Gör det svårt för utpressningstrojanattacker att komma in i din organisation
I den här fasen får du angriparna att arbeta hårdare för att komma in i dina lokala system eller molnsystem genom att gradvis ta bort risker vid startpunkterna.
Även om många av dessa ändringar kommer att vara välbekanta och lätta att göra, är det oerhört viktigt att ditt arbete med den här delen av strategin inte saktar ner dina framsteg på den andra till kritiskt viktiga delar!
Här följer länkarna för att granska den tredelade cybersäkerhetsplanen:
Fjärråtkomst
Att få åtkomst till organisationens intranät via en fjärråtkomstanslutning är en attackvektor för utpressningstrojaner.
När ett lokalt användarkonto har komprometterats kan en angripare använda ett intranät för att samla in intelligens, höja behörigheter och installera utpressningstrojaner. Cyberattacken i Colonial Pipeline 2021 är ett exempel.
Program- och projektmedlemskonto för fjärråtkomst
Den här tabellen beskriver det övergripande skyddet av fjärråtkomstlösningen från utpressningstrojaner i form av en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.
| Lead | Implementor | Ansvar |
|---|---|---|
| CISO eller CIO | Chefssponsring | |
| Programledare för den centrala IT-infrastrukturen /nätverksteamet | Skapa resultat och samarbete mellan team | |
| IT- och säkerhetsarkitekter | Prioritera komponentintegrering i arkitekturer | |
| Centralt IT-identitetsteam | Konfigurera Microsoft Entra-ID och principer för villkorlig åtkomst | |
| Centrala IT-åtgärder | Implementera ändringar i miljön | |
| Arbetsbelastningsägare | Hjälp med RBAC-behörigheter för apppublicering | |
| Säkerhetsprincip och standarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
| Användarutbildningsteam | Uppdatera eventuell vägledning om arbetsflödesändringar och utföra utbildnings- och ändringshantering |
Checklista för implementering för fjärråtkomst
Använd dessa metodtips för att skydda din infrastruktur för fjärråtkomst från utpressningstrojaner.
| Klart | Uppgift | beskrivning |
|---|---|---|
| Underhåll program- och installationsuppdateringar. Undvik att sakna eller försumma tillverkarens skydd (säkerhetsuppdateringar, status som stöds). | Angripare använder välkända säkerhetsrisker som ännu inte har korrigerats som attackvektorer. | |
| Konfigurera Microsoft Entra-ID för befintlig fjärråtkomst genom att inkludera framtvinga Nolltillit användar- och enhetsvalidering med villkorsstyrd åtkomst. | Nolltillit ger flera nivåer för att skydda åtkomsten till din organisation. | |
| Konfigurera säkerhet för befintliga VPN-lösningar från tredje part (Cisco Any Anslut, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) med mera). | Dra nytta av den inbyggda säkerheten för fjärråtkomstlösningen. | |
| Distribuera Azure Punkt-till-plats-VPN (P2S) för att ge fjärråtkomst. | Dra nytta av integrering med Microsoft Entra-ID och dina befintliga Azure-prenumerationer. | |
| Publicera lokala webbappar med Microsoft Entra-programproxy. | Appar som publiceras med Microsoft Entra-programproxy behöver ingen fjärråtkomstanslutning. | |
| Säker åtkomst till Azure-resurser med Azure Bastion. | Anslut säkert och sömlöst till dina virtuella Azure-datorer via SSL. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). | Minska risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen. |
E-post och samarbete
Implementera metodtips för e-post- och samarbetslösningar för att göra det svårare för angripare att missbruka dem, samtidigt som dina medarbetare enkelt och säkert kan komma åt externt innehåll.
Angripare kommer ofta in i miljön genom att överföra skadligt innehåll med auktoriserade samarbetsverktyg som e-post och fildelning och övertyga användare att köra det. Microsoft har investerat i förbättrade åtgärder som avsevärt ökar skyddet mot dessa attackvektorer.
Program- och projektmedlemskonto för e-post och samarbete
Den här tabellen beskriver det övergripande skyddet av dina e-post- och samarbetslösningar från utpressningstrojaner när det gäller en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.
| Lead | Implementor | Ansvar |
|---|---|---|
| CISO, CIO eller identitetsdirektör | Chefssponsring | |
| Programledare från teamet för säkerhetsarkitektur | Skapa resultat och samarbete mellan team | |
| IT-arkitekter | Prioritera komponentintegrering i arkitekturer | |
| Molnproduktivitet eller slutanvändarteam | Aktivera Defender för Office 365, ASR och AMSI | |
| Infrastruktur för säkerhetsarkitektur / + slutpunkt | Konfigurationshjälp | |
| Användarutbildningsteam | Uppdatera vägledning om arbetsflödesändringar | |
| Säkerhetsprincip och standarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad |
Checklista för implementering för e-post och samarbete
Använd dessa metodtips för att skydda dina e-post- och samarbetslösningar från utpressningstrojaner.
| Klart | Uppgift | beskrivning |
|---|---|---|
| Aktivera AMSI för Office VBA. | Identifiera Office-makroattacker med slutpunktsverktyg som Defender för Endpoint. | |
| Implementera Avancerad e-postsäkerhet med Hjälp av Defender för Office 365 eller en liknande lösning. | E-post är en vanlig startpunkt för angripare. | |
| Distribuera regler för minskning av attackytan (ASR) för att blockera vanliga attacktekniker, inklusive: – Slutpunktsmissbruk, till exempel stöld av autentiseringsuppgifter, utpressningstrojaner och misstänkt användning av PsExec och WMI. – Vapeniserad Office-dokumentaktivitet som avancerad makroaktivitet, körbart innehåll, processskapande och processinmatning som initierats av Office-appen likeringar. Obs! Distribuera först dessa regler i granskningsläge, utvärdera sedan eventuella negativa effekter och distribuera dem sedan i blockeringsläge. |
ASR tillhandahåller ytterligare skyddslager som är specifikt inriktade på att minimera vanliga attackmetoder. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). | Minskar risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen. |
Slutpunkter
Implementera relevanta säkerhetsfunktioner och noggrant följa metodtips för programvaruunderhåll för slutpunkter (enheter) och program, prioritera program och server-/klientoperativsystem som är direkt exponerade för Internettrafik och innehåll.
Internetexponerade slutpunkter är en vanlig inmatningsvektor som ger angripare åtkomst till organisationens tillgångar. Prioritera blockering av vanliga säkerhetsproblem för operativsystem och program med förebyggande kontroller för att sakta ned eller hindra dem från att köra nästa steg.
Program- och projektmedlemskonto för enbpoints
Den här tabellen beskriver det övergripande skyddet av dina slutpunkter från utpressningstrojaner när det gäller en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.
| Lead | Implementor | Ansvar |
|---|---|---|
| Företagsledarskap ansvarigt för affärspåverkan av både stilleståndstid och attackskador | Sponsring av chefer (underhåll) | |
| Centrala IT-åtgärder eller CIO | Executive sponsring (andra) | |
| Programledare från det centrala IT-infrastrukturteamet | Skapa resultat och samarbete mellan team | |
| IT- och säkerhetsarkitekter | Prioritera komponentintegrering i arkitekturer | |
| Centrala IT-åtgärder | Implementera ändringar i miljön | |
| Molnproduktivitet eller slutanvändarteam | Aktivera minskning av attackytan | |
| Arbetsbelastnings-/appägare | Identifiera underhållsperioder för ändringar | |
| Säkerhetsprincip och standarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad |
Checklista för implementering för slutpunkter
Använd dessa metodtips för alla Windows-, Linux-, MacOS-, Android-, iOS- och andra slutpunkter.
| Klart | Uppgift | beskrivning |
|---|---|---|
| Blockera kända hot med regler för minskning av attackytan, manipuleringsskydd och blockera på första plats. | Låt inte bristen på användning av dessa inbyggda säkerhetsfunktioner vara orsaken till att en angripare gick in i din organisation. | |
| Använd säkerhetsbaslinjer för att förstärka Internetuppkopplade Windows-servrar och -klienter och Office-appen likeringar. | Skydda din organisation med den lägsta säkerhetsnivån och bygg därifrån. | |
| Underhåll programvaran så att den är: – Uppdaterad: Distribuera snabbt kritiska säkerhetsuppdateringar för operativsystem, webbläsare och e-postklienter – Stöds: Uppgradera operativsystem och programvara för versioner som stöds av dina leverantörer. |
Angripare räknar med att du saknar eller försummar tillverkarens uppdateringar och uppgraderingar. | |
| Isolera, inaktivera eller dra tillbaka osäkra system och protokoll, inklusive operativsystem som inte stöds och äldre protokoll. | Angripare använder kända sårbarheter för äldre enheter, system och protokoll som startpunkter i din organisation. | |
| Blockera oväntad trafik med värdbaserad brandvägg och nätverksskydd. | Vissa attacker mot skadlig kod förlitar sig på oönskad inkommande trafik till värdar som ett sätt att upprätta en anslutning för en attack. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). | Minskar risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen. |
Accounts
Precis som antika skelettnycklar inte skyddar ett hus mot en modern inbrottstjuv, kan lösenord inte skydda konton mot vanliga attacker vi ser idag. Multifaktorautentisering (MFA) var en gång ett betungande extra steg, men lösenordslös autentisering förbättrar inloggningsupplevelsen med biometriska metoder som inte kräver att användarna kommer ihåg eller skriver ett lösenord. Dessutom lagrar en Nolltillit-infrastruktur information om betrodda enheter, vilket minskar antalet frågor om irriterande MFA-åtgärder utan band.
Börja med administratörskonton med hög behörighet och följ noggrant dessa metodtips för kontosäkerhet, inklusive användning av lösenordslös eller MFA.
Kontoskulder för program- och projektmedlem för konton
Den här tabellen beskriver det övergripande skyddet av dina konton mot utpressningstrojaner i form av en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.
| Lead | Implementor | Ansvar |
|---|---|---|
| CISO, CIO eller identitetsdirektör | Chefssponsring | |
| Programledare från team för identitets- och nyckelhantering eller säkerhetsarkitektur | Skapa resultat och samarbete mellan team | |
| IT- och säkerhetsarkitekter | Prioritera komponentintegrering i arkitekturer | |
| Identitets- och nyckelhantering eller centrala IT-åtgärder | Implementera konfigurationsändringar | |
| Säkerhetsprincip och standarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
| Användarutbildningsteam | Uppdatera lösenords- eller inloggningsvägledning och utföra utbildnings- och ändringshantering |
Checklista för implementering för konton
Använd dessa metodtips för att skydda dina konton mot utpressningstrojaner.
| Klart | Uppgift | beskrivning |
|---|---|---|
| Framtvinga stark MFA eller lösenordslös inloggning för alla användare. Börja med administratörs- och prioritetskonton med en eller flera av: – Lösenordslös autentisering med Windows Hello eller Microsoft Authenticator-appen. - Azure Multi-Factor Authentication. – En MFA-lösning från tredje part. |
Gör det svårare för en angripare att utföra en kompromiss av autentiseringsuppgifter genom att bara fastställa ett användarkontolösenord. | |
| Öka lösenordssäkerheten: – För Microsoft Entra-konton använder du Microsoft Entra Password Protection för att identifiera och blockera kända svaga lösenord och ytterligare svaga termer som är specifika för din organisation. – Utöka Microsoft Entra Password Protection till AD DS-konton för lokal Active Directory Domain Services-konton (AD DS). |
Se till att angripare inte kan fastställa vanliga lösenord eller lösenord baserat på organisationens namn. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). | Minskar risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen. |
Implementeringsresultat och tidslinjer
Försök att uppnå dessa resultat inom 30 dagar:
- 100 % av de anställda använder aktivt MFA
- 100 % distribution av högre lösenordssäkerhet
Ytterligare resurser för utpressningstrojaner
Viktig information från Microsoft:
- Det växande hotet från utpressningstrojaner, blogginlägget Microsoft On the Issues den 20 juli 2021
- Utpressningstrojaner som drivs av människor
- Skydda snabbt mot utpressningstrojaner och utpressning
- 2021 Microsofts rapport om digitalt försvar (se sidorna 10-19)
- Utpressningstrojan: En omfattande och pågående hotanalysrapport i Microsoft Defender-portalen
- Microsofts metod för utpressningstrojaner för identifiering och svarsteam (DART) och fallstudie
Microsoft 365:
- Distribuera skydd mot utpressningstrojaner för din Microsoft 365-klientorganisation
- Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
- Återställa från en utpressningstrojanattack
- Skydd mot skadlig kod och utpressningstrojaner
- Skydda din Windows 10-dator från utpressningstrojaner
- Hantera utpressningstrojaner i SharePoint Online
- Hotanalysrapporter för utpressningstrojaner i Microsoft Defender-portalen
Microsoft Defender XDR:
Microsoft Azure:
- Azure Defenses för utpressningstrojanattack
- Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
- Säkerhetskopierings- och återställningsplan för att skydda mot utpressningstrojaner
- Skydda mot utpressningstrojaner med Microsoft Azure Backup (26 minuters video)
- Återställning från systemisk identitetskompromiss
- Avancerad attackidentifiering i flera steg i Microsoft Sentinel
- Fusionsidentifiering för utpressningstrojaner i Microsoft Sentinel
Microsoft Defender för molnet-appar:
Blogginlägg för Microsoft Security-teamet:
3 steg för att förhindra och återställa från utpressningstrojaner (september 2021)
En guide för att bekämpa utpressningstrojaner som drivs av människor: Del 1 (september 2021)
Viktiga steg om hur Microsofts team för identifiering och svar (DART) utför utpressningstrojanincidenter.
En guide för att bekämpa utpressningstrojaner som drivs av människor: Del 2 (september 2021)
Rekommendationer och metodtips.
-
Se avsnittet Utpressningstrojaner .
Attacker mot utpressningstrojaner som kan förebyggas (mars 2020)
Innehåller analys av angreppskedjan av faktiska attacker.
Utpressningstrojansvar – att betala eller inte betala? (december 2019)
Norsk Hydro svarar på utpressningstrojanattacker med transparens (december 2019)
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för