Dela via

Förbereda för en utpressningstrojanattack

  • Artikel

Anta ett ramverk för cybersäkerhet

Ett bra ställe att börja på är att använda Microsoft Cloud Security Benchmark (MCSB) för att skydda Azure-miljön. Microsofts molnsäkerhetsmått är Azures ramverk för säkerhetskontroll baserat på branschbaserade ramverk för säkerhetskontroll, till exempel NIST SP800-53, CIS Controls v7.1.

Skärmbild av säkerhetskontrollen NS-1: Upprätta nätverkssegmenteringsgränser

Microsofts benchmark för molnsäkerhet ger organisationer vägledning om hur du konfigurerar Azure- och Azure-tjänster och implementerar säkerhetskontrollerna. Organisationer kan använda Microsoft Defender för molnet för att övervaka sin Live Azure-miljöstatus med alla MCSB-kontroller.

I slutändan syftar ramverket till att minska och bättre hantera cybersäkerhetsrisker.

Microsofts benchmark-stack för molnsäkerhet
Nätverkssäkerhet (NS)
Identitetshantering (IM)
Privilegierad åtkomst (PA)
Dataskydd (DP)
Tillgångshantering (AM)
Loggning och hotidentifiering (LT)
Incidenthantering (IR)
Hantering av hållning och sårbarhet (PV)
Slutpunktssäkerhet (ES)
Säkerhetskopiering och återställning (BR)
DevOps Security (DS)
Styrning och strategi (GS)

Prioritera åtgärd

Baserat på vår erfarenhet av utpressningstrojanattacker finner vi att prioriteringen bör fokusera på: 1) förbereda, 2) gräns, 3) förhindra. Detta kan verka kontraintuitivt, eftersom de flesta vill förhindra en attack och gå vidare. Tyvärr måste vi anta intrång (en viktig Nulta pouzdanost princip) och fokusera på att på ett tillförlitligt sätt mildra de mest skador först. Den här prioriteringen är kritisk på grund av den höga sannolikheten för ett värsta scenario med utpressningstrojaner. Även om det inte är en trevlig sanning att acceptera, står vi inför kreativa och motiverade mänskliga angripare som är skickliga på att hitta ett sätt att kontrollera de komplexa verkliga miljöer där vi arbetar. Mot den verkligheten är det viktigt att förbereda sig för det värsta och upprätta ramverk som ska innehålla och förhindra angripares förmåga att få vad de är ute efter.

De här prioriteringarna bör styra vad de ska göra först, men vi uppmuntrar organisationer att köra steg parallellt där det är möjligt, inklusive att dra snabba vinster framåt från steg 1 när du kan.

Gör det svårare att komma in

Förhindra att en utpressningstrojananfallare kommer in i din miljö och snabbt svara på incidenter för att ta bort angriparens åtkomst innan de kan stjäla och kryptera data. Detta gör att angripare misslyckas tidigare och oftare, vilket undergräver vinsten för deras attacker. Även om förebyggande är det bästa resultatet, är det en kontinuerlig resa och kanske inte är möjligt att uppnå 100 % förebyggande och snabba svar i en verklig organisation (komplex flerplattforms- och multimolnsegendom med distribuerat IT-ansvar).

För att uppnå detta bör organisationer identifiera och köra snabba vinster för att stärka säkerhetskontrollerna för att förhindra inresa och snabbt identifiera/avlägsna angripare samtidigt som de implementerar ett varaktigt program som hjälper dem att hålla sig säkra. Microsoft rekommenderar att organisationer följer de principer som beskrivs i Nulta pouzdanost strategi här. Specifikt, mot utpressningstrojaner, bör organisationer prioritera:

  • Förbättra säkerhetshygienen genom att fokusera arbetet på minskning av attackytan och Upravljanje pretnjama i ranjivim mestima för tillgångar i deras egendom.
  • Implementera skydds-, identifierings- och svarskontroller för sina digitala tillgångar som kan skydda mot råvara och avancerade hot, ge synlighet och aviseringar om angripares aktivitet och svara på aktiva hot.

Begränsa omfattningen av skador

Se till att du har starka kontroller (förhindra, identifiera, svara) för privilegierade konton som IT-administratörer och andra roller med kontroll över affärskritiska system. Detta gör att angripare inte får fullständig åtkomst till dina resurser för att stjäla och kryptera dem. Att ta bort angriparnas möjlighet att använda IT-administratörskonton som en genväg till resurser minskar drastiskt risken för att de lyckas attackera dig och kräva betalning/vinst.

Organisationer bör ha förhöjd säkerhet för privilegierade konton (noggrant skydda, övervaka och snabbt svara på incidenter som är relaterade till dessa roller). Se Microsofts plan för snabb modernisering av säkerhet, som omfattar:

  • End to End Session Security (inklusive multifaktorautentisering (MFA) för administratörer)
  • Skydda och övervaka identitetssystem
  • Minimera lateral bläddering
  • Snabbt hotsvar

Förbereda för det värsta

Planera för det värsta scenariot och förvänta dig att det händer (på alla nivåer i organisationen). Detta hjälper din organisation och andra i världen som du är beroende av:

  • Begränsar skador för det värsta scenariot – Även om återställning av alla system från säkerhetskopior är mycket störande för verksamheten, är detta effektivare och effektivare än att försöka återställa med hjälp av (låg kvalitet) dekrypteringsverktyg som tillhandahålls av angripare efter att ha betalat för att hämta nyckeln. Obs! Betalning är en osäker väg – Du har ingen formell eller juridisk garanti för att nyckeln fungerar på alla filer, verktygen fungerar effektivt eller att angriparen (som kan vara en amatör affiliate med hjälp av en professionells verktygslåda) kommer att agera i god tro.
  • Begränsa den ekonomiska avkastningen för angripare – Om en organisation kan återställa affärsåtgärder utan att betala angriparna misslyckas attacken och resulterar i noll avkastning på investeringen (ROI) för angriparna. Detta gör det mindre troligt att de kommer att rikta in sig på organisationen i framtiden (och berövar dem mer finansiering för att attackera andra).

Angriparna kan fortfarande försöka utpressa organisationen genom att avslöja eller missbruka/sälja stulna data, men detta ger dem mindre användning än om de har den enda åtkomstvägen till dina data och system.

För att förverkliga detta bör organisationer se till att de:

  • Registrera risk – Lägg till utpressningstrojaner för riskregistrering som scenario med hög sannolikhet och hög påverkan. Spåra riskreduceringsstatus via utvärderingscykeln för företagsriskhantering (ERM).
  • Definiera och säkerhetskopiera kritiska affärstillgångar – Definiera system som krävs för kritiska affärsåtgärder och säkerhetskopiera dem automatiskt enligt ett regelbundet schema (inklusive korrekt säkerhetskopiering av kritiska beroenden som Active Directory) Skydda säkerhetskopior mot avsiktlig radering och kryptering med offlinelagring, oföränderlig lagring och/eller out-of-band-steg (MFA eller PIN) innan du ändrar/raderar säkerhetskopieringar online.
  • Testa scenariot "Återställ från noll" – testa för att säkerställa att din affärskontinuitet/haveriberedskap (BC/DR) snabbt kan få kritiska affärsåtgärder online från noll funktioner (alla system är nere). Utför övningsövningar för att validera processer mellan team och tekniska procedurer, inklusive out-of-band-medarbetare och kundkommunikation (anta att all e-post/chatt/etc. är nere).
    Det är viktigt att skydda (eller skriva ut) stöddokument och system som krävs för återställning, inklusive dokument för återställningsprocedurer, CMDB, nätverksdiagram, SolarWinds-instanser osv. Angripare förstör dessa regelbundet.
  • Minska den lokala exponeringen – genom att flytta data till molntjänster med automatisk säkerhetskopiering och återställning via självbetjäning.

Öka medvetenheten och se till att det inte finns något kunskapsgap

Det finns ett antal aktiviteter som kan utföras för att förbereda för potentiella utpressningstrojanincidenter.

Utbilda slutanvändare om farorna med utpressningstrojaner

Eftersom de flesta utpressningstrojanvarianter förlitar sig på slutanvändare för att installera utpressningstrojaner eller ansluta till komprometterade webbplatser, bör alla slutanvändare utbildas om farorna. Detta skulle vanligtvis vara en del av den årliga utbildningen för säkerhetsmedvetenhet och ad hoc-utbildning som är tillgänglig via företagets utbildningssystem. Kunskapsutbildningen bör även omfatta företagets kunder via företagets portaler eller andra lämpliga kanaler.

Utbilda SOC-analytiker (Security Operations Center) och andra om hur man svarar på utpressningstrojanincidenter

SOC-analytiker och andra som är inblandade i utpressningstrojanincidenter bör känna till grunderna för skadlig programvara och utpressningstrojan specifikt. De bör vara medvetna om större varianter/familjer av utpressningstrojaner, tillsammans med några av deras typiska egenskaper. Kundtjänstpersonalen bör också vara medveten om hur man hanterar utpressningstrojanrapporter från företagets slutanvändare och kunder.

Se till att du har lämpliga tekniska kontroller på plats

Det finns en mängd olika tekniska kontroller som bör finnas för att skydda, upptäcka och svara på utpressningstrojanincidenter med stark betoning på förebyggande åtgärder. SOC-analytiker bör åtminstone ha tillgång till telemetrin som genereras av program mot skadlig kod i företaget, förstå vilka förebyggande åtgärder som finns, förstå infrastrukturen som är riktad mot utpressningstrojaner och kunna hjälpa företagsteamen att vidta lämpliga åtgärder.

Detta bör omfatta några eller alla av följande viktiga verktyg:

  • Detektiv- och förebyggande verktyg

    • Produktsviter för program mot skadlig kod för företagsserver (till exempel Microsoft Defender för molnet)
    • Nätverkslösningar för program mot skadlig kod (till exempel Azure Anti-malware)
    • Plattformar för säkerhetsdataanalys (till exempel Azure Monitor, Sentinel)
    • Nästa generations system för intrångsidentifiering och skydd
    • Nästa generations brandvägg (NGFW)

  • Verktyg för analys och svar av skadlig kod

    • Automatiserade analyssystem för skadlig kod med stöd för de flesta större slutanvändare och serveroperativsystem i organisationen
    • Analysverktyg för statisk och dynamisk skadlig kod
    • Programvara och maskinvara för digital kriminalteknik
    • Icke-organisatorisk Internetåtkomst (till exempel 4G-dongel)
    • För maximal effektivitet bör SOC-analytiker ha omfattande åtkomst till nästan alla plattformar för program mot skadlig kod via sina interna gränssnitt utöver enhetlig telemetri på plattformarna för säkerhetsdataanalys. Plattformen för azure-inbyggda program mot skadlig kod för Azure Cloud Services och virtuella datorer innehåller stegvisa guider om hur du gör detta.
    • Beriknings- och underrättelsekällor
    • Källor för hot och skadlig kod online och offline (till exempel Sentinel, Azure Network Watcher)
    • Active Directory och andra autentiseringssystem (och relaterade loggar)
    • Interna konfigurationshanteringsdatabaser (CMDB) som innehåller information om slutpunktsenheter

  • Dataskydd

    • Implementera dataskydd för att säkerställa snabb och tillförlitlig återställning från en utpressningstrojanattack + blockera vissa tekniker.
    • Utse skyddade mappar – för att göra det svårare för obehöriga program att ändra data i dessa mappar.
    • Granska behörigheter – för att minska risken från bred åtkomst som aktiverar utpressningstrojaner
    • Identifiera breda skriv-/borttagningsbehörigheter för filresurser, SharePoint och andra lösningar
    • Minska breda behörigheter samtidigt som du uppfyller kraven för affärssamarbete
    • Granska och övervaka för att säkerställa att breda behörigheter inte visas igen
    • Säkra säkerhetskopior
    • Se till att kritiska system säkerhetskopieras och att säkerhetskopior skyddas mot avsiktlig radering/kryptering av angripare.
    • Säkerhetskopiera alla kritiska system automatiskt enligt ett regelbundet schema
    • Säkerställa snabb återställning av affärsåtgärder genom att regelbundet utöva en plan för affärskontinuitet/haveriberedskap (BC/DR)
    • Skydda säkerhetskopior mot avsiktlig radering och kryptering
    • Starkt skydd – Kräv out-of-band-steg (till exempel MUA/MFA) innan du ändrar onlinesäkerhetskopior som Azure Backup
    • Starkaste skydd – Isolera säkerhetskopior från online-/produktionsarbetsbelastningar för att förbättra skyddet av säkerhetskopierade data.
    • Skydda stöddokument som krävs för återställning, till exempel dokument för återställningsprocedurer, CMDB och nätverksdiagram

Upprätta en incidenthanteringsprocess

Se till att din organisation utför ett antal aktiviteter som ungefär följer incidenthanteringsstegen och vägledningen som beskrivs i US National Institute of Standards and Technology (NIST) Computer Security Incident Handling Guide (Special Publication 800-61r2) för att förbereda för potentiella utpressningstrojanincidenter. Stegen är följande:

  1. Förberedelse: I det här steget beskrivs de olika åtgärder som ska vidtas före en incident. Detta kan omfatta både tekniska förberedelser (t.ex. genomförande av lämpliga säkerhetskontroller och annan teknik) och icke-tekniska förberedelser (t.ex. förberedelse av processer och förfaranden).
  2. Utlösare/identifiering: Det här steget beskriver hur den här typen av incident kan identifieras och vilka utlösare som kan vara tillgängliga som ska användas för att initiera ytterligare undersökning eller deklaration av en incident. Dessa är vanligtvis indelade i utlösare med hög konfidens och låg konfidens.
  3. Undersökning/analys: Det här steget beskriver de aktiviteter som ska utföras för att undersöka och analysera tillgängliga data när det inte är klart att en incident har inträffat, med målet att antingen bekräfta att en incident ska deklareras eller dra slutsatsen att en incident inte har inträffat.
  4. Incidentdeklaration: Det här steget beskriver de steg som måste vidtas för att deklarera en incident, vanligtvis med höjning av en biljett inom systemet för hantering av företagsincidenter (biljetthantering) och dirigerar biljetten till lämplig personal för ytterligare utvärdering och åtgärder.
  5. Inneslutning/minskning: Det här steget beskriver de steg som kan vidtas antingen av Security Operations Center (SOC) eller av andra för att begränsa eller begränsa incidenten från att fortsätta att inträffa eller begränsa effekten av incidenten med hjälp av tillgängliga verktyg, tekniker och procedurer.
  6. Reparation/återställning: Det här steget beskriver de steg som kan vidtas för att åtgärda eller återställa från skador som orsakades av incidenten innan den stoppades och mildrades.
  7. Aktivitet efter incident: Det här steget omfattar de aktiviteter som ska utföras när incidenten har stängts. Detta kan omfatta att fånga den slutliga berättelsen som är associerad med incidenten samt att identifiera lärdomar.

Flödesschema för en incidenthanteringsprocess

Förbereda för en snabb återställning

Se till att du har lämpliga processer och procedurer på plats. Nästan alla utpressningstrojanincidenter resulterar i behovet av att återställa komprometterade system. Därför bör lämpliga och testade processer och procedurer för säkerhetskopiering och återställning finnas på plats för de flesta system. Det bör också finnas lämpliga inneslutningsstrategier på plats med lämpliga procedurer för att stoppa utpressningstrojaner från att spridas och återställas från utpressningstrojanattacker.

Se till att du har väldokumenterade procedurer för att engagera stöd från tredje part, särskilt stöd från leverantörer av hotinformation, leverantörer av program mot skadlig kod och från leverantören av analys av skadlig kod. Dessa kontakter kan vara användbara om utpressningstrojanvarianten kan ha kända svagheter eller dekrypteringsverktyg kan vara tillgängliga.

Azure-plattformen tillhandahåller alternativ för säkerhetskopiering och återställning via Azure Backup samt inbyggda i olika datatjänster och arbetsbelastningar.

Isolerade säkerhetskopior med Azure Backup

  • Azure Virtual Machines
  • Databaser i virtuella Azure-datorer: SQL, SAP HANA
  • Azure Database for PostgreSQL
  • Lokala Windows-servrar (säkerhetskopiering till molnet med MARS-agent)

Lokala säkerhetskopieringar (drift) med Azure Backup

  • Azure Files
  • Azure-blobar
  • Azure-diskar

Inbyggda säkerhetskopior från Azure-tjänster

  • Datatjänster som Azure Databases (SQL, MySQL, MariaDB, PostgreSQL), Azure Cosmos DB och ANF erbjuder inbyggda säkerhetskopieringsfunktioner

Härnäst

Se vitboken: Azure-skydd för utpressningstrojanattack.

Andra artiklar i den här serien: