok beépített biztonsági és adatkezelési funkciókkal védhetők.
Védett mappák kijelölése. Megnehezíti a jogosulatlan alkalmazások számára a mappákban lévő adatok módosítását.
Tekintse át az engedélyeket:

– Széles körű írási/törlési engedélyek felfedezése a fájlmegosztásokra, a SharePointra és más megoldásokra. A széles körű definíció szerint az üzletileg kritikus fontosságú adatokra vonatkozó írási/törlési engedélyekkel rendelkező felhasználók száma.

– Csökkentse a kritikus adathelyekre vonatkozó széles körű engedélyeket, miközben megfelel az üzleti együttműködési követelményeknek.

– A kritikus adathelyek naplózása és monitorozása annak érdekében, hogy a széles körű engedélyek ne jelennek meg újra.
Csökkenti a széles körű hozzáférésre támaszkodó ransomware-tevékenységek kockázatát.

Következő lépés

Phase 2. Limit the scope of damage

Folytassa a 2. fázissal, hogy korlátozza a támadás hatókörét a kiemelt szerepkörök védelmével.

További ransomware-erőforrások

A Microsoft legfontosabb információi:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Felhőhöz készült Microsoft Defender alkalmazások:

A Microsoft Security csapatának blogbejegyzései: