Maak het moeilijk voor ransomware-aanvallen om in uw organisatie te komen
In deze fase zorgt u ervoor dat aanvallers moeilijker werken om in uw on-premises of cloudsystemen te komen door de risico's op de toegangspunten geleidelijk te verwijderen.
Hoewel veel van deze wijzigingen bekend en gemakkelijk te doen zullen zijn, is het uiterst belangrijk dat uw werk aan dit deel van de strategie uw voortgang op de andere tot uiterst belangrijke onderdelen niet vertraagt!
Hier volgen de koppelingen om het driedelige cyberbeveiligingsplan te bekijken:
Externe toegang
Toegang krijgen tot het intranet van uw organisatie via een externe toegangsverbinding is een aanvalsvector voor ransomware-aanvallers.
Zodra een on-premises gebruikersaccount is aangetast, is een aanvaller vrij om te roamen op een intranet om intelligentie te verzamelen, bevoegdheden te verhogen en ransomware te installeren. De koloniale pijplijn cyberaanval in 2021 is een voorbeeld.
Accountabiliteiten voor programma- en projectlidaccounts voor externe toegang
In deze tabel wordt de algehele beveiliging van uw externe toegangsoplossing tegen ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO of CIO | Ondersteuning door uitvoerende sponsor | |
| Programmaleider in het centrale IT-infrastructuur -/netwerkteam | Resultaten en samenwerking tussen teams stimuleren | |
| IT- en beveiligingsarchitecten | Integratie van onderdelen prioriteren in architecturen | |
| Centraal IT-identiteitsteam | Beleid voor Microsoft Entra-id en voorwaardelijke toegang configureren | |
| Centrale IT-activiteiten | Wijzigingen in de omgeving implementeren | |
| Eigenaren van workloads | Hulp bij RBAC-machtigingen voor het publiceren van apps | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligingsnalevingsbeheer | Controleren om naleving te garanderen | |
| Team voor gebruikersonderwijs | Werk eventuele richtlijnen voor werkstroomwijzigingen bij en voer onderwijs- en wijzigingsbeheer uit |
Controlelijst voor implementatie voor externe toegang
Pas deze aanbevolen procedures toe om uw infrastructuur voor externe toegang te beschermen tegen ransomware-aanvallers.
| Gereed | Opdracht | Beschrijving |
|---|---|---|
| Software- en apparaatupdates onderhouden. Vermijd ontbrekende of genegeerde beveiligingen van de fabrikant (beveiligingsupdates, ondersteunde status). | Aanvallers gebruiken bekende beveiligingsproblemen die nog niet zijn gepatcht als aanvalsvectoren. | |
| Configureer Microsoft Entra ID voor bestaande externe toegang door zero Trust-gebruikers- en apparaatvalidatie af te dwingen met voorwaardelijke toegang. | Zero Trust biedt meerdere niveaus voor het beveiligen van toegang tot uw organisatie. | |
| Configureer beveiliging voor bestaande VPN-oplossingen van derden (Cisco Any Verbinding maken, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) en meer. | Profiteer van de ingebouwde beveiliging van uw externe toegangsoplossing. | |
| Implementeer Azure Point-to-Site VPN (P2S) om externe toegang te bieden. | Profiteer van integratie met Microsoft Entra ID en uw bestaande Azure-abonnementen. | |
| On-premises web-apps publiceren met microsoft Entra-toepassingsproxy. | Apps die zijn gepubliceerd met de Microsoft Entra-toepassingsproxy hebben geen verbinding met externe toegang nodig. | |
| Beveiligde toegang tot Azure-resources met Azure Bastion. | Veilig en naadloos verbinding maken met uw virtuele Azure-machines via SSL. | |
| Controleer en bewaak om afwijkingen van de basislijn en mogelijke aanvallen te vinden en op te lossen (zie Detectie en reactie). | Verminder het risico van ransomware-activiteiten die de beveiligingsfuncties en -instellingen van de basislijn testen. |
E-mail en samenwerking
Implementeer best practices voor e-mail- en samenwerkingsoplossingen om het voor aanvallers moeilijker te maken om ze te misbruiken, terwijl uw werknemers eenvoudig en veilig toegang hebben tot externe inhoud.
Aanvallers voeren vaak de omgeving in door schadelijke inhoud over te dragen met geautoriseerde samenwerkingshulpprogramma's zoals e-mail en het delen van bestanden en overtuigende gebruikers om deze uit te voeren. Microsoft heeft geïnvesteerd in verbeterde oplossingen die de bescherming tegen deze aanvalsvectoren aanzienlijk verhogen.
Accountabiliteiten voor programma- en projectlidaccounts voor e-mail en samenwerking
In deze tabel wordt de algehele beveiliging van uw e-mail- en samenwerkingsoplossingen van ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO, CIO of Identity Director | Ondersteuning door uitvoerende sponsor | |
| Programmaleider van het beveiligingsarchitectuurteam | Resultaten en samenwerking tussen teams stimuleren | |
| IT-architecten | Integratie van onderdelen prioriteren in architecturen | |
| Cloudproductiviteit of eindgebruikersteam | Defender voor Office 365, ASR en AMSI inschakelen | |
| Infrastructuur en eindpunt van beveiligingsarchitectuur / | Hulp bij configuratie | |
| Team voor gebruikersonderwijs | Richtlijnen voor het bijwerken van werkstroomwijzigingen | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligingsnalevingsbeheer | Controleren om naleving te garanderen |
Controlelijst voor implementatie voor e-mail en samenwerking
Pas deze aanbevolen procedures toe om uw e-mail- en samenwerkingsoplossingen te beschermen tegen ransomware-aanvallers.
| Gereed | Opdracht | Beschrijving |
|---|---|---|
| Schakel AMSI in voor Office VBA. | Office-macroaanvallen detecteren met eindpunthulpprogramma's zoals Defender voor Eindpunt. | |
| Implementeer Geavanceerde e-mailbeveiliging met behulp van Defender voor Office 365 of een vergelijkbare oplossing. | E-mail is een veelvoorkomend toegangspunt voor aanvallers. | |
| Implementeer ASR-regels (Attack Surface Reduction) om algemene aanvalstechnieken te blokkeren, waaronder: - Eindpuntmisbruik zoals referentiediefstal, ransomware-activiteit en verdacht gebruik van PsExec en WMI. - Bewapende Office-documentactiviteit zoals geavanceerde macroactiviteit, uitvoerbare inhoud, proces maken en procesinjectie geïnitieerd door Office-app licaties. Opmerking: Implementeer eerst deze regels in de controlemodus, beoordeel vervolgens eventuele negatieve gevolgen en implementeer deze vervolgens in de blokmodus. |
ASR biedt extra beveiligingslagen die specifiek zijn gericht op het beperken van algemene aanvalsmethoden. | |
| Controleer en bewaak om afwijkingen van de basislijn en mogelijke aanvallen te vinden en op te lossen (zie Detectie en reactie). | Vermindert het risico van ransomware-activiteiten die de beveiligingsfuncties en -instellingen van de basislijn testen. |
Eindpunten
Implementeer relevante beveiligingsfuncties en volg de aanbevolen procedures voor softwareonderhoud voor eindpunten (apparaten) en toepassingen, waarbij toepassingen en server-/clientbesturingssystemen rechtstreeks worden blootgesteld aan internetverkeer en inhoud prioriteit geven.
Internet-blootgestelde eindpunten zijn een veelgebruikte invoervector die aanvallers toegang biedt tot de assets van de organisatie. Prioriteit geven aan het blokkeren van veelvoorkomende beveiligingsproblemen in het besturingssysteem en toepassingen met preventieve controles om ze te vertragen of te stoppen met het uitvoeren van de volgende fasen.
Accountabiliteiten voor programma- en projectlidaccounts voor enbpoints
In deze tabel wordt de algehele beveiliging van uw eindpunten tegen ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om de resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| Bedrijfsleiders die verantwoordelijk zijn voor de impact van zowel downtime als aanvalsschade | Executive sponsorship (onderhoud) | |
| Centrale IT-activiteiten of CIO | Executive sponsorship (anderen) | |
| Programmaleider van het centrale IT-infrastructuurteam | Resultaten en samenwerking tussen teams stimuleren | |
| IT- en beveiligingsarchitecten | Integratie van onderdelen prioriteren in architecturen | |
| Centrale IT-activiteiten | Wijzigingen in de omgeving implementeren | |
| Cloudproductiviteit of eindgebruikersteam | Kwetsbaarheid voor aanvallen verminderen inschakelen | |
| Workload/app-eigenaren | Onderhoudsvensters identificeren voor wijzigingen | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligingsnalevingsbeheer | Controleren om naleving te garanderen |
Controlelijst voor implementatie voor eindpunten
Pas deze aanbevolen procedures toe op alle Windows-, Linux-, MacOS-, Android-, iOS- en andere eindpunten.
| Gereed | Opdracht | Beschrijving |
|---|---|---|
| Blokkeer bekende bedreigingen met regels voor het verminderen van kwetsbaarheid voor aanvallen, manipulatiebeveiliging en blokkeren op de eerste site. | Laat het gebrek aan gebruik van deze ingebouwde beveiligingsfuncties niet de reden zijn dat een aanvaller uw organisatie binnenkwam. | |
| Pas beveiligingsbasislijnen toe om internetgerichte Windows-servers en -clients en Office-app licenties te beperken. | Bescherm uw organisatie met het minimale beveiligingsniveau en bouw daar. | |
| Onderhoud uw software zodat dit het volgende is: - Bijgewerkt: Snel essentiële beveiligingsupdates implementeren voor besturingssystemen, browsers en e-mailclients - Ondersteund: Upgrade van besturingssystemen en software voor versies die door uw leveranciers worden ondersteund. |
Aanvallers rekenen erop dat u updates en upgrades van de fabrikant mist of negeert. | |
| Onveilige systemen en protocollen isoleren, uitschakelen of buiten gebruik stellen, inclusief niet-ondersteunde besturingssystemen en verouderde protocollen. | Aanvallers gebruiken bekende beveiligingsproblemen van verouderde apparaten, systemen en protocollen als toegangspunten in uw organisatie. | |
| Blokkeer onverwacht verkeer met firewalls en netwerkbeveiliging op basis van een host. | Sommige malwareaanvallen zijn afhankelijk van ongevraagd binnenkomend verkeer naar hosts als een manier om een verbinding te maken voor een aanval. | |
| Controleer en bewaak om afwijkingen van de basislijn en mogelijke aanvallen te vinden en op te lossen (zie Detectie en reactie). | Vermindert het risico van ransomware-activiteiten die de beveiligingsfuncties en -instellingen van de basislijn testen. |
Accounts
Net zoals antieke skeletsleutels een huis niet beschermen tegen een moderne inbreker, kunnen wachtwoorden accounts niet beschermen tegen veelvoorkomende aanvallen die we vandaag zien. Hoewel meervoudige verificatie (MFA) ooit een lastige extra stap was, verbetert verificatie zonder wachtwoord de aanmeldingservaring met behulp van biometrische benaderingen waarvoor uw gebruikers geen wachtwoord hoeven te onthouden of te typen. Bovendien slaat een Zero Trust-infrastructuur informatie op over vertrouwde apparaten, waardoor het vragen om vervelende out-of-band MFA-acties wordt verminderd.
Begin met beheerdersaccounts met hoge bevoegdheden en volg deze aanbevolen procedures voor accountbeveiliging, waaronder het gebruik van wachtwoordloos of MFA.
Accountabiliteiten voor programma- en projectlidaccounts voor accounts
In deze tabel wordt de algehele beveiliging van uw accounts tegen ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om de resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO, CIO of Identity Director | Ondersteuning door uitvoerende sponsor | |
| Programmaleider van identiteits- en sleutelbeheer- of beveiligingsarchitectuurteams | Resultaten en samenwerking tussen teams stimuleren | |
| IT- en beveiligingsarchitecten | Integratie van onderdelen prioriteren in architecturen | |
| Identiteits- en sleutelbeheer of centrale IT-bewerkingen | Configuratiewijzigingen implementeren | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligingsnalevingsbeheer | Controleren om naleving te garanderen | |
| Team voor gebruikersonderwijs | Wachtwoord- of aanmeldingsrichtlijnen bijwerken en onderwijs- en wijzigingsbeheer uitvoeren |
Controlelijst voor implementatie voor accounts
Pas deze aanbevolen procedures toe om uw accounts te beschermen tegen ransomware-aanvallers.
| Gereed | Opdracht | Beschrijving |
|---|---|---|
| Dwing sterke MFA- of wachtwoordloze aanmelding af voor alle gebruikers. Begin met beheerders- en prioriteitsaccounts met behulp van een of meer van: - Verificatie zonder wachtwoord met Windows Hello of de Microsoft Authenticator-app. - Azure Multi-Factor Authentication. - Een MFA-oplossing van derden. |
Maak het moeilijker voor een aanvaller om een inbreuk op referenties uit te voeren door alleen het wachtwoord van een gebruikersaccount te bepalen. | |
| Wachtwoordbeveiliging verhogen: - Voor Microsoft Entra-accounts gebruikt u Microsoft Entra-wachtwoordbeveiliging om bekende zwakke wachtwoorden en aanvullende zwakke termen te detecteren en te blokkeren die specifiek zijn voor uw organisatie. - Voor on-premises ad DS-accounts (Active Directory-domein Services) kunt u Microsoft Entra Password Protection uitbreiden naar AD DS-accounts. |
Zorg ervoor dat aanvallers geen algemene wachtwoorden of wachtwoorden kunnen bepalen op basis van de naam van uw organisatie. | |
| Controleer en bewaak om afwijkingen van de basislijn en mogelijke aanvallen te vinden en op te lossen (zie Detectie en reactie). | Vermindert het risico van ransomware-activiteiten die de beveiligingsfuncties en -instellingen van de basislijn testen. |
Implementatieresultaten en tijdlijnen
Probeer deze resultaten binnen 30 dagen te bereiken:
- 100% van de werknemers maakt actief gebruik van MFA
- 100 % implementatie van hogere wachtwoordbeveiliging
Aanvullende ransomware-bronnen
Belangrijke informatie van Microsoft:
- De groeiende bedreiging van ransomware, Microsoft On the Issues blogpost op 20 juli 2021
- Door mensen bediende ransomware
- Snel beschermen tegen ransomware en afpersing
- 2021 Microsoft Digital Defense-rapport (zie pagina's 10-19)
- Ransomware: Een overzichts- en doorlopend bedreigingsanalyserapport in de Microsoft Defender-portal
- De ransomwarebenadering en casestudy van het Detectie- en responsteam van Microsoft (DART)
Microsoft 365:
- Ransomware-beveiliging implementeren voor uw Microsoft 365-tenant
- Ransomware-tolerantie maximaliseren met Azure en Microsoft 365
- Herstellen van een ransomware-aanval
- Bescherming tegen malware en ransomware
- Uw Windows 10-pc beschermen tegen ransomware
- Ransomware verwerken in SharePoint Online
- Bedreigingsanalyserapporten voor ransomware in de Microsoft Defender-portal
Microsoft Defender XDR:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Ransomware-tolerantie maximaliseren met Azure en Microsoft 365
- Back-up- en herstelplan ter bescherming tegen ransomware
- Beschermen tegen ransomware met Microsoft Azure Backup (video van 26 minuten)
- Herstellen van systeemidentiteitscompromittatie
- Geavanceerde detectie van aanvallen in meerdere fasen in Microsoft Sentinel
- FusionDetectie voor ransomware in Microsoft Sentinel
Microsoft Defender voor Cloud Apps:
Blogberichten van het Microsoft Security-team:
3 stappen om ransomware te voorkomen en te herstellen (september 2021)
Een gids voor het bestrijden van door mensen bediende ransomware: Deel 1 (september 2021)
Belangrijke stappen voor het onderzoeken van ransomware-incidenten door Microsoft's Detection and Response Team (DART).
Een gids voor het bestrijden van door mensen bediende ransomware: Deel 2 (september 2021)
Aanbevelingen en best practices.
-
Zie de sectie Ransomware .
Door mensen geëxploiteerde ransomware-aanvallen: Een voorkombare ramp (maart 2020)
Bevat analyse van aanvalsketenanalyses van daadwerkelijke aanvallen.
Ransomware-reactie: betalen of niet betalen? (December 2019)
Norsk Hydro reageert op ransomware-aanval met transparantie (december 2019)
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor