Сделать его трудной для субъектов угроз-шантажистов для доступа к вашей организации
На этом этапе вы делаете субъекты угроз более сложными для доступа к локальным или облачным системам, постепенно удаляя риски на точках входа.
Хотя многие из этих изменений будут знакомы и легко сделать, очень важно, чтобы ваша работа над этой частью стратегии не замедлила ваш прогресс на других критически важных частях!
Ниже приведены ссылки на обзор трех частей плана кибербезопасности:
Удаленный доступ.
Получение доступа к интрасети вашей организации через подключение к удаленному доступу является вектором атаки для субъектов угроз-шантажистов.
После компрометации локальной учетной записи пользователя субъект угроз может использовать интрасетю для сбора аналитики, повышения привилегий и установки программ-шантажистов. Кибератака на колониальном конвейере в 2021 году является примером.
Подотчетность участников программы и проекта для удаленного доступа
В этой таблице описана общая защита решения удаленного доступа от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Lead | Ответственный за реализацию | Отчетность |
|---|---|---|
| Начальник управления информационной безопасностью или директор по информационным технологиям | Поддержка руководства | |
| Руководитель программы в команде по работе с инфраструктурой или сетями из центрального ИТ-отдела | Достижение результатов и совместная работа между командами | |
| ИТ-специалисты и архитекторы системы безопасности | Назначение приоритетов при интеграции компонентов в архитектуры | |
| Команда по идентификации из центрального ИТ-отдела | Настройка политик идентификатора и условного доступа Microsoft Entra | |
| Команда по операциям из центрального ИТ-отдела | Реализация изменений в среде | |
| Владельцы рабочих нагрузок | Помощь с разрешениями RBAC для публикации приложений | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Ответственные за управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Обновление всех требуемых инструкций при изменениях рабочих процессов, проведения обучения и управление изменениями |
Контрольный список реализации для удаленного доступа
Примените эти рекомендации для защиты инфраструктуры удаленного доступа от субъектов угроз-шантажистов.
| Выполнено | Задача | Description |
|---|---|---|
| Поддерживайте программное обеспечение и устройство в актуальном состоянии, выполняя обновление. Не пренебрегайте мерами безопасности, установленными производителем, и не относитесь к ним без должного внимания (обновления для системы безопасности, обеспечение поддерживаемого состояния). | Субъекты угроз используют известные уязвимости, которые еще не исправлены в качестве векторов атак. | |
| Настройте идентификатор Microsoft Entra для существующего удаленного доступа, включив принудительное применение проверки пользователей и устройств нулевого доверия с помощью условного доступа. | Принцип "Никому не доверяй" обеспечивает несколько уровней защиты доступа к вашей организации. | |
| Настройте безопасность для существующих сторонних решений VPN (Cisco AnyConnect, Palo Alto Networks GlobalProtect и Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) и т. д. | Воспользуйтесь преимуществами встроенных средств безопасности решения для удаленного доступа. | |
| Разверните VPN Azure "точка — сеть" (P2S) , чтобы обеспечить удаленный доступ. | Воспользуйтесь преимуществами интеграции с идентификатором Microsoft Entra и существующими подписками Azure. | |
| Публикация локальных веб-приложений с помощью прокси приложения Microsoft Entra. | Приложения, опубликованные с помощью прокси приложения Microsoft Entra, не требуют подключения к удаленному доступу. | |
| Обеспечьте безопасный доступ к ресурсам Azure с помощью Бастиона Azure. | Обеспечьте безопасное и удобное подключение к виртуальным машинам Azure по протоколу SSL. | |
| Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). | Снижение риска от действий программ-шантажистов, которые пробуют базовые функции безопасности и параметры. |
Электронная почта и совместная работа
Реализуйте рекомендации по использованию решений электронной почты и совместной работы, чтобы сделать их более сложными для субъектов угроз, позволяя сотрудникам легко и безопасно получать доступ к внешнему содержимому.
Субъекты угроз часто входят в среду, вводя вредоносное содержимое, замаскированное в авторизованных средствах совместной работы, таких как электронная почта и общий доступ к файлам, и убедительные пользователи для запуска содержимого. Корпорация Майкрософт инвестировала средства в усовершенствованные решения устранения рисков, которые значительно усиливают защиту от этих векторов атак.
Подотчетность участников программы и проекта для электронной почты и совместной работы
В этой таблице описана общая защита решений для электронной почты и совместной работы от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Lead | Ответственный за реализацию | Отчетность |
|---|---|---|
| Начальник управления информационной безопасностью, директор по информационным технологиям или директор по идентификации | Поддержка руководства | |
| Руководитель программы из команды по архитектуре безопасности | Достижение результатов и совместная работа между командами | |
| ИТ-архитекторы | Назначение приоритетов при интеграции компонентов в архитектуры | |
| Производительность облака и команда по работе с пользователями | Включение Defender для Office 365, Azure Site Recovery и AMSI | |
| Архитектура безопасности / Инфраструктура + конечная точка | Помощь в настройке | |
| Команда по обучению пользователей | Обновление инструкций при изменении рабочих процессов | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Ответственные за управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия |
Контрольный список реализации для электронной почты и совместной работы
Применение этих рекомендаций для защиты решений электронной почты и совместной работы от субъектов угроз-шантажистов
| Выполнено | Задача | Description |
|---|---|---|
| Включите AMSI для Office VBA. | Выявление атак, при которых используются макросы Office, с помощью средств для конечных точек, таких как Defender для конечной точки. | |
| Реализуйте расширенные средства безопасности электронной почты с помощью Defender для Office 365 или аналогичного решения. | Электронная почта — это общая точка входа для субъектов угроз. | |
| Развертывание правил сокращения поверхностей атак (Azure Site Recovery) для блокировки распространенных методов атак, включая: — неправомочное использование конечной точки (например, для кражи учетных данных), действия программ-шантажистов, а также подозрительное использование PsExec и WMI; — действия с используемыми как оружие документами Office, такие как расширенные действия с макросами, применение исполняемого содержимого, а также создание и внедрение процессов, инициированное приложениями Office. Примечание. Сначала разверните эти правила в режиме аудита, оцените любое отрицательное воздействие, а затем разверните их в режиме блокировки. |
Azure Site Recovery предоставляет дополнительные уровни защиты, предназначенные специально для устранения распространенных методов атаки. | |
| Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). | Снижает риск воздействия программ-шантажистов, в рамках которого оцениваются базовые функции и параметры безопасности. |
Конечные точки
Реализуйте соответствующие функции безопасности и строго следуйте рекомендациям по обслуживанию программного обеспечения для конечных точек (устройств) и приложений, приоритетизируя приложения и серверные или клиентские операционные системы напрямую, предоставляемые интернет-трафику и содержимому.
Конечные точки, предоставляемые в Интернете, являются общим вектором входа, предоставляющим субъекты угроз доступ к ресурсам организации. Приоритеты блокируют распространенные уязвимости ОС и приложений с помощью профилактических средств управления, чтобы замедлить или остановить их выполнение на следующих этапах.
Подотчетность участников программы и проекта для конечных точек
В этой таблице описана общая защита конечных точек от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Lead | Ответственный за реализацию | Отчетность |
|---|---|---|
| Руководители предприятия, ответственные за воздействие на бизнес, оказанное как простоем, так и повреждениями, которые нанесла атака | Представительская спонсорская деятельность (обслуживание) | |
| Команда по операциям или директор по информационным технологиям из центрального ИТ-отдела | Представительская спонсорская деятельность (другие) | |
| Руководитель программы из команды по инфраструктуре из центрального ИТ-отдела | Достижение результатов и совместная работа между командами | |
| ИТ-специалисты и архитекторы системы безопасности | Назначение приоритетов при интеграции компонентов в архитектуры | |
| Команда по операциям из центрального ИТ-отдела | Реализация изменений в среде | |
| Производительность облака и команда по работе с пользователями | Включение сокращения направлений атак | |
| Владельцы рабочих нагрузок или приложений | Определение периодов обслуживания для внесения изменений | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Ответственные за управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия |
Контрольный список реализации конечных точек
Применяйте эти рекомендации ко всем конечным точкам Windows, Linux, macOS, Android, iOS и другим конечным точкам.
| Выполнено | Задача | Description |
|---|---|---|
| Блокировать известные угрозы с помощью правил уменьшения поверхности атаки, защиты от изменения и блокировки при первом появлении. | Не пренебрегайте этими встроенными функциями обеспечения безопасности. Это может стать причиной, по которой злоумышленнику удалось проникнуть в вашу организацию. | |
| Примените базовые средства безопасности для защиты серверов и клиентов Windows, а также приложений Office с выходом в Интернет. | Начните строить защиту своей организации с минимального уровня безопасности, который станет отправной точкой. | |
| Поддерживайте программное обеспечение таким образом, чтобы оно было следующим образом: — Обновлено: быстрое развертывание критически важных обновлений безопасности для операционных систем, браузеров и клиентов электронной почты — поддерживаемое: обновляйте операционные системы и программное обеспечение для версий, поддерживаемых поставщиками. |
Злоумышленники рассчитывают на то, что вы станете пренебрегать обновлениями от производителя или не будете относиться к ним с должным вниманием. | |
| Изолируйте, отключите или выведите из эксплуатации незащищенные системы и протоколы, включая неподдерживаемые операционные системы и устаревшие протоколы. | Злоумышленники используют известные уязвимости устаревших устройств, систем и протоколов в качестве точек входа в вашу организацию. | |
| Блокируйте незапрошенный трафик с помощью брандмауэра на основе узла и защиты сети. | Некоторые атаки вредоносных программ зависят от незапрошенного входящего трафика к узлам в качестве способа подключения к атаке. | |
| Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). | Снижает риск воздействия программ-шантажистов, в рамках которого оцениваются базовые функции и параметры безопасности. |
Организация
Точно так же, как антикварный сувальдный замок не защитит ваш дом от современного взломщика, пароли не могут защитить учетные записи от распространенных атак, которые мы сегодня наблюдаем. Хотя многофакторная проверка подлинности (MFA) когда-то была обременительным дополнительным шагом, проверка подлинности без пароля улучшает возможности входа с использованием биометрических подходов, которые не требуют от пользователей запоминать или вводить пароль. Кроме того, при использовании инфраструктуры по модели Никому не доверяй сохраняются сведения о доверенных устройствах. Это сокращает число запросов на утомительные и отвлекающие действия MFA.
Начиная с учетных записей администратора с высоким уровнем привилегий, четко следуйте этим рекомендациям по обеспечению безопасности учетных записей, включая использование без пароля или MFA.
Подотчетность участников программы и проекта для учетных записей
В этой таблице описана общая защита учетных записей от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Lead | Ответственный за реализацию | Отчетность |
|---|---|---|
| Начальник управления информационной безопасностью, директор по информационным технологиям или директор по идентификации | Поддержка руководства | |
| Руководитель программы из групп идентификации и управления ключами или архитектуры безопасности | Достижение результатов и совместная работа между командами | |
| ИТ-специалисты и архитекторы системы безопасности | Назначение приоритетов при интеграции компонентов в архитектуры | |
| Отдел управления удостоверениями и ключами или команда по операциям из центрального ИТ-отдела | Реализация изменений конфигурации | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Ответственные за управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Обновление пароля или инструкций по входу, проведение обучения и управление изменениями |
Контрольный список реализации для учетных записей
Применяйте эти рекомендации для защиты учетных записей от злоумышленников.
| Выполнено | Задача | Description |
|---|---|---|
| Для всех пользователей следует применять надежные процедуры MFA или входа без пароля. Начните с учетных записей администратора и приоритета , используя одну или несколько учетных записей: — проверка подлинности без пароля с помощью Windows Hello или приложения Microsoft Authenticator. - Многофакторная проверка подлинности. — стороннее решение MFA. |
Усложните злоумышленнику компрометацию учетных данных, просто определив пароль учетной записи пользователя. | |
| Увеличьте безопасность паролей: — Для учетных записей Microsoft Entra используйте microsoft Entra Password Protection для обнаружения и блокировки известных слабых паролей и дополнительных слабых терминов, относящихся к вашей организации. — Для учетных записей локальная служба Active Directory доменных служб (AD DS) расширьте защиту паролей Майкрософт до учетных записей AD DS. |
Убедитесь, что в вашей организации не используются распространенные пароли или пароли на основе названия организации, которые могут определить злоумышленники. | |
| Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). | Снижает риск воздействия программ-шантажистов, в рамках которого оцениваются базовые функции и параметры безопасности. |
Результаты и временная шкала реализации
Попробуйте достичь этих результатов в течение 30 дней:
100% сотрудников активно используют MFA
100% развертывание более высокого уровня безопасности паролей
Дополнительные ресурсы о программах-шантажистах
Основная информация от корпорации Майкрософт:
Лунный sleet выходит как новый северокорейский угроза актер с новым пакетом трюков, Блог Майкрософт, май 2024 г.
2023 Отчет о цифровой защите Microsoft (см. страницы 17-26)
Программ-шантажистов: постоянный и постоянный отчет аналитики угроз на портале Microsoft Defender
Подход и примеры работыгруппы реагирования на инциденты (ранее DART)
Microsoft 365:
- Развертывание средств защиты от программ-шантажистов для арендатора Microsoft 365
- Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
- Восстановление после атаки с использованием программ-шантажистов
- Защита от вредоносных программ и программ-шантажистов
- Защита компьютера Windows 10 от программ-шантажистов
- Противодействие программам-шантажистам в SharePoint Online
- Отчеты аналитики угроз для программ-шантажистов на портале Microsoft Defender
XDR в Microsoft Defender:
Microsoft Azure:
- Защита Azure от атак программ-шантажистов
- Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
- План резервного копирования и восстановления для защиты от программ-шантажистов
- Защита от программа-шантажистов с помощью Microsoft Azure Backup (видео длительностью 26 минут)
- Восстановление от системного компрометации удостоверений
- Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
- Обнаружение Fusion для программ-шантажистов в Microsoft Sentinel
приложения Microsoft Defender для облака:
Записи блога службы безопасности Майкрософт:
Три шага для предотвращения атак программ-шантажистов и восстановления после них (сентябрь 2021 г.)
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 1 (сентябрь 2021 г.)
Основные шаги по обнаружению и реагированию группы майкрософт (DART) проводят расследования инцидентов программ-шантажистов.
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 2 (сентябрь 2021 г.)
Рекомендации и рекомендации.
-
См. раздел Программы-шантажисты.
-
Включает анализ цепочки реальных атак.
Ответ программы-шантажистов— платить или не платить? (декабря 2019 г.)
Norsk Hydro прозрачно реагирует на атаку с использованием программ-шантажистов (декабрь 2019 г.)
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по