Försvara dig mot utpressningstrojanattacker
I den här fasen får du hotaktörerna att arbeta hårdare för att få åtkomst till dina lokala system eller molnsystem genom att gradvis ta bort risker vid startpunkterna.
Även om många av dessa ändringar kommer att vara välbekanta och lätta att implementera, är det oerhört viktigt att ditt arbete med den här delen av strategin inte saktar ner dina framsteg på de andra kritiskt viktiga delarna!
Här är länkarna för att granska den tredelade planen för förebyggande av utpressningstrojaner:
Fjärråtkomst
Att få åtkomst till organisationens intranät via en fjärråtkomstanslutning är en attackvektor för utpressningstrojanhotaktörer.
När ett lokalt användarkonto har komprometterats kan en hotskådespelare använda ett intranät för att samla in intelligens, höja privilegier och installera utpressningstrojaner. Cyberattacken i Colonial Pipeline 2021 är ett exempel.
Program- och projektmedlemskonto för fjärråtkomst
Den här tabellen beskriver det övergripande skyddet av fjärråtkomstlösningen från utpressningstrojaner i form av en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.
| Lead | Implementor | Ansvar |
|---|---|---|
| CISO eller CIO | Chefssponsring | |
| Programledare för den centrala IT-infrastrukturen /nätverksteamet | Skapa resultat och samarbete mellan team | |
| IT- och säkerhetsarkitekter | Prioritera komponentintegrering i arkitekturer | |
| Centralt IT-identitetsteam | Konfigurera Microsoft Entra-ID och principer för villkorlig åtkomst | |
| Centrala IT-åtgärder | Implementera ändringar i miljön | |
| Arbetsbelastningsägare | Hjälp med RBAC-behörigheter för apppublicering | |
| Säkerhetsprincip och standarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
| Användarutbildningsteam | Uppdatera eventuell vägledning om arbetsflödesändringar och utföra utbildnings- och ändringshantering |
Checklista för implementering för fjärråtkomst
Använd dessa metodtips för att skydda din infrastruktur för fjärråtkomst från utpressningstrojanhotaktörer.
| Klart | Uppgift | beskrivning |
|---|---|---|
| Underhåll program- och installationsuppdateringar. Undvik att sakna eller försumma tillverkarens skydd (säkerhetsuppdateringar, status som stöds). | Hotaktörer använder välkända sårbarheter som ännu inte har korrigerats som attackvektorer. | |
| Konfigurera Microsoft Entra-ID för befintlig fjärråtkomst genom att till exempel framtvinga Nulta pouzdanost användar- och enhetsvalidering med villkorsstyrd åtkomst. | Nulta pouzdanost ger flera nivåer för att skydda åtkomsten till din organisation. | |
| Konfigurera säkerhet för befintliga VPN-lösningar från tredje part (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) med mera). | Dra nytta av den inbyggda säkerheten för fjärråtkomstlösningen. | |
| Distribuera Azure Punkt-till-plats-VPN (P2S) för att ge fjärråtkomst. | Dra nytta av integrering med Microsoft Entra-ID och dina befintliga Azure-prenumerationer. | |
| Publicera lokala webbappar med Microsoft Entra-programproxy. | Appar som publiceras med Microsoft Entra-programproxy behöver ingen fjärråtkomstanslutning. | |
| Säker åtkomst till Azure-resurser med Azure Bastion. | Anslut säkert och sömlöst till dina virtuella Azure-datorer via SSL. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). | Minska risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen. |
E-post och samarbete
Implementera metodtips för e-post- och samarbetslösningar för att göra det svårare för hotaktörer att missbruka dem, samtidigt som dina medarbetare enkelt och säkert får åtkomst till externt innehåll.
Hotaktörer kommer ofta in i miljön genom att introducera skadligt innehåll som döljs i auktoriserade samarbetsverktyg som e-post och fildelning och övertyga användare att köra innehållet. Microsoft har investerat i förbättrade åtgärder som avsevärt ökar skyddet mot dessa attackvektorer.
Program- och projektmedlemskonto för e-post och samarbete
Den här tabellen beskriver det övergripande skyddet av dina e-post- och samarbetslösningar från utpressningstrojaner när det gäller en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.
| Lead | Implementor | Ansvar |
|---|---|---|
| CISO, CIO eller identitetsdirektör | Chefssponsring | |
| Programledare från teamet för säkerhetsarkitektur | Skapa resultat och samarbete mellan team | |
| IT-arkitekter | Prioritera komponentintegrering i arkitekturer | |
| Molnproduktivitet eller slutanvändarteam | Aktivera Defender za Office 365, Azure Site Recovery och AMSI | |
| Infrastruktur för säkerhetsarkitektur / + slutpunkt | Konfigurationshjälp | |
| Användarutbildningsteam | Uppdatera vägledning om arbetsflödesändringar | |
| Säkerhetsprincip och standarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad |
Checklista för implementering för e-post och samarbete
Använd dessa metodtips för att skydda dina e-post- och samarbetslösningar från utpressningstrojanhotaktörer
| Klart | Uppgift | beskrivning |
|---|---|---|
| Aktivera AMSI för Office VBA. | Identifiera Office-makroattacker med slutpunktsverktyg som Defender för Endpoint. | |
| Implementera Avancerad e-postsäkerhet med hjälp av Defender za Office 365 eller en liknande lösning. | E-post är en vanlig startpunkt för hotaktörer. | |
| Distribuera regler för minskning av attackytan (Azure Site Recovery) för att blockera vanliga attacktekniker, inklusive: – Slutpunktsmissbruk, till exempel stöld av autentiseringsuppgifter, utpressningstrojaner och misstänkt användning av PsExec och WMI. – Vapeniserad Office-dokumentaktivitet som avancerad makroaktivitet, körbart innehåll, processskapande och processinmatning som initieras av aplikacija Office tillämpningar. Obs! Distribuera först dessa regler i granskningsläge, utvärdera sedan eventuella negativa effekter och distribuera dem sedan i blockeringsläge. |
Azure Site Recovery innehåller ytterligare skyddslager som är specifikt inriktade på att minimera vanliga angreppsmetoder. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). | Minskar risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen. |
Slutpunkter
Implementera relevanta säkerhetsfunktioner och noggrant följa metodtips för programvaruunderhåll för slutpunkter (enheter) och program, prioritera program och server-/klientoperativsystem som är direkt exponerade för Internettrafik och innehåll.
Internetexponerade slutpunkter är en vanlig inmatningsvektor som ger hotaktörer åtkomst till organisationens tillgångar. Prioritera blockering av vanliga säkerhetsproblem för operativsystem och program med förebyggande kontroller för att sakta ned eller hindra dem från att utföra nästa steg.
Program- och projektmedlemskonto för slutpunkter
Den här tabellen beskriver det övergripande skyddet av dina slutpunkter från utpressningstrojaner när det gäller en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.
| Lead | Implementor | Ansvar |
|---|---|---|
| Företagsledarskap ansvarigt för affärspåverkan av både stilleståndstid och attackskador | Sponsring av chefer (underhåll) | |
| Centrala IT-åtgärder eller CIO | Executive sponsring (andra) | |
| Programledare från det centrala IT-infrastrukturteamet | Skapa resultat och samarbete mellan team | |
| IT- och säkerhetsarkitekter | Prioritera komponentintegrering i arkitekturer | |
| Centrala IT-åtgärder | Implementera ändringar i miljön | |
| Molnproduktivitet eller slutanvändarteam | Aktivera minskning av attackytan | |
| Arbetsbelastnings-/appägare | Identifiera underhållsperioder för ändringar | |
| Säkerhetsprincip och standarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad |
Checklista för implementering för slutpunkter
Använd dessa metodtips för alla Windows-, Linux-, macOS-, Android-, iOS- och andra slutpunkter.
| Klart | Uppgift | beskrivning |
|---|---|---|
| Blockera kända hot med regler för minskning av attackytan, manipuleringsskydd och blockera vid första anblicken. | Låt inte bristen på användning av dessa inbyggda säkerhetsfunktioner vara orsaken till att en angripare gick in i din organisation. | |
| Använd säkerhetsbaslinjer för att härda Internetuppkopplade Windows-servrar och -klienter och aplikacija Office likeringar. | Skydda din organisation med den lägsta säkerhetsnivån och bygg därifrån. | |
| Underhåll programvaran så att den är: – Uppdaterad: Distribuera snabbt kritiska säkerhetsuppdateringar för operativsystem, webbläsare och e-postklienter – Stöds: Uppgradera operativsystem och programvara för versioner som stöds av dina leverantörer. |
Angripare räknar med att du saknar eller försummar tillverkarens uppdateringar och uppgraderingar. | |
| Isolera, inaktivera eller dra tillbaka osäkra system och protokoll, inklusive operativsystem som inte stöds och äldre protokoll. | Angripare använder kända sårbarheter för äldre enheter, system och protokoll som startpunkter i din organisation. | |
| Blockera oväntad trafik med värdbaserad brandvägg och nätverksskydd. | Vissa attacker mot skadlig kod förlitar sig på oönskad inkommande trafik till värdar som ett sätt att upprätta en anslutning för en attack. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). | Minskar risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen. |
Accounts
Precis som antika skelettnycklar inte skyddar ett hus mot en modern inbrottstjuv, kan lösenord inte skydda konton mot vanliga attacker vi ser idag. Multifaktorautentisering (MFA) var en gång ett betungande extra steg, men lösenordslös autentisering förbättrar inloggningsupplevelsen med biometriska metoder som inte kräver att användarna kommer ihåg eller skriver ett lösenord. Dessutom lagrar en Nulta pouzdanost-infrastruktur information om betrodda enheter, vilket minskar antalet frågor om irriterande MFA-åtgärder utan band.
Börja med administratörskonton med hög behörighet och följ noggrant dessa metodtips för kontosäkerhet, inklusive användning av lösenordslös eller MFA.
Kontoskulder för program- och projektmedlem för konton
Den här tabellen beskriver det övergripande skyddet av dina konton mot utpressningstrojaner i form av en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.
| Lead | Implementor | Ansvar |
|---|---|---|
| CISO, CIO eller identitetsdirektör | Chefssponsring | |
| Programledare från team för identitets- och nyckelhantering eller säkerhetsarkitektur | Skapa resultat och samarbete mellan team | |
| IT- och säkerhetsarkitekter | Prioritera komponentintegrering i arkitekturer | |
| Identitets- och nyckelhantering eller centrala IT-åtgärder | Implementera konfigurationsändringar | |
| Säkerhetsprincip och standarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
| Användarutbildningsteam | Uppdatera lösenords- eller inloggningsvägledning och utföra utbildnings- och ändringshantering |
Checklista för implementering för konton
Använd dessa metodtips för att skydda dina konton mot utpressningstrojaner.
| Klart | Uppgift | beskrivning |
|---|---|---|
| Framtvinga stark MFA eller lösenordslös inloggning för alla användare. Börja med administratörs- och prioritetskonton med en eller flera av: – Lösenordslös autentisering med Windows Hello eller Microsoft Authenticator-appen. - Multifaktorautentisering. – En MFA-lösning från tredje part. |
Gör det svårare för en angripare att utföra en kompromiss av autentiseringsuppgifter genom att bara fastställa ett användarkontolösenord. | |
| Öka lösenordssäkerheten: – För Microsoft Entra-konton använder du Microsoft Entra Password Protection för att identifiera och blockera kända svaga lösenord och ytterligare svaga termer som är specifika för din organisation. – Utöka Microsoft Entra Password Protection till AD DS-konton för lokalni Active Directory Domain Services-konton (AD DS). |
Se till att angripare inte kan fastställa vanliga lösenord eller lösenord baserat på organisationens namn. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). | Minskar risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen. |
Implementeringsresultat och tidslinjer
Försök att uppnå dessa resultat inom 30 dagar:
100 % av de anställda använder MFA aktivt
100 % distribution av högre lösenordssäkerhet
Ytterligare resurser för utpressningstrojaner
Viktig information från Microsoft:
Moonstone Sleet dyker upp som ny nordkoreansk hotskådespelare med ny påse tricks, Microsoft Blog, maj 2024
2023 Microsoft izveštaj o digitalnoj bezbednosti (se sidorna 17-26)
Utpressningstrojan: En omfattande och pågående hotanalysrapport i Microsoft Defender-portalen
Microsoft Incident Response-teamet (tidigare DART) utpressningstrojaner och fallstudie
Microsoft 365:
- Distribuera skydd mot utpressningstrojaner för din Microsoft 365-klientorganisation
- Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
- Återställa från en utpressningstrojanattack
- Skydd mot skadlig kod och utpressningstrojaner
- Skydda din Windows 10-dator från utpressningstrojaner
- Hantera utpressningstrojaner i SharePoint Online
- Hotanalysrapporter för utpressningstrojaner i Microsoft Defender-portalen
Microsoft Defender XDR:
Microsoft Azure:
- Azure Defenses för utpressningstrojanattack
- Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
- Säkerhetskopierings- och återställningsplan för att skydda mot utpressningstrojaner
- Skydda mot utpressningstrojaner med Microsoft Azure Backup (26 minuters video)
- Återställning från systemisk identitetskompromiss
- Avancerad attackidentifiering i flera steg i Microsoft Sentinel
- Fusionsidentifiering för utpressningstrojaner i Microsoft Sentinel
Microsoft Defender för Cloud Apps:
Blogginlägg för Microsoft Security-teamet:
3 steg för att förhindra och återställa från utpressningstrojaner (september 2021)
En guide för att bekämpa utpressningstrojaner som drivs av människor: Del 1 (september 2021)
Viktiga steg om hur Microsofts team för identifiering och svar (DART) utför utpressningstrojanincidenter.
En guide för att bekämpa utpressningstrojaner som drivs av människor: Del 2 (september 2021)
Rekommendationer och metodtips.
-
Se avsnittet Utpressningstrojaner .
Attacker mot utpressningstrojaner som kan förebyggas (mars 2020)
Innehåller analys av angreppskedjan av faktiska attacker.
Utpressningstrojansvar – att betala eller inte betala? (december 2019)
Norsk Hydro svarar på utpressningstrojanattacker med transparens (december 2019)