Этап 3. Усложнение доступа к вашей среде

На этом этапе вы значительно усложняете для злоумышленника получение доступа к вашим локальным или облачным инфраструктурам, постепенно устраняя риски в точках входа.

Важно!

Хотя многие из них будут знакомы и легко достичь, критически важно, что ваша работа на этапе 3 не должна замедлять ваш прогресс на этапах 1 и 2!

Ознакомьтесь со следующими разделами:

Удаленный доступ.

Один из векторов атак для злоумышленников, использующих программы-шантажисты, — получение доступа к интрасети организации путем подключения удаленного доступа. После компрометации локальной учетной записи пользователя злоумышленник может перемещаться по интрасети для сбора аналитики, повышения привилегий и установки программ-шантажистов. Кибератака на колониальном конвейере в 2021 году является примером.

Подотчетность участников программы и проекта для удаленного доступа

В этой таблице описана общая защита решения удаленного доступа от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.

Lead Ответственный за реализацию Отчетность
Начальник управления информационной безопасностью или директор по информационным технологиям Поддержка руководства
Руководитель программы в команде по работе с инфраструктурой или сетями из центрального ИТ-отдела Достижение результатов и совместная работа между командами
ИТ-специалисты и архитекторы системы безопасности Назначение приоритетов при интеграции компонентов в архитектуры
Команда по идентификации из центрального ИТ-отдела Настройка политик идентификатора и условного доступа Microsoft Entra
Команда по операциям из центрального ИТ-отдела Реализация изменений в среде
Владельцы рабочих нагрузок Помощь с разрешениями RBAC для публикации приложений
Политика и стандарты безопасности Обновление стандартов и документов политики
Ответственные за управление соответствием требованиям безопасности Мониторинг для обеспечения соответствия
Команда по обучению пользователей Обновление всех требуемых инструкций при изменениях рабочих процессов, проведения обучения и управление изменениями

Список проверка реализации для удаленного доступа

Применяйте эти рекомендации для защиты инфраструктуры удаленного доступа от злоумышленников.

Выполнено Задача Description
Поддерживайте программное обеспечение и устройство в актуальном состоянии, выполняя обновление. Не пренебрегайте мерами безопасности, установленными производителем, и не относитесь к ним без должного внимания (обновления для системы безопасности, обеспечение поддерживаемого состояния). Злоумышленники используют хорошо известные уязвимости, которые еще не исправлены, как векторы атак.
Настройте идентификатор Microsoft Entra для существующего удаленного доступа, включив принудительное применение проверки пользователей и устройств нулевого доверия с помощью условного доступа. Принцип "Никому не доверяй" обеспечивает несколько уровней защиты доступа к вашей организации.
Настройте безопасность для существующих сторонних решений VPN (Cisco Any Подключение, Palo Alto Networks GlobalProtect и Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) и многое другое). Воспользуйтесь преимуществами встроенных средств безопасности решения для удаленного доступа.
Разверните VPN Azure "точка — сеть" (P2S) , чтобы обеспечить удаленный доступ. Воспользуйтесь преимуществами интеграции с идентификатором Microsoft Entra и существующими подписками Azure.
Публикация локальных веб-приложений с помощью прокси приложения Microsoft Entra. Приложения, опубликованные с помощью прокси приложения Microsoft Entra, не требуют подключения к удаленному доступу.
Обеспечьте безопасный доступ к ресурсам Azure с помощью Бастиона Azure. Обеспечьте безопасное и удобное подключение к виртуальным машинам Azure по протоколу SSL.
Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). Снижение риска от действий программ-шантажистов, которые пробуют базовые функции безопасности и параметры.

Электронная почта и совместная работа

Реализуйте рекомендации по использованию решений электронной почты и совместной работы, чтобы злоумышленники могли злоупотреблять ими, позволяя сотрудникам легко и безопасно получать доступ к внешнему контенту.

Злоумышленники часто входят среду, передавая в нее вредоносное содержимое с помощью таких средств, как электронная почта и решения для общего доступа к файлам, которые они убеждают пользователей запустить. Корпорация Майкрософт инвестировала средства в усовершенствованные решения устранения рисков, которые значительно усиливают защиту от этих векторов атак.

Подотчетность участников программы и проекта для электронной почты и совместной работы

В этой таблице описана общая защита решений для электронной почты и совместной работы от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.

Lead Ответственный за реализацию Отчетность
Начальник управления информационной безопасностью, директор по информационным технологиям или директор по идентификации Поддержка руководства
Руководитель программы из команды по архитектуре безопасности Достижение результатов и совместная работа между командами
ИТ-архитекторы Назначение приоритетов при интеграции компонентов в архитектуры
Производительность облака и команда по работе с пользователями Включение Defender для Office 365, ASR и AMSI
Архитектура безопасности / Инфраструктура + конечная точка Помощь в настройке
Команда по обучению пользователей Обновление инструкций при изменении рабочих процессов
Политика и стандарты безопасности Обновление стандартов и документов политики
Ответственные за управление соответствием требованиям безопасности Мониторинг для обеспечения соответствия

Список проверка реализации для электронной почты и совместной работы

Применяйте эти рекомендации, чтобы защитить решения для электронной почты и совместной работы от злоумышленников, использующих программы-шантажисты.

Выполнено Задача Description
Включите AMSI для Office VBA. Выявление атак, при которых используются макросы Office, с помощью средств для конечных точек, таких как Defender для конечной точки.
Реализуйте расширенные средства безопасности электронной почты с помощью Defender для Office 365 или аналогичного решения. Электронная почта — это общая точка входа для злоумышленников.
Развертывание правил уменьшения поверхности атак (ASR) для блокировки распространенных методов атаки, включая:

— неправомочное использование конечной точки (например, для кражи учетных данных), действия программ-шантажистов, а также подозрительное использование PsExec и WMI;

— действия с используемыми как оружие документами Office, такие как расширенные действия с макросами, применение исполняемого содержимого, а также создание и внедрение процессов, инициированное приложениями Office.

Примечание. Сначала разверните эти правила в режиме аудита, оцените любое отрицательное воздействие, а затем разверните их в режиме блокировки.
ASR предоставляет дополнительные уровни защиты, специально предназначенные для устранения распространенных методов атак.
Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). Снижает риск воздействия программ-шантажистов, в рамках которого оцениваются базовые функции и параметры безопасности.

Конечные точки

Реализуйте соответствующие функции безопасности и строго следуйте рекомендациям по обслуживанию программного обеспечения для конечных точек (устройств) и приложений, приоритетизируя приложения и серверные или клиентские операционные системы напрямую, предоставляемые интернет-трафику и содержимому.

Конечные точки, доступные через Интернет, — это распространенный вектор входа, который предоставляет злоумышленникам доступ к ресурсам организации. Приоритеты блокируют распространенные уязвимости ОС и приложений с помощью средств профилактики, чтобы замедлить или остановить их выполнение на следующих этапах.

Подотчетность участников программы и проекта для enbpoints

В этой таблице описана общая защита конечных точек от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.

Lead Ответственный за реализацию Отчетность
Руководители предприятия, ответственные за воздействие на бизнес, оказанное как простоем, так и повреждениями, которые нанесла атака Представительская спонсорская деятельность (обслуживание)
Команда по операциям или директор по информационным технологиям из центрального ИТ-отдела Представительская спонсорская деятельность (другие)
Руководитель программы из команды по инфраструктуре из центрального ИТ-отдела Достижение результатов и совместная работа между командами
ИТ-специалисты и архитекторы системы безопасности Назначение приоритетов при интеграции компонентов в архитектуры
Команда по операциям из центрального ИТ-отдела Реализация изменений в среде
Производительность облака и команда по работе с пользователями Включение сокращения направлений атак
Владельцы рабочих нагрузок или приложений Определение периодов обслуживания для внесения изменений
Политика и стандарты безопасности Обновление стандартов и документов политики
Ответственные за управление соответствием требованиям безопасности Мониторинг для обеспечения соответствия

Список проверка реализации для конечных точек

Применяйте эти рекомендации ко всем конечным точкам Windows, Linux, MacOS, Android, iOS и др.

Выполнено Задача Description
Реализуйте блокировку известных угроз с помощью правил сокращения направлений атак, а также средств защиты от незаконного изменения и блокировки на первом сайте. Не пренебрегайте этими встроенными функциями обеспечения безопасности. Это может стать причиной, по которой злоумышленнику удалось проникнуть в вашу организацию.
Примените базовые средства безопасности для защиты серверов и клиентов Windows, а также приложений Office с выходом в Интернет. Начните строить защиту своей организации с минимального уровня безопасности, который станет отправной точкой.
Поддерживайте программное обеспечение таким образом, чтобы оно было следующим образом:

— Обновлено: быстрое развертывание критически важных обновлений безопасности для операционных систем, браузеров и клиентов электронной почты

— поддерживаемое: обновляйте операционные системы и программное обеспечение для версий, поддерживаемых поставщиками.
Злоумышленники рассчитывают на то, что вы станете пренебрегать обновлениями от производителя или не будете относиться к ним с должным вниманием.
Изолируйте, отключите или выведите из эксплуатации незащищенные системы и протоколы, включая неподдерживаемые операционные системы и устаревшие протоколы. Злоумышленники используют известные уязвимости устаревших устройств, систем и протоколов в качестве точек входа в вашу организацию.
Блокируйте незапрошенный трафик с помощью брандмауэра на основе узла и защиты сети. Некоторые атаки вредоносных программ зависят от незапрошенного входящего трафика к узлам в качестве способа подключения к атаке.
Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). Снижает риск воздействия программ-шантажистов, в рамках которого оцениваются базовые функции и параметры безопасности.

Организация

Точно так же, как антикварный сувальдный замок не защитит ваш дом от современного взломщика, пароли не могут защитить учетные записи от распространенных атак, которые мы сегодня наблюдаем. Хотя многофакторная проверка подлинности (MFA) в свое время была утомительным дополнительным действием, сейчас подход проверки подлинности без пароля повышает удобство входа с использованием биометрических средств, которые не требуют от пользователей запоминания или ввода пароля. Кроме того, при использовании инфраструктуры по модели Никому не доверяй сохраняются сведения о доверенных устройствах. Это сокращает число запросов на утомительные и отвлекающие действия MFA.

Начиная с учетных записей администратора с высоким уровнем привилегий, четко следуйте этим рекомендациям по обеспечению безопасности учетных записей, включая использование без пароля или MFA.

Подотчетность участников программы и проекта для учетных записей

В этой таблице описана общая защита учетных записей от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.

Lead Ответственный за реализацию Отчетность
Начальник управления информационной безопасностью, директор по информационным технологиям или директор по идентификации Поддержка руководства
Руководитель программы из групп идентификации и управления ключами или архитектуры безопасности Достижение результатов и совместная работа между командами
ИТ-специалисты и архитекторы системы безопасности Назначение приоритетов при интеграции компонентов в архитектуры
Отдел управления удостоверениями и ключами или команда по операциям из центрального ИТ-отдела Реализация изменений конфигурации
Политика и стандарты безопасности Обновление стандартов и документов политики
Ответственные за управление соответствием требованиям безопасности Мониторинг для обеспечения соответствия
Команда по обучению пользователей Обновление пароля или инструкций по входу, проведение обучения и управление изменениями

Список проверка реализации для учетных записей

Применяйте эти рекомендации для защиты учетных записей от злоумышленников.

Выполнено Задача Description
Для всех пользователей следует применять надежные процедуры MFA или входа без пароля. Начните с учетных записей администратора и приоритета , используя одну или несколько учетных записей:

— проверка подлинности без пароля с помощью Windows Hello или приложения Microsoft Authenticator.

- многофакторная проверка подлинности Azure;

— стороннее решение MFA.
Усложните злоумышленнику компрометацию учетных данных, просто определив пароль учетной записи пользователя.
Увеличьте безопасность паролей:

— Для учетных записей Microsoft Entra используйте microsoft Entra Password Protection для обнаружения и блокировки известных слабых паролей и дополнительных слабых терминов, относящихся к вашей организации.

— Для учетных записей локальная служба Active Directory доменных служб (AD DS) расширьте защиту паролей Майкрософт до учетных записей AD DS.
Убедитесь, что в вашей организации не используются распространенные пароли или пароли на основе названия организации, которые могут определить злоумышленники.
Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). Снижает риск воздействия программ-шантажистов, в рамках которого оцениваются базовые функции и параметры безопасности.

Результаты и временная шкала реализации

Попробуйте достичь этих результатов в течение 30 дней:

  • 100 % сотрудников активно используют MFA;
  • для 100 % развертываний используются пароли с повышенным уровнем безопасности.

Дополнительные ресурсы о программах-шантажистах

Основная информация от корпорации Майкрософт:

Microsoft 365:

XDR в Microsoft Defender:

Microsoft Azure:

приложения Microsoft Defender для облака:

Записи блога службы безопасности Майкрософт: