Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup

  • Artykuł

Ataki ransomware celowo szyfrują lub wymazują dane i systemy, aby zmusić organizację do płacenia pieniędzy osobom atakującym. Te ataki dotyczą danych, kopii zapasowych, a także kluczowej dokumentacji wymaganej do odzyskania bez płacenia osobom atakującym (w celu zwiększenia szans, które zapłaci Twoja organizacja).

W tym artykule o tym, co należy zrobić przed atakiem w celu ochrony krytycznych systemów biznesowych i podczas ataku w celu zapewnienia szybkiego odzyskiwania operacji biznesowych.

Uwaga

Przygotowanie do oprogramowania wymuszającego okup zwiększa również odporność na klęski żywiołowe i szybkie ataki, takie jak WannaCry & (Not)Petya.

Co to jest oprogramowanie wymuszającego okup?

Oprogramowanie wymuszające okup to rodzaj ataku wymuszenia, który szyfruje pliki i foldery, uniemożliwiając dostęp do ważnych danych i systemów. Osoby atakujące używają oprogramowania wymuszającego okup do wymuszenia pieniędzy od ofiar, domagając się pieniędzy, zwykle w postaci kryptowalut, w zamian za klucz odszyfrowywania lub w zamian za nieudzielenie poufnych danych do ciemnej sieci lub publicznego Internetu.

Chociaż wczesne oprogramowanie wymuszające okup najczęściej używało złośliwego oprogramowania, które rozprzestrzeniało się wyłudzanie informacji lub między urządzeniami, pojawiło się, gdy gang aktywnych atakujących, sterowany przez operatorów ataków ludzkich, kieruje wszystkie systemy w organizacji (zamiast jednego urządzenia lub zestawu urządzeń). Atak może:

  • Szyfrowanie danych
  • Eksfiltrowanie danych
  • Uszkodzenie kopii zapasowych

Oprogramowanie wymuszającego okup wykorzystuje wiedzę osób atakujących na temat typowych błędów konfiguracji systemu i zabezpieczeń oraz luk w zabezpieczeniach w celu infiltrowania organizacji, nawigowania po sieci przedsiębiorstwa i dostosowywania się do środowiska i jego słabych stron w miarę ich przechodzenia.

Oprogramowanie wymuszającego okup można przygotować w celu wcześniejszego eksfiltrowania danych w ciągu kilku tygodni lub miesięcy, zanim oprogramowanie wymuszającego okup faktycznie zostanie wykonane w określonym dniu.

Oprogramowanie wymuszającego okup może również powoli szyfrować dane przy zachowaniu klucza w systemie. Dzięki nadal dostępnemu kluczowi dane są dla Ciebie użyteczne, a oprogramowanie wymuszającego okup jest niezauważone. Kopie zapasowe to jednak zaszyfrowane dane. Po zaszyfrowaniu wszystkich danych i ostatnich kopiach zapasowych są również zaszyfrowane dane, klucz zostanie usunięty, aby nie można było już odczytywać danych.

Prawdziwe szkody są często wykonywane, gdy atak eksfiltruje pliki podczas opuszczania backdoorów w sieci w celu uzyskania przyszłych złośliwych działań — a te zagrożenia utrzymują się, czy okup jest wypłacany. Te ataki mogą być katastrofalne dla operacji biznesowych i trudne do oczyszczenia, co wymaga całkowitego eksmisji przeciwnika w celu ochrony przed przyszłymi atakami. W przeciwieństwie do wczesnych form oprogramowania wymuszającego okup, które wymagały tylko korygowania złośliwego oprogramowania, oprogramowanie wymuszające oprogramowanie wymuszające działanie przez człowieka może nadal zagrażać operacjom biznesowym po początkowym spotkaniu.

Wpływ ataku

Wpływ ataku wymuszającego okup na każdą organizację jest trudny do dokładnego określenia. W zależności od zakresu ataku wpływ może obejmować:

  • Utrata dostępu do danych
  • Zakłócenia operacji biznesowych
  • Strata finansowa
  • Kradzież własności intelektualnej
  • Naruszone zaufanie klienta lub nadszarpnięta reputacja
  • Wydatki prawne

Jak można chronić siebie?

Najlepszym sposobem zapobiegania upadku ofiary oprogramowania wymuszającego okup jest zaimplementowanie środków zapobiegawczych i posiadanie narzędzi chroniących organizację przed każdym krokiem, który osoby atakujące podejmują w celu infiltracji systemów.

Ekspozycję lokalną można zmniejszyć, przenosząc organizację do usługi w chmurze. Firma Microsoft zainwestowała w natywne możliwości zabezpieczeń, które sprawiają, że platforma Microsoft Azure jest odporna na ataki wymuszające okup i pomaga organizacjom pokonać techniki ataków wymuszających okup. Aby zapoznać się z kompleksowym omówieniem oprogramowania wymuszającego okup i wymuszeniami oraz sposobem ochrony organizacji, skorzystaj z informacji w prezentacji Programu PowerPoint w ramach projektu ograniczania ryzyka oprogramowania wymuszającego okup obsługiwanego przez człowieka.

Należy założyć, że w pewnym momencie padniesz ofiarą ataku wymuszającego okup. Jednym z najważniejszych kroków, które można wykonać w celu ochrony danych i uniknięcia płacenia okupu, jest posiadanie niezawodnego planu tworzenia kopii zapasowych i przywracania dla informacji o krytycznym znaczeniu dla firmy. Ze względu na to, że osoby atakujące wymuszające oprogramowanie wymuszające okup zainwestowały mocno w neutralizację aplikacji kopii zapasowych i funkcji systemu operacyjnego, takich jak kopiowanie woluminów w tle, ma kluczowe znaczenie dla tworzenia kopii zapasowych, które są niedostępne dla złośliwego atakującego.

Azure Backup

Usługa Azure Backup zapewnia bezpieczeństwo środowiska tworzenia kopii zapasowych, zarówno wtedy, gdy dane są przesyłane, jak i magazynowane. Za pomocą usługi Azure Backup można utworzyć kopię zapasową:

  • Pliki lokalne, foldery i stan systemu
  • Całe maszyny wirtualne z systemem Windows/Linux
  • Dyski zarządzane platformy Azure
  • Udziały plików platformy Azure na koncie magazynu
  • Bazy danych programu SQL Server uruchomione na maszynach wirtualnych platformy Azure

Dane kopii zapasowej są przechowywane w usłudze Azure Storage, a gość lub osoba atakująca nie ma bezpośredniego dostępu do magazynu kopii zapasowych ani jego zawartości. Podczas tworzenia kopii zapasowej maszyny wirtualnej tworzenie i przechowywanie migawek kopii zapasowych odbywa się przez sieć szkieletową platformy Azure, w której gość lub osoba atakująca nie ma udziału w spoczynku obciążenia dla kopii zapasowych spójnych na poziomie aplikacji. Dzięki programom SQL i SAP HANA rozszerzenie kopii zapasowej uzyskuje tymczasowy dostęp do zapisu w określonych obiektach blob. W ten sposób nawet w środowisku zagrożonym nie można manipulować istniejącymi kopiami zapasowymi ani usuwać ich przez osobę atakującą.

Usługa Azure Backup udostępnia wbudowane funkcje monitorowania i alertów umożliwiające wyświetlanie i konfigurowanie akcji dla zdarzeń związanych z usługą Azure Backup. Raporty kopii zapasowych służą jako miejsce docelowe jednorazowe do śledzenia użycia, inspekcji kopii zapasowych i przywracania oraz identyfikowania kluczowych trendów na różnych poziomach szczegółowości. Za pomocą narzędzi do monitorowania i raportowania usługi Azure Backup możesz otrzymywać alerty o wszelkich nieautoryzowanych, podejrzanych lub złośliwych działaniach natychmiast po ich wystąpieniu.

Dodano kontrole, aby upewnić się, że tylko prawidłowi użytkownicy mogą wykonywać różne operacje. Obejmują one dodanie dodatkowej warstwy uwierzytelniania. W ramach dodawania dodatkowej warstwy uwierzytelniania dla operacji krytycznych zostanie wyświetlony monit o wprowadzenie numeru PIN zabezpieczeń przed zmodyfikowaniem kopii zapasowych online.

Dowiedz się więcej o funkcjach zabezpieczeń wbudowanych w usługę Azure Backup.

Weryfikowanie kopii zapasowych

Sprawdź, czy kopia zapasowa jest dobra podczas tworzenia kopii zapasowej i przed przywróceniem. Zalecamy użycie magazynu usługi Recovery Services, który jest jednostką magazynu na platformie Azure, która zawiera dane. Dane są zazwyczaj kopiami danych lub informacjami o konfiguracji maszyn wirtualnych, obciążeń, serwerów lub stacji roboczych. Magazyny usługi Recovery Services umożliwiają przechowywanie danych kopii zapasowych dla różnych usług platformy Azure, takich jak maszyny wirtualne IaaS (Linux lub Windows) i bazy danych Azure SQL Database, a także zasoby lokalne. Magazyny usługi Recovery Services ułatwiają organizowanie danych kopii zapasowych i udostępnianie takich funkcji jak:

  • Ulepszone możliwości w celu zapewnienia bezpieczeństwa kopii zapasowych i bezpiecznego odzyskiwania danych, nawet w przypadku naruszenia zabezpieczeń serwerów produkcyjnych i kopii zapasowych. Dowiedz się więcej.
  • Monitorowanie hybrydowego środowiska IT (maszyn wirtualnych IaaS i zasobów lokalnych platformy Azure) z poziomu portalu centralnego. Dowiedz się więcej.
  • Zgodność z kontrolą dostępu opartą na rolach platformy Azure (Azure RBAC), która ogranicza dostęp do kopii zapasowych i przywracania do zdefiniowanego zestawu ról użytkownika. Kontrola dostępu oparta na rolach platformy Azure udostępnia różne wbudowane role, a usługa Azure Backup ma trzy wbudowane role do zarządzania punktami odzyskiwania. Dowiedz się więcej.
  • Ochrona przed usuwaniem nietrwałym, nawet jeśli złośliwy aktor usunie kopię zapasową (lub dane kopii zapasowej zostaną przypadkowo usunięte). Dane kopii zapasowej są przechowywane przez 14 dodatkowych dni, co pozwala na odzyskiwanie elementu kopii zapasowej bez utraty danych. Dowiedz się więcej.
  • Przywracanie między regionami, które umożliwia przywracanie maszyn wirtualnych platformy Azure w regionie pomocniczym, który jest sparowanym regionem platformy Azure. Replikowane dane można przywrócić w regionie pomocniczym w dowolnym momencie. Dzięki temu można przywrócić dane regionu pomocniczego pod kątem zgodności inspekcji i podczas scenariuszy awarii bez oczekiwania na zadeklarowanie awarii przez platformę Azure (w przeciwieństwie do ustawień magazynu GRS). Dowiedz się więcej.

Uwaga

Istnieją dwa typy magazynów w usłudze Azure Backup. Oprócz magazynów usługi Recovery Services istnieją również magazyny usługi Backup, które mieszczą dane dla nowszych obciążeń obsługiwanych przez usługę Azure Backup.

Co zrobić przed atakiem

Jak wspomniano wcześniej, należy założyć, że w pewnym momencie spadniesz ofiarą ataku wymuszającego okup. Identyfikowanie systemów o krytycznym znaczeniu dla działania firmy i stosowanie najlepszych rozwiązań przed atakiem umożliwi jak najszybsze utworzenie kopii zapasowej i uruchomienie.

Określ, co jest dla Ciebie najważniejsze

Oprogramowanie wymuszające okup może atakować podczas planowania ataku, więc pierwszym priorytetem powinno być zidentyfikowanie systemów o znaczeniu krytycznym dla działania firmy, które są dla Ciebie najważniejsze i rozpoczęcie regularnego wykonywania kopii zapasowych w tych systemach.

W naszym doświadczeniu pięć najważniejszych aplikacji dla klientów należy do następujących kategorii w tej kolejności priorytetów:

  • Systemy tożsamości — wymagane dla użytkowników w celu uzyskania dostępu do dowolnych systemów (w tym wszystkich innych opisanych poniżej), takich jak Active Directory, Microsoft Entra Połączenie, kontrolery domeny usługi AD
  • Życie ludzkie – każdy system, który wspiera ludzkie życie lub może stanowić zagrożenie, takie jak systemy wsparcia medycznego lub życiowego, systemy bezpieczeństwa (karetka, systemy wysyłkowe, kontrola światła drogowego), duże maszyny, systemy chemiczne/biologiczne, produkcja żywności lub produktów osobistych, a także inne
  • Systemy finansowe — systemy, które przetwarzają transakcje pieniężne i utrzymują działalność biznesową, takie jak systemy płatności i powiązane bazy danych, system finansowy na potrzeby kwartalnych raportów
  • Włączanie produktu lub usługi — wszelkie systemy wymagane do świadczenia usług biznesowych lub produkcji/dostarczania produktów fizycznych, za które klienci płacą, systemy kontroli fabryki, dostawy/wysyłki produktów i podobne
  • Zabezpieczenia (minimum) — należy również określić priorytety systemów zabezpieczeń wymaganych do monitorowania ataków i świadczenia minimalnych usług zabezpieczeń. Powinno się to skupić na zapewnieniu, że obecne ataki (lub łatwe oportunistyczne) nie są natychmiast w stanie uzyskać (lub odzyskać) dostępu do przywróconych systemów

Priorytetowa lista kopii zapasowych również staje się priorytetem listy przywracania. Po zidentyfikowaniu krytycznych systemów i wykonywaniu regularnych kopii zapasowych wykonaj kroki w celu zmniejszenia poziomu ekspozycji.

Kroki do wykonania przed atakiem

Zastosuj te najlepsze rozwiązania przed atakiem.

Zadanie Szczegół
Zidentyfikuj ważne systemy, które należy najpierw przywrócić w trybie online (przy użyciu pięciu pierwszych kategorii powyżej) i natychmiast rozpocznij regularne tworzenie kopii zapasowych tych systemów. Aby jak najszybciej wykonać kopię zapasową i uruchomić po ataku, określ, co jest dla Ciebie najważniejsze.
Migrowanie organizacji do chmury.

Rozważ zakup planu Microsoft Unified Support lub współpracę z partnerem firmy Microsoft, aby pomóc w przejściu do chmury.		 Zmniejsz ryzyko lokalne, przenosząc dane do usług w chmurze dzięki automatycznemu wycofywaniu kopii zapasowych i samoobsługowego wycofywania. Platforma Microsoft Azure udostępnia niezawodny zestaw narzędzi, które ułatwiają tworzenie kopii zapasowych systemów krytycznych dla działania firmy i szybsze przywracanie kopii zapasowych.

Microsoft Unified Support to model pomocy technicznej usług w chmurze, który pomaga w każdym razie, gdy jest potrzebny. Ujednolicona pomoc techniczna:

Zapewnia wyznaczony zespół, który jest dostępny 24x7 z zgodnie z potrzebami rozwiązywania problemów i eskalacji krytycznych zdarzeń

Pomaga monitorować kondycję środowiska IT i działa aktywnie, aby upewnić się, że problemy są zapobiegane przed ich wystąpieniami
Przenieś dane użytkowników do rozwiązań w chmurze, takich jak OneDrive i SharePoint, aby korzystać z możliwości przechowywania wersji i kosza.

Poinformuj użytkowników, jak odzyskać swoje pliki samodzielnie, aby zmniejszyć opóźnienia i koszty odzyskiwania. Na przykład jeśli pliki usługi OneDrive użytkownika zostały zainfekowane przez złośliwe oprogramowanie, mogą przywrócić całą usługę OneDrive do poprzedniego czasu.

Przed zezwoleniem użytkownikom na przywracanie własnych plików należy wziąć pod uwagę strategię obrony, taką jak Usługa Microsoft Defender XDR.		 Dane użytkowników w chmurze firmy Microsoft mogą być chronione za pomocą wbudowanych funkcji zabezpieczeń i zarządzania danymi.

Dobrze jest nauczyć użytkowników, jak przywrócić własne pliki, ale należy zachować ostrożność, że użytkownicy nie przywracają złośliwego oprogramowania użytego do przeprowadzenia ataku. Musisz:

Upewnij się, że użytkownicy nie przywracają swoich plików, dopóki nie masz pewności, że osoba atakująca została wykluczony

Ograniczenie ryzyka ma miejsce w przypadku, gdy użytkownik przywróci część złośliwego oprogramowania

Usługa Microsoft Defender XDR używa automatycznych akcji i podręczników opartych na sztucznej inteligencji do korygowania zasobów, których dotyczy problem, z powrotem do bezpiecznego stanu. Usługa Microsoft Defender XDR korzysta z automatycznych możliwości korygowania produktów pakietu w celu zapewnienia, że wszystkie zasoby, których to dotyczy, są automatycznie korygowane w miarę możliwości.
Zaimplementuj test porównawczy zabezpieczeń w chmurze firmy Microsoft. Test porównawczy zabezpieczeń w chmurze firmy Microsoft to nasza struktura kontroli zabezpieczeń oparta na branżowych strukturach kontroli zabezpieczeń, takich jak NIST SP800-53, MECHANIZMY CIS w wersji 7.1. Zawiera ona wskazówki dla organizacji dotyczące konfigurowania usług platformy Azure i platformy Azure oraz implementowania mechanizmów kontroli zabezpieczeń. Zobacz Tworzenie kopii zapasowych i odzyskiwanie.
Regularnie wykonujesz plan ciągłości działania/odzyskiwania po awarii (BC/DR).

Symulowanie scenariuszy reagowania na zdarzenia. Ćwiczenia wykonywane podczas przygotowywania do ataku powinny być planowane i przeprowadzane wokół priorytetowych list kopii zapasowych i przywracania.

Regularnie testuj scenariusz "Odzyskiwanie od zera", aby upewnić się, że usługa BC/DR może szybko przynieść krytyczne operacje biznesowe w trybie online z zerowej funkcjonalności (wszystkie systemy w dół).		 Zapewnia szybkie odzyskiwanie operacji biznesowych poprzez traktowanie ataku wymuszającego okup lub wymuszenia o takim samym znaczeniu jak klęska żywiołowa.

Przeprowadź ćwiczenia praktyczne w celu zweryfikowania procesów między zespołami i procedur technicznych, w tym poza zespołem pracowników i komunikacji klienta (załóżmy, że wszystkie wiadomości e-mail i czat nie działa).
Rozważ utworzenie rejestru ryzyka, aby zidentyfikować potencjalne zagrożenia i rozwiązać problemy z tym, jak będzie pośrednictwo za pośrednictwem mechanizmów kontroli i akcji zapobiegawczych. Dodawanie oprogramowania wymuszającego okup do rejestrowania ryzyka jako scenariusza wysokiego prawdopodobieństwa i wysokiego wpływu. Rejestr ryzyka może pomóc w określaniu priorytetów ryzyka na podstawie prawdopodobieństwa wystąpienia tego ryzyka i ważności dla twojej firmy w razie wystąpienia tego ryzyka.

Śledzenie stanu ograniczania ryzyka za pomocą cyklu oceny zarządzania ryzykiem w przedsiębiorstwie (ERM).
Wykonaj kopię zapasową wszystkich krytycznych systemów biznesowych automatycznie zgodnie z harmonogramem (w tym tworzenie kopii zapasowych krytycznych zależności, takich jak usługa Active Directory).

Sprawdź, czy kopia zapasowa jest dobra podczas tworzenia kopii zapasowej.		 Umożliwia odzyskanie danych do ostatniej kopii zapasowej.
Ochrona (lub drukowanie) dokumentów pomocniczych i systemów wymaganych do odzyskiwania, takich jak dokumenty procedury przywracania, CMDB, diagramy sieciowe i wystąpienia SolarWinds. Osoby atakujące celowo kierują te zasoby, ponieważ mają wpływ na możliwość odzyskania.
Upewnij się, że masz dobrze udokumentowane procedury angażowania wszelkich pomocy technicznej innych firm, w szczególności pomoc techniczną od dostawców analizy zagrożeń, dostawców rozwiązań chroniących przed złośliwym kodem i od dostawcy analizy złośliwego oprogramowania. Chroń (lub drukuj) te procedury. Kontakty innych firm mogą być przydatne, jeśli dany wariant oprogramowania wymuszającego okup ma znane słabe strony lub narzędzia odszyfrowywania są dostępne.
Upewnij się, że strategia tworzenia kopii zapasowych i odzyskiwania obejmuje:

Możliwość tworzenia kopii zapasowych danych do określonego punktu w czasie.

Wiele kopii kopii zapasowych jest przechowywanych w izolowanych lokalizacjach w trybie offline (w trybie air-gapped).

Cele czasu odzyskiwania, które określają, jak szybko można pobrać i umieścić informacje kopii zapasowej w środowisku produkcyjnym.

Szybkie przywracanie kopii zapasowej do środowiska produkcyjnego/piaskownicy.		 Kopie zapasowe są niezbędne do zapewnienia odporności po naruszeniu zabezpieczeń w organizacji. Zastosuj regułę 3-2-1, aby uzyskać maksymalną ochronę i dostępność: 3 kopie (oryginalne + 2 kopie zapasowe), 2 typy magazynów i 1 poza siedzibą lub kopię na zimno.
Ochrona kopii zapasowych przed celowym wymazywaniem i szyfrowaniem:

Przechowywanie kopii zapasowych w magazynie offline lub poza lokacją oraz/lub w magazynie niezmiennym.

Wymagaj kroków poza pasmem (takich jak uwierzytelnianie wieloskładnikowe lub numer PIN zabezpieczeń) przed zezwoleniem na modyfikację lub usunięcie kopii zapasowej online.

Utwórz prywatne punkty końcowe w ramach usługi Azure Virtual Network, aby bezpiecznie tworzyć kopie zapasowe i przywracać dane z magazynu usługi Recovery Services.		 Kopie zapasowe, które są dostępne dla osób atakujących, mogą być renderowane jako bezużyteczne dla odzyskiwania firmy.

Magazyn w trybie offline zapewnia niezawodny transfer danych kopii zapasowych bez użycia przepustowości sieci. Usługa Azure Backup obsługuje tworzenie kopii zapasowej w trybie offline, która przesyła początkowe dane kopii zapasowej w trybie offline bez użycia przepustowości sieci. Zapewnia mechanizm kopiowania danych kopii zapasowych na fizyczne urządzenia magazynujące. Następnie urządzenia są wysyłane do pobliskiego centrum danych platformy Azure i przekazywane do magazynu usługi Recovery Services.

Magazyn niezmienny online (taki jak Azure Blob) umożliwia przechowywanie obiektów danych krytycznych dla działania firmy w stanie WORM (zapis raz, odczyt wielu). Ten stan sprawia, że dane nie mogą zostać wymazywalne i niezmodyfikowalne dla interwału określonego przez użytkownika.

Uwierzytelnianie wieloskładnikowe (MFA) powinno być obowiązkowe dla wszystkich kont administratorów i jest zdecydowanie zalecane dla wszystkich użytkowników. Preferowaną metodą jest użycie aplikacji wystawcy uwierzytelniania, a nie wiadomości SMS lub głosu, jeśli jest to możliwe. Podczas konfigurowania usługi Azure Backup możesz skonfigurować usługi odzyskiwania w celu włączenia uwierzytelniania wieloskładnikowego przy użyciu numeru PIN zabezpieczeń wygenerowanego w witrynie Azure Portal. Gwarantuje to wygenerowanie numeru PIN zabezpieczeń w celu wykonywania krytycznych operacji, takich jak aktualizowanie lub usuwanie punktu odzyskiwania.
Wyznaczanie folderów chronionych. Utrudnia nieautoryzowanym aplikacjom modyfikowanie danych w tych folderach.
Przejrzyj swoje uprawnienia:

Odkryj szerokie uprawnienia do zapisu/usuwania udziałów plików, programu SharePoint i innych rozwiązań. Szerokie jest definiowane tak, jak wielu użytkowników z uprawnieniami do zapisu/usuwania dla danych krytycznych dla działania firmy.

Zmniejsz szerokie uprawnienia, spełniając wymagania dotyczące współpracy biznesowej.

Przeprowadź inspekcję i monitorowanie, aby upewnić się, że szerokie uprawnienia nie pojawiają się ponownie.		 Zmniejsza ryzyko związane z szerokimi działaniami wymuszania dostępu umożliwiającymi korzystanie z oprogramowania wymuszającego okup.
Ochrona przed próbą wyłudzenia informacji:

Regularnie przeprowadzaj szkolenia dotyczące świadomości zabezpieczeń, aby ułatwić użytkownikom identyfikowanie próby wyłudzania informacji i unikanie klikania elementu, który może utworzyć początkowy punkt wejścia na potrzeby naruszenia zabezpieczeń.

Zastosuj mechanizmy filtrowania zabezpieczeń do wiadomości e-mail, aby wykryć i zminimalizować prawdopodobieństwo pomyślnej próby wyłudzenia informacji.		 Najbardziej typową metodą używaną przez osoby atakujące do infiltracji organizacji jest próba wyłudzania informacji za pośrednictwem poczty e-mail. Exchange Online Protection (EOP) to oparta na chmurze usługa filtrowania, która chroni organizację przed spamem, złośliwym oprogramowaniem i innymi zagrożeniami poczty e-mail. EOP jest uwzględniony we wszystkich organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi usługi Exchange Online.

Przykładem kontrolki filtrowania zabezpieczeń dla poczty e-mail jest Sejf Linki. Sejf Links to funkcja w Ochrona usługi Office 365 w usłudze Defender, która zapewnia skanowanie i ponowne zapisywanie adresów URL i łączy w wiadomościach e-mail podczas przepływu przychodzącej poczty oraz weryfikację adresów URL i linków w wiadomościach e-mail i innych lokalizacjach (dokumenty usługi Microsoft Teams i office). Sejf Skanowanie linków odbywa się oprócz zwykłego ochrony przed spamem i ochrony przed złośliwym oprogramowaniem w przychodzących wiadomościach e-mail w programie EOP. Sejf skanowanie linków może pomóc w ochronie organizacji przed złośliwymi linkami, które są używane w wyłudzaniu informacji i innych atakach.

Dowiedz się więcej o ochronie przed wyłudzaniem informacji.

Co zrobić podczas ataku

Jeśli zostanie zaatakowana, priorytetowa lista kopii zapasowych stanie się priorytetem listy przywracania. Przed przywróceniem sprawdź, czy kopia zapasowa jest dobra. Może być możliwe wyszukanie złośliwego oprogramowania wewnątrz kopii zapasowej.

Kroki do wykonania podczas ataku

Zastosuj te najlepsze rozwiązania podczas ataku.

Zadanie Szczegół
Na wczesnym etapie ataku skontaktuj się z pomocą techniczną innej firmy, szczególnie od dostawców analizy zagrożeń, dostawców rozwiązań chroniących przed złośliwym kodem i od dostawcy analizy złośliwego oprogramowania. Te kontakty mogą być przydatne, jeśli dany wariant oprogramowania wymuszającego okup ma znane narzędzia do osłabienia lub odszyfrowywania.

Zespół ds. wykrywania i reagowania firmy Microsoft (DART) może pomóc w ochronie przed atakami. DART angażuje się z klientami na całym świecie, pomagając chronić i wzmacniać zabezpieczenia przed atakami przed ich wystąpieniem, a także badać i korygować, gdy doszło do ataku.

Firma Microsoft udostępnia również usługi szybkiego odzyskiwania oprogramowania wymuszającego okup. Usługi są dostarczane wyłącznie przez globalną praktykę zabezpieczeń odzyskiwania po naruszeniu zabezpieczeń firmy Microsoft (CRSP). Celem tego zespołu podczas ataku wymuszającego okup jest przywrócenie usługi uwierzytelniania i ograniczenie wpływu oprogramowania wymuszającego okup.

DART i CRSP są częścią linii zabezpieczeń rozwiązań branżowych firmy Microsoft.
Skontaktuj się z lokalnymi lub federalnymi organami ścigania. Jeśli jesteś w Stany Zjednoczone, skontaktuj się z FBI, aby zgłosić naruszenie oprogramowania wymuszającego okup przy użyciu formularza skierowania skargi IC3.
Wykonaj kroki, aby usunąć ładunek złośliwego oprogramowania lub oprogramowania wymuszającego okup ze środowiska i zatrzymać rozprzestrzenianie się.

Uruchom pełne, bieżące skanowanie antywirusowe na wszystkich podejrzanych komputerach i urządzeniach, aby wykryć i usunąć ładunek skojarzony z oprogramowaniem wymuszającym okup.

Skanuj urządzenia, które synchronizują dane lub obiekty docelowe zamapowanych dysków sieciowych.		 Możesz użyć usługi Windows Defender lub (dla starszych klientów) Microsoft Security Essentials.

Alternatywą, która pomoże również usunąć oprogramowanie wymuszające okup lub złośliwe oprogramowanie, jest narzędzie do usuwania złośliwego oprogramowania (MSRT).
Najpierw przywróć systemy krytyczne dla działania firmy. Pamiętaj, aby ponownie sprawdzić, czy kopia zapasowa jest dobra przed przywróceniem. W tym momencie nie trzeba przywracać wszystkiego. Skoncentruj się na pięciu najważniejszych systemach o znaczeniu biznesowym z listy przywracania.
Jeśli masz kopie zapasowe w trybie offline, prawdopodobnie możesz przywrócić zaszyfrowane dane po usunięciu ładunku oprogramowania wymuszającego okup (złośliwego oprogramowania) ze środowiska. Aby zapobiec przyszłym atakom, przed przywróceniem upewnij się, że oprogramowanie wymuszające okup lub złośliwe oprogramowanie nie znajduje się w kopii zapasowej offline.
Zidentyfikuj bezpieczny obraz kopii zapasowej punktu w czasie, który jest znany jako niezakażony.

Jeśli używasz magazynu usługi Recovery Services, dokładnie przejrzyj oś czasu zdarzenia, aby zrozumieć właściwy punkt w czasie w celu przywrócenia kopii zapasowej.		 Aby zapobiec przyszłym atakom, przed przywróceniem przeskanuj kopię zapasową oprogramowania wymuszającego okup lub złośliwe oprogramowanie.
Użyj skanera bezpieczeństwa i innych narzędzi do pełnego przywracania systemu operacyjnego, a także scenariuszy przywracania danych. Skaner bezpieczeństwa Microsoft to narzędzie do skanowania przeznaczone do znajdowania i usuwania złośliwego oprogramowania z komputerów z systemem Windows. Wystarczy pobrać go i uruchomić skanowanie, aby znaleźć złośliwe oprogramowanie i spróbować odwrócić zmiany wprowadzone przez zidentyfikowane zagrożenia.
Upewnij się, że rozwiązanie antywirusowe lub wykrywanie i reagowanie w punktach końcowych (EDR) jest aktualne. Musisz również mieć aktualne poprawki. Preferowane jest rozwiązanie EDR, takie jak Ochrona punktu końcowego w usłudze Microsoft Defender.
Po uruchomieniu i uruchomieniu systemów o krytycznym znaczeniu dla działania firmy przywróć inne systemy.

W miarę przywracania systemów zacznij zbierać dane telemetryczne, aby móc podejmować decyzje formatacyjne dotyczące tego, co przywracasz.		 Dane telemetryczne powinny ułatwić ustalenie, czy złośliwe oprogramowanie jest nadal w systemach.

Po ataku lub symulacji

Po ataku na oprogramowanie wymuszające okup lub symulacji reagowania na zdarzenia wykonaj następujące kroki, aby ulepszyć plany tworzenia kopii zapasowych i przywracania, a także stan zabezpieczeń:

  1. Zidentyfikuj wnioski, w których proces nie działał prawidłowo (i możliwości uproszczenia, przyspieszenia lub w inny sposób ulepszenia procesu)
  2. Przeprowadź analizę głównych przyczyn na największych wyzwaniach (na tyle szczegółowo, aby zapewnić rozwiązanie odpowiedniego problemu — biorąc pod uwagę ludzi, proces i technologię)
  3. Badanie i korygowanie pierwotnego naruszenia (skontaktuj się z zespołem ds. wykrywania i reagowania firmy Microsoft (DART), aby pomóc)
  4. Zaktualizuj strategię tworzenia kopii zapasowych i przywracania na podstawie wyciągniętych wniosków i możliwości — priorytetyzacja na podstawie najwyższego wpływu i najszybszych kroków implementacji

Następne kroki

W tym artykule przedstawiono sposób ulepszania planu tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup. Aby uzyskać najlepsze rozwiązania dotyczące wdrażania ochrony przed oprogramowaniem wymuszającym okup, zobacz Szybkie zabezpieczanie przed oprogramowaniem wymuszającym okup i wymuszeniem.

Kluczowe informacje branżowe:

Microsoft Azure:

Microsoft 365:

Microsoft Defender XDR:

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft: