Merancang solusi untuk mengurangi serangan ransomware, termasuk prioritas BCDR dan akses istimewa

Selesai

Praktik terbaik Microsoft untuk perlindungan ransomware didasarkan pada pendekatan tiga langkah:

  1. Menyiapkan rencana pemulihan Anda
  2. Membatasi cakupan kerusakan
  3. Membuat sulit untuk masuk

Fase 1. Menyiapkan rencana pemulihan Anda

Fase ini dirancang untuk meminimalkan insentif moneter dari penyerang ransomware dengan membuatnya:

  • Lebih sulit untuk mengakses dan mengganggu sistem atau mengenkripsi atau merusak data organisasi utama.
  • Lebih mudah bagi organisasi Anda untuk pulih dari serangan tanpa membayar tebusan.

Catatan

Meskipun memulihkan banyak atau semua sistem perusahaan adalah upaya yang sulit, alternatif membayar penyerang untuk kunci pemulihan yang mungkin atau tidak mereka berikan, dan menggunakan alat yang ditulis oleh penyerang untuk mencoba memulihkan sistem dan data.

Fase 2. Membatasi cakupan kerusakan

Buat penyerang bekerja jauh lebih sulit untuk mendapatkan akses ke beberapa sistem penting bisnis melalui peran akses istimewa. Membatasi kemampuan penyerang untuk mendapatkan akses istimewa membuatnya jauh lebih sulit untuk mendapat keuntungan dari serangan terhadap organisasi Anda, membuatnya lebih mungkin mereka akan menyerah dan pergi ke tempat lain.

Fase 3. Membuat sulit untuk masuk

Serangkaian tugas terakhir ini penting untuk meningkatkan gesekan untuk masuk tetapi akan membutuhkan waktu untuk diselesaikan sebagai bagian dari perjalanan keamanan yang lebih besar. Tujuan dari fase ini adalah untuk membuat kerja penyerang jauh lebih keras saat mereka mencoba untuk mendapatkan akses ke infrastruktur lokal atau cloud Anda di berbagai titik masuk umum. Ada banyak tugas, jadi penting untuk memprioritaskan pekerjaan Anda di sini berdasarkan seberapa cepat Anda dapat menyelesaikannya dengan sumber daya Anda saat ini.

Meskipun banyak dari ini akan akrab dan mudah dicapai dengan cepat, sangat penting bahwa pekerjaan Anda pada fase 3 tidak boleh memperlambat kemajuan Anda pada fase 1 dan 2!

Rencana Pencadangan dan Pemulihan dengan Azure Backup

Pencadangan Azure

Azure Backup menyediakan keamanan untuk lingkungan cadangan Anda, baik saat data Anda sedang transit maupun saat tidak aktif. Dengan Azure Backup, Anda dapat mencadangkan:

  • File, folder, dan status sistem lokal
  • Seluruh VM Windows/Linux
  • Azure Managed Disks
  • Berbagi file Azure ke akun penyimpanan
  • Database SQL Server yang berjalan di VM Azure

Data cadangan disimpan di penyimpanan Azure dan tamu atau penyerang tidak memiliki akses ke penyimpanan cadangan atau kontennya. Dengan cadangan mesin virtual, pembuatan dan penyimpanan rekam jepret cadangan dilakukan oleh Azure Fabric di mana tamu atau penyerang tidak memiliki keterlibatan selain mendiamkan beban kerja untuk cadangan aplikasi yang konsisten. Dengan SQL dan SAP HANA, ekstensi cadangan mendapatkan akses sementara untuk menulis ke blob tertentu. Dengan cara ini, bahkan dalam lingkungan yang disusupi, cadangan yang ada tidak dapat diubah atau dihapus oleh tamu.

Azure Backup menyediakan kapabilitas pemantauan dan peringatan bawaan untuk menampilkan dan mengonfigurasi tindakan untuk peristiwa yang terkait dengan Azure Backup. Laporan Cadangan berfungsi sebagai tujuan satu atap untuk melacak penggunaan, mengaudit cadangan dan pemulihan, dan mengidentifikasi tren utama pada tingkat granularitas yang berbeda. Menggunakan alat pemantauan dan pelaporan Azure Backup dapat memperingatkan Anda tentang aktivitas yang tidak sah, mencurigakan, atau berbahaya segera setelah hal tersebut terjadi.

Pemeriksaan telah ditambahkan untuk memastikan hanya pengguna yang valid yang dapat melakukan berbagai operasi. Ini mencakup penambahan lapisan autentikasi tambahan. Sebagai bagian dari menambahkan lapisan autentikasi tambahan untuk operasi penting, Anda diminta memasukkan PIN keamanan sebelum memodifikasi cadangan online.

Apa yang harus dilakukan sebelum serangan

Seperti disebutkan sebelumnya, Anda harus berasumsi bahwa pada titik waktu tertentu Anda akan menjadi korban serangan ransomware. Mengidentifikasi sistem yang penting bagi bisnis Anda dan menerapkan praktik terbaik sebelum serangan akan membuat sistem Anda bangkit dan berjalan secepat mungkin.

Apa yang harus dilakukan selama serangan

Jika Anda diserang, daftar cadangan yang diprioritaskan menjadi daftar pemulihan yang diprioritaskan. Sebelum Anda memulihkan, pastikan lagi bahwa cadangan Anda dalam keadaan yang baik. Ada kemungkinan bahwa malware berada di dalam cadangan.

Pasca serangan atau simulasi

Setelah serangan ransomware atau simulasi respons insiden, ambil langkah-langkah berikut untuk menyempurnakan rencana pencadangan dan pemulihan serta postur keamanan Anda:

  1. Identifikasi pelajaran yang dipelajari di mana proses tidak berfungsi dengan baik (dan peluang untuk menyederhanakan, mempercepat, atau meningkatkan proses)
  2. Lakukan analisis akar penyebab pada tantangan terbesar. Pastikan ada cukup detail untuk solusi untuk mengatasi masalah yang tepat mengingat orang, proses, dan teknologi.
  3. Selidiki dan pulihkan pembobolan asli (melibatkan Microsoft Detection and Response Team (DART) untuk membantu)
  4. Perbarui strategi pencadangan dan pemulihan Anda berdasarkan pelajaran yang dipelajari dan peluang. Prioritaskan berdasarkan dampak tertinggi dan langkah implementasi tercepat terlebih dahulu.