Een herstelplan voor ransomware-aanvallen voorbereiden
Een ding dat je moet doen voordat een ransomware aanval is bereid je organisatie voor, dus het heeft een alternatief voor het betalen van een losgeld.
Belangrijk
Lees de hele reeks ransomwarepreventie en maak uw organisatie moeilijk om ransomware aan te vallen.
Cybercriminelen ransomware aanvallers in de controle van uw organisatie hebben veel manieren om u te dwingen om te betalen. De eisen richten zich voornamelijk op twee categorieën:
Betaal een losgeld om weer toegang te krijgen
Aanvallers eisen betaling onder de bedreiging dat ze u geen toegang geven tot uw systemen en gegevens. Dit wordt meestal gedaan door uw systemen en gegevens te versleutelen en veeleisende betaling voor de ontsleutelingssleutel.
Belangrijk
Betalen van het losgeld is niet zo eenvoudig en schoon van een oplossing als het lijkt.
Omdat u te maken hebt met cybercriminelen die alleen worden gemotiveerd door betaling (en vaak relatief amateuroperators die een toolkit van iemand anders gebruiken), is er veel onzekerheid over hoe goed het losgeld daadwerkelijk werkt. Er is geen wettelijke garantie dat ze een sleutel bieden die 100% van uw systemen en gegevens ontsleutelt, of zelfs een sleutel verstrekken. Het proces voor het ontsleutelen van deze systemen maakt gebruik van hulpprogramma's van aanvallers van thuisgroei. Dit is vaak een onhandig en handmatig proces.
Betalen om openbaarmaking te voorkomen
Aanvallers eisen betaling in ruil voor het niet vrijgeven van gevoelige of gênante gegevens aan het dark web (andere criminelen) of het algemene publiek.
Om te voorkomen dat u wordt gedwongen te betalen (de winstgevende situatie voor aanvallers), is de meest directe en effectieve actie die u kunt ondernemen, ervoor te zorgen dat uw organisatie uw hele onderneming kan herstellen van onveranderbare opslag, die noch de aanvaller noch u kunt wijzigen.
Het identificeren van de meest gevoelige assets en het beschermen ervan op een hoger niveau van zekerheid is ook van cruciaal belang, maar is een langer en moeilijker proces om uit te voeren. We willen niet dat u andere gebieden in fase 1 of 2 opneemt, maar we raden u aan om het proces te starten door belanghebbenden van bedrijven, IT en beveiliging samen te brengen om vragen te stellen en te beantwoorden, zoals:
- Welke bedrijfsactiva zouden het schadelijkst zijn als er inbreuk wordt gedaan? Welke activa zouden onze leidinggevenden bijvoorbeeld bereid zijn om een afpersingsvraag te betalen als aanvallers ze gecontroleerd hebben?
- Hoe vertalen deze zakelijke assets zich naar IT-assets (zoals bestanden, toepassingen, databases, servers en controlesystemen)?
- Hoe kunnen we deze assets beveiligen of isoleren zodat aanvallers met toegang tot de algemene IT-omgeving er geen toegang toe hebben?
Beveiligde back-ups
U moet ervoor zorgen dat er een back-up wordt gemaakt van kritieke systemen en hun gegevens en dat back-ups worden beschermd tegen opzettelijke verwijdering of versleuteling door een aanvaller.
Aanvallen op uw back-ups richten zich op het verlammen van de mogelijkheid van uw organisatie om te reageren zonder te betalen, vaak gericht op back-ups en belangrijke documentatie die nodig is voor herstel om u te dwingen afpersingsvereisten te betalen.
De meeste organisaties beschermen geen back-up- en herstelprocedures tegen dit doelniveau.
Notitie
Deze voorbereiding verbetert ook de tolerantie voor natuurrampen en snelle aanvallen zoals WannaCry en (Niet)Petya.
Back-up en herstelplan om te beschermen tegen ransomware adressen wat te doen voordat een aanval om uw kritieke bedrijfssystemen en tijdens een aanval te beschermen om een snel herstel van uw zakelijke activiteiten te garanderen.
Accountabiliteiten voor programma- en projectlid
In deze tabel wordt de algehele beveiliging van uw gegevens tegen ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| Centrale IT-activiteiten of CIO | Ondersteuning door uitvoerende sponsor | |
| Programmaleider van centrale IT-infrastructuur | Resultaten en samenwerking tussen teams stimuleren | |
| Centrale IT-infrastructuur /back-up | Back-up van infrastructuur inschakelen | |
| Centrale IT-productiviteit / eindgebruiker | OneDrive-back-up inschakelen | |
| Beveiligingsarchitectuur | Adviseren over configuratie en standaarden | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligingsnalevingsbeheer | Controleren om naleving te garanderen | |
Controlelijst voor implementatie
Pas deze aanbevolen procedures toe om uw back-upinfrastructuur te beveiligen.
| Gereed | Opdracht | Beschrijving |
|---|---|---|
| Maak automatisch een back-up van alle kritieke gegevens volgens een normaal schema. | Hiermee kunt u gegevens tot de laatste back-up herstellen. | |
| Oefen regelmatig uw plan voor bedrijfscontinuïteit/herstel na noodgevallen (BC/DR). | Zorgt voor snel herstel van bedrijfsactiviteiten door een ransomware- of afpersingsaanval te behandelen met hetzelfde belang als een natuurramp. | |
| Bescherm back-ups tegen opzettelijke verwijdering en versleuteling: - Sterke beveiliging: buiten-bandstappen (MFA of pincode) vereisen voordat u onlineback-ups (zoals Azure Backup) wijzigt. - Sterkste beveiliging: sla back-ups op in online onveranderbare opslag (zoals Azure Blob) en/of volledig offline of off-site. |
Back-ups die toegankelijk zijn voor aanvallers, kunnen onbruikbaar worden gemaakt voor bedrijfsherstel. Implementeer sterkere beveiliging voor toegang tot back-ups en het niet kunnen wijzigen van de gegevens die zijn opgeslagen in back-ups. | |
| Beveilig ondersteunende documenten die nodig zijn voor herstel, zoals documenten voor herstelprocedure, uw CONFIGURATIEbeheerdatabase (CMDB) en netwerkdiagrammen. | Aanvallers richten zich bewust op deze resources omdat dit van invloed is op uw vermogen om te herstellen. Zorg ervoor dat ze een ransomware-aanval overleven. |
Implementatieresultaten en tijdlijnen
Zorg er binnen 30 dagen voor dat Mean Time to Recover (MTTR) voldoet aan uw BC/DR-doel, zoals gemeten tijdens simulaties en praktijkbewerkingen.
Gegevensbescherming
U moet gegevensbescherming implementeren om snelle en betrouwbare herstel na een ransomware-aanval te garanderen en om bepaalde technieken van aanvallers te blokkeren.
Ransomware afpersing en destructieve aanvallen werken alleen wanneer alle legitieme toegang tot gegevens en systemen verloren gaat. Als u ervoor zorgt dat aanvallers uw mogelijkheid om bewerkingen te hervatten niet kunnen hervatten zonder betaling, worden uw bedrijf beschermd en wordt de financiële stimulans voor het aanvallen van uw organisatie ondermijnd.
Accountabiliteiten voor programma- en projectlid
In deze tabel wordt de algehele beveiliging van uw organisatiegegevens tegen ransomware beschreven in termen van een hiërarchie voor sponsorship-/programmabeheer/projectbeheer om resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| Centrale IT-activiteiten of CIO | Ondersteuning door uitvoerende sponsor | |
| Programmaleider van Gegevensbeveiliging | Resultaten en samenwerking tussen teams stimuleren | |
| Centrale IT-productiviteit / eindgebruiker | Wijzigingen implementeren in De Microsoft 365-tenant voor OneDrive en beveiligde mappen | |
| Centrale IT-infrastructuur /back-up | Back-up van infrastructuur inschakelen | |
| Bedrijf/toepassing | Kritieke bedrijfsassets identificeren | |
| Beveiligingsarchitectuur | Adviseren over configuratie en standaarden | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligingsnalevingsbeheer | Controleren om naleving te garanderen | |
| Team voor gebruikersonderwijs | Zorg ervoor dat richtlijnen voor gebruikers beleidsupdates weerspiegelen | |
Controlelijst voor implementatie
Pas deze aanbevolen procedures toe om uw organisatiegegevens te beveiligen.
| Gereed | Opdracht | Beschrijving |
|---|---|---|
| Uw organisatie migreren naar de cloud: - Verplaats gebruikersgegevens naar cloudoplossingen zoals OneDrive/SharePoint om te profiteren van de mogelijkheden voor versiebeheer en prullenbakken. - Informeer gebruikers over het zelf herstellen van hun bestanden om vertragingen en kosten voor herstel te verminderen. |
Gebruikersgegevens in de Microsoft-cloud kunnen worden beveiligd door ingebouwde beveiligings- en gegevensbeheerfuncties. | |
| Beveiligde mappen aanwijzen. | Maakt het moeilijker voor niet-geautoriseerde toepassingen om de gegevens in deze mappen te wijzigen. | |
| Controleer uw machtigingen: - Ontdek uitgebreide schrijf-/verwijdermachtigingen voor bestandsshares, SharePoint en andere oplossingen. Breed wordt gedefinieerd als veel gebruikers met schrijf-/verwijdermachtigingen voor bedrijfskritieke gegevens. - Verminder brede machtigingen voor kritieke gegevenslocaties terwijl u voldoet aan de vereisten voor zakelijke samenwerking. - Controleer en controleer kritieke gegevenslocaties om ervoor te zorgen dat brede machtigingen niet opnieuw worden weergegeven. |
Vermindert het risico van ransomware-activiteiten die afhankelijk zijn van brede toegang. | |
Volgende stap
Ga verder met fase 2 om het bereik van schade van een aanval te beperken door bevoorrechte rollen te beschermen.
Aanvullende ransomware-bronnen
Belangrijke informatie van Microsoft:
- De groeiende bedreiging van ransomware, Microsoft On the Issues blogpost op 20 juli 2021
- Door mensen bediende ransomware
- Snel beschermen tegen ransomware en afpersing
- 2021 Microsoft Digital Defense-rapport (zie pagina's 10-19)
- Ransomware: Een overzichts- en doorlopend bedreigingsanalyserapport in de Microsoft Defender-portal
- De ransomwarebenadering en casestudy van het Detectie- en responsteam van Microsoft (DART)
Microsoft 365:
- Ransomware-beveiliging implementeren voor uw Microsoft 365-tenant
- Ransomware-tolerantie maximaliseren met Azure en Microsoft 365
- Herstellen van een ransomware-aanval
- Bescherming tegen malware en ransomware
- Uw Windows 10-pc beschermen tegen ransomware
- Ransomware verwerken in SharePoint Online
- Bedreigingsanalyserapporten voor ransomware in de Microsoft Defender-portal
Microsoft Defender XDR:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Ransomware-tolerantie maximaliseren met Azure en Microsoft 365
- Back-up- en herstelplan ter bescherming tegen ransomware
- Beschermen tegen ransomware met Microsoft Azure Backup (video van 26 minuten)
- Herstellen van systeemidentiteitscompromittatie
- Geavanceerde detectie van aanvallen in meerdere fasen in Microsoft Sentinel
- FusionDetectie voor ransomware in Microsoft Sentinel
Microsoft Defender voor Cloud Apps:
Blogberichten van het Microsoft Security-team:
Een gids voor het bestrijden van door mensen bediende ransomware: Deel 1 (september 2021)
Belangrijke stappen voor het onderzoeken van ransomware-incidenten door Microsoft's Detection and Response Team (DART).
Een gids voor het bestrijden van door mensen bediende ransomware: Deel 2 (september 2021)
Aanbevelingen en best practices.
3 stappen om ransomware te voorkomen en te herstellen (september 2021)
-
Zie de sectie Ransomware .
Door mensen geëxploiteerde ransomware-aanvallen: Een voorkombare ramp (maart 2020)
Bevat analyse van aanvalsketenanalyses van daadwerkelijke aanvallen.
Ransomware-reactie: betalen of niet betalen? (December 2019)
Norsk Hydro reageert op ransomware-aanval met transparantie (december 2019)
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor