快速部署勒索软件防护

  • 项目

注意

当有新信息可用时,将更新此指南。

提供勒索软件保护和缓解敲诈勒索攻击是大大小小的组织的首要任务,因为这些攻击的影响很大,而且组织遇到此类攻击的可能性也越来越大。

注意

如果需要勒索软件定义,请阅读 此处的概述。

立即设置勒索软件防护

有关如何最好地为组织准备应对多种形式的勒索软件和敲诈勒索的具体说明。

本指南按优先级阶段进行组织。 每个阶段链接到单独的文章。 优先级顺序旨在确保 在每个阶段中尽可能快地降低风险,基于将替代正常安全和 IT 优先级的极大紧迫性假设,以避免或缓解这些破坏性攻击。

防范勒索软件的三个阶段

请务必注意,本指南的结构包含已设定优先级顺序的各个阶段,你应当规定顺序遵循各阶段。 为了根据你的情况以最佳方式调整该指南,请执行以下操作:

  1. 坚持使用建议的优先级

    使用这些阶段作为操作顺序的起始计划,以便首先获得影响最大的元素。 这些建议已使用假定违规零信任原则来确定优先级。 这迫使你通过假设攻击者可以通过一种或多种方法成功访问你的环境,专注于将业务风险降到最低。

  2. 主动灵活 (,但 不要跳过重要任务)

    浏览所有三个阶段的所有部分的实现清单,以查看是否有任何区域和任务可以 提前快速完成 (例如,已有权访问尚未使用但可以快速轻松地配置) 的云服务。 查看整个计划时,要非常小心这些后期的领域和任务不会延迟完成备份和特权访问等至关重要的领域!

  3. 并行执行某些项

    尝试一次性执行所有操作可能会让人不知所措,但某些项可以轻易地并行完成。 不同团队的员工可以同时处理 (任务,例如备份团队、终结点团队、标识团队) ,同时推动按优先级顺序完成各个阶段。

实现清单中的项目按建议的优先级顺序排列,而不是按技术依赖项顺序排序。 请根据需要和适用于组织的方式使用清单确认和修改现有配置。 例如,在最重要的备份元素中,备份某些系统,但它们可能不是脱机/非可变的,或者你可能没有测试完整的企业还原过程,或者你可能没有关键业务系统或关键 IT 系统(如 Active Directory 域服务 (AD DS) 域控制器)的备份。

注意

有关此过程的其他摘要,请参阅 Microsoft 安全博客文章防范勒索软件并从中恢复的 3 个步骤(2021 年 9 月)

阶段 1. 准备恢复计划

此阶段旨在通过以下步骤使勒索软件攻击者的求财动机最小化

  • 加大访问和中断系统,或者加密或损坏密钥组织数据的难度。
  • 使组织更容易无需支付赎金便可从攻击中恢复。

注意

虽然还原许多或所有企业系统是一项困难的工作,但另一种方法是向攻击者支付他们可能或可能不会提供的恢复密钥,并使用攻击者编写的工具来尝试恢复系统和数据。

阶段 2: 限制损害范围

使攻击者更加难以通过特权访问角色访问多个业务关键系统。 通过限制攻击者获取特权访问的能力,使其难以从攻击组织中盈利,因此他们更可能会放弃攻击而转向其他地方。

阶段 3。 增加入侵难度

最后一组任务对于加强力度阻止入侵十分重要,但其作为更加庞大的安全之旅的一部分,需要花费一些时间才能完成。 此阶段的目标是使攻击者的工作 更加 困难,因为他们尝试在各种常见入口点 获取对本地或云基础结构的访问权限 。 这些任务有很多,因此必须根据使用当前资源完成这些任务的速度来确定此处工作的优先级。

虽然其中许多操作熟悉且易于快速完成,但第 3 阶段的工作不应减慢第 1 阶段和第 2 阶段的进度,这一点至关重要!

勒索软件防护概览

还可通过“保护组织免遭勒索软件威胁”海报概要了解用作勒索软件攻击者防范级别的各阶段及其实现清单。

“保护组织免遭勒索软件威胁”海报

后续步骤

阶段 1. 准备恢复计划

阶段 1 开始,使组织做好准备,以便不必支付赎金就能在遭到攻击后恢复正常。

其他勒索软件资源

Microsoft 提供的重要信息:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Microsoft 安全团队博客文章: