RaMP проверка list — готовность к восстановлению программ-шантажистов
Этот план быстрой модернизации (RaMP) проверка list помогает подготовить вашу организацию, чтобы вы имели жизнеспособную альтернативу оплате выкупа, требуемой злоумышленниками-шантажистами. Хотя злоумышленники, захватывающие контроль над организацией, применяют различные способы, чтобы вынудить вас заплатить, требования, в основном, делятся на две категории.
Оплата за восстановление доступа
Злоумышленники требуют заплатить, угрожая, что они не вернут вам доступ к вашим системам и данным. Чаще всего это делается путем шифрования систем и данных, а оплату требуют за ключ дешифрования.
Внимание
Уплата выкупа — не такой уж простой и очевидный способ, как может показаться. Так как вы имеете дело с преступниками, которыми движет стремление получить от вас деньги (при этом зачастую у них не особо много опыта, так что они используют наборы средств, предоставленные другими), нет никакой уверенности в том, что выкуп действительно спасет ситуацию. Нет никаких законных гарантий, что предоставленный ими ключ полностью расшифрует всю систему и данных или что они предоставят такой ключ вообще. Для расшифровки этих систем используются средства доморощенных злоумышленников, так что процесс зачастую оказывается неуклюжим и требует выполнения действий вручную.
Оплата за неразглашение
Злоумышленники требуют оплаты в обмен на неразглашение конфиденциальных или деликатных данных в теневом интернете (для других преступников) или в открытых источниках.
Чтобы избежать принудительной оплаты (прибыльная ситуация для злоумышленников), наиболее немедленные и эффективные действия, которые можно предпринять, заключается в том, чтобы ваша организация может восстановить все предприятие из неизменяемого хранилища, которое еще не было заражено или зашифровано атакой программы-шантажистов, которая ни злоумышленник, ни вы не можете изменить.
Также критически важно определить наиболее конфиденциальные активы и надежнее их защитить, однако этот процесс более длительный и сложный. Мы не хотим, чтобы вы держали другие области, но мы рекомендуем начать процесс, объединив бизнес, ИТ и заинтересованных лиц по безопасности, чтобы задать и ответить на такие вопросы, как:
- Компрометация каких бизнес-активов наиболее опасна? Например, какие активы будут готовы заплатить за вымогательство требование, если злоумышленники контролировали их?
- Как эти бизнес-ресурсы преобразуют в ИТ-ресурсы, такие как файлы, приложения, базы данных и серверы?
- Как защитить или изолировать эти ресурсы, чтобы злоумышленники с доступом к общей ИТ-среде не могли получить к ним доступ?
Защищенные резервные копии
Необходимо убедиться, что критически важные системы и их данные создают резервные копии и неизменяемы для защиты от преднамеренной стирки или шифрования злоумышленником. Резервные копии должны быть еще не заражены или зашифрованы атакой программы-шантажистов, в противном случае вы восстанавливаете набор файлов, которые могут содержать точки входа для злоумышленников, которые будут использовать после восстановления.
Цель атаки на резервные копии — лишить организацию возможности отреагировать на атаку, ничего не заплатив. Часто они нацелены на резервные копии и ключевую документацию, необходимую для восстановления, чтобы принудить заплатить требуемую вымогателями сумму.
Большинство организаций не защищают процедуры резервного копирования и восстановления от целенаправленного уничтожения на этом уровне.
Примечание.
Эта подготовка также повышает устойчивость в случае естественных стихийных бедствий и быстрых атак, например WannaCry и (Not)Petya.
План резервного копирования и восстановления для защиты от адресов программ-шантажистов , которые необходимо сделать перед атакой, чтобы защитить критически важные бизнес-системы и во время атаки, чтобы обеспечить быстрое восстановление бизнес-операций с помощью Azure Backup и других облачных служб Майкрософт. Если вы используете решение резервного копирования вне сайта, предоставленное сторонним поставщиком, обратитесь к своей документации.
Области ответственности участников программ и проектов
В этой таблице описан общий подход к защите данных от программ-шантажистов в контексте иерархии в области курирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Интерес | Ответственный | Отчетность |
|---|---|---|
| Команда по операциям или директор по информационным технологиям из центрального ИТ-отдела | Поддержка руководства | |
| Руководитель программы из инфраструктуры центрального ИТ-отдела | Достижение результатов и совместная работа между командами | |
| Инженер инфраструктуры и резервного копирования | Включение резервного копирования инфраструктуры | |
| Администратор Microsoft 365 | Реализация изменений в клиенте Microsoft 365 для OneDrive и защищенных папок | |
| Инженер систем безопасности | Рекомендации по конфигурации и стандартам | |
| ИТ-администратор | Обновление стандартов и документов политики | |
| Управление безопасностью и /или ИТ-Администратор | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Убедитесь, что руководство для пользователей рекомендует использовать папки OneDrive и Защищенные папки |
Цели развертывания
Выполните эти задачи развертывания для защиты инфраструктуры резервного копирования.
| Выполнено | Цель развертывания | Ответственный |
|---|---|---|
| 1. Защита вспомогательных документов, необходимых для восстановления, таких как документы процедуры восстановления, база данных управления конфигурацией (CMDB) и сетевые схемы. | ИТ-архитектор или разработчик | |
| 2. Создайте процесс автоматического резервного копирования всех критически важных систем в регулярном расписании и отслеживании соблюдения. | ИТ-администратор резервного копирования | |
| 3. Создайте процесс и запланируйте регулярное выполнение плана непрерывности бизнес-процессов и аварийного восстановления (BCDR). | ИТ-архитектор | |
| 4. Включите защиту резервных копий от преднамеренной стирки и шифрования в плане резервного копирования: — Строгой защиты — требуется внеполосная процедура (например, многофакторная проверка подлинности или ПИН-код) перед изменением резервных копий в сети (например , Azure Backup). — Максимально надежная защита. Храните резервные копии в неизменяемом оперативном хранилище (например, хранилище больших двоичных объектов Azure) и (или) полностью автономном либо удаленном хранилище. |
ИТ-администратор резервного копирования | |
| 5. Настройте пользователям резервное копирование OneDrive и защищенные папки. | Администратор производительности Microsoft 365 |
Следующий шаг
Продолжайте инициативу по управлению данными, соответствием и управлением с помощью шага 3. Данные.