Szybka ochrona organizacji przed atakami wymuszającym okup

Ransomware to typ cyberataku, którego cyberprzestępcy używają do wymuszenia dużych i małych organizacji.

Zrozumienie sposobu ochrony przed atakami wymuszającym okup i zminimalizowaniem szkód jest ważną częścią ochrony firmy. Ten artykuł zawiera praktyczne wskazówki dotyczące szybkiego konfigurowania ochrony przed oprogramowaniem wymuszającym okup.

Wskazówki są zorganizowane w etapy, począwszy od najpilniejszych działań do podjęcia.

Oznacz tę stronę zakładką jako punkt początkowy dla kroków.

Ważne

Przeczytaj serię zapobiegania oprogramowaniem wymuszającym okup i utrudnij swojej organizacji cyberataki.

• Posiadanie planu odzyskiwania
• Plan ograniczenia szkody wyrządzonej
• Utrudnić, aby dostać się

Uwaga

Co to jest oprogramowanie wymuszającego okup? Zobacz definicję oprogramowania wymuszającego okup tutaj.

Ważne informacje na temat tego artykułu

Uwaga

Kolejność tych kroków została zaprojektowana w celu zapewnienia jak najszybszego zmniejszenia ryzyka i zbudowana na założeniu o dużej pilności, która zastępuje normalne priorytety bezpieczeństwa i IT, aby uniknąć lub ograniczyć niszczycielskie ataki.

Należy pamiętać , że te wskazówki dotyczące zapobiegania oprogramowaniem wymuszającym okup mają strukturę, ponieważ kroki, które należy wykonać w pokazanej kolejności. Aby najlepiej dostosować te wskazówki do twojej sytuacji:

1. Trzymaj się zalecanych priorytetów

   Użyj kroków jako planu początkowego, aby najpierw wykonać czynności, następne i późniejsze, aby uzyskać najbardziej wpływowe elementy. Te zalecenia są priorytetowe przy użyciu zasady zero trust przy założeniu naruszenia. Wymusza to skoncentrowanie się na zminimalizowaniu ryzyka biznesowego przez założenie, że osoby atakujące mogą pomyślnie uzyskać dostęp do środowiska za pomocą jednej lub kilku metod.

2. Bądź proaktywny i elastyczny (ale nie pomijaj ważnych zadań)

   Przejrzyj listy kontrolne implementacji dla wszystkich sekcji wszystkich trzech kroków, aby sprawdzić, czy istnieją jakieś obszary i zadania, które można szybko wykonać wcześniej. Innymi słowy, można zrobić szybciej, ponieważ masz już dostęp do usługi w chmurze, która nie została użyta, ale może być szybko i łatwo skonfigurowana. Podczas patrzenia na cały plan należy uważać, że te późniejsze obszary i zadania nie opóźniają ukończenia niezwykle ważnych obszarów, takich jak kopie zapasowe i uprzywilejowany dostęp!

3. Równoległe wykonywanie niektórych elementów

   Próba zrobienia wszystkiego jednocześnie może być przytłaczająca, ale niektóre elementy mogą być naturalnie wykonywane równolegle. Pracownicy różnych zespołów mogą pracować nad zadaniami w tym samym czasie (na przykład zespół ds. kopii zapasowych, zespół punktu końcowego, zespół tożsamości), a jednocześnie pracować nad ukończeniem kroków w kolejności priorytetu.

Elementy na listach kontrolnych implementacji są w zalecanej kolejności priorytetyzacji, a nie w kolejności zależności technicznej.

Użyj list kontrolnych, aby potwierdzić i zmodyfikować istniejącą konfigurację zgodnie z potrzebami oraz w sposób, który działa w organizacji. Na przykład w najważniejszym elemencie kopii zapasowej kopie zapasowe niektórych systemów, ale mogą nie być w trybie offline/niezmienne lub nie można przetestować pełnych procedur przywracania przedsiębiorstwa lub nie masz kopii zapasowych krytycznych systemów biznesowych lub krytycznych systemów IT, takich jak kontrolery domeny usług domena usługi Active Directory (AD DS).

Uwaga

Aby uzyskać dodatkowe podsumowanie tego procesu, zobacz 3 kroki, aby zapobiec i odzyskać dane z oprogramowania wymuszającego okup (wrzesień 2021 r.) w blogu dotyczącym zabezpieczeń firmy Microsoft.

Skonfiguruj system, aby zapobiec wymuszaniu okupu w tej chwili

Kroki to:

Krok 1. Przygotowywanie planu odzyskiwania oprogramowania wymuszającego okup

Ten krok został zaprojektowany w celu zminimalizowania zachęty pieniężnej ze strony atakujących oprogramowania wymuszającego okup, wykonując następujące czynności:

• Znacznie trudniej uzyskać dostęp do systemów i zakłócić ich działanie lub zaszyfrować lub uszkodzić kluczowe dane organizacji.
• Łatwiejsza dla organizacji odzyskanie sprawności po ataku bez płacenia okupu.

Uwaga

Przywrócenie wielu lub wszystkich systemów przedsiębiorstwa jest trudnym przedsięwzięciem, ale alternatywą jest płacenie atakującemu za klucz odzyskiwania, który może lub nie może dostarczyć, oraz użycie narzędzi napisanych przez osoby atakujące w celu próby odzyskania systemów i danych.

Krok 2. Ograniczanie zakresu uszkodzeń oprogramowania wymuszającego okup

Utrudnij osobie atakującej uzyskanie dostępu do wielu systemów krytycznych dla działania firmy za pośrednictwem ról uprzywilejowanego dostępu. Ograniczenie możliwości uzyskania uprzywilejowanego dostępu przez osobę atakującą sprawia, że znacznie trudniej jest czerpać zyski z ataku na organizację, co sprawia, że bardziej prawdopodobne jest, że poddają się i pójdą gdzie indziej.

Krok 3. Utrudnić cyberprzestępcom dostanie się

Ten ostatni zestaw zadań jest ważny, aby zwiększyć tarcie dotyczące wejścia, ale zajmie trochę czasu w ramach większej podróży zabezpieczeń. Celem tego kroku jest utrudnienie pracy osoby atakującej, ponieważ próbują uzyskać dostęp do infrastruktury lokalnej lub chmurowej w różnych typowych punktach wejścia. Istnieje wiele z tych zadań, dlatego ważne jest, aby ustalić priorytety pracy w tym miejscu na podstawie tego, jak szybko można wykonać te zadania przy użyciu bieżących zasobów.

Chociaż wiele z nich będzie znanych i łatwych do szybkiego osiągnięcia, niezwykle ważne jest, aby praca nad krokiem 3 nie spowalniała postępów kroków 1 i 2.

Błyskawiczna ochrona przed oprogramowaniem wymuszającym okup

Możesz również zapoznać się z omówieniem kroków i ich list kontrolnych implementacji jako poziomów ochrony przed atakami wymuszającym okup za pomocą plakatu Ochrona organizacji przed oprogramowaniem wymuszającym okup.

Następny krok

Zacznij od kroku 1 , aby przygotować organizację do odzyskania sprawności po ataku bez konieczności płacenia okupu.

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

• Rosnące zagrożenie ransomware, Microsoft On the Issues blog post on the July 20, 2021
• Oprogramowanie wymuszane przez człowieka
• 2021 Raport firmy Microsoft na temat ochrony zasobów cyfrowych (patrz strony 10–19)
• Oprogramowanie wymuszające okup: wszechobecny i ciągły raport analizy zagrożeń zagrożeń w portalu usługi Microsoft Defender
• Podejściei analiza przypadku zespołu ds. wykrywania i reagowania firmy Microsoft (DART)

Microsoft 365:

• Wdrażanie ochrony oprogramowania wymuszającego okup dla dzierżawy platformy Microsoft 365
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
• Odzyskiwanie po ataku wymuszającym okup
• Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
• Ochrona komputera z systemem Windows 10 przed oprogramowaniem wymuszającym okup
• Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
• Raporty analizy zagrożeń dotyczące oprogramowania wymuszającego okup w portalu usługi Microsoft Defender

Microsoft Defender XDR:

• Znajdowanie oprogramowania wymuszającego okup za pomocą zaawansowanego wyszukiwania zagrożeń

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
• Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
• Pomoc w ochronie przed oprogramowaniem wymuszającym okup dzięki usłudze Microsoft Azure Backup (26 minut wideo)
• Odzyskiwanie po naruszeniu bezpieczeństwa tożsamości systemowej
• Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel
• Wykrywanie łączenia oprogramowania wymuszającego okup w usłudze Microsoft Sentinel

aplikacje Microsoft Defender dla Chmury:

• Tworzenie zasad wykrywania anomalii w aplikacjach Defender dla Chmury

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft:

• 3 kroki, aby zapobiec i odzyskać oprogramowanie wymuszającego okup (wrzesień 2021 r.)

• Przewodnik po walce z oprogramowaniem wymuszającym okup przez człowieka: część 1 (wrzesień 2021 r.)

  Kluczowe kroki dotyczące sposobu, w jaki zespół ds. wykrywania i reagowania firmy Microsoft (DART) przeprowadza badania zdarzeń oprogramowania wymuszającego okup.

• Przewodnik po walce z oprogramowaniem wymuszającym okup przez człowieka: część 2 (wrzesień 2021 r.)

  Rekomendacje i najlepsze rozwiązania.

• Bycie odpornym na zagrożenia związane z cyberbezpieczeństwem: część 4 — nawigowanie po bieżących zagrożeniach (maj 2021 r.)

  Zobacz sekcję Wymuszanie oprogramowania wymuszającego okup .

• Ataki wymuszającego okup obsługiwane przez człowieka: katastrofa, która można zapobiec (marzec 2020 r.)

  Obejmuje analizy łańcuchów ataków rzeczywistych ataków.

• Odpowiedź na oprogramowanie wymuszającego okup — aby zapłacić, czy nie zapłacić? (grudzień 2019 r.)

• Norsk Hydro reaguje na atak ransomware z przejrzystością (grudzień 2019 r.)