Limitar o impacto dos ataques de ransomware
O próximo passo para limitar o impacto dos ataques de ransomware é proteger funções privilegiadas - o tipo de trabalho em que as pessoas lidam com muitas informações privilegiadas em uma organização.
Esta fase de prevenção de ransomware visa impedir que os agentes de ameaças tenham muito acesso aos seus sistemas.
Quanto mais acesso um cibercriminoso tiver à sua organização e dispositivos, maior será o dano potencial aos seus dados e sistemas.
Importante
Leia séries de prevenção de ransomware e torne a sua organização difícil de atacar virtualmente.
Criar uma estratégia de acesso privilegiado de ransomware
Você deve aplicar uma estratégia completa e abrangente para reduzir o risco de comprometimento de acesso privilegiado.
Qualquer outro controle de segurança aplicado pode ser facilmente invalidado por um agente de ameaças com acesso privilegiado em seu ambiente. Agentes mal-intencionados podem obter acesso usando engenharia social e até mesmo aproveitar a IA para gerar e renderizar códigos e URLs maliciosos. Os agentes de ameaças de ransomware usam o acesso privilegiado como um caminho rápido para controlar todos os ativos críticos na organização para ataques e extorsão subsequente.
Quem é responsável no programa ou projeto
Esta tabela descreve uma estratégia de acesso privilegiado para evitar ransomware em termos de uma hierarquia de patrocínio/gestão de programas/gestão de projetos para gerar resultados.
| Oportunidade Potencial | Implementador | Responsabilidade |
|---|---|---|
| CISO ou CIO | Patrocínio executivo | |
| Líder do programa | Impulsione resultados e colaboração entre equipes | |
| Arquitetos de TI e Segurança | Priorize a integração de componentes em arquiteturas | |
| Gestão de Identidades e Chaves | Implementar alterações de identidade | |
| Produtividade Central de TI / Equipe de Usuário Final | Implementar alterações nos dispositivos e no locatário do Office 365 | |
| Política e Normas de Segurança | Atualizar normas e documentos políticos | |
| Gerenciamento de conformidade de segurança | Monitorar para garantir a conformidade | |
| Equipa de Formação de Utilizadores | Atualize qualquer orientação de senha | |
Lista de verificação da estratégia de acesso privilegiado por ransomware
Crie uma estratégia com várias partes usando as orientações que incluem esta lista de https://aka.ms/SPA verificação.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Aplique a segurança da sessão de ponta a ponta. | Valida explicitamente a confiança de usuários e dispositivos antes de permitir o acesso a interfaces administrativas (usando o Acesso Condicional do Microsoft Entra). | |
| Proteja e monitore os sistemas de identidade. | Previne ataques de escalonamento de privilégios, incluindo diretórios, gerenciamento de identidade, contas e grupos de administrador e configuração de concessão de consentimento. | |
| Mitigar a travessia lateral. | Garante que o comprometimento de um único dispositivo não leve imediatamente ao controle de muitos ou de todos os outros dispositivos usando senhas de contas locais, senhas de contas de serviço ou outros segredos. | |
| Assegurar uma resposta rápida às ameaças. | Limita o acesso e o tempo de um adversário no ambiente. Consulte Deteção e resposta para obter mais informações. | |
Resultados e prazos da execução
Tente alcançar estes resultados em 30-90 dias:
100% dos administradores são obrigados a usar estações de trabalho seguras
As senhas 100% locais da estação de trabalho/servidor são aleatórias
Mitigações de escalonamento de privilégios de 100% são implantadas
Deteção e resposta a ransomware
Sua organização precisa de deteção e correção responsivas de ataques comuns a endpoints, e-mail e identidades. Os minutos são importantes.
Você deve corrigir rapidamente os pontos de entrada de ataque comuns para limitar o tempo do agente de ameaça para atravessar lateralmente sua organização.
Quem é responsável no programa ou projeto
Esta tabela descreve a melhoria da sua capacidade de deteção e resposta contra ransomware em termos de uma hierarquia de gestão de patrocínio/programa/gestão de projetos para determinar e gerar resultados.
| Oportunidade Potencial | Implementador | Responsabilidade |
|---|---|---|
| CISO ou CIO | Patrocínio executivo | |
| Líder de programa de Operações de Segurança | Impulsione resultados e colaboração entre equipes | |
| Equipe Central de Infraestrutura de TI | Implementar agentes/recursos de cliente e servidor | |
| Operações de Segurança | Integre novas ferramentas nos processos de operações de segurança | |
| Produtividade Central de TI / Equipe de Usuário Final | Habilite recursos para o Defender for Endpoint, o Defender for Office 365, o Defender for Identity e o Defender for Cloud Apps | |
| Equipe central de identidade de TI | Implementar a segurança do Microsoft Entra e o Defender for Identity | |
| Arquitetos de Segurança | Aconselhar sobre configuração, padrões e ferramentas | |
| Política e Normas de Segurança | Atualizar normas e documentos políticos | |
| Gerenciamento de conformidade de segurança | Monitorar para garantir a conformidade | |
Lista de verificação de deteção e resposta a ransomware
Aplique essas práticas recomendadas para melhorar sua deteção e resposta.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Priorize pontos de entrada comuns: - Use ferramentas integradas de Deteção e Resposta Estendida (XDR) como o Microsoft Defender XDR para fornecer alertas de alta qualidade e minimizar o atrito e as etapas manuais durante a resposta. - Monitore tentativas de força bruta, como spray de senha. |
Os operadores de ransomware (e outros) favorecem o endpoint, o e-mail, a identidade e o RDP como pontos de entrada. | |
| Monitore se um adversário desabilita a segurança (isso geralmente faz parte de uma cadeia de ataque), como: - Limpeza do log de eventos, especialmente o log de eventos de segurança e os logs operacionais do PowerShell. - Desativação de ferramentas e controles de segurança. |
Os agentes de ameaças têm como alvo as instalações de deteção de segurança para continuar o ataque com mais segurança. | |
| Não ignore o malware de mercadoria. | Os agentes de ameaças de ransomware compram regularmente acesso a organizações-alvo de mercados obscuros. | |
| Integre especialistas externos em processos para complementar a experiência, como a Equipe de Deteção e Resposta da Microsoft (DART). | A experiência conta para deteção e recuperação. | |
| Use o Defender for Endpoint para isolar rapidamente os dispositivos afetados. | A integração com o Windows 11 e 10 facilita isso. | |
Próximo passo
Continue com a Fase 3 para dificultar a entrada de um agente de ameaças em seu ambiente, removendo riscos de forma incremental.
Recursos adicionais de ransomware
Principais informações da Microsoft:
- A crescente ameaça de ransomware, post do blog Microsoft On the Issues em 20 de julho de 2021
- Ransomware operado por humanos
- Proteja-se rapidamente contra ransomware e extorsão
- Relatório de Defesa Digital da Microsoft 2021 (ver páginas 10-19)
- Ransomware: Um relatório de análise de ameaças generalizado e contínuo no portal Microsoft Defender
- Abordagem e estudo de caso do ransomware DART (Detection and Response Team) da Microsoft
Microsoft 365:
- Implantar proteção contra ransomware para seu locatário do Microsoft 365
- Maximize a resiliência do ransomware com o Azure e o Microsoft 365
- Recupere-se de um ataque de ransomware
- Proteção contra malware e ransomware
- Proteja o seu PC Windows 10 contra ransomware
- Lidar com ransomware no SharePoint Online
- Relatórios de análise de ameaças de ransomware no portal Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximize a resiliência do ransomware com o Azure e o Microsoft 365
- Plano de backup e restauração para proteger contra ransomware
- Ajude a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
- Recuperando-se do comprometimento sistêmico da identidade
- Deteção avançada de ataques em várias fases no Microsoft Sentinel
- Fusion Detection para Ransomware no Microsoft Sentinel
Aplicativos do Microsoft Defender para nuvem:
Publicações no blogue da equipa de Segurança da Microsoft sobre orientações de mitigação de ransomware:
3 passos para prevenir e recuperar de ransomware (setembro de 2021)
Um guia para combater ransomware operado por humanos: Parte 1 (setembro de 2021)
Principais passos sobre como a Equipa de Deteção e Resposta (DART) da Microsoft conduz investigações de incidentes de ransomware.
Um guia para combater ransomware operado por humanos: Parte 2 (setembro de 2021)
Recomendações e melhores práticas.
-
Consulte a seção Ransomware .
Ataques de ransomware operados por humanos: um desastre evitável (março de 2020)
Inclui análises da cadeia de ataque de ataques reais.
Resposta do ransomware — pagar ou não pagar? (dezembro 2019)
Norsk Hydro responde a ataque de ransomware com transparência (dezembro de 2019)