Melindungi dari serangan ransomware
Dalam fase ini, Anda membuat pelaku ancaman bekerja lebih keras untuk mengakses sistem lokal atau cloud Anda dengan secara bertahap menghapus risiko di titik masuk.
Meskipun banyak dari perubahan ini akan akrab dan mudah diimplementasikan, sangat penting bahwa pekerjaan Anda pada bagian strategi ini tidak memperlambat kemajuan Anda pada bagian penting lainnya!
Berikut adalah tautan untuk meninjau rencana pencegahan ransomware tiga bagian:
Akses jarak jauh
Mendapatkan akses ke intranet organisasi Anda melalui koneksi akses jarak jauh adalah vektor serangan untuk pelaku ancaman ransomware.
Setelah akun pengguna lokal disusupi, pelaku ancaman dapat memanfaatkan intranet untuk mengumpulkan kecerdasan, meningkatkan hak istimewa, dan menginstal ransomware. Serangan cyber Colonial Pipeline pada 2021 adalah contohnya.
Akuntabilitas anggota program dan proyek untuk akses jarak jauh
Tabel ini menjelaskan perlindungan keseluruhan solusi akses jarak jauh Anda dari ransomware dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.
| Lead | Implementor | Akuntabilitas |
|---|---|---|
| CISO atau CIO | Sponsor eksekutif | |
| Pimpinan program pada Tim Infrastruktur/Jaringan IT Pusat | Mendorong hasil dan kolaborasi lintas tim | |
| Arsitek IT dan Keamanan | Memprioritaskan integrasi komponen ke dalam arsitektur | |
| Tim Identitas IT Pusat | Mengonfigurasi ID Microsoft Entra dan kebijakan akses bersyar | |
| Operasi IT Pusat | Menerapkan perubahan pada lingkungan | |
| Pemilik Beban Kerja | Membantu izin RBAC untuk penerbitan aplikasi | |
| Kebijakan dan Standar Keamanan | Memperbarui standar dan dokumen kebijakan | |
| Manajemen Kepatuhan terhadap Keamanan | Memantau untuk memastikan kepatuhan | |
| Tim Pendidikan Pengguna | Perbarui panduan apa pun tentang perubahan alur kerja dan lakukan pendidikan dan manajemen perubahan |
Daftar periksa implementasi untuk akses jarak jauh
Terapkan praktik terbaik ini untuk melindungi infrastruktur akses jarak jauh Anda dari pelaku ancaman ransomware.
| Selesai | Tugas | Deskripsi |
|---|---|---|
| Pertahankan pembaruan perangkat lunak dan appliance. Hindari perlindungan produsen yang hilang atau diabaikan (pembaruan keamanan, status yang didukung). | Pelaku ancaman menggunakan kerentanan terkenal yang belum di-patch sebagai vektor serangan. | |
| Konfigurasikan ID Microsoft Entra untuk akses jarak jauh yang ada dengan menyertakan memberlakukan validasi pengguna dan perangkat Zero Trust dengan Akses Bersyariah. | Zero Trust menyediakan beberapa tingkat pengamanan akses ke organisasi Anda. | |
| Konfigurasikan keamanan untuk solusi VPN pihak ketiga yang ada (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA), dan banyak lagi). | Manfaatkan keamanan bawaan solusi akses jarak jauh Anda. | |
| Sebarkan VPN Azure Point-to-Site (P2S) untuk menyediakan akses jarak jauh. | Manfaatkan integrasi dengan ID Microsoft Entra dan langganan Azure Anda yang sudah ada. | |
| Terbitkan aplikasi web lokal dengan proksi aplikasi Microsoft Entra. | Aplikasi yang diterbitkan dengan proksi aplikasi Microsoft Entra tidak memerlukan koneksi akses jarak jauh. | |
| Akses aman ke sumber daya Azure dengan Azure Bastion. | Sambungkan dengan aman dan lancar ke komputer virtual Azure Anda melalui SSL. | |
| Audit dan pantau untuk menemukan dan memperbaiki penyimpangan dari garis besar dan potensi serangan (lihat Deteksi dan Respons). | Kurangi risiko dari aktivitas ransomware yang memeriksa fitur dan pengaturan keamanan garis besar. |
Email dan kolaborasi
Terapkan praktik terbaik untuk solusi email dan kolaborasi untuk mempersulit pelaku ancaman untuk menyalahgunakannya, sambil membiarkan pekerja Anda mengakses konten eksternal dengan mudah dan aman.
Pelaku ancaman sering memasuki lingkungan dengan memperkenalkan konten berbahaya yang disamarkan dalam alat kolaborasi resmi seperti email dan berbagi file dan meyakinkan pengguna untuk menjalankan konten. Microsoft telah berinvestasi dalam mitigasi yang ditingkatkan yang sangat meningkatkan perlindungan terhadap vektor serangan ini.
Akuntabilitas anggota program dan proyek untuk email dan kolaborasi
Tabel ini menjelaskan perlindungan keseluruhan solusi email dan kolaborasi Anda dari ransomware dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.
| Lead | Implementor | Akuntabilitas |
|---|---|---|
| CISO, CIO, atau Direktur Identitas | Sponsor eksekutif | |
| Prospek program dari tim Arsitektur Keamanan | Mendorong hasil dan kolaborasi lintas tim | |
| Arsitek IT | Memprioritaskan integrasi komponen ke dalam arsitektur | |
| Produktivitas Cloud atau Tim Pengguna Akhir | Mengaktifkan Defender untuk Office 365, Azure Site Recovery, dan AMSI | |
| Infrastruktur Arsitektur / Keamanan + Titik Akhir | Bantuan konfigurasi | |
| Tim Pendidikan Pengguna | Perbarui panduan tentang perubahan alur kerja | |
| Kebijakan dan Standar Keamanan | Memperbarui standar dan dokumen kebijakan | |
| Manajemen Kepatuhan terhadap Keamanan | Memantau untuk memastikan kepatuhan |
Daftar periksa implementasi untuk email dan kolaborasi
Terapkan praktik terbaik ini untuk melindungi solusi email dan kolaborasi Anda dari pelaku ancaman ransomware
| Selesai | Tugas | Deskripsi |
|---|---|---|
| Aktifkan AMSI untuk Office VBA. | Mendeteksi serangan makro Office dengan alat titik akhir seperti Defender for Endpoint. | |
| Terapkan keamanan Email Tingkat Lanjut menggunakan Defender untuk Office 365 atau solusi serupa. | Email adalah titik masuk umum untuk pelaku ancaman. | |
| Sebarkan aturan pengurangan permukaan serangan (Azure Site Recovery) untuk memblokir teknik serangan umum termasuk: - Penyalahgunaan titik akhir seperti pencurian kredensial, aktivitas ransomware, dan penggunaan PsExec dan WMI yang mencurigakan. - Aktivitas dokumen Office yang dipersenjatai seperti aktivitas makro tingkat lanjut, konten yang dapat dieksekusi, pembuatan proses, dan injeksi proses yang dimulai oleh aplikasi Office likasi. Catatan: Sebarkan aturan ini dalam mode audit terlebih dahulu, lalu nilai dampak negatif apa pun, lalu sebarkan dalam mode blok. |
Azure Site Recovery menyediakan lapisan perlindungan tambahan yang ditargetkan secara khusus untuk mengurangi metode serangan umum. | |
| Audit dan pantau untuk menemukan dan memperbaiki penyimpangan dari garis besar dan potensi serangan (lihat Deteksi dan Respons). | Mengurangi risiko dari aktivitas ransomware yang memeriksa fitur dan pengaturan keamanan garis besar. |
Titik akhir
Terapkan fitur keamanan yang relevan dan ikuti praktik terbaik pemeliharaan perangkat lunak secara ketat untuk titik akhir (perangkat) dan aplikasi, memprioritaskan aplikasi dan sistem operasi server/klien yang langsung terekspos ke lalu lintas dan konten Internet.
Titik akhir yang diekspos internet adalah vektor entri umum yang menyediakan akses pelaku ancaman ke aset organisasi. Prioritaskan pemblokiran OS umum dan kerentanan aplikasi dengan kontrol pencegahan untuk memperlambat atau menghentikannya melakukan tahap berikutnya.
Akuntabilitas anggota program dan proyek untuk titik akhir
Tabel ini menjelaskan perlindungan keseluruhan titik akhir Anda dari ransomware dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.
| Lead | Implementor | Akuntabilitas |
|---|---|---|
| Kepemimpinan bisnis bertanggung jawab atas dampak bisnis dari waktu henti dan kerusakan serangan | Sponsor eksekutif (pemeliharaan) | |
| Operasi TI Pusat atau CIO | Sponsor eksekutif (lainnya) | |
| Pimpinan program dari Tim Infrastruktur IT Pusat | Mendorong hasil dan kolaborasi lintas tim | |
| Arsitek IT dan Keamanan | Memprioritaskan integrasi komponen ke dalam arsitektur | |
| Operasi IT Pusat | Menerapkan perubahan pada lingkungan | |
| Produktivitas Cloud atau Tim Pengguna Akhir | Mengaktifkan pengurangan permukaan serangan | |
| Beban Kerja/Pemilik Aplikasi | Mengidentifikasi jendela pemeliharaan untuk perubahan | |
| Kebijakan dan Standar Keamanan | Memperbarui standar dan dokumen kebijakan | |
| Manajemen Kepatuhan terhadap Keamanan | Memantau untuk memastikan kepatuhan |
Daftar periksa implementasi untuk titik akhir
Terapkan praktik terbaik ini ke semua Windows, Linux, macOS, Android, iOS, dan titik akhir lainnya.
| Selesai | Tugas | Deskripsi |
|---|---|---|
| Blokir ancaman yang diketahui dengan aturan pengurangan permukaan serangan, perlindungan perubahan, dan blok pada pandangan pertama. | Jangan biarkan kurangnya penggunaan fitur keamanan bawaan ini menjadi alasan penyerang memasuki organisasi Anda. | |
| Terapkan Garis Besar Keamanan untuk memperkuat server Windows dan klien dan aplikasi Office likasi yang terhubung ke internet. | Lindungi organisasi Anda dengan tingkat keamanan minimum dan bangun dari sana. | |
| Pertahankan perangkat lunak Anda sehingga: - Diperbarui: Menyebarkan pembaruan keamanan penting dengan cepat untuk sistem operasi, browser, & klien email - Didukung: Meningkatkan sistem operasi dan perangkat lunak untuk versi yang didukung oleh vendor Anda. |
Penyerang mengandalkan Anda kehilangan atau mengabaikan pembaruan dan peningkatan produsen. | |
| Mengisolasi, menonaktifkan, atau menghentikan sistem dan protokol yang tidak aman, termasuk sistem operasi yang tidak didukung dan protokol warisan. | Penyerang menggunakan kerentanan yang diketahui dari perangkat, sistem, dan protokol warisan sebagai titik masuk ke organisasi Anda. | |
| Blokir lalu lintas tak terduga dengan firewall berbasis host dan pertahanan jaringan. | Beberapa serangan malware mengandalkan lalu lintas masuk yang tidak diminta ke host sebagai cara membuat koneksi untuk serangan. | |
| Audit dan pantau untuk menemukan dan memperbaiki penyimpangan dari garis besar dan potensi serangan (lihat Deteksi dan Respons). | Mengurangi risiko dari aktivitas ransomware yang memeriksa fitur dan pengaturan keamanan garis besar. |
Akun
Sama seperti kunci kerangka antik tidak akan melindungi rumah terhadap pencuri zaman modern, kata sandi tidak dapat melindungi akun dari serangan umum yang kita lihat hari ini. Meskipun autentikasi multifaktor (MFA) pernah menjadi langkah ekstra yang memberatkan, autentikasi tanpa kata sandi meningkatkan pengalaman masuk menggunakan pendekatan biometrik yang tidak mengharuskan pengguna Anda untuk mengingat atau mengetik kata sandi. Selain itu, infrastruktur Zero Trust menyimpan informasi tentang perangkat tepercaya, yang mengurangi permintaan untuk mengganggu tindakan MFA di luar band.
Dimulai dengan akun administrator dengan hak istimewa tinggi, ikuti praktik terbaik ini secara ketat untuk keamanan akun termasuk menggunakan tanpa kata sandi atau MFA.
Akuntabilitas anggota program dan proyek untuk akun
Tabel ini menjelaskan perlindungan keseluruhan akun Anda dari ransomware dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.
| Lead | Implementor | Akuntabilitas |
|---|---|---|
| CISO, CIO, atau Direktur Identitas | Sponsor eksekutif | |
| Prospek program dari tim Manajemen Identitas dan Kunci atau Arsitektur Keamanan | Mendorong hasil dan kolaborasi lintas tim | |
| Arsitek IT dan Keamanan | Memprioritaskan integrasi komponen ke dalam arsitektur | |
| Manajemen Identitas dan Kunci atau Operasi IT Pusat | Menerapkan perubahan konfigurasi | |
| Kebijakan dan Standar Keamanan | Memperbarui standar dan dokumen kebijakan | |
| Manajemen Kepatuhan terhadap Keamanan | Memantau untuk memastikan kepatuhan | |
| Tim Pendidikan Pengguna | Memperbarui kata sandi atau panduan masuk dan melakukan pendidikan dan manajemen perubahan |
Daftar periksa implementasi untuk akun
Terapkan praktik terbaik ini untuk melindungi akun Anda dari penyerang ransomware.
| Selesai | Tugas | Deskripsi |
|---|---|---|
| Terapkan MFA yang kuat atau masuk tanpa kata sandi untuk semua pengguna. Mulailah dengan akun administrator dan prioritas menggunakan satu atau beberapa: - Autentikasi tanpa kata sandi dengan Windows Hello atau aplikasi Microsoft Authenticator. - Autentikasi multifaktor. - Solusi MFA pihak ketiga. |
Jadikan lebih sulit bagi penyerang untuk melakukan penyusupan kredensial hanya dengan menentukan kata sandi akun pengguna. | |
| Tingkatkan keamanan kata sandi: - Untuk akun Microsoft Entra, gunakan Perlindungan Kata Sandi Microsoft Entra untuk mendeteksi dan memblokir kata sandi lemah yang diketahui dan istilah lemah tambahan yang khusus untuk organisasi Anda. - Untuk akun Active Directory lokal Domain Services (AD DS), Perluas Perlindungan Kata Sandi Microsoft Entra ke akun AD DS. |
Pastikan bahwa penyerang tidak dapat menentukan kata sandi atau kata sandi umum berdasarkan nama organisasi Anda. | |
| Audit dan pantau untuk menemukan dan memperbaiki penyimpangan dari garis besar dan potensi serangan (lihat Deteksi dan Respons). | Mengurangi risiko dari aktivitas ransomware yang memeriksa fitur dan pengaturan keamanan garis besar. |
Hasil implementasi dan garis waktu
Cobalah untuk mencapai hasil ini dalam waktu 30 hari:
100% karyawan secara aktif menggunakan MFA
100% penyebaran keamanan kata sandi yang lebih tinggi
Sumber daya ransomware tambahan
Informasi utama dari Microsoft:
Moonstone Sleet muncul sebagai aktor ancaman Korea Utara baru dengan tas trik baru, Blog Microsoft, Mei 2024
Laporan Pertahanan Digital Microsoft 2023 (lihat halaman 17-26)
Ransomware: Laporan analitik ancaman ancaman yang meresap dan berkelanjutan di portal Pertahanan Microsoft
Pendekatan ransomware dan studi kasus tim Respons Insiden Microsoft (sebelumnya DART) dan studi kasus
Microsoft 365:
- Menyebarkan perlindungan ransomware untuk penyewa Microsoft 365 Anda
- Memaksimalkan Ketahanan Ransomware dengan Azure dan Microsoft 365
- Pulih dari serangan ransomware
- Perlindungan terhadap malware dan ransomware
- Melindungi PC Windows 10 Anda dari ransomware
- Menangani ransomware di SharePoint Online
- Laporan analitik ancaman untuk ransomware di portal Pertahanan Microsoft
Microsoft Defender XDR:
Microsoft Azure:
- Azure Defenses untuk Serangan Ransomware
- Memaksimalkan Ketahanan Ransomware dengan Azure dan Microsoft 365
- Rencana pencadangan dan pemulihan untuk melindungi dari ransomware
- Membantu melindungi dari ransomware dengan Microsoft Azure Backup (video 26 menit)
- Memulihkan dari penyusupan identitas sistemik
- Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel
- Deteksi Fusion untuk Ransomware di Microsoft Azure Sentinel
Aplikasi Microsoft Defender untuk Cloud:
Posting blog tim Microsoft Security:
3 langkah untuk mencegah dan memulihkan dari ransomware (September 2021)
Panduan untuk memerangi ransomware yang dioperasikan manusia: Bagian 1 (September 2021)
Langkah-langkah utama tentang bagaimana Tim Deteksi dan Respons (DART) Microsoft melakukan penyelidikan insiden ransomware.
Panduan untuk memerangi ransomware yang dioperasikan manusia: Bagian 2 (September 2021)
Rekomendasi dan praktik terbaik.
-
Lihat bagian Ransomware .
Serangan ransomware yang dioperasikan manusia: Bencana yang dapat dicegah (Maret 2020)
Termasuk analisis rantai serangan dari serangan aktual.
Respons ransomware—untuk membayar atau tidak membayar? (Desember 2019)
Norsk Hydro menanggapi serangan ransomware dengan transparansi (Desember 2019)