Dificulte o acesso dos agentes de ameaças de ransomware à sua organização
Nesta fase, você faz com que os agentes de ameaças trabalhem mais para acessar seus sistemas locais ou na nuvem, removendo gradualmente os riscos nos pontos de entrada.
Embora muitas dessas mudanças sejam familiares e fáceis de fazer, é extremamente importante que seu trabalho nesta parte da estratégia não retarde seu progresso nas outras partes criticamente importantes!
Aqui estão os links para rever o plano de segurança cibernética em três partes:
Acesso remoto
Obter acesso à intranet da sua organização através de uma ligação de acesso remoto é um vetor de ataque para agentes de ameaças de ransomware.
Quando uma conta de usuário local é comprometida, um agente de ameaças pode aproveitar uma intranet para coletar inteligência, elevar privilégios e instalar ransomware. O ciberataque da Colonial Pipeline em 2021 é um exemplo.
Responsabilidades dos membros do programa e do projeto para acesso remoto
Esta tabela descreve a proteção geral da sua solução de acesso remoto contra ransomware em termos de uma hierarquia de gestão de patrocínio/programa/gestão de projetos para determinar e gerar resultados.
| Oportunidade Potencial | Implementador | Responsabilidade |
|---|---|---|
| CISO ou CIO | Patrocínio executivo | |
| Líder do programa na Equipe Central de Infraestrutura/Rede de TI | Impulsione resultados e colaboração entre equipes | |
| Arquitetos de TI e Segurança | Priorize a integração de componentes em arquiteturas | |
| Equipe central de identidade de TI | Configurar o ID do Microsoft Entra e as políticas de acesso condicional | |
| Operações centrais de TI | Implementar alterações no ambiente | |
| Proprietários de carga de trabalho | Ajude com permissões RBAC para publicação de aplicativos | |
| Política e Normas de Segurança | Atualizar normas e documentos políticos | |
| Gerenciamento de conformidade de segurança | Monitorar para garantir a conformidade | |
| Equipa de Formação de Utilizadores | Atualize todas as orientações sobre alterações no fluxo de trabalho e realize educação e gerenciamento de alterações |
Lista de verificação de implementação para acesso remoto
Aplique estas práticas recomendadas para proteger a sua infraestrutura de acesso remoto contra agentes de ameaças de ransomware.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Mantenha atualizações de software e dispositivos. Evite perder ou negligenciar as proteções do fabricante (atualizações de segurança, status suportado). | Os agentes de ameaças usam vulnerabilidades bem conhecidas que ainda não foram corrigidas como vetores de ataque. | |
| Configure o ID do Microsoft Entra para acesso remoto existente, incluindo a imposição da validação de usuário e dispositivo Zero Trust com Acesso Condicional. | O Zero Trust fornece vários níveis de proteção de acesso à sua organização. | |
| Configure a segurança para soluções VPN de terceiros existentes (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) e muito mais). | Tire partido da segurança incorporada da sua solução de acesso remoto. | |
| Implante a VPN Ponto a Site (P2S) do Azure para fornecer acesso remoto. | Tire partido da integração com o Microsoft Entra ID e as suas subscrições existentes do Azure. | |
| Publique aplicativos Web locais com o proxy de aplicativo Microsoft Entra. | Os aplicativos publicados com o proxy de aplicativo Microsoft Entra não precisam de uma conexão de acesso remoto. | |
| Proteja o acesso aos recursos do Azure com o Azure Bastion. | Ligue-se de forma segura e sem problemas às suas máquinas virtuais do Azure através de SSL. | |
| Audite e monitore para encontrar e corrigir desvios da linha de base e ataques potenciais (consulte Deteção e resposta). | Reduza o risco de atividades de ransomware que investigam os recursos e configurações de segurança de linha de base. |
Email e colaboração
Implemente práticas recomendadas para soluções de e-mail e colaboração para tornar mais difícil para os agentes de ameaças abusarem delas, permitindo que seus funcionários acessem conteúdo externo de forma fácil e segura.
Os agentes de ameaças entram frequentemente no ambiente introduzindo conteúdo malicioso disfarçado em ferramentas de colaboração autorizadas, como e-mail e compartilhamento de arquivos, e convencendo os usuários a executar o conteúdo. A Microsoft investiu em mitigações aprimoradas que aumentam consideravelmente a proteção contra esses vetores de ataque.
Responsabilidades dos membros do programa e do projeto por e-mail e colaboração
Esta tabela descreve a proteção geral de suas soluções de e-mail e colaboração contra ransomware em termos de uma hierarquia de gerenciamento de patrocínio/programa/gerenciamento de projetos para determinar e gerar resultados.
| Oportunidade Potencial | Implementador | Responsabilidade |
|---|---|---|
| CISO, CIO ou Diretor de Identidade | Patrocínio executivo | |
| Líder do programa da equipe de arquitetura de segurança | Impulsione resultados e colaboração entre equipes | |
| Arquitetos de TI | Priorize a integração de componentes em arquiteturas | |
| Produtividade na nuvem ou equipe de usuários finais | Habilitar o Defender para Office 365, Azure Site Recovery e AMSI | |
| Infraestrutura de arquitetura / de segurança + Endpoint | Assistência à configuração | |
| Equipa de Formação de Utilizadores | Atualizar orientações sobre alterações no fluxo de trabalho | |
| Política e Normas de Segurança | Atualizar normas e documentos políticos | |
| Gerenciamento de conformidade de segurança | Monitorar para garantir a conformidade |
Lista de verificação de implementação para e-mail e colaboração
Aplique estas práticas recomendadas para proteger as suas soluções de e-mail e colaboração contra agentes de ameaças de ransomware
| Concluído | Tarefa | Descrição |
|---|---|---|
| Habilite o AMSI para VBA do Office. | Detete ataques de macro do Office com ferramentas de ponto de extremidade como o Defender for Endpoint. | |
| Implemente a segurança avançada de email usando o Defender para Office 365 ou uma solução semelhante. | O e-mail é um ponto de entrada comum para agentes de ameaças. | |
| Implantar regras de redução de superfície de ataque (Azure Site Recovery) para bloquear técnicas comuns de ataque, incluindo: - Abuso de endpoint, como roubo de credenciais, atividade de ransomware e uso suspeito de PsExec e WMI. - Atividade armada de documentos do Office, como atividade de macro avançada, conteúdo executável, criação de processos e injeção de processos iniciada por aplicativos do Office. Nota: Implante essas regras no modo de auditoria primeiro, depois avalie qualquer impacto negativo e, em seguida, implante-as no modo de bloco. |
O Azure Site Recovery fornece camadas adicionais de proteção especificamente destinadas a mitigar métodos de ataque comuns. | |
| Audite e monitore para encontrar e corrigir desvios da linha de base e ataques potenciais (consulte Deteção e resposta). | Reduz o risco de atividades de ransomware que investigam os recursos e configurações de segurança de linha de base. |
Pontos finais
Implementar recursos de segurança relevantes e seguir rigorosamente as melhores práticas de manutenção de software para endpoints (dispositivos) e aplicativos, priorizando aplicativos e sistemas operacionais de servidor/cliente diretamente expostos ao tráfego e conteúdo da Internet.
Os pontos de extremidade expostos à Internet são um vetor de entrada comum que fornece aos agentes de ameaças acesso aos ativos da organização. Priorize o bloqueio de vulnerabilidades comuns do sistema operacional e de aplicativos com controles preventivos para retardar ou impedir que eles executem as próximas etapas.
Responsabilidades dos membros do programa e do projeto para endpoints
Esta tabela descreve a proteção geral dos seus endpoints contra ransomware em termos de uma hierarquia de patrocínio/gestão de programas/gestão de projetos para determinar e gerar resultados.
| Oportunidade Potencial | Implementador | Responsabilidade |
|---|---|---|
| Liderança empresarial responsável pelo impacto nos negócios do tempo de inatividade e dos danos causados por ataques | Patrocínio executivo (manutenção) | |
| Central de Operações de TI ou CIO | Patrocínio executivo (outros) | |
| Líder de programa da Equipe Central de Infraestrutura de TI | Impulsione resultados e colaboração entre equipes | |
| Arquitetos de TI e Segurança | Priorize a integração de componentes em arquiteturas | |
| Operações centrais de TI | Implementar alterações no ambiente | |
| Produtividade na nuvem ou equipe de usuários finais | Habilite a redução da superfície de ataque | |
| Carga de trabalho/proprietários de aplicativos | Identificar janelas de manutenção para alterações | |
| Política e Normas de Segurança | Atualizar normas e documentos políticos | |
| Gerenciamento de conformidade de segurança | Monitorar para garantir a conformidade |
Lista de verificação de implementação para endpoints
Aplique essas práticas recomendadas a todos os Windows, Linux, macOS, Android, iOS e outros endpoints.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Bloqueie ameaças conhecidas com regras de redução de superfície de ataque, proteção contra violação e bloqueio à primeira vista. | Não deixe que a falta de uso desses recursos de segurança internos seja a razão pela qual um invasor entrou em sua organização. | |
| Aplique linhas de base de segurança para proteger servidores e clientes Windows voltados para a Internet e aplicativos do Office. | Proteja a sua organização com o nível mínimo de segurança e construa a partir daí. | |
| Mantenha o seu software de modo a que seja: - Atualizado: Implante rapidamente atualizações críticas de segurança para sistemas operacionais, navegadores, clientes de e-mail & - Suportado: Atualize sistemas operacionais e software para versões suportadas por seus fornecedores. |
Os atacantes estão contando com você faltando ou negligenciando atualizações e upgrades do fabricante. | |
| Isole, desative ou desative sistemas e protocolos inseguros, incluindo sistemas operacionais não suportados e protocolos herdados. | Os atacantes usam vulnerabilidades conhecidas de dispositivos, sistemas e protocolos herdados como pontos de entrada na sua organização. | |
| Bloqueie o tráfego inesperado com firewall baseado em host e defesas de rede. | Alguns ataques de malware dependem de tráfego de entrada não solicitado para hosts como forma de estabelecer uma conexão para um ataque. | |
| Audite e monitore para encontrar e corrigir desvios da linha de base e ataques potenciais (consulte Deteção e resposta). | Reduz o risco de atividades de ransomware que investigam os recursos e configurações de segurança de linha de base. |
Contas
Assim como as chaves de esqueleto antigas não protegem uma casa contra um assaltante moderno, as senhas não podem proteger as contas contra ataques comuns que vemos hoje. Embora a autenticação multifator (MFA) já tenha sido uma etapa extra pesada, a autenticação sem senha melhora a experiência de entrada usando abordagens biométricas que não exigem que seus usuários se lembrem ou digitem uma senha. Além disso, uma infraestrutura Zero Trust armazena informações sobre dispositivos confiáveis, o que reduz a solicitação de ações irritantes de MFA fora da banda.
Começando com contas de administrador de alto privilégio, siga rigorosamente estas práticas recomendadas para a segurança da conta, incluindo o uso sem senha ou MFA.
Responsabilidades dos membros do programa e do projeto para contas
Esta tabela descreve a proteção geral das suas contas contra ransomware em termos de uma hierarquia de gestão de patrocínio/programa/gestão de projetos para determinar e gerar resultados.
| Oportunidade Potencial | Implementador | Responsabilidade |
|---|---|---|
| CISO, CIO ou Diretor de Identidade | Patrocínio executivo | |
| Líder de programa das equipes de Gerenciamento de Identidades e Chaves ou Arquitetura de Segurança | Impulsione resultados e colaboração entre equipes | |
| Arquitetos de TI e Segurança | Priorize a integração de componentes em arquiteturas | |
| Gerenciamento de identidades e chaves ou operações centrais de TI | Implementar alterações de configuração | |
| Política e Normas de Segurança | Atualizar normas e documentos políticos | |
| Gerenciamento de conformidade de segurança | Monitorar para garantir a conformidade | |
| Equipa de Formação de Utilizadores | Atualize a palavra-passe ou as orientações de início de sessão e realize formação e gestão de alterações |
Lista de verificação de implementação de contas
Aplique estas práticas recomendadas para proteger as suas contas contra atacantes de ransomware.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Imponha MFA forte ou login sem senha para todos os usuários. Comece com contas de administrador e prioridade usando uma ou mais de: - Autenticação sem senha com o Windows Hello ou o aplicativo Microsoft Authenticator. - Autenticação multifator. - Uma solução de MFA de terceiros. |
Torne mais difícil para um invasor executar um comprometimento de credenciais apenas determinando uma senha de conta de usuário. | |
| Aumente a segurança da senha: - Para contas Microsoft Entra, use a Proteção por Senha Microsoft Entra para detetar e bloquear senhas fracas conhecidas e termos fracos adicionais específicos da sua organização. - Para contas dos Serviços de Domínio Ative Directory (AD DS) locais, Estenda a Proteção por Senha do Microsoft Entra para contas do AD DS. |
Certifique-se de que os atacantes não conseguem determinar palavras-passe comuns ou palavras-passe com base no nome da sua organização. | |
| Audite e monitore para encontrar e corrigir desvios da linha de base e ataques potenciais (consulte Deteção e resposta). | Reduz o risco de atividades de ransomware que investigam os recursos e configurações de segurança de linha de base. |
Resultados e prazos da execução
Tente alcançar estes resultados no prazo de 30 dias:
100% dos funcionários estão usando ativamente o MFA
100% de implantação de maior segurança de senha
Recursos adicionais de ransomware
Principais informações da Microsoft:
Moonstone Sleet surge como novo ator de ameaças norte-coreano com novo saco de truques, Microsoft Blog, maio de 2024
Relatório de Defesa Digital da Microsoft de 2023 (ver páginas 17-26)
Ransomware: Um relatório de análise de ameaças generalizado e contínuo no portal Microsoft Defender
Abordagem de ransomware e estudo de caso da equipe de resposta a incidentes da Microsoft (anteriormente DART)
Microsoft 365:
- Implantar proteção contra ransomware para seu locatário do Microsoft 365
- Maximize a resiliência do ransomware com o Azure e o Microsoft 365
- Recupere-se de um ataque de ransomware
- Proteção contra malware e ransomware
- Proteja o seu PC Windows 10 contra ransomware
- Lidar com ransomware no SharePoint Online
- Relatórios de análise de ameaças de ransomware no portal Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximize a resiliência do ransomware com o Azure e o Microsoft 365
- Plano de backup e restauração para proteger contra ransomware
- Ajude a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
- Recuperando-se do comprometimento sistêmico da identidade
- Deteção avançada de ataques em várias fases no Microsoft Sentinel
- Fusion Detection para Ransomware no Microsoft Sentinel
Aplicativos do Microsoft Defender para nuvem:
Postagens no blog da equipe de Segurança da Microsoft:
3 passos para prevenir e recuperar de ransomware (setembro de 2021)
Um guia para combater ransomware operado por humanos: Parte 1 (setembro de 2021)
Principais passos sobre como a Equipa de Deteção e Resposta (DART) da Microsoft conduz investigações de incidentes de ransomware.
Um guia para combater ransomware operado por humanos: Parte 2 (setembro de 2021)
Recomendações e melhores práticas.
-
Consulte a seção Ransomware .
Ataques de ransomware operados por humanos: um desastre evitável (março de 2020)
Inclui análises da cadeia de ataque de ataques reais.
Resposta do ransomware — pagar ou não pagar? (dezembro 2019)
Norsk Hydro responde a ataque de ransomware com transparência (dezembro de 2019)
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários