快速帮助组织防范勒索软件攻击

勒索软件是一种网络攻击类型,网络犯罪分子会利用它来敲诈各种规模的组织。

了解如何防范勒索软件攻击并将损害降到最低是保护公司安全的重要一环。 本文提供了有关如何快速配置勒索软件保护的实用指南。

本指南分为若干步骤,我们将从需要执行的最紧迫操作开始。

将此页加入书签,将其用作步骤的起点。

重要

阅读勒索软件防护系列,使组织难以遭到网络攻击的破坏。

注意

什么是勒索软件? 请参阅此处的勒索软件定义。

有关本文的重要信息

注意

这些步骤的顺序旨在确保尽可能快地降低风险,假设情况极端紧急时,该顺序将替代常规的安全性和 IT 优先级,以避免或减轻这些破坏性的攻击。

防范索软件攻击的三个步骤

请务必注意,此勒索软件防护指南按步骤进行组织,你应该按照所示顺序执行这些步骤。 为了根据你的情况以最佳方式调整该指南,请执行以下操作:

  1. 坚持使用建议的优先级

    使用这些步骤作为操作顺序的起始计划,以便首先获得影响最大的元素。 这些建议的优先级是使用假设违规的零信任原则设置的。 这将迫使你假设攻击者可通过一或多种方法成功访问你的环境,从而专注于如何将业务风险最小化。

  2. 具备主动性和灵活性(但不要跳过重要任务

    快速浏览这三个步骤所有部分的实现清单,看看是否有任何领域和任务可以快速提前完成。 换句话说,你可以更快地采取措施,因为你已经可以访问尚未使用但可以快速轻松配置的云服务。 查看整个计划时,要小心这些后期的领域和任务不会耽误你完成备份和特权访问等至关重要的领域

  3. 并行执行某些项

    尝试一次性执行所有操作可能会让人不知所措,但某些项可以轻易地并行完成。 不同团队的员工可以同时处理任务(例如备份团队、终结点团队、标识团队),同时按优先级顺序推动步骤完成。

实现清单中的项目按建议的优先级顺序排列,而不是按技术依赖项顺序排序。

请根据需要和适用于组织的方式使用清单确认和修改现有配置。 例如,在最重要的备份部分,备份的某些系统可能不是脱机/不可变的、你可能没有测试完整的企业还原过程,或者可能没有关键业务系统或关键 IT 系统(如 Active Directory 域服务 (AD DS) 域控制器)的备份。

注意

有关此过程的其他摘要,请参阅 Microsoft 安全博客文章防范勒索软件并从中恢复的 3 个步骤(2021 年 9 月)

立即设置系统以防范勒索软件攻击

步骤如下:

步骤 1. 准备勒索软件恢复计划

此步骤旨在通过以下操作使勒索软件攻击者的求财动机最小化

  • 加大访问和中断系统,或者加密或损坏密钥组织数据的难度。
  • 使组织更容易无需支付赎金便可从攻击中恢复。

注意

虽然还原许多或所有企业系统是一项困难的工作,但向攻击者支付他们可能传递也可能不传递的恢复密钥的费用,然后使用攻击者编写的工具来尝试恢复系统和数据是一种更差的选择。

步骤 2. 限制勒索软件的破坏范围

使攻击者更加难以通过特权访问角色访问多个业务关键系统。 通过限制攻击者获取特权访问的能力,使其难以从攻击组织中盈利,因此他们更可能会放弃攻击而转向其他地方。

步骤 3. 让网络犯罪分子难以侵入

最后一组任务对于加强力度阻止入侵十分重要,但其作为更加庞大的安全之旅的一部分,需要花费一些时间才能完成。 此步骤的目标是让攻击者更加难以在各种常见入口点试图获取对本地或云基础结构的访问权限。 这些任务有很多,因此必须根据使用当前资源完成这些任务的速度来确定此处工作的优先级。

虽然其中很多任务很常见且能轻松快速实现,但步骤 3 的工作不得拖慢步骤 1 和步骤 2 的工作进度,这一点至关重要

勒索软件防护概览

还可通过“保护组织免遭勒索软件威胁”海报概要了解用作勒索软件攻击者防范级别的各步骤及其实现清单。

“保护组织免遭勒索软件威胁”海报

下一步

步骤 1.准备恢复计划

步骤 1 开始,使组织做好准备,以便不必支付赎金就能在遭到攻击后恢复正常。

其他勒索软件资源

Microsoft 提供的重要信息:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Microsoft 安全团队博客文章: