Säkerhetskopierings- och återställningsplan för att skydda mot utpressningstrojaner
Utpressningstrojanattacker krypterar eller raderar avsiktligt data och system för att tvinga din organisation att betala pengar till angripare. Dessa attacker riktar sig mot dina data, dina säkerhetskopior och även viktig dokumentation som krävs för att du ska kunna återställa utan att betala angriparna (som ett sätt att öka risken för att din organisation betalar).
Den här artikeln beskriver vad du ska göra före en attack för att skydda dina kritiska affärssystem och under en attack för att säkerställa en snabb återställning av verksamheten.
Vad är utpressningstrojan?
Utpressningstrojan är en typ av utpressningsattack som krypterar filer och mappar, vilket förhindrar åtkomst till viktiga data och system. Angripare använder utpressningstrojaner för att utpressa pengar från offer genom att kräva pengar, vanligtvis i form av kryptovalutor, i utbyte mot en dekrypteringsnyckel eller i utbyte mot att inte släppa känsliga data till den mörka webben eller det offentliga Internet.
Medan tidiga utpressningstrojaner mestadels använde skadlig kod som sprids med nätfiske eller mellan enheter, har utpressningstrojaner som drivs av människor uppstått där ett gäng aktiva angripare, drivna av mänskliga attackoperatörer, riktar in sig på alla system i en organisation (snarare än en enda enhet eller uppsättning enheter). En attack kan:
- Kryptera dina data
- Exfiltrera dina data
- Skadade dina säkerhetskopior
Utpressningstrojanerna utnyttjar angriparnas kunskaper om vanliga system- och säkerhetsfel och sårbarheter för att infiltrera organisationen, navigera i företagsnätverket och anpassa sig till miljön och dess svagheter när de går.
Utpressningstrojaner kan mellanlagras för att exfiltra dina data först, under flera veckor eller månader, innan utpressningstrojanen faktiskt körs på ett visst datum.
Utpressningstrojaner kan också långsamt kryptera dina data samtidigt som du behåller din nyckel i systemet. Med din nyckel fortfarande tillgänglig kan dina data användas för dig och utpressningstrojanerna går obemärkt förbi. Dina säkerhetskopior är dock av krypterade data. När alla dina data har krypterats och de senaste säkerhetskopiorna också är av krypterade data tas nyckeln bort så att du inte längre kan läsa dina data.
Den verkliga skadan sker ofta när attacken exfiltrerar filer samtidigt som bakdörrar lämnas i nätverket för framtida skadlig aktivitet – och dessa risker kvarstår oavsett om lösensumman betalas eller inte. Dessa attacker kan vara katastrofala för verksamheten och svåra att rensa upp, vilket kräver fullständig borttagning av angripare för att skydda mot framtida attacker. Till skillnad från tidiga former av utpressningstrojaner som bara krävde reparation av skadlig kod kan utpressningstrojaner som drivs av människor fortsätta att hota din verksamhet efter det första mötet.
Påverkan av en attack
Effekten av en utpressningstrojanattack på någon organisation är svår att kvantifiera korrekt. Beroende på omfattningen av attacken kan effekten omfatta:
- Förlust av dataåtkomst
- Avbrott i verksamheten
- Ekonomisk förlust
- Stöld av immateriella rättigheter
- Komprometterat kundförtroende eller skamfilat rykte
- Juridiska utgifter
Hur kan du skydda dig själv?
Det bästa sättet att förhindra att utpressningstrojaner faller offer är att implementera förebyggande åtgärder och ha verktyg som skyddar din organisation från varje steg som angripare tar för att infiltrera dina system.
Du kan minska din lokala exponering genom att flytta din organisation till en molntjänst. Microsoft har investerat i inbyggda säkerhetsfunktioner som gör Microsoft Azure motståndskraftigt mot utpressningstrojanattacker och hjälper organisationer att besegra utpressningstrojanattacker. Om du vill ha en omfattande vy över utpressningstrojaner och utpressning och hur du skyddar din organisation använder du informationen i PowerPoint-presentationen för projektplanen för åtgärd av utpressningstrojaner som hanteras av människor.
Du bör anta att du någon gång kommer att falla offer för en utpressningstrojanattack. Ett av de viktigaste stegen du kan vidta för att skydda dina data och undvika att betala en lösensumma är att ha en tillförlitlig plan för säkerhetskopiering och återställning för din affärskritiska information. Eftersom utpressningstrojaner har investerat mycket i att neutralisera säkerhetskopieringsprogram och operativsystemfunktioner som skuggkopiering av volymer är det viktigt att ha säkerhetskopior som inte är tillgängliga för en angripare.
Azure Backup
Azure Backup ger säkerhet till din säkerhetskopieringsmiljö, både när dina data överförs och i vila. Med Azure Backup kan du säkerhetskopiera:
- Lokala filer, mappar och systemtillstånd
- Hela virtuella Windows-/Linux-datorer
- Azure Managed Disks
- Azure-filresurser till ett lagringskonto
- SQL Server-databaser som körs på virtuella Azure-datorer
Säkerhetskopieringsdata lagras i Azure Storage och gästen eller angriparen har ingen direkt åtkomst till lagring av säkerhetskopior eller dess innehåll. Med säkerhetskopiering av virtuella datorer skapas och lagras ögonblicksbilder av säkerhetskopior av Azure Fabric där gästen eller angriparen inte har något annat engagemang än att quiescing arbetsbelastningen för programkonsekventa säkerhetskopior. Med SQL och SAP HANA får säkerhetskopieringstillägget tillfällig åtkomst för att skriva till specifika blobar. På så sätt kan befintliga säkerhetskopior inte manipuleras eller tas bort av angriparen, även i en komprometterad miljö.
Azure Backup tillhandahåller inbyggda funktioner för övervakning och aviseringar för att visa och konfigurera åtgärder för händelser som rör Azure Backup. Säkerhetskopieringsrapporter fungerar som ett enda mål för spårning av användning, granskning av säkerhetskopior och återställningar samt identifiering av viktiga trender på olika detaljnivå. Med hjälp av Azure Backups övervaknings- och rapporteringsverktyg kan du varna dig för obehörig, misstänkt eller skadlig aktivitet så snart de inträffar.
Kontroller har lagts till för att se till att endast giltiga användare kan utföra olika åtgärder. Dessa inkluderar att lägga till ett extra autentiseringslager. Som en del av att lägga till ett extra autentiseringslager för kritiska åtgärder uppmanas du att ange en PIN-kod för säkerhet innan du ändrar onlinesäkerhetskopior.
Läs mer om de säkerhetsfunktioner som är inbyggda i Azure Backup.
Verifiera säkerhetskopior
Kontrollera att säkerhetskopieringen är bra eftersom säkerhetskopian skapas och innan du återställer den. Vi rekommenderar att du använder ett Recovery Services-valv, som är en lagringsentitet i Azure som innehåller data. Data är vanligtvis kopior av data eller konfigurationsinformation för virtuella datorer (VM), arbetsbelastningar, servrar eller arbetsstationer. Du kan använda Recovery Services-valv för att lagra säkerhetskopierade data för olika Azure-tjänster, till exempel virtuella IaaS-datorer (Linux eller Windows) och Azure SQL-databaser samt lokala tillgångar. Recovery Services-valv gör det enkelt att organisera dina säkerhetskopierade data och tillhandahålla funktioner som:
- Förbättrade funktioner för att säkerställa att du kan skydda dina säkerhetskopior och återställa data på ett säkert sätt, även om produktions- och säkerhetskopieringsservrar komprometteras. Läs mer.
- Övervakning för din hybrid-IT-miljö (virtuella Azure IaaS-datorer och lokala tillgångar) från en central portal. Läs mer.
- Kompatibilitet med rollbaserad åtkomstkontroll i Azure (Azure RBAC), som begränsar säkerhetskopiering och återställning av åtkomst till en definierad uppsättning användarroller. Azure RBAC har olika inbyggda roller och Azure Backup har tre inbyggda roller för att hantera återställningspunkter. Läs mer.
- Skydd mot mjuk borttagning, även om en obehörig aktör tar bort en säkerhetskopia (eller om säkerhetskopierade data tas bort av misstag). Säkerhetskopieringsdata behålls i ytterligare 14 dagar, vilket gör det möjligt att återställa ett säkerhetskopieringsobjekt utan dataförlust. Läs mer.
- Återställning mellan regioner som gör att du kan återställa virtuella Azure-datorer i en sekundär region, som är en Länkad Azure-region. Du kan återställa replikerade data i den sekundära regionen när som helst. På så sätt kan du återställa data i den sekundära regionen för granskningsefterlevnad och under avbrottsscenarier, utan att vänta på att Azure ska deklarera en katastrof (till skillnad från GRS-inställningarna för valvet). Läs mer.
Kommentar
Det finns två typer av valv i Azure Backup. Förutom Recovery Services-valv finns det även säkerhetskopieringsvalv som innehåller data för nyare arbetsbelastningar som stöds av Azure Backup.
Vad du ska göra före en attack
Som tidigare nämnts bör du anta att du någon gång kommer att falla offer för en utpressningstrojanattack. Genom att identifiera dina affärskritiska system och tillämpa metodtips innan en attack kan du komma igång så snabbt som möjligt.
Ta reda på vad som är viktigast för dig
Utpressningstrojaner kan attackera när du planerar för en attack, så din första prioritet bör vara att identifiera de affärskritiska system som är viktigast för dig och börja utföra regelbundna säkerhetskopior på dessa system.
Enligt vår erfarenhet tillhör de fem viktigaste programmen för kunder följande kategorier i den här prioritetsordningen:
- Identitetssystem – krävs för att användare ska få åtkomst till alla system (inklusive alla andra som beskrivs nedan), till exempel Active Directory, Microsoft Entra Connect, AD-domänkontrollanter
- Mänskligt liv – alla system som stöder mänskligt liv eller kan utsätta det för risker som medicinska system eller livsstödsystem, säkerhetssystem (ambulans, sändningssystem, trafikljuskontroll), stora maskiner, kemiska/biologiska system, produktion av livsmedel eller personliga produkter och andra
- Finansiella system – system som bearbetar monetära transaktioner och håller verksamheten i drift, till exempel betalningssystem och relaterade databaser, finansiellt system för kvartalsrapportering
- Produkt- eller tjänstaktivering – alla system som krävs för att tillhandahålla affärstjänster eller producera/leverera fysiska produkter som dina kunder betalar dig för, fabrikskontrollsystem, produktleverans-/leveranssystem och liknande
- Säkerhet (minimum) – Du bör också prioritera de säkerhetssystem som krävs för att övervaka attacker och tillhandahålla minimisäkerhetstjänster. Detta bör fokuseras på att se till att de aktuella attackerna (eller enkla opportunistiska) inte omedelbart kan få (eller återfå) åtkomst till dina återställde system
Din prioriterade säkerhetskopieringslista blir också din prioriterade återställningslista. När du har identifierat dina kritiska system och utför regelbundna säkerhetskopior kan du vidta åtgärder för att minska exponeringsnivån.
Åtgärder att vidta före en attack
Använd dessa metodtips före en attack.
Uppgift | Detalj |
---|---|
Identifiera de viktiga system som du behöver för att komma igång först (med hjälp av de fem främsta kategorierna ovan) och börja omedelbart utföra regelbundna säkerhetskopior av dessa system. | För att komma igång så snabbt som möjligt efter en attack kan du i dag avgöra vad som är viktigast för dig. |
Migrera din organisation till molnet. Överväg att köpa en Microsoft Unified Support-plan eller arbeta med en Microsoft-partner för att hjälpa dig att flytta till molnet. |
Minska din lokala exponering genom att flytta data till molntjänster med automatisk säkerhetskopiering och återställning via självbetjäning. Microsoft Azure har en robust uppsättning verktyg som hjälper dig att säkerhetskopiera dina affärskritiska system och återställa dina säkerhetskopior snabbare. Microsoft Unified Support är en molntjänstsupportmodell som finns där för att hjälpa dig när du behöver den. Enhetligt stöd: Tillhandahåller ett utpekat team som är tillgängligt dygnet innan med problemlösning efter behov och kritisk incidenteskalering Hjälper dig att övervaka hälsan i din IT-miljö och arbetar proaktivt för att se till att problem förhindras innan de inträffar |
Flytta användardata till molnlösningar som OneDrive och SharePoint för att dra nytta av funktionerna för versionshantering och papperskorg. Utbilda användarna om hur de kan återställa sina filer själva för att minska fördröjningar och kostnader för återställning. Om en användares OneDrive-filer till exempel har smittats av skadlig kod kan de återställa hela OneDrive till en tidigare tid. Överväg en försvarsstrategi, till exempel Microsoft Defender XDR, innan du tillåter användare att återställa sina egna filer. |
Användardata i Microsoft-molnet kan skyddas av inbyggda säkerhets- och datahanteringsfunktioner. Det är bra att lära användarna hur de återställer sina egna filer, men du måste vara försiktig så att användarna inte återställer den skadliga kod som används för att utföra attacken. Du måste: Se till att användarna inte återställer sina filer förrän du är säker på att angriparen har avlägsnats Ha en åtgärd på plats om en användare återställer en del av den skadliga koden Microsoft Defender XDR använder AI-baserade automatiska åtgärder och spelböcker för att åtgärda påverkade tillgångar tillbaka till ett säkert tillstånd. Microsoft Defender XDR använder automatiska reparationsfunktioner i svitprodukterna för att säkerställa att alla påverkade tillgångar som är relaterade till en incident åtgärdas automatiskt där det är möjligt. |
Implementera Microsoft Cloud Security Benchmark. | Microsoft Cloud Security Benchmark är vårt ramverk för säkerhetskontroll baserat på branschbaserade ramverk för säkerhetskontroll, till exempel NIST SP800-53, CIS Controls v7.1. Den ger organisationer vägledning om hur du konfigurerar Azure- och Azure-tjänster och implementerar säkerhetskontrollerna. Se Säkerhetskopiering och återställning. |
Träna regelbundet planen för affärskontinuitet/haveriberedskap (BC/DR). Simulera scenarier för incidenthantering. Övningar som du utför när du förbereder dig för en attack bör planeras och utföras kring dina prioriterade säkerhetskopierings- och återställningslistor. Testa regelbundet scenariot "Återställ från noll" för att säkerställa att din BC/DR snabbt kan få kritiska affärsåtgärder online från nollfunktioner (alla system är nere). |
Säkerställer snabb återställning av affärsåtgärder genom att behandla en utpressningstrojan eller utpressningsattack med samma betydelse som en naturkatastrof. Genomför övningsövningar för att validera processer mellan team och tekniska procedurer, inklusive out-of-band-medarbetare och kundkommunikation (anta att all e-post och chatt är nere). |
Överväg att skapa ett riskregister för att identifiera potentiella risker och åtgärda hur du ska medla genom förebyggande kontroller och åtgärder. Lägg till utpressningstrojaner i riskregistret som scenario med hög sannolikhet och hög påverkan. | Ett riskregister kan hjälpa dig att prioritera risker baserat på sannolikheten för att den risken inträffar och allvarlighetsgraden för ditt företag om den risken skulle uppstå. Spåra riskreduceringsstatus via utvärderingscykeln för företagsriskhantering (ERM). |
Säkerhetskopiera alla kritiska affärssystem automatiskt enligt ett regelbundet schema (inklusive säkerhetskopiering av kritiska beroenden som Active Directory). Kontrollera att säkerhetskopieringen är bra när säkerhetskopieringen skapas. |
Gör att du kan återställa data fram till den senaste säkerhetskopieringen. |
Skydda (eller skriva ut) stöddokument och system som krävs för återställning, till exempel dokument för återställningsprocedurer, CMDB, nätverksdiagram och SolarWinds-instanser. | Angripare riktar avsiktligt in sig på dessa resurser eftersom det påverkar din förmåga att återställa. |
Se till att du har väldokumenterade procedurer för att engagera stöd från tredje part, särskilt stöd från leverantörer av hotinformation, leverantörer av program mot skadlig kod och från leverantören av analys av skadlig kod. Skydda (eller skriva ut) dessa procedurer. | Kontakter från tredje part kan vara användbara om den angivna utpressningstrojanvarianten har kända svagheter eller dekrypteringsverktyg. |
Se till att strategin för säkerhetskopiering och återställning omfattar: Möjlighet att säkerhetskopiera data till en viss tidpunkt. Flera kopior av säkerhetskopior lagras på isolerade, offlineplatser (luftgapade). Mål för återställningstid som fastställer hur snabbt säkerhetskopierad information kan hämtas och placeras i produktionsmiljön. Snabb återställning av säkerhetskopiering till en produktionsmiljö/sandbox-miljö. |
Säkerhetskopior är viktiga för motståndskraft när en organisation har brutits. Använd 3-2-1-regeln för maximalt skydd och tillgänglighet: 3 kopior (original + 2 säkerhetskopior), 2 lagringstyper och 1 offsite eller kall kopia. |
Skydda säkerhetskopior mot avsiktlig radering och kryptering: Lagra säkerhetskopior i offline- eller off-site storage och/eller oföränderlig lagring. Kräv steg utan band (till exempel MFA eller en pin-kod för säkerhet) innan du tillåter att en onlinesäkerhetskopiering ändras eller raderas. Skapa privata slutpunkter i ditt virtuella Azure-nätverk för att på ett säkert sätt säkerhetskopiera och återställa data från recovery services-valvet. |
Säkerhetskopior som kan nås av angripare kan göras oanvändbara för företagsåterställning. Offlinelagring säkerställer robust överföring av säkerhetskopierade data utan att använda någon nätverksbandbredd. Azure Backup stöder offlinesäkerhetskopiering, som överför inledande säkerhetskopieringsdata offline, utan användning av nätverksbandbredd. Den tillhandahåller en mekanism för att kopiera säkerhetskopierade data till fysiska lagringsenheter. Enheterna skickas sedan till ett närliggande Azure-datacenter och laddas upp till ett Recovery Services-valv. Med oföränderlig onlinelagring (till exempel Azure Blob) kan du lagra affärskritiska dataobjekt i ett WORM-tillstånd (Skriv en gång, Läs många). Det här tillståndet gör att data inte kan raderas och inte ändras för ett användardefingivet intervall. Multifaktorautentisering (MFA) bör vara obligatoriskt för alla administratörskonton och rekommenderas starkt för alla användare. Den bästa metoden är att använda en autentiseringsapp i stället för SMS eller röst där det är möjligt. När du konfigurerar Azure Backup kan du konfigurera dina återställningstjänster för att aktivera MFA med hjälp av en pin-kod för säkerhet som genereras i Azure Portal. Detta säkerställer att en säkerhetsstift genereras för att utföra kritiska åtgärder som att uppdatera eller ta bort en återställningspunkt. |
Ange skyddade mappar. | Gör det svårare för obehöriga program att ändra data i dessa mappar. |
Granska dina behörigheter: Identifiera breda skriv-/borttagningsbehörigheter för filresurser, SharePoint och andra lösningar. Bred definieras som många användare som har skriv-/borttagningsbehörigheter för affärskritiska data. Minska breda behörigheter samtidigt som du uppfyller kraven för affärssamarbete. Granska och övervaka för att säkerställa att breda behörigheter inte visas igen. |
Minskar risken för breda aktiviteter med åtkomstaktivering av utpressningstrojaner. |
Skydda mot nätfiskeförsök: Genomför utbildning för säkerhetsmedvetenhet regelbundet för att hjälpa användare att identifiera ett nätfiskeförsök och undvika att klicka på något som kan skapa en första startpunkt för en kompromiss. Tillämpa säkerhetsfiltreringskontroller på e-post för att identifiera och minimera sannolikheten för ett lyckat nätfiskeförsök. |
Den vanligaste metoden som används av angripare för att infiltrera en organisation är nätfiskeförsök via e-post. Exchange Online Protection (EOP) är den molnbaserade filtreringstjänsten som skyddar din organisation mot skräppost, skadlig kod och andra e-posthot. EOP ingår i alla Microsoft 365-organisationer med Exchange Online-postlådor. Ett exempel på en säkerhetsfiltreringskontroll för e-post är Säkra länkar. Säkra länkar är en funktion i Defender för Office 365 som ger genomsökning och omskrivning av URL:er och länkar i e-postmeddelanden under inkommande e-postflöde och verifiering av URL:er och länkar i e-postmeddelanden och andra platser (Microsoft Teams- och Office-dokument). Genomsökning av säkra länkar sker utöver det vanliga skyddet mot skräppost och skadlig kod i inkommande e-postmeddelanden i EOP. Genomsökning av säkra länkar kan hjälpa till att skydda din organisation från skadliga länkar som används vid nätfiske och andra attacker. Läs mer om skydd mot nätfiske. |
Vad du ska göra under en attack
Om du blir attackerad blir din prioriterade säkerhetskopieringslista din prioriterade återställningslista. Innan du återställer kontrollerar du igen att säkerhetskopieringen är bra. Du kanske kan söka efter skadlig kod i säkerhetskopian.
Åtgärder att vidta under en attack
Använd dessa metodtips under en attack.
Uppgift | Detalj |
---|---|
Tidigt i attacken kan du kontakta tredjepartssupport, särskilt stöd från leverantörer av hotinformation, leverantörer av program mot skadlig kod och från leverantören av analys av skadlig kod. | Dessa kontakter kan vara användbara om den angivna utpressningstrojanvarianten har en känd svaghet eller dekrypteringsverktyg är tillgängliga. Microsoft Incident Response-teamet kan hjälpa dig att skydda dig mot attacker. Microsoft Incident Response samarbetar med kunder runt om i världen, hjälper till att skydda och härda mot attacker innan de inträffar, samt undersöka och åtgärda när en attack har inträffat. Microsoft tillhandahåller även Rapid Ransomware Recovery-tjänster. Tjänsterna levereras exklusivt av Microsoft Global Compromise Recovery Security Practice (CRSP). Fokus för det här teamet under en utpressningstrojanattack är att återställa autentiseringstjänsten och begränsa effekten av utpressningstrojaner. Microsoft Incident Response är en del av Microsofts servicelinje för leverans av branschlösningar . |
Kontakta dina lokala eller federala brottsbekämpande myndigheter. | Om du är i USA kontaktar du FBI för att rapportera ett intrång i utpressningstrojaner med hjälp av IC3-klagomålsreferensformuläret. |
Vidta åtgärder för att ta bort nyttolasten för skadlig kod eller utpressningstrojaner från din miljö och stoppa spridningen. Kör en fullständig, aktuell antivirusgenomsökning på alla misstänkta datorer och enheter för att identifiera och ta bort nyttolasten som är associerad med utpressningstrojanen. Genomsök enheter som synkroniserar data eller mål för mappade nätverksenheter. |
Du kan använda Windows Defender eller (för äldre klienter) Microsoft Security Essentials. Ett alternativ som också hjälper dig att ta bort utpressningstrojaner eller skadlig kod är verktyget för borttagning av skadlig programvara (MSRT). |
Återställ först affärskritiska system. Kom ihåg att kontrollera att säkerhetskopieringen är bra innan du återställer den. | Nu behöver du inte återställa allt. Fokusera på de fem viktigaste affärskritiska systemen från återställningslistan. |
Om du har offlinesäkerhetskopior kan du förmodligen återställa krypterade data när du har tagit bort nyttolasten för utpressningstrojaner (skadlig kod) från din miljö. | För att förhindra framtida attacker, se till att utpressningstrojaner eller skadlig kod inte finns på offlinesäkerhetskopian innan du återställer. |
Identifiera en säker säkerhetskopieringsbild för tidpunkt som är känd för att inte vara infekterad. Om du använder Recovery Services-valvet granskar du noggrant incidenttidslinjen för att förstå rätt tidpunkt för att återställa en säkerhetskopia. |
Om du vill förhindra framtida attacker genomsöker du säkerhetskopiering efter utpressningstrojaner eller skadlig kod innan du återställer. |
Använd en säkerhetsskanner och andra verktyg för fullständig återställning av operativsystem samt scenarier för dataåterställning. | Microsoft Safety Scanner är ett genomsökningsverktyg som är utformat för att hitta och ta bort skadlig kod från Windows-datorer. Ladda bara ned den och kör en genomsökning för att hitta skadlig kod och försök att ångra ändringar som gjorts av identifierade hot. |
Kontrollera att din antivirus- eller identifiering och åtgärd på slutpunkt-lösning (EDR) är uppdaterad. Du måste också ha uppdaterade korrigeringar. | En EDR-lösning, till exempel Microsoft Defender för Endpoint, är att föredra. |
När affärskritiska system är igång återställer du andra system. När systemen återställs börjar du samla in telemetridata så att du kan fatta beslut om vad du återställer. |
Telemetridata bör hjälpa dig att identifiera om skadlig kod fortfarande finns på dina system. |
Efter attack eller simulering
Efter en utpressningstrojanattack eller en simulering av incidenthantering kan du vidta följande steg för att förbättra dina planer för säkerhetskopiering och återställning samt din säkerhetsstatus:
- Identifiera lärdomar där processen inte fungerade bra (och möjligheter att förenkla, påskynda eller på annat sätt förbättra processen)
- Utföra rotorsaksanalys på de största utmaningarna (tillräckligt detaljerat för att säkerställa att lösningarna tar itu med rätt problem – med tanke på människor, processer och teknik)
- Undersöka och åtgärda det ursprungliga intrånget (kontakta Microsoft Incident Response-teamet (tidigare DART) för att hjälpa till)
- Uppdatera din strategi för säkerhetskopiering och återställning baserat på lärdomar och möjligheter – prioritera baserat på högsta effekt och snabbaste implementeringssteg först
Nästa steg
Metodtips för att distribuera skydd mot utpressningstrojaner finns i Skydda snabbt mot utpressningstrojaner och utpressning.
Viktig branschinformation:
- 2023 Microsofts rapport om digitalt försvar (se sidorna 17-26)
Microsoft Azure:
Skydda mot utpressningstrojaner med Microsoft Azure Backup (26-minuters video)
Avancerad attackidentifiering i flera steg i Microsoft Sentinel
Microsoft 365:
- Återställa från en utpressningstrojanattack
- Skydd mot skadlig kod och utpressningstrojaner
- Skydda din Windows 10-dator från utpressningstrojaner
- Hantera utpressningstrojaner i SharePoint Online
Microsoft Defender XDR: