快速帮助组织防范勒索软件攻击

勒索软件是一种网络攻击类型，网络犯罪分子会利用它来敲诈各种规模的组织。

了解如何防范勒索软件攻击并将损害降到最低是保护公司安全的重要一环。 本文提供了有关如何快速配置勒索软件保护的实用指南。

本指南分为若干步骤，我们将从需要执行的最紧迫操作开始。

将此页加入书签，将其用作步骤的起点。

重要

阅读勒索软件防护系列，使组织难以遭到网络攻击的破坏。

• 准备恢复计划
• 一个用于限制损害的计划
• 增加入侵难度

注意

什么是勒索软件？ 请参阅此处的勒索软件定义。

有关本文的重要信息

注意

这些步骤的顺序旨在确保尽可能快地降低风险，假设情况极端紧急时，该顺序将替代常规的安全性和 IT 优先级，以避免或减轻这些破坏性的攻击。

请务必注意，此勒索软件防护指南按步骤进行组织，你应该按照所示顺序执行这些步骤。 为了根据你的情况以最佳方式调整该指南，请执行以下操作：

1. 坚持使用建议的优先级

   使用这些步骤作为操作顺序的起始计划，以便首先获得影响最大的元素。 这些建议的优先级是使用假设违规的零信任原则设置的。 这将迫使你假设攻击者可通过一或多种方法成功访问你的环境，从而专注于如何将业务风险最小化。

2. 具备主动性和灵活性（但不要跳过重要任务）

   快速浏览这三个步骤所有部分的实现清单，看看是否有任何领域和任务可以快速提前完成。 换句话说，你可以更快地采取措施，因为你已经可以访问尚未使用但可以快速轻松配置的云服务。 查看整个计划时，要小心这些后期的领域和任务不会耽误你完成备份和特权访问等至关重要的领域！

3. 并行执行某些项

   尝试一次性执行所有操作可能会让人不知所措，但某些项可以轻易地并行完成。 不同团队的员工可以同时处理任务（例如备份团队、终结点团队、标识团队），同时按优先级顺序推动步骤完成。

实现清单中的项目按建议的优先级顺序排列，而不是按技术依赖项顺序排序。

请根据需要和适用于组织的方式使用清单确认和修改现有配置。 例如，在最重要的备份元素中，要备份某些系统，但它们可能不是脱机或非可变的，或者你可能没有测试完整的企业还原过程，或者你可能没有关键业务系统或关键 IT 系统（如 Active Directory 域服务 (AD DS) 域控制器）的备份。

注意

有关此过程的其他摘要，请参阅 Microsoft 安全博客文章防范勒索软件并从中恢复的 3 个步骤（2021 年 9 月）。

立即设置系统以防范勒索软件攻击

步骤如下：

步骤 1. 准备勒索软件恢复计划

此步骤旨在通过以下操作使勒索软件攻击者的求财动机最小化：

• 加大访问和中断系统，或者加密或损坏密钥组织数据的难度。
• 使组织更容易无需支付赎金便可从攻击中恢复。

注意

虽然还原许多或所有企业系统是一项困难的工作，但另一种选择是向攻击者支付其可能不会提供的恢复密钥的费用，以及使用攻击者编写的工具来恢复系统和数据。

步骤 2. 限制勒索软件的破坏范围

使攻击者更加难以通过特权访问角色访问多个业务关键系统。 通过限制攻击者获取特权访问的能力，使其难以从攻击你的组织中受益，因此他们更可能会放弃攻击而转向其他地方。

步骤 3. 让网络犯罪分子难以侵入

最后一组任务对于加强力度阻止入侵十分重要，但其作为更加庞大的安全之旅的一部分，需要花费一些时间才能完成。 此步骤的目标是让攻击者更加难以在各种常见入口点试图获取对本地或云基础结构的访问权限。 任务很多，因此必须根据使用当前资源完成这些任务的速度来确定此处工作的优先级。

虽然其中很多任务很常见且能轻松快速实现，但步骤 3 的工作不得拖慢步骤 1 和步骤 2 的工作进度，这一点至关重要。

勒索软件防护概览

还可通过“保护组织免遭勒索软件威胁”海报概要了解用作勒索软件攻击者防范级别的各步骤及其实现清单。

确定宏级别的勒索软件缓解优先级。 配置组织的环境以抵御勒索软件。

下一步

从步骤 1 开始，使组织做好准备，以便不必支付赎金就能在遭到攻击后恢复正常。

其他勒索软件资源

Microsoft 提供的重要信息：

• 日益严重的勒索软件威胁，Microsoft On the Issues 博客文章，2021 年 7 月 20 日
• 人为操作的勒索软件
• 2021 Microsoft 数字防御报告（请参阅第 10-19 页）
• Microsoft Defender 门户中的“勒索软件：普遍和持续的威胁”威胁分析报告
• Microsoft 事件响应团队（前 DART/CRSP）勒索软件方法和案例研究

Microsoft 365：

• 为 Microsoft 365 租户部署勒索软件防护
• 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
• 从勒索软件攻击中恢复
• 恶意软件和勒索软件防护
• 保护 Windows 10 电脑，使其免受勒索软件侵害
• SharePoint Online 中的勒索软件
• Microsoft Defender 门户中的“勒索软件的威胁分析报告”

Microsoft Defender XDR:

• 内置勒索软件防护
• 通过高级搜寻找到勒索软件

Microsoft Azure：

• Azure 针对勒索软件攻击的防御措施
• 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
• 旨在防范勒索软件的备份和还原计划
• 使用 Microsoft Azure 备份帮助防范勒索软件（26 分钟的视频）
• 从系统标识泄露中恢复
• Microsoft Sentinel 中的高级多阶段攻击检测
• Microsoft Sentinel 中对勒索软件的融合检测

Microsoft Defender for Cloud Apps：

• 在 Defender for Cloud 应用中创建异常情况检测策略

Microsoft 安全团队博客文章：

• 防范勒索软件并从中恢复的 3 个步骤（2021 年 9 月）

• 打击人为操作的勒索软件指南：第 1 部分（2021 年 9 月）

  Microsoft 事件响应如何进行勒索软件事件调查的关键步骤。

• 打击人为操作的勒索软件的指南：第 2 部分（2021 年 9 月）

  建议和最佳做法。

• 通过了解网络安全风险实现复原：第 4 部分 - 浏览当前威胁（2021 年 5 月）

  请参阅“勒索软件”部分。

• 人为操作的勒索软件攻击：可预防的灾难（2020 年 3 月）

  包括对实际攻击的攻击链分析。

• 勒索软件响应 - 是否支付赎金？ （2019 年 12 月）

• Norsk Hydro 以透明方式响应勒索软件攻击（2019 年 12 月）