RaMP checklista – Återställningsberedskap för utpressningstrojaner
Denna checklista för snabb moderniseringsplan (RaMP) hjälper dig att förbereda din organisation så att du har ett genomförbart alternativ till att betala lösensumman som krävs av utpressningstrojananfallare. Även om angripare som har kontroll över din organisation har olika sätt att pressa dig att betala, fokuserar kraven främst på två kategorier:
Betala för att återfå åtkomst
Angripare kräver betalning under hot om att de inte ger dig tillbaka åtkomst till dina system och data. Detta görs oftast genom att kryptera dina system och data och kräva betalning för dekrypteringsnyckeln.
Viktigt!
Att betala lösensumman är inte så enkelt och rent av en lösning som det kan tyckas. Eftersom du har att göra med brottslingar som bara motiveras av betalning (och ofta relativt amatöroperatörer som använder en verktygslåda som tillhandahålls av någon annan), finns det mycket osäkerhet om hur bra att betala lösensumman faktiskt kommer att fungera. Det finns ingen rättslig garanti för att de tillhandahåller en nyckel som dekrypterar 100 % av dina system och data, eller ens tillhandahåller en nyckel alls. Processen för att dekryptera dessa system använder hemodlade angripare, vilket ofta är en klumpig och manuell process.
Betala för att undvika avslöjande
Angripare kräver betalning i utbyte mot att inte släppa känsliga eller pinsamma data till dark web (andra brottslingar) eller allmänheten.
För att undvika att tvingas till betalning (den lönsamma situationen för angripare) är den mest omedelbara och effektiva åtgärden du kan vidta att se till att din organisation kan återställa hela företaget från oföränderlig lagring som inte redan har smittats eller krypterats av en utpressningstrojanattack, som varken angriparen eller du kan ändra.
Det är också mycket viktigt att identifiera de känsligaste tillgångarna och skydda dem på en högre säkerhetsnivå, men det är en längre och mer utmanande process att köra. Vi vill inte att du ska hålla upp andra områden, men vi rekommenderar att du börjar processen genom att sammanföra affärs-, IT- och säkerhetsintressenter för att ställa och svara på frågor som:
- Vilka affärstillgångar skulle vara de mest skadliga om de komprometterades? Vilka tillgångar skulle företagsledningen till exempel vara villiga att betala ett utpressningskrav om angripare kontrollerade dem?
- Hur översätter dessa affärstillgångar till IT-tillgångar som filer, program, databaser och servrar?
- Hur kan du skydda eller isolera dessa tillgångar så att angripare med åtkomst till den allmänna IT-miljön inte kan komma åt dem?
Säkra säkerhetskopior
Du måste se till att kritiska system och deras data säkerhetskopieras och är oföränderliga för att skydda mot avsiktlig radering eller kryptering av en angripare. Säkerhetskopiorna får inte redan ha smittats eller krypterats av en utpressningstrojanattack, annars återställer du en uppsättning filer som kan innehålla startpunkter som angriparna kan utnyttja efter återställningen.
Attacker på dina säkerhetskopior fokuserar på att begränsa organisationens förmåga att svara utan att betala, ofta riktad mot säkerhetskopior och viktig dokumentation som krävs för återställning för att tvinga dig att betala utpressningskrav.
De flesta organisationer skyddar inte säkerhetskopierings- och återställningsprocedurer mot den här nivån av avsiktlig inriktning.
Kommentar
Denna förberedelse förbättrar också motståndskraften mot naturkatastrofer och snabba attacker som WannaCry och (Inte)Petya.
Säkerhetskopierings- och återställningsplanen för att skydda mot utpressningstrojaner handlar om vad du ska göra före en attack för att skydda dina kritiska affärssystem och under en attack för att säkerställa en snabb återställning av din verksamhet med hjälp av Azure Backup och andra Microsoft-molntjänster. Om du använder en offsite backup-lösning som tillhandahålls av en tredje part kan du läsa deras dokumentation.
Kontoskulder för program- och projektmedlem
Den här tabellen beskriver det övergripande skyddet av dina data från utpressningstrojaner när det gäller en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.
| Lead | Ägare | Ansvar |
|---|---|---|
| Centrala IT-åtgärder eller CIO | Chefssponsring | |
| Programledare från central IT-infrastruktur | Skapa resultat och samarbete mellan team | |
| Infrastruktur-/säkerhetskopieringstekniker | Aktivera säkerhetskopiering av infrastruktur | |
| Microsoft 365-administratörer | Implementera ändringar i din Microsoft 365-klientorganisation för OneDrive och skyddade mappar | |
| Säkerhetstekniker | Råd om konfiguration och standarder | |
| IT-administratör | Uppdatera standarder och principdokument | |
| Säkerhetsstyrning och/eller IT-administratör | Övervaka för att säkerställa efterlevnad | |
| Användarutbildningsteam | Se till att användarna rekommenderar användning av OneDrive och skyddade mappar |
Distributionsmål
Uppfylla dessa distributionsmål för att skydda infrastrukturen för säkerhetskopiering.
| Klart | Distributionsmål | Ägare |
|---|---|---|
| 1. Skydda stöddokument som krävs för återställning, till exempel dokument för återställningsprocedurer, din konfigurationshanteringsdatabas (CMDB) och nätverksdiagram. | IT-arkitekt eller implementer | |
| 2. Upprätta en process för att säkerhetskopiera alla kritiska system automatiskt enligt ett regelbundet schema och övervaka efterlevnad. | ADMINISTRATÖR FÖR IT-säkerhetskopiering | |
| 3. Upprätta process och schema för att regelbundet utöva din plan för affärskontinuitet/haveriberedskap (BCDR). | IT-arkitekt | |
| 4. Inkludera skydd av säkerhetskopior mot avsiktlig radering och kryptering i din säkerhetskopieringsplan: – Starkt skydd – Kräv out-of-band-steg (till exempel multifaktorautentisering eller en PIN-kod) innan du ändrar onlinesäkerhetskopior (till exempel Azure Backup). – Starkaste skydd – Lagra säkerhetskopior i oföränderlig onlinelagring (till exempel Azure Blob) och/eller helt offline eller utanför platsen. |
ADMINISTRATÖR FÖR IT-säkerhetskopiering | |
| 5. Låt användarna konfigurera OneDrive-säkerhetskopiering och skyddade mappar. | Microsoft 365-produktivitetsadministratör |
Gå vidare
Fortsätt initiativet för data, efterlevnad och styrning med steg 3. Data.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för