Adım 5. Bilgileri koruma
Fidye yazılımı saldırganları dosya, veritabanı ve diğer sunucu türlerinde bulunan şirket içi verilerinize de göz atacağından, bu verileri korumanın en iyi yollarından biri verileri Microsoft 365 kiracınıza geçirmektir. Oraya vardıktan sonra sürüm oluşturma, geri dönüşüm kutusu ve Dosyalar Geri Yükleme gibi yerleşik azaltma ve kurtarma özellikleriyle korunabilir.
Microsoft 365 kiracınızdaki hassas bilgilerin ek korumasını sağlamak için:
- Hassas bilgilerinizi bulun.
- Katı izinler uygulayın ve geniş erişimi ortadan kaldırarak (örneğin, çok fazla kullanıcının yazma, düzenleme ve silme özelliklerine sahip olmasını engelleyin).
- Hassas bilgilerinizi koruyun.
Not
Microsoft 365 kiracısında bilgi korumasına yönelik ayrıntılı dağıtım kılavuzu için bkz. Veri gizliliği düzenlemeleri için bilgi korumasını dağıtma. Veri gizliliği düzenlemelerine yönelik olsa da kılavuzun çoğu fidye yazılımı koruması için de geçerlidir.
Hassas bilgilerinizi bulma
İlk görev, kiracınızdaki hassas bilgilerin türlerini ve konumlarını belirlemektir ve bu bilgiler aşağıdaki türleri içerebilir:
- Hassas
- Mülkiyet veya fikri mülkiyet
- Düzenlenmiş, kişisel olarak tanımlayıcı bilgilerin (PII) korunmasını belirten bu tür bölgesel düzenlemeler
- BT kurtarma planları
Her hassas bilgi türü için aşağıdakileri belirleyin:
Bilgilerin kuruluşunuza kullanımı
Fidye için tutulduysa parasal değerinin göreli ölçüsü (yüksek, orta, düşük gibi)
OneDrive veya SharePoint klasörü gibi geçerli konumu veya Microsoft Teams ekibi gibi işbirliği mekanı
Şunlardan oluşan geçerli izinler:
Erişimi olan kullanıcı hesapları
Erişimi olan her hesaba izin verilen eylemler
Hassas bilgiler içeren konumlar için katı izinler uygulama
Microsoft 365 kiracınızda katı izinler uygulamak, Microsoft 365'te genellikle OneDrive klasörleri, SharePoint siteleri ve klasörleri ve ekipleri olan konumlar ve iletişim yerleri için en az ayrıcalık ilkesini kullanır.
Hassas bilgiler için geniş erişimli (örneğin, kuruluşunuzdaki herkesin varsayılanı) dosya depolama konumları veya ekipler oluşturmak daha kolay olsa da, izin verilen kullanıcı hesapları ve izin verilen eylemler işbirliği ve iş gereksinimlerini karşılamak için gereken minimum kümeyle sınırlandırılmalıdır.
Bir fidye yazılımı saldırganı kiracınıza sızdıktan sonra, kiracınızda yönetici rolü hesapları veya hassas bilgilere erişimi olan kullanıcı hesapları gibi daha geniş kapsamlı izinlere sahip kullanıcı hesaplarının kimlik bilgilerini tehlikeye atarak ayrıcalıklarını yükseltmeye çalışır.
Bu tipik saldırgan davranışına bağlı olarak, saldırgan için iki zorluk düzeyi vardır:
- Düşük: Saldırgan düşük izinli bir hesap kullanabilir ve kiracınız genelinde geniş erişim nedeniyle hassas bilgilerinizi bulabilir.
- Yüksek: Saldırgan, katı izinler nedeniyle düşük izinli bir hesap kullanamaz ve hassas bilgilerinizi bulamıyor. Hassas bilgilere sahip bir konuma erişimi olan bir hesabın kimlik bilgilerini belirleyip tehlikeye atarak izinlerini yükseltmeleri gerekir, ancak bu durumda yalnızca sınırlı bir eylem kümesi gerçekleştirebilir.
Hassas bilgiler için, zorluk düzeyini olabildiğince yüksek yapmalısınız.
Aşağıdaki adımlarla kiracınızda katı izinler sağlayabilirsiniz:
- Hassas bilgilerinizi bulma çabasından, hassas bilgilerin konumları için izinleri gözden geçirin.
- İşbirliği ve iş gereksinimlerini karşılarken hassas bilgiler için katı izinler uygulayın ve etkilenen kullanıcıları bilgilendirin.
- Hassas bilgilerin gelecekteki konumlarının katı izinlerle oluşturulması ve korunması için kullanıcılarınız için değişiklik yönetimi gerçekleştirin.
- Geniş izinlerin verilmediğinden emin olmak için hassas bilgiler için konumları denetleyin ve izleyin.
Ayrıntılı yönergeler için bkz. Microsoft Teams ile güvenli dosya paylaşımını ve işbirliğini ayarlama . Hassas bilgiler için katı izinlere sahip bir iletişim ve işbirliği mekanına örnek olarak güvenlik yalıtımına sahip bir ekip gösteriliyor.
Hassas bilgilerinizi koruma
Bir fidye yazılımı saldırganına erişim elde etme ihtimaline karşı hassas bilgilerinizi korumak için:
Yetkisiz uygulamaların denetimli klasörlerdeki verileri değiştirmesini zorlaştırmak için denetimli klasör erişimini kullanın.
Microsoft Purview Bilgi Koruması ve duyarlılık etiketlerini kullanın ve bunları hassas bilgilere uygulayın. Duyarlılık etiketleri, tanımlı kullanıcı hesapları ve izin verilen eylemlerle ek şifreleme ve izinler için yapılandırılabilir. Kiracınızdan sızan bu tür duyarlılık etiketiyle etiketlenmiş bir dosya yalnızca etikette tanımlanan bir kullanıcı hesabı için kullanılabilir.
Microsoft Purview Veri Kaybı Önleme'yi (DLP) kullanarak hem şirket içinde hem de dışında duyarlılık etiketlerine dayalı olarak kişisel veya gizli bilgiler içeren verilerin riskli, yanlışlıkla veya uygunsuz bir şekilde paylaşılmalarını algılayın, uyarın ve engelleyin.
Dosyalar gibi hassas bilgilerin indirilmelerini engellemek için Microsoft Defender for Cloud Apps kullanın. Ayrıca, yüksek oranda dosya karşıya yükleme veya dosya silme etkinliğini algılamak için Cloud Apps için Defender anomali algılama ilkelerini de kullanabilirsiniz.
Kullanıcılar ve değişiklik yönetimi üzerindeki etkisi
Geniş izinlerde yapılan yönetim değişiklikleri kullanıcıların erişiminin reddedilmesine veya bazı eylemlerin yürütülememesine neden olabilir.
Ayrıca, Microsoft 365 kiracınızdaki hassas bilgilerin korunması için kullanıcılarınızı şu şekilde eğitin:
- Katı izinlere sahip iletişim ve işbirliği alanları oluşturun (erişim için en az kullanıcı hesabı kümesi ve her hesap için izin verilen minimum eylemler).
- Hassas bilgilere uygun duyarlılık etiketlerini uygulayın.
- Denetimli klasör erişimini kullanın.
Sonuçta elde edilen yapılandırma
1-5 arası adımlar için kiracınız için fidye yazılımı koruması aşağıdadır.
Ek fidye yazılımı kaynakları
Microsoft'tan önemli bilgiler:
- Artan fidye yazılımı tehdidi, Microsoft On the Issues blog gönderisi 20 Temmuz 2021'de
- İnsan tarafından çalıştırılan fidye yazılımı
- Fidye yazılımı önlemelerini hızla dağıtma
- 2021 Microsoft Dijital Savunma Raporu (bkz. sayfa 10-19)
- Fidye yazılımı: Microsoft Defender portalında sürekli ve sürekli tehdit analizi raporu
- Microsoft'un Algılama ve Yanıt Ekibi (DART) fidye yazılımı yaklaşımı ve en iyi yöntemler ve örnek olay incelemesi
Microsoft 365:
- Azure ve Microsoft 365 ile Fidye Yazılımı Dayanıklılığını En Üst Düzeye Çıkarma
- Fidye yazılımı olay yanıtı playbook'ları
- Kötü amaçlı yazılım ve fidye yazılımı koruması
- Windows 10 bilgisayarınızı fidye yazılımlarından koruma
- SharePoint Online'da fidye yazılımlarını işleme
- Microsoft Defender portalında fidye yazılımı için tehdit analizi raporları
Microsoft Defender XDR:
Microsoft Azure:
- Fidye Yazılımı Saldırısı için Azure Defenses
- Azure ve Microsoft 365 ile Fidye Yazılımı Dayanıklılığını En Üst Düzeye Çıkarma
- Fidye yazılımlarına karşı koruma sağlamak için yedekleme ve geri yükleme planı
- Microsoft Azure Backup ile fidye yazılımlarından korunmaya yardımcı olun (26 dakikalık video)
- Sistemik kimlik güvenliğinin aşılmasından kurtarma
- Microsoft Sentinel'de gelişmiş çok aşamalı saldırı algılama
- Microsoft Sentinel'de Fidye Yazılımı için Fusion Algılama
Microsoft Defender for Cloud Apps:
Microsoft Güvenlik ekibi blog gönderileri:
Fidye yazılımlarını önleme ve kurtarma için 3 adım (Eylül 2021)
İnsan tarafından çalıştırılan fidye yazılımıyla mücadele kılavuzu: Bölüm 1 (Eylül 2021)
Microsoft'un Algılama ve Yanıt Ekibi'nin (DART) fidye yazılımı olay araştırmalarını nasıl yürüttüğüne ilişkin temel adımlar.
İnsan tarafından çalıştırılan fidye yazılımıyla mücadele kılavuzu: Bölüm 2 (Eylül 2021)
Öneriler ve en iyi yöntemler.
-
Fidye yazılımı bölümüne bakın.
-
Gerçek saldırıların saldırı zinciri analizlerini içerir.
Fidye yazılımı yanıtı— ödeme yapmak için mi yoksa ödememek için mi? (Aralık 2019)
Norsk Hydro fidye yazılımı saldırısına şeffaflıkla yanıt veriyor (Aralık 2019)