Быстрое развертывание программ-шантажистов
Примечание.
Это руководство будет обновляться по мере появления новых данных.
Обеспечение защиты от программ-шантажистов и устранение атак вымогателя является приоритетом для организаций крупных и небольших из-за высокого влияния этих атак и повышения вероятности того, что организация будет испытывать один из них.
Примечание.
Если вам нужен определение программы-шантажистов, ознакомьтесь с обзором здесь.
Настройка защиты от программ-шантажистов теперь
Конкретные инструкции по подготовке организации из многих форм программ-шантажистов и вымогательства.
Это руководство организовано на приоритетных этапах. Каждая фаза ссылается на отдельную статью. Порядок приоритета предназначен для обеспечения максимально быстрого снижения риска с каждым этапом, опираясь на предположение большой срочности, которая переопределит обычные приоритеты безопасности и ИТ-приоритетов, чтобы избежать или устранить эти разрушительные атаки.
Важно отметить, что это руководство разбито на этапы по приоритетам, так что их следует выполнять в указанном порядке. Следуйте приведенным ниже указаниям, чтобы лучше адаптировать это руководство к своей ситуации.
Придерживайтесь рекомендуемых приоритетов
Используйте эти этапы в качестве начального плана, чтобы определить, в каком порядке необходимо действовать, и получить в первую очередь наиболее уязвимые элементы. Эти рекомендации были приоритетными с помощью принципа нулевого доверияпри условии нарушения. Это заставляет вас сосредоточиться на минимизации бизнес-рисков, предполагая, что злоумышленники могут успешно получить доступ к вашей среде с помощью одного или нескольких методов.
Будьте упреждающим и гибким (но не пропускайте важные задачи)
Просмотрите список проверка реализации для всех разделов всех трех этапов, чтобы узнать, есть ли какие-либо области и задачи, которые можно быстро выполнить ранее (например, у вас уже есть доступ к облачной службе, которая не использовалась, но может быть быстро и легко настроена). При рассмотрении плана в целом необходимо тщательно следить за тем, чтобы области и задачи с более поздними сроками не задерживали выполнение для критически важных областей, таких как резервное копирование и привилегированный доступ!
Выполняйте несколько пунктов параллельно
Выполнить все сразу, пожалуй, не удастся, но некоторые задачи можно естественным образом выполнить параллельно. Сотрудники разных команд могут одновременно работать над задачами (например, командой резервной копии, командой конечных точек, группой удостоверений), а также управлять завершением этапов в порядке приоритета.
Элементы в контрольных списках реализации приведены в порядке приоритета, а не в порядке технической зависимости. Их следует использовать, чтобы убедиться в правильности имеющейся конфигурации с точки зрения потребностей организации и внесения в нее соответствующих изменений. Например, в самом важном элементе резервного копирования вы, возможно, выполняете резервное копирование некоторых систем, но копии не являются автономными или могут быть изменены, вы протестировали не всю процедуру восстановления предприятия или у вас отсутствуют резервные копии критически важных бизнес-систем или критически важных информационных систем, таких как контроллеры доменных служб Active Directory (AD DS).
Примечание.
Дополнительные сведения об этом процессе см. в записи Три шага для предотвращения атак программ-шантажистов и восстановления после них (сентябрь 2021 г.) в блоге Майкрософт, посвященному безопасности.
Этап 1. Подготовка плана восстановления
Этот этап предназначен для уменьшения денежного стимула для злоумышленников, использующих программу-шантажиста, следующими способами:
- существенное усложнение доступа к системам, нарушения их работы, а также шифрования или повреждения важных данных организации;
- упрощение восстановления организации после атаки без уплаты выкупа.
Примечание.
При восстановлении многих или всех корпоративных систем является сложной задачей, альтернативой оплаты злоумышленника за ключ восстановления они могут или не могут доставляться, а также использовать средства, написанные злоумышленниками, чтобы попытаться восстановить системы и данные.
Этап 2. Ограничение области ущерба
Сделайте так, чтобы злоумышленнику было гораздо труднее получить доступ ко множеству критически важных бизнес-систем с помощью ролей с привилегированным доступом. Если ограничить для злоумышленника возможность получить привилегированный доступ, ему будет значительно сложнее извлечь выгоду из атаки на организацию. Это повысит вероятность того, что злоумышленник в итоге сдастся и переключится на кого-то другого.
Этап 3. Усложнение доступа к вашей среде
Этот последний набор задач важен для создания препятствий к проникновению, но для его реализации может потребоваться некоторое время в рамках более масштабных мер по обеспечению безопасности. Цель этого этапа заключается в том, чтобы сделать работу злоумышленников гораздо сложнее, так как они пытаются получить доступ к локальной или облачной инфраструктуре в различных распространенных точках входа. Таких задач много, поэтому на этом этапе важно определить приоритеты своей деятельности в зависимости от того, насколько быстро можно выполнить ту или иную задачу с текущими ресурсами.
Хотя многие из них будут знакомы и легко достичь, очень важно, чтобы ваша работа на этапе 3 не должна замедлять ваш прогресс на этапах 1 и 2!
Защита от программ-шантажистов на первый взгляд
Вы также можете просмотреть общие сведения об этапах и их контрольных списках реализации в виде уровней защиты от злоумышленников-шантажистов на плакате "Защитите свою организацию от программ-шантажистов".
Следующий шаг
Начните с этапа 1, чтобы подготовить свою организацию к восстановлению после атаки без необходимости платить шантажисту.
Дополнительные ресурсы о программах-шантажистах
Основная информация от корпорации Майкрософт:
- Растущая угроза атак программ-шантажистов, запись блога Microsoft On the Issues от 20 июля 2021 г.
- Программ-шантажистов, управляемых человеком
- Отчет Майкрософт о цифровой защите за 2021 г. (см. стр. 10–19)
- Программ-шантажистов: распространенный и текущий отчет аналитики угроз на портале Microsoft 365 Defender
- Подход и примеры использованияпрограмм-шантажистов Майкрософт (DART)
Microsoft 365:
- Развертывание средств защиты от программ-шантажистов для арендатора Microsoft 365
- Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
- Восстановление после атаки с использованием программ-шантажистов
- Защита от вредоносных программ и программ-шантажистов
- Защита компьютера Windows 10 от программ-шантажистов
- Противодействие программам-шантажистам в SharePoint Online
- Отчеты аналитики угроз для программ-шантажистов на портале Microsoft 365 Defender
Microsoft 365 Defender:
Microsoft Azure:
- Защита Azure от атак программ-шантажистов
- Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
- План резервного копирования и восстановления для защиты от программ-шантажистов
- Защита от программа-шантажистов с помощью Microsoft Azure Backup (видео длительностью 26 минут)
- Восстановление от системного компрометации удостоверений
- Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
- Обнаружение Fusion для программ-шантажистов в Microsoft Sentinel
приложения Microsoft Defender для облака:
Записи блога службы безопасности Майкрософт:
Три шага для предотвращения атак программ-шантажистов и восстановления после них (сентябрь 2021 г.)
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 1 (сентябрь 2021 г.)
Основные шаги по обнаружению и реагированию группы майкрософт (DART) проводят расследования инцидентов программ-шантажистов.
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 2 (сентябрь 2021 г.)
Рекомендации и рекомендации.
-
См. раздел Программы-шантажисты.
-
Включает анализ цепочки реальных атак.
Ответ программы-шантажистов— платить или не платить? (декабря 2019 г.)
Norsk Hydro прозрачно реагирует на атаку с использованием программ-шантажистов (декабрь 2019 г.)