План резервного копирования и восстановления для защиты от атак программой-шантажистом

  • Статья

Атаки программой-шантажистом намеренно шифруют или стирают данные и системы, чтобы вынудить вашу организацию заплатить выкуп злоумышленникам. Целью таких атак являются ваши данные, резервные копии, а также ключевая документация, необходимая для восстановления без уплаты требуемой вымогателями суммы (как средство повышения шансов, что ваша организация заплатит).

В этой статье описываются действия, выполняемые до и во время атаки, для защиты критически важных бизнес-систем и обеспечения быстрого восстановления бизнес-операций.

Примечание.

Подготовка к программе-шантажистов также повышает устойчивость к стихийным бедствиям и быстрым атакам, таким как WannaCry & (Not)Petya.

Что такое программа-шантажист?

Программа-шантажист — это средство вымогательства, которое шифрует файлы и папки для блокирования доступа к важным файлам и системам. Злоумышленники используют программы-шантажисты для вымогательства денег у жертв, требуя оплату, обычно в виде криптовалюты, в обмен на ключ дешифрования или неразглашение конфиденциальных данных в теневом или общедоступном Интернете.

Если раньше программы-шантажисты обычно использовали вредоносные программы, распространяющиеся с помощью фишинга или между устройствами, сейчас появились программы-шантажисты, управляемые человеком, когда группа активных злоумышленников, управляемая операторами атак, нацелена на все системы в организации (а не на одно устройство или набор устройств). Результатом действия атаки может быть:

  • Шифрование данных
  • Кража данных
  • Повреждение резервных копий

Программы-шантажисты используют знания злоумышленником общих ошибок в настройке систем и средств безопасности для проникновения в организацию, навигации по корпоративной сети, а также адаптации к среде и ее слабым местам по мере перехода.

Программа-шантажист может быть организована таким образом, чтобы сначала в течение нескольких недель или месяцев собирать ваши данные, прежде чем она будет фактически запущена в определенный день.

Кроме того, она может также медленно шифровать ваши данные, сохраняя ключ в системе. Поскольку ваш ключ все еще доступен, вы можете пользоваться данными, а программа-шантажист остается незамеченной. Резервные копии, однако, содержат зашифрованные данные. После того как все данные будут зашифрованы и последние резервные копии также будут содержать зашифрованные данные, ключ удаляется, поэтому вы больше не сможете считывать данные.

Реальный ущерб часто наносится, когда в результате атаки файлы исчезают, оставляя в сети "черные ходы" для будущих вредоносных действий, и эти риски сохраняются независимо от того, заплачен выкуп или нет. Эти атаки могут быть катастрофическими для бизнес-операций. Их последствия сложно устранить, а для защиты от будущих атак может потребоваться полное вытеснение злоумышленника. В отличие от прежних форм программ-шантажистов, которые требуют только исправления вредоносных программ, программы-шантажисты, управляемые человеком, будут продолжать угрожать вашей бизнес-деятельности после первой атаки.

Влияние атаки

Влияние атаки программы-шантажиста на организацию трудно поддается количественной оценке. В зависимости от области действия атаки ее влияние может быть следующим:

  • потеря доступа к данным;
  • прерывание бизнес-операций;
  • финансовые убытки;
  • кража интеллектуальной собственности;
  • подрыв доверия клиентов или испорченная репутация;
  • юридические расходы.

Как можно защититься?

Лучшим способом снизить вероятность стать жертвой атаки программой-шантажистом является реализация профилактических мер и применение средств для защиты организации от каждого шага злоумышленников, направленного на проникновение в ваши системы.

Вы можете уменьшить риск воздействия в локальной среде, переместив организацию в облачную службу. Корпорация Майкрософт инвестировала средства в собственные возможности обеспечения безопасности, которые делают платформу Microsoft Azure устойчивой к атакам с использованием программ-шантажистов и помогают организациям противостоять таким атакам. Чтобы получить исчерпывающее представление об атаках с использованием программ-шантажистов и вымогательстве, и о том, как защитить свою организацию, ознакомьтесь с презентацией PowerPoint План проекта по устранению рисков использования программ-шантажистов, управляемых человеком.

Вы должны понимать, что в какой-то момент времени вы станете жертвой атаки программой-шантажистом. Одним из наиболее важных действий, которые можно предпринять для защиты данных и отказа от уплаты выкупа, является наличие надежного плана резервного копирования и восстановления критически важной для бизнеса информации. Поскольку злоумышленники, использующие программы-вымогатели, вкладывают значительные средства в нейтрализацию приложений резервного копирования и функций операционной системы, таких как теневое копирование томов, очень важно, чтобы резервные копии были недоступны вымогателям.

Azure Backup

Azure Backup обеспечивает безопасность для среды резервного копирования — как при передаче, так и при хранении данных. С помощью Azure Backup можно создавать резервные копии:

  • локальные файлы, папки и состояние системы;
  • все виртуальные машины Windows или Linux;
  • управляемые диски Azure.
  • общие папки Azure в учетной записи хранения;
  • базы данных SQL Server, работающие на виртуальных машинах Azure.

Данные резервных копий хранятся в хранилище Azure, поэтому у гостя или злоумышленника нет прямого доступа к самому хранилищу резервных копий или его содержимому. Для резервного копирования виртуальных машин за создание и хранение моментального снимка резервной копии отвечает структура Azure, и гость или злоумышленник не принимает в этом никакого участия, кроме "замораживания" рабочей нагрузки для создания резервных копий с согласованностью на уровне приложений. Для SQL и SAP HANA расширение резервного копирования получает временный доступ для записи в определенные большие двоичные объекты. Это означает, что даже в случае компрометации среды злоумышленник не сможет изменить или удалить существующие резервные копии.

Azure Backup предоставляет встроенные средства мониторинга и создания оповещений для просмотра и настройки действий для событий, имеющим отношение к Azure Backup. Отчеты о резервном копировании предоставляют единое представление для отслеживания потребления, аудита резервных копий и восстановления, а также выявления ключевых тенденций с разной степенью детализации. Использование средств мониторинга и создания отчетов в Azure Backup предоставляет важные сведения о несанкционированных, подозрительных или вредоносных действиях сразу же после их появления.

Дополнительные проверки гарантируют выполнение некоторых операций только допустимыми пользователями. Сюда относится дополнительный этап проверки подлинности. В ходе добавления дополнительного этапа проверки подлинности для критических операций предлагается ввести ПИН-код безопасности перед изменением оперативных резервных копий.

Узнайте больше о функциях безопасности, встроенных в Azure Backup.

Проверка резервных копий

Перед восстановлением убедитесь, что резервная копия создана правильно и не заражена. Рекомендуется использовать хранилище Служб восстановления, которое представляет собой сущность хранилища в Azure, содержащую данные. Этими данными обычно являются копии данных или сведений о конфигурации для виртуальных машин, рабочих нагрузок, серверов или рабочих станций. Хранилища Служб восстановления можно использовать для хранения архивных данных для различных служб Azure, в том числе виртуальных машин IaaS (Windows или Linux) и баз данных SQL Azure, а также локальных ресурсов. Хранилища Служб восстановления упрощают организацию архивных данных и предоставляют следующие функции:

  • Улучшенные возможности, которые гарантируют защиту резервных копий и безопасное восстановление данных даже при компрометации рабочих и резервных серверов. Подробнее.
  • Мониторинг гибридной ИТ-среды (виртуальных машин IaaS Azure и локальных ресурсов) с центрального портала. Подробнее.
  • Совместимость с управлением доступа на основе ролей (RBAC) Azure, что позволяет ограничить доступ для резервного копирования и восстановления определенным набором пользовательских ролей. Azure RBAC предоставляет различные встроенные роли, а в службе Azure Backup доступны три встроенные роли для управления точками восстановления. Подробнее.
  • Защита от обратимого удаления, даже если вредоносный субъект удаляет резервную копию (или при случайном удалении данных резервной копии). Данные резервной копии хранятся в течение 14 дополнительных дней. Благодаря этому удаленный объект можно восстановить без потери данных. Подробнее.
  • Восстановление между регионами, которое позволяет восстанавливать виртуальные машины Azure в дополнительном регионе, являющемся парным регионом Azure. Реплицированные данные можно восстановить в дополнительном регионе в любое время. Так можно восстанавливать данные в дополнительном регионе для выполнения требований аудита и в случае возникновения перебоев; при этом нет необходимости дожидаться объявления аварийной ситуации в Azure (в отличие от параметров GRS хранилища). Подробнее.

Примечание.

В Azure Backup существует два типа хранилищ. Помимо хранилища Служб восстановления, доступны также резервные хранилища, в которых размещаются данные для более новых рабочих нагрузок, поддерживаемых Azure Backup.

Что делать перед атакой

Как говорилось ранее, необходимо понимать, что в какой-то момент времени вы станете жертвой атаки программы-шантажиста. Определение критически важных для бизнеса систем и применение рекомендаций до начала атаки позволит вам как можно быстрее восстановить работоспособность.

Определение наиболее важных систем

Атака программы-шантажиста может произойти во время планирования, поэтому вашей первоочередной задачей должно стать определение наиболее важных бизнес-систем и их регулярное резервное копирование.

Исходя из имеющегося опыта, можно выделить следующие категории пяти наиболее важных для клиентов приложений в указанном далее порядке приоритета.

  • Системы удостоверений — необходимы для доступа пользователей к любым системам (включая все остальные, описанные ниже), например Active Directory, Microsoft Entra Подключение, контроллеры домена AD
  • Системы, связанные с жизнью человека, — любая система, которая поддерживает жизнь человека или может подвергать ее риску, например медицинские системы или системы жизнеобеспечения, системы обеспечения безопасности (скорая помощь, диспетчерские системы, управление светофорами), тяжелая техника, химические и биологические системы, производство продуктов питания или товаров личного потребления и т. д.
  • Финансовые системы — системы, которые обрабатывают денежные транзакции и обеспечивают функционирование бизнеса, такие как платежные системы и связанные базы данных, финансовая система для квартальной отчетности.
  • Реализация продуктов или услуг — любые системы, необходимые для предоставления бизнес-услуг или производства/доставки физических продуктов, за которые платят ваши клиенты, системы управления производством, системы доставки/отправки продукции и т. д.
  • Безопасность (минимум) — вы должны также определить приоритетные системы безопасности, необходимые для мониторинга атак и предоставления минимальных услуг безопасности. Они должны гарантировать, что текущие атаки (или атаки, вызванные благоприятными обстоятельствами) не смогут сразу получить (или восстановить) доступ к вашим восстановленным системам.

Приоритетный список резервного копирования также становится приоритетным списком восстановления. После определения критически важных систем и регулярного выполнения операций резервного копирования следует принять меры по сокращению уровня уязвимости.

Действия, выполняемые перед атакой

Придерживайтесь этих рекомендаций перед атакой.

Задача Подробности
Определите важные системы, которые необходимо вернуть в оперативное состояние в первую очередь (используя пять вышеперечисленных категорий), и немедленно начните выполнять регулярное резервное копирование этих систем. Чтобы как можно быстрее восстановить работоспособность после атаки, определите самые значимые для вас системы уже сегодня.
Выполните миграцию организации в облако.

Рассмотрите возможность приобретения плана Единой поддержки Майкрософт или подумайте о работе с партнером Майкрософт, который поможет вам перейти в облако.		 Сократите воздействие на локальные ресурсы, перенеся данные в облачные службы с автоматическим резервным копированием и самостоятельным откатом. В Microsoft Azure есть надежный набор средств, помогающий выполнять резервное копирование критически важных для бизнеса систем и быстрее восстанавливать резервные копии.

Единая поддержка Майкрософт — это модель поддержки облачных служб, которая поможет вам, когда это будет необходимо. Единая поддержка:

Предоставляет назначенную команду, которая доступна 24x7 с разрешением проблем по мере необходимости и критической эскалацией инцидентов

помогает отслеживать работоспособность ИТ-среды и работает в упреждающем режиме, чтобы предотвратить проблемы до их возникновения.
Переместите пользовательские данные в облачные решения, такие как OneDrive или SharePoint, чтобы воспользоваться возможностями управления версиями и корзины.

Научите пользователей самостоятельно восстанавливать свои файлы, чтобы сократить задержки при восстановлении и затраты на его выполнение. Например, если файлы OneDrive пользователя были заражены вредоносными программами, пользователь может восстановить все данные OneDrive на определенный момент времени в прошлом.

Рассмотрите стратегию защиты, например XDR в Microsoft Defender, прежде чем разрешить пользователям восстанавливать собственные файлы.		 Данные пользователей в облаке Майкрософт могут быть защищены встроенными функциями для обеспечения безопасности и управления данными.

Рекомендуется научить пользователей восстанавливать собственные файлы, но необходимо следить за тем, чтобы пользователи не восстановили вредоносное ПО, которое применялось для проведения атаки. Вам нужно:

Убедитесь, что ваши пользователи не восстанавливают свои файлы, пока не уверены, что злоумышленник был вытеснено

Устранение рисков в случае, если пользователь восстанавливает некоторые вредоносные программы

XDR в Microsoft Defender использует автоматические действия и сборники схем СИ, чтобы исправить затронутые ресурсы обратно в безопасное состояние. XDR в Microsoft Defender использует возможности автоматического исправления продуктов набора, чтобы обеспечить автоматическое исправление всех затронутых ресурсов, связанных с инцидентом, по возможности.
Реализуйте тест безопасности microsoft cloud security. Microsoft Cloud Security Benchmark — это наша платформа управления безопасностью на основе отраслевых платформ управления безопасностью, таких как NIST SP800-53, CIS Controls версии 7.1. Она предоставляет организациям рекомендации по настройке Azure и служб Azure и реализации средств управления безопасностью. См. документ о резервном копировании и восстановлении.
Регулярно проверяйте план обеспечения непрерывности бизнес-процессов (BC) и аварийного восстановления (DR).

Моделируйте сценарии реагирования на инциденты. Проверки, выполняемые при подготовке к атакам, должны планироваться и проводиться с учетом приоритетных списков резервного копирования и восстановления.

Регулярно тестируйте сценарий "Восстановление с нуля", чтобы гарантировать, что ваши системы обеспечения непрерывности бизнеса и аварийного восстановления могут привести критически важные бизнес-операции в рабочее состояние с нуля (когда нарушена работа всех систем).		 Обеспечивает быстрое восстановление бизнес-операций, поскольку защита от атак вымогателей и атак с помощью программ-шантажистов считается такой же важной, как и защита от стихийных бедствий.

Проводите тренировочные проверки процессов и технических процедур между командами, включая взаимодействие сотрудников и клиентов по внештатному каналу (предполагая, что системы электронной почты и чата не работают).
Рассмотрите возможность создания реестра рисков для выявления потенциальных рисков и решения вопроса об их устранении с помощью превентивных средств управления и действий. Добавьте программу-шантажиста в реестр атаки в качестве сценария с высокой вероятностью возникновения и высоким уровнем влияния. Реестр рисков может помочь вам определить приоритетность рисков на основе вероятности их возникновения и степени серьезности для вашего бизнеса в случае их появления.

Отслеживайте состояние устранения с помощью цикла оценки управления рисками предприятия (ERM).
Резервное копирование всех критически важных бизнес-систем автоматически в регулярном расписании (включая резервное копирование критически важных зависимостей, таких как Active Directory).

Убедитесь, что резервная копия создана правильно.		 Позволяет восстанавливать данные до последней резервной копии.
Защитите (или распечатайте) вспомогательные документы, необходимые для восстановления, например документы по процедурам восстановления, CMDB, сетевые графики, а также экземпляры SolarWinds. Злоумышленники намеренно выбирают эти ресурсы в качестве цели, так как это влияет на возможность восстановления.
Убедитесь, что у вас есть хорошо документированные процедуры для привлечения сторонней поддержки, особенно поддержки со стороны поставщиков аналитики угроз, поставщиков решений для борьбы с вредоносным ПО и поставщиков услуг по анализу вредоносного ПО. Защитите (или распечатайте) документы с описанием этих процедур. Могут быть полезны сторонние контакты, если у данного варианта программы-шантажиста есть известные слабые места или доступны инструменты дешифровки.
Убедитесь, что стратегия резервного копирования и восстановления включает:

возможность резервного копирования данных на конкретный момент времени;

несколько копий архивов хранятся в изолированных автономных расположениях (отключенных от сети);

цели времени восстановления, которые определяют, как быстро архивированная информация может быть извлечена и введена в производственную среду;

быстрое восстановление из резервной копии в рабочую среду или песочницу.		 Резервные копии необходимы для обеспечения устойчивости организации после взлома. Примените правило 3-2-1 для реализации максимальной защиты и доступности: 3 копии (1 исходная + 2 резервные копии), 2 типа хранилища и 1 автономная или холодная копия.
Защита резервных копий от преднамеренной стирки и шифрования:

Храните резервные копии в автономном или внешнем хранилище и (или) в неизменяемом хранилище.

Прежде чем разрешить изменение или удаление оперативной резервной копии, требуйте выполнения дополнительных действий (например, проведения MFA или ввода ПИН-кода безопасности).

Создайте частные конечные точки в виртуальной сети Azure, чтобы безопасно выполнять резервное копирование и восстановление данных из хранилища Служб восстановления.		 Резервные копии, ставшие доступными злоумышленникам, могут быть преобразованы в непригодные для восстановления бизнес-процессов.

Автономное хранение гарантирует надежную пересылку данных резервных копий без нагрузки на пропускную способность сети. Azure Backup поддерживает автономное резервное копирование, при котором исходные данные передаются в автономном режиме без нагрузки на сеть. Такой механизм позволяет передать резервные копии данных на физические устройства хранения. Затем эти устройства доставляются в ближайший центр обработки данных Azure и передаются в хранилище Служб восстановления.

Оперативное неизменяемое хранилище (например, хранилище BLOB-объектов Azure) дает пользователям возможность хранить критически важные для бизнеса объекты данных в состоянии WORM. Это состояние делает их нестираемыми и неизменяемыми в течение определенного пользователем интервала времени.

Многофакторная проверка подлинности (MFA) должна быть обязательной для всех учетных записей администраторов и настоятельно рекомендуется для всех пользователей. Предпочтительным методом является использование приложения Authenticator вместо проверки по SMS или голосовой проверки, где это возможно. При настройке Azure Backup можно настроить службы восстановления для включения MFA с помощью ПИН-кода безопасности, создаваемого на портале Azure. В этом случае для выполнения критически важных операций, таких как обновление или удаление точки восстановления, генерируется ПИН-код безопасности.
Назначьте защищенные папки. Усложняет изменение данных в этих папках неавторизованными приложениями.
Просмотрите разрешения:

Выявите массовые разрешения на запись и удаление для общих папок, SharePoint и других решений. Под массовыми разрешениями подразумевается возможность записи и удаления критически важных для бизнеса данных множеством пользователей.

Сократите массовые разрешения, соблюдая при этом требования к совместной работе в компании.

Проводите аудит и мониторинг во избежание повторного предоставления массовых разрешений.		 Снижается риск выполнения программой-шантажистом операций с использованием массового доступа.
Защита от фишинговой попытки:

Регулярно проводите обучение по вопросам безопасности, чтобы помочь пользователям распознавать попытки фишинга и не выполнять действия, которые могут привести к созданию точки входа для компрометации.

Применяйте средства фильтрации безопасности к электронной почте для обнаружения и минимизации вероятности успешной попытки фишинга.		 Чаще всего для проникновения в организацию злоумышленники используют попытки фишинга через электронную почту. Exchange Online Protection (EOP) — это облачная служба фильтрации, которая защищает организацию от нежелательной почты, вредоносных программ и других угроз электронной почты. EOP включен во все организации Microsoft 365 с почтовыми ящиками Exchange Online.

Примером средства управления фильтрации безопасности для электронной почты являются Безопасные ссылки. Сейф Ссылки — это функция в Defender для Office 365, которая обеспечивает сканирование и перезапись URL-адресов и ссылок в сообщениях электронной почты во время входящего потока обработки почты, а также проверку URL-адресов и ссылок в сообщениях электронной почты и других расположениях (документы Microsoft Teams и Office). Такая проверка выполняется дополнительно к обычной защите от нежелательной почты и защите от вредоносных программ во входящих сообщениях электронной почты в EOP. Сканирование с помощью "Безопасных ссылок" помогает защитить организацию от вредоносных ссылок, используемых при фишинге и других атаках.

Узнайте больше о защите от фишинга.

Что делать во время атаки

В случае атаки приоритетный список резервного копирования становится приоритетным списком восстановления. Перед восстановлением убедитесь, что резервная копия создана правильно и не заражена. Возможно, вам удастся найти вредоносное ПО внутри резервной копии.

Действия, выполняемые во время атаки

Придерживайтесь этих рекомендаций во время атаки.

Задача Подробности
На ранних этапах атаки привлекайте стороннюю поддержку, в частности, поддержку со стороны поставщиков аналитики угроз, поставщиков решений по защите от вредоносного ПО и поставщиков по анализу вредоносного ПО. Эти контакты могут быть полезны, если у данного варианта программы-шантажиста есть известные слабые места или доступны инструменты дешифровки.

Для защиты от акта можно обратиться к команде Майкрософт по обнаружению и реагированию (DART). DART взаимодействует с клиентами по всему миру, помогая обеспечивать и укреплять защиту от атак до их возникновения, а также исследовать и устранять последствия атак.

Корпорация Майкрософт также предоставляет услуги по быстрому восстановлению от атаки программой-шантажистом. Они являются эксклюзивным предложением глобальной команды экспертов Майкрософт Compromise Recovery Security Practice (CRSP). Основной целью этой команды во время действия атаки с использованием программы-шантажиста является восстановление службы проверки подлинности и ограничение влияния программы-шантажиста.

DART и CRSP являются частью системы служб безопасности поставки отраслевых решений.
Обратитесь в местные или федеральные правоохранительные органы. Если вы находитесь в США, обратитесь в ФБР, чтобы сообщить о нарушении, вызванном программой-шантажистом, с помощью формы IC3 Complaint Referral Form.
Выполните действия по удалению полезных данных вредоносной программы или программы-шантажиста из своей среды и остановите распространение атак.

Выполните полную и актуальную антивирусную проверку на всех подозреваемых компьютерах и устройствах, чтобы обнаружить и удалить полезные данные, связанные с программой-шантажистом.

Проверьте устройства, которые синхронизируют данные, или целевые объекты сопоставленных сетевых дисков.		 Можно использовать Windows Defender или (для более старых клиентов) Microsoft Security Essentials.

Удалить программу-шантажиста или вредоносное ПО можно также с помощью средства удаления вредоносных программ (MSRT).
Сначала восстановите критически важные для бизнеса системы. Перед восстановлением убедитесь, что резервная копия не заражена. На этом этапе не нужно восстанавливать все функции и компоненты. Сосредоточьтесь на пяти самых важных для бизнеса системах из списка восстановления.
Если у вас есть автономные резервные копии, вы, вероятно, сможете восстановить зашифрованные данные после удаления из среды полезных данных программы-шантажиста (вредоносной программы). Чтобы предотвратить будущие атаки, перед восстановлением убедитесь, что в вашей автономной резервной копии отсутствуют программы-шантажисты или вредоносные программы.
Определите безопасный на момент времени резервный образ, который заведомо не заражен.

Если вы используете хранилище Служб восстановления, внимательно изучите временную шкалу инцидента, чтобы понять, в какой момент времени целесообразно восстановить резервную копию.		 Чтобы предотвратить атаки в будущем, проверьте резервную копию на наличие вредоносных программ до восстановления.
Используйте средство проверки безопасности и другие инструменты для полного восстановления операционной системы, а также сценарии восстановления данных. Средство проверки безопасности (Майкрософт) — это средство сканирования, предназначенное для поиска вредоносных программ и их удаления с компьютеров Windows. Просто скачайте это средство и запустите проверку, чтобы найти вредоносные программы и попытайтесь отменить изменения, внесенные выявленными угрозами.
Убедитесь, что антивирусная программа или решение обнаружения и нейтрализации атак на конечные точки (EDR) находятся в актуальном состоянии. Вам также необходимо иметь последние обновления. Предпочтительным является решение EDR, такое как Microsoft Defender для конечной точки.
После запуска критически важных для бизнеса систем следует восстановить другие системы.

По мере восстановления систем начинайте собирать данные телеметрии, чтобы можно было принимать конструктивные решения о том, что вы восстанавливаете.		 Данные телеметрии должны помочь вам определить, осталось ли вредоносное ПО в ваших системах.

Действия, выполняемые после атаки или моделирования

После атаки программой-шантажистом или имитации реагирования на инцидент выполните следующие действия, чтобы улучшить планы резервного копирования и восстановления, а также повысить уровень безопасности.

  1. Выявите уроки, извлеченные в тех случаях, когда процесс не дал положительных результатов (а также определите возможности для упрощения, ускорения или иным образом улучшения процесса).
  2. Проведите анализ первопричин самых серьезных проблем (достаточно подробно, чтобы решения были направлены на устранение соответствующей проблемы и в них учитывались люди, процессы и технологии).
  3. Исследуйте и устраните первоначальное нарушение (привлеките для помощи команду Майкрософт по обнаружению и реагированию (DART)).
  4. Обновите стратегию резервного копирования и восстановления на основе извлеченных уроков и возможностей, расставляя приоритеты с учетом в первую очередь тех действий, которые характеризуются максимальным влиянием и быстрой реализацией.

Следующие шаги

В этой статье вы узнали, как улучшить план резервного копирования и восстановления для защиты от атак с использованием программ-шантажистов. Рекомендации по развертыванию защиты от программ-шантажистов см. в статье Быстрая защита от программ-шантажистов и вымогательств.

Основные сведения об отрасли:

Microsoft Azure:

Microsoft 365:

XDR в Microsoft Defender:

Записи блога службы безопасности Майкрософт: