為您的 Microsoft 365 租用戶部署勒索軟體防護
勒索軟體是一種勒索攻擊類型,可銷毀或加密檔案及資料夾,以防止存取重要資料。 商品勒索軟體通常會像是感染裝置的病毒,只需要對惡意程式碼進行補救。 人為操作的勒索軟體是網路罪犯主動攻擊的結果,他們滲透組織內部部署或雲端 IT 基礎結構、提升其權限,並將勒索軟體部署至重要資料。
一旦遭到攻擊,攻擊者就會向受害者索取金錢,以換取已刪除的檔案、加密檔案的解密金鑰,或承諾不會將敏感性資料發佈至暗網或公用網際網路。 人為操作的勒索軟體也可以用來關閉重要的機器或流程,例如工業生產所需的機器或流程,讓正常商務作業運作停止,直到支付贖金並修正損害,或者組織自行修復損害。
人為操作的勒索軟體攻擊對各種規模的企業來說都是災難性的,而且很難清理,需要完全驅逐入侵者以防止未來的攻擊。 與商品勒索軟體不同的是,人為操作的勒索軟體可以在最初的勒索請求後繼續威脅企業營運。
注意事項
Microsoft 365 租用戶上的勒索軟體攻擊假設攻擊者具有租用戶帳號憑證,且具有使用者帳戶所允許的所有檔案和資源的存取權。 沒有任何有效使用者帳號憑證的攻擊者,必須解密由 Microsoft 365 預設加密和增強加密所加密的靜態資料。 如需詳細資訊,請參閱加密和金鑰管理概觀。
如需跨 Microsoft 產品勒索軟體保護的詳細資訊,請參閱這些其他的勒索軟體資源。
雲端中的安全性即為合作關係
您的 Microsoft 雲端服務安全性即為您與 Microsoft 之間的合作關係:
- Microsoft 雲端服務建立在信賴與安全性的基礎上。 Microsoft 提供的安全性控制和功能可協助您保護您的資料和應用程式。
- 您的資料與身分識別為您所擁有,而您也有責任保護自己的資料與身分識別、您內部部署資源的安全性,以及您所控制之雲端元件的安全性。
透過結合這些功能和責任,我們可以提供有關勒索軟體攻擊的最佳防護。
Microsoft 365 附帶的勒索軟體風險降低和復原功能
已滲透到 Microsoft 365 租用戶的勒索軟體攻擊者可以經由以下方式勒索貴組織:
- 刪除檔案或電子郵件
- 就地加密檔案
- 在您的租用戶外複製檔案 (資料外流)
不過,Microsoft 365 線上服務具有許多內置的功能和控制,可保護客戶資料免受勒索軟體攻擊。 下列各節提供摘要。 如需 Microsoft 如何保護客戶資料的詳細資訊,請參閱 Microsoft 365 中的惡意程式碼和勒索軟體防護。
注意事項
Microsoft 365 租用戶上的勒索軟體攻擊假設攻擊者具有租用戶帳號憑證,且具有使用者帳戶所允許的所有檔案和資源的存取權。 沒有任何有效使用者帳號憑證的攻擊者,必須解密由 Microsoft 365 預設加密和增強加密所加密的靜態資料。 如需詳細資訊,請參閱加密和金鑰管理概觀。
刪除檔案或電子郵件
SharePoint 和商務用 OneDrive 中的檔案受到下列保護:
版本設定
Microsoft 365 預設會保留最少 500 個版本的檔案,而且可以設定為保留更多的檔案。
若要將安全性和技術人員的工作降至最低,請訓練您的使用者如何還原先前版本的檔案。
資源回收桶
如果勒索軟體建立檔案的新加密複本,並刪除舊檔案,客戶有 93 天的時間可從資源回收筒還原。 93 天之後,會有一個 14 天的時間窗口,讓 Microsoft 仍可在其中還原資料。
若要將安全性和技術人員的負擔降至最低,請訓練您的使用者如何從資源回收筒還原檔案。
-
適用於 SharePoint 和 OneDrive 的完整自助還原解決方案,可讓系統管理員和使用者從過去 30 天的任何時間點還原檔案。
若要將安全性和 IT 技術人員的負擔降至最低,請對您的使用者進行 [檔案還原] 的訓練。
若為 OneDrive 和 SharePoint 檔案,只要受到大量攻擊,Microsoft 便可還原到上一個時間點,最多可達 14 天。
電子郵件的保護方式:
單一項目還原和信箱保留,您可以在無意中或惡意的過早刪除時,在信箱中還原項目。 預設您可以在 14 天內復原已刪除的郵件訊息,可設定為最多 30 天。
保留原則可讓您保留已設定保留期間的不可變電子郵件副本。
就地加密檔案
如先前所述,SharePoint 和商務用 OneDrive 中的檔案會受到保護,避免遭受惡體加密:
- 版本設定
- 資源回收桶
- 文件保留庫
如需其他詳細資料,請參閱處理 Microsoft 365 中的資料損毀。
在您的租用戶外複製檔案
您可以防止勒索軟體攻擊者在您的租用戶以外的地方複製檔案:
Microsoft Purview 資料外洩防護 (DLP) 原則
偵測、警告,並封鎖包含以下資料的風險、不慎或不當共用:
個人資訊,例如個人識別資訊 (PII),以符合地區性隱私權法規。
以敏感度標籤為基礎的機密組織資訊。
-
封鎖敏感性資訊 (例如檔案) 的下載。
您也可以使用 適用於雲端的 Defender應用程式條件式存取應用程式控制 的工作階段原則,以即時監視使用者與應用程式之間的資訊流程。
此解決方案中的內容
此解決方案會逐步引導您部署 Microsoft 365 保護和風險降低功能、設定及日常作業,以最大限度降低勒索軟體攻擊者使用 Microsoft 365 租用戶中的重要資料來勒索貴組織的能力。
以下是此解決方案的步驟:
以下是為您的 Microsoft 365 租用戶部署之解決方案的五個步驟。
此解決方案使用零信任的原則:
- 明確驗證:一律根據所有可用的資料點進行驗證和授權。
- 使用最低權限的存取權:使用 Just-In-Time 和適度存取權限 (JIT/JEA)、風險型調適原則和資料保護來限制使用者存取權限。
- 假設可能遭到入侵:將爆發半徑和區段存取降至最低。 驗證端對端加密並使用分析來取得能見度、推動威脅偵測,並改善防禦能力。
與信任組織防火牆後所有內容的傳統內部網路存取不同,零信任會將每次登入和存取都視為來自不受控制的網路 (無論是在組織防火牆後還是網際網路上)。 零信任需要保護網路、基礎結構、身分識別、端點、應用程式和資料。
Microsoft 365 功能
為了保護 Microsoft 365 租用戶免受勒索軟體的攻擊,請在解決方案中的這些步驟使用這些 Microsoft 365 功能。
1. 安全性基準
功能 | 描述 | 説明... | 授權 |
---|---|---|---|
Microsoft 安全分數 | 衡量 Microsoft 365 租用戶的安全性態勢。 | 評估您的安全性設定並提出改進建議。 | Microsoft 365 E3 或 Microsoft 365 E5 |
受攻擊面縮小規則 | 使用各種組態設定,將貴組織的弱點降低為網路攻擊。 | 封鎖可疑活動和易受攻擊的內容。 | Microsoft 365 E3 或 Microsoft 365 E5 |
Exchange 電子郵件設定 | 啟用可降低貴組織對電子郵件型攻擊之弱點的服務。 | 避免透過網路釣魚和其他電子郵件型攻擊,對租用戶進行初始存取。 | Microsoft 365 E3 或 Microsoft 365 E5 |
Microsoft Windows、Microsoft Edge 及 Microsoft 365 Apps 企業版設定 | 提供業界標準的安全性設定,這些設定是廣為人知且經過充分測試的。 | 避免透過 Windows、Edge 及 Microsoft 365 Apps 企業版攻擊。 | Microsoft 365 E3 或 Microsoft 365 E5 |
2. 偵測和回應
功能 | 描述 | 協助偵測及回應... | 授權 |
---|---|---|---|
Microsoft Defender XDR | 將訊號和協調功能結合成單一解決方案。 讓安全性專業人員結合威脅訊號,以及決定威脅的完整範圍和影響。 自動化動作以防止或停止攻擊及自我修復受影響的信箱、端點和使用者身分識別。 |
事件,這是組成攻擊的綜合警示和資料。 | 使用 Microsoft 365 E5 安全性附加元件的 Microsoft 365 E5 或 Microsoft 365 E3 |
適用於身分識別的 Microsoft Defender | 透過雲端式安全性介面使用內部部署 Active Directory 網域服務 (AD DS) 訊號,識別、偵測並調查貴組織中的進階威脅、遭入侵的身分識別,以及惡意內部人員攻擊動作。 | AD DS 帳戶的認證遭到洩漏。 | 使用 Microsoft 365 E5 安全性附加元件的 Microsoft 365 E5 或 Microsoft 365 E3 |
適用於 Office 365 的 Microsoft Defender | 可保護貴組織免受電子郵件訊息、連結 (URL) 與共同作業工具所帶來的惡意威脅。 防止惡意程式碼、網路釣魚、詐騙及其他攻擊類型。 |
網路釣魚攻擊。 | 使用 Microsoft 365 E5 安全性附加元件的 Microsoft 365 E5 或 Microsoft 365 E3 |
適用於端點的 Microsoft Defender | 跨端點 (裝置) 啟用對進階威脅的偵測和回應。 | 惡意程式碼安裝和裝置入侵。 | 使用 Microsoft 365 E5 安全性附加元件的 Microsoft 365 E5 或 Microsoft 365 E3 |
Microsoft Entra ID Protection | 自動偵測和補救身分識別的風險,並調查這些風險。 | Microsoft Entra 帳戶和許可權提升的認證洩露。 | 使用 Microsoft 365 E5 安全性附加元件的 Microsoft 365 E5 或 Microsoft 365 E3 |
Defender for Cloud Apps | 在所有 Microsoft 和協力廠商雲端服務中探索、調查和控管的雲端存取安全性代理程式。 | 水平擴散和資料外流。 | 使用 Microsoft 365 E5 安全性附加元件的 Microsoft 365 E5 或 Microsoft 365 E3 |
3. 身分識別
功能 | 描述 | 協助防止... | 授權 |
---|---|---|---|
Microsoft Entra 密碼保護 | 從通用清單和自訂項目封鎖密碼。 | 雲端或內部部署使用者帳戶密碼確定。 | Microsoft 365 E3 或 Microsoft 365 E5 |
使用條件式存取強制執行 MFA | 根據具有條件式存取原則的使用者登入屬性,要求使用 MFA。 | 認證遭到洩露和存取。 | Microsoft 365 E3 或 Microsoft 365 E5 |
使用風險型條件式存取強制執行 MFA | 根據使用者使用 Microsoft Entra ID Protection 登入的風險來要求 MFA。 | 認證遭到入侵和存取。 | 使用 Microsoft 365 E5 安全性附加元件的 Microsoft 365 E5 或 Microsoft 365 E3 |
4. 裝置
針對裝置和應用程式管理:
功能 | 描述 | 協助防止... | 授權 |
---|---|---|---|
Microsoft Intune | 管理裝置和在其上執行的應用程式。 | 裝置或應用程式遭到入侵和存取。 | Microsoft 365 E3 或 E5 |
對於 Windows 11 或 10 裝置:
功能 | 描述 | 説明... | 授權 |
---|---|---|---|
Microsoft Defender 防火牆 | 提供主機型防火牆。 | 防止來自輸入且未經要求之網路流量的攻擊。 | Microsoft 365 E3 或 Microsoft 365 E5 |
Microsoft Defender 防毒軟體 | 使用機器學習、巨量資料分析、深入威脅抵禦研究和 Microsoft Cloud 基礎結構,提供裝置 (端點) 的反惡意程式碼保護。 | 防止安裝和執行惡意程式碼。 | Microsoft 365 E3 或 Microsoft 365 E5 |
Microsoft Defender SmartScreen | 保護免受網路釣魚或惡意程式碼攻擊的網站和應用程式,以及下載可能有害的檔案。 | 檢查網站、下載、應用程式及檔案時的封鎖或警告。 | Microsoft 365 E3 或 Microsoft 365 E5 |
適用於端點的 Microsoft Defender | 協助避免、偵測、調查和回應跨裝置 (端點) 的進階威脅。 | 防止網路篡改。 | 使用 Microsoft 365 E5 安全性附加元件的 Microsoft 365 E5 或 Microsoft 365 E3 |
5. 資訊
功能 | 描述 | 説明... | 授權 |
---|---|---|---|
受控資料夾存取權 | 使用已知的受信任應用程式清單來檢查應用程式,以保護您的資料。 | 防止勒索軟體變更或加密檔案。 | Microsoft 365 E3 或 Microsoft 365 E5 |
Microsoft Purview 資訊保護 | 讓敏感度標籤套用至可被勒索的資訊 | 避免使用遭外流的資訊。 | Microsoft 365 E3 或 Microsoft 365 E5 |
資料外洩防護 (DLP) | 保護敏感性資料,並防止使用者不當將其共用,以降低風險。 | 防止資料外流。 | Microsoft 365 E3 或 Microsoft 365 E5 |
Defender for Cloud Apps | 用於探索、調查和控管的雲端存取安全性代理程式。 | 偵測水平擴散,並防止資料外流。 | 使用 Microsoft 365 E5 安全性附加元件的 Microsoft 365 E5 或 Microsoft 365 E3 |
對使用者和變更管理的影響
為您的 Microsoft 365 租用戶部署其他安全性功能及實施需求和安全性原則,可能會影響您的使用者。
例如,您可以採用新的安全性原則,此原則需要使用者為特定用途建立新的小組,並將使用者帳戶清單視為成員,而不是更輕鬆地為組織中的所有使用者建立小組。 這有助於防止勒索軟體攻擊者探索攻擊者遭入侵使用者帳戶無法使用的小組,並在隨後的攻擊中將該小組的資源作為目標。
這個基礎解決方案會識別新的設定或建議的安全性原則何時會影響您的使用者,以便您執行必要的變更管理。
後續步驟
使用下列步驟為您的 Microsoft 365 租用戶部署全面保護:
其他勒索軟體資源
Microsoft 的重要資訊:
- 勒索軟體的威脅不斷增加,2021 年 7 月 20 日 Microsoft On The Issues 的部落格文章
- 人為操作勒索軟體
- 快速部署勒索軟體防護
- 2021 Microsoft 數位防禦報告 (請參閱第 10-19 頁)
- 勒索軟體:Microsoft Defender 入口網站中普遍且持續的威脅分析報告
- Microsoft 偵測及回應團隊 (DART) 勒索軟體的方法和最佳作法以及案例研究
Microsoft 365:
- 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
- 勒索軟體事件回應劇本
- 惡意程式碼與勒索軟體防護
- 保護您的 Windows 10 電腦上的勒索軟體
- 在 SharePoint Online 中處理勒索軟體
- Microsoft Defender 入口網站中勒索軟體的威脅分析報告
Microsoft Defender 全面偵測回應:
Microsoft Azure:
- 針對勒索軟體攻擊的 Azure 防護
- 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
- 防護勒索軟體的備份與還原計劃
- 使用 Microsoft Azure 備份,協助防護勒索軟體 (26 分鐘的影片)
- 從系統性身分識別洩露中復原
- Microsoft Sentinel 中的進階多階段攻擊偵測
- Microsoft Sentinel 中勒索軟體的融合偵測
Microsoft 雲端 App 安全性:
Microsoft 安全性小組部落格文章:
對抗人為操作勒索軟體的指南: 第 1 部分( 2021 年 9 月)
Microsoft 的偵測和回應團隊 (DART) 進行勒索軟體事件調查的主要步驟。
對抗人為操作勒索軟體的指南: 第 2 部分 (2021 年 9 月)
建議和最佳作法。
透過了解網路安全性風險以更具彈性: 第 4 部分—瀏覽目前的威脅 (2021 年 5 月)
請參閱勒索軟體章節。
人為操作的勒索軟體攻擊: 可預防的災難 (2020 年 5 月)
包括實際攻擊的攻擊鏈分析。