通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

准备好应对勒索软件攻击

  • 项目

采用网络安全框架

首先最好是采用 Microsoft 云安全基准 (MCSB) 来保护 Azure 环境。 Microsoft 云安全基准是 Azure 安全控制框架,以 NIST SP800-53、CIS Controls v7.1 等基于行业的安全控制框架为基础。

NS-1 的屏幕截图:建立网络分段边界安全控制

Microsoft 云安全基准为组织提供了有关如何配置 Azure 和 Azure 服务并实现安全控制的指导。 组织可以使用 Microsoft Defender for Cloud 借助所有 MCSB 控制措施来监视其实时 Azure 环境状态。

最终,该框架旨在降低和更好地管理网络安全风险。

Microsoft 云安全基准汇编
网络安全性 (NS)
标识管理 (IM)
特权访问 (PA)
数据保护 (DP)
资产管理 (AM)
日志记录和威胁检测 (LT)
事件响应 (IR)
态势和漏洞管理 (PV)
终结点安全性 (ES)
备份和恢复 (BR)
DevOps 安全性 (DS)
治理和策略 (GS)

确定缓解措施的优先级

根据我们在应对勒索软件攻击方面的经验,我们发现优先事务应集中在:1) 准备,2) 限制,3) 预防。 这似乎有点违背常理,因为大多数人都希望先阻止攻击,然后再采取其他措施。 遗憾的是,我们必须做出违规假设(一项关键的零信任原则),并首先注重于可靠地减轻最严重的损害。 由于勒索软件极有可能造成最坏的情况,因此这种优先顺序至关重要。 虽然这不是一个可让人愉快接受的事实,但我们面临的是富有创造力且动机性很强的人类攻击者,他们善于找到一种方法来控制我们所处的复杂现实环境。 针对这一现实,为最坏的情况做好准备并建立框架来遏制和预防攻击者获得他们想要的东西非常重要。

虽然这些优先级应该确定首先要做什么,但我们鼓励组织尽可能并行运行步骤(包括尽可能从第 1 步就快速取得胜利)。

使进入更加困难

防止勒索软件攻击者进入环境并快速对事件做出响应,以便在攻击者窃取和加密数据之前删除其访问权限。 这会导致攻击者更早、更频繁地失败,从而削弱他们攻击的收益。 虽然预防是首选结果,但它是一个持续的过程,可能无法在现实的组织(具有分布式 IT 职责的复杂的多平台和多云资产)中实现 100% 的预防和快速响应。

为实现此目标,组织应有辨识能力并速战速决,以加强用于防止入侵的安全控制,并快速检测/驱逐攻击者,同时实施有助于维持安全的持续性计划。 Microsoft 建议组织遵循此处的零信任策略中所述的原则。 具体而言,针对勒索软件,组织应优先考虑:

  • 注重于缩小受攻击面以及对其产业中的资产进行威胁和漏洞管理的工作,以改善安全环境。
  • 对其数字资产实施保护、检测和响应控制,以防范商品和高级威胁,提供针对攻击者活动的可见性和警报,并对正在进行的威胁做出响应。

限制损害范围

确保对 IT 管理员等特权帐户和其他拥有关键业务系统控制权的角色实施强有力的控制(预防、检测、响应)。 这可以减慢和/或阻止攻击者获取资源的完全访问,从而窃取和加密资源的行为。 消除攻击者使用 IT 管理员帐户作为捷径访问资源的能力可以大大降低他们成功得手并要求你付款/从中获利的可能性。

组织应提升特权帐户的安全性(严密保护、密切监视并对这些角色相关的事件快速做出响应)。 请参阅 Microsoft 的安全快速现代化计划,其中包括:

  • 端到端会话安全性(包括管理员的多重身份验证 (MFA))
  • 保护和监视标识系统
  • 缓解横向穿越
  • 快速威胁响应

为最坏情况做准备

针对最坏的情况做好规划,并预期这种情况会发生(在组织的各个层面)。 这可以帮助组织以及你所依赖的其他人:

  • 限制最坏情况造成的损害 – 虽然从备份中还原所有系统对企业的破坏性较大,但与花钱购买密钥后尝试使用攻击者提供的(劣质)解密工具进行恢复相比,这种方法更高效且有效。 注意:付费是一条不确定的途径 – 在密钥是否适用于所有文件、工具是否有效运行,或攻击者(也许是使用专业工具包的业余成员)是否诚实守信方面,你得不到正式或法律性的保证。
  • 限制攻击者的财务回报 – 如果某家组织可以在不向攻击者付费的情况下恢复业务运营,则攻击失败,这意味着攻击者的投资回报率 (ROI) 为零。 这样一来,他们今后不太可能以该组织作为攻击目标(也失去了攻击其他人的更多资本)。

攻击者可能仍会尝试通过数据透露或滥用/出售盗取的数据来勒索组织,但与他们拥有数据和系统的唯一访问途径相比,这种做法的利用价值更小。

为做到这一点,组织应确保:

  • 登记风险 - 将勒索软件作为高可能性和高影响性的威胁添加到风险登记表中。 通过企业风险管理 (ERM) 评估周期跟踪缓解状态。
  • 定义并备份关键业务资产 – 定义关键业务运营所需的系统,并定期自动将其备份(包括正确备份 Active Directory 等关键依赖项)。在修改/删除联机备份之前,先使用脱机存储、不可变存储和/或带外步骤(MFA 或 PIN)来保护备份,以防攻击者蓄意将其擦除和加密。
  • 测试“通过归零恢复”方案 – 进行测试并确保业务连续性/灾难恢复 (BC/DR) 方案能够通过归零功能(关闭所有系统)快速使关键业务运营恢复联机。 开展实践练习以验证跨团队流程和技术过程,包括带外员工和客户通信(假定所有电子邮件、聊天等应用程序已关闭)。
    务必保护(或打印)在恢复时所需的支持文档和系统,包括还原过程文档、CMDB、网络图、SolarWinds 实例等。攻击者会定期销毁这些资源。
  • 减少本地暴露 – 通过自动备份和自助回滚将数据转移到云服务。

提高意识并确保没有知识差距

可以采取许多活动来为潜在的勒索软件事件做好准备。

为最终用户提供有关勒索软件危害的教育

由于大多数勒索软件变种依赖最终用户安装相应的勒索软件或连接到受感染的网站,因此应该为所有最终用户提供有关其危害的教育。 这项教育通常属于年度安全意识培训的一部分,或者属于公司学习管理系统提供的临时培训的一部分。 意识培训还应该通过公司的门户或其他适当渠道延伸到公司的客户。

为安全运营中心 (SOC) 分析师和其他人提供有关如何应对勒索软件事件的教育

SOC 分析师和其他涉及勒索软件事件的人员应专门了解恶意软件和勒索软件的基本原理。 他们应了解勒索软件的主要变种/家族及其某些典型特征。 客户呼叫中心工作人员还应了解如何处理来自公司最终用户和客户的勒索软件报告。

确保实施适当的技术控制

应实施多种技术控制来保护、检测和响应勒索软件事件,并非常注重预防。 至少,SOC 分析师应该能够访问公司反恶意软件系统生成的遥测数据,知道实施了哪些预防措施,了解勒索软件所针对的基础设施,并可以协助公司团队采取适当的行动。

这包括使用以下部分或所有基本工具:

  • 检测和预防工具

    • 企业服务器反恶意软件产品套件(例如 Microsoft Defender for Cloud)
    • 网络反恶意软件解决方案(例如 Azure 反恶意软件)
    • 安全数据分析平台(例如 Azure Monitor、Sentinel)
    • 下一代入侵检测和预防系统
    • 下一代防火墙 (NGFW)

  • 恶意软件分析和响应工具包

    • 为组织中大多数主要最终用户和服务器操作系统提供支持的自动化恶意软件分析系统
    • 静态和动态恶意软件分析工具
    • 数字取证软件和硬件
    • 非组织 Internet 访问(例如 4G 加密狗)
    • 为获得最大效率,除了安全数据分析平台中的统一遥测外,SOC 分析师还应能够通过其本机接口对几乎所有的反恶意软件平台进行广泛访问。 适用于 Azure 云服务和虚拟机的 Azure 原生反恶意软件平台提供了有关如何实现此目的的分步指南。
    • 信息扩充和情报来源
    • 联机和脱机威胁与恶意软件情报来源(例如 sentinel、Azure 网络观察程序)
    • Active Directory 和其他身份验证系统(及相关日志)
    • 包含终结点设备信息的内部配置管理数据库 (CMDB)

  • 数据保护

    • 实施数据保护,确保在遭到勒索软件攻击后快速可靠地恢复并阻止某些攻击手法。
    • 指定受保护文件夹 – 使未经授权的应用程序更难修改这些文件夹中的数据。
    • 评审权限 – 降低通过宽泛的访问权限启用勒索软件的风险
    • 发现对文件共享、SharePoint 和其他解决方案的宽泛写入/删除权限
    • 减少宽泛权限,同时满足业务协作要求
    • 进行审核和监视,确保不会再次出现宽泛权限
    • 安全备份
    • 确保备份关键系统,并防止攻击者蓄意擦除/加密备份。
    • 定期自动备份所有关键系统
    • 定期执行业务连续性/灾难恢复 (BC/DR) 计划,确保快速恢复业务运营
    • 保护备份以防蓄意擦除和加密
    • - 强保护 - 要求执行带外步骤(例如 MUA/MFA)才能修改联机备份(例如 Azure 备份)
    • 最强的保护 – 将备份与联机/生产工作负载隔离开来,以增强对备份数据的保护。
    • 保护恢复时所需的支持文档,例如还原过程文档、CMDB 和网络图

建立事件处理过程

确保组织大致按照美国国家标准技术研究所 (NIST) 计算机安全事件处理指南(特刊 800-61r2)中所述的事件响应步骤和指导采取多项活动,为潜在的勒索软件事件做好准备。 这些步骤包括:

  1. 准备:此阶段描述在事件发生之前应实施的各种措施。 这可能包括技术准备(例如实施适当的安全控制和其他技术)和非技术准备(例如流程和过程准备)。
  2. 触发器/检测:此阶段描述如何检测此类事件,以及哪些触发器可用于启动进一步调查或事件宣布。 这些触发器通常分为高置信度和低置信度触发器。
  3. 调查/分析:此阶段描述当不明确是否发生某个事件时,为了调查和分析可用数据而要采取的活动,目的是确认是要宣布某个事件,还是得出事件未发生的结论
  4. 事件宣布:此阶段包括宣布事件而必须采取的步骤,期间通常会在企业事件管理(票证)系统中提交一个票证,然后将该票证转达给相应的人员以采取进一步的评估和行动。
  5. 遏制/缓解:此阶段包括安全运营中心 (SOC) 或其他部门可采取的步骤,以遏制或缓解(阻止)事件继续发生,或使用可用的工具、技术和过程限制事件造成的影响。
  6. 修正/恢复:此阶段包括在事件造成损害之后但尚未得到控制和缓解之前,为了修正或恢复而采取的步骤。
  7. 事件发生后的活动:此阶段包括事件结束后应执行的活动。 这包括捕获与事件相关的最终叙述,以及总结经验教训。

事件处理过程的流程图

为快速恢复做好准备

确保实施适当的流程和过程。 几乎所有的勒索软件事件都会导致需要还原已受损害的系统。 因此,应针对大多数系统实施适当且经过测试的备份和还原流程与过程。 此外,应实施适当的遏制策略和过程来阻止勒索软件的传播,并在遭受勒索软件攻击后予以恢复。

确保制定相应的文档来全面阐述有关与任何第三方支持合作的过程,尤其是威胁情报提供商、反恶意软件解决方案提供商和恶意软件分析提供商提供的支持。 如果勒索软件变种具有已知弱点或提供有解密工具,与这些支持人员联系可能会有作用。

Azure 平台通过 Azure 备份提供备份和恢复选项,并且这些选项已内置在各种数据服务和工作负载中。

使用 Azure 备份进行独立备份

  • Azure 虚拟机
  • Azure VM 中的数据库:SQL、SAP HANA
  • Azure Database for PostgreSQL
  • 本地 Windows Server(使用 MARS 代理备份到云)

使用 Azure 备份进行本地(操作)备份

  • Azure 文件
  • Azure Blob
  • Azure 磁盘

Azure 服务中的内置备份

  • Azure 数据库(SQL、MySQL、MariaDB、PostgreSQL)、Azure Cosmos DB 和 ANF 等数据服务提供内置备份功能

后续步骤

参阅白皮书:Azure 针对勒索软件攻击的防御措施白皮书

本系列中的其他文章: