准备勒索软件攻击恢复计划
为应对可能遭受的勒索软件攻击,你必须做的一件事是让组织做好准备,以便拥有除支付赎金以外的替代方案。
控制你的组织的勒索软件网络犯罪攻击者可以通过许多方式来迫使你支付赎金。 需求主要分为两种:
支付赎金以重新获得访问权限
攻击者通过威胁不允许你访问系统和数据来要求付款。 通常做法是加密你的系统和数据,并要求付款以换取解密密钥。
重要
支付赎金这种解决方案并不像它看上去那样简单利落。
因为你面对的是只是在利益驱使下的网络犯罪分子(通常是使用他人提供的工具包的相对业余的操作员),支付赎金究竟效果如何存在很大的不确定性。 没有法律保证他们提供的密钥能 100% 解密你的系统和数据,甚至没法保证他们会提供密钥。 在解密这些系统时,需要使用自行开发的攻击者工具,这一过程通常是手动的,而且不易操作。
支付费用来避免信息泄露
攻击者要求支付赎金来换取他们不会将敏感或尴尬数据发布给暗网(其他犯罪者)或公众的保证。
为了避免被迫付费(这种情况对攻击者有利),可采取的最直接且最有效的操作是确保你的组织可从不可变存储中恢复整个企业,而无论攻击者还是你自己都无法修改该存储。
确定最敏感的资产并对其进行更高保障级别的保护也至关重要,但执行起来更耗时且更具挑战性。 我们不希望你耽搁阶段 1 或阶段 2 中的其他方面,但建议在该过程中首先将业务、IT 和安全利益干系人聚在一起来询问和解答下述问题:
- 如果遭到入侵,哪些业务资产会受到最大损害? 例如,当攻击者控制了哪些资产时,我们的业务领导会愿意支付勒索金额?
- 这些业务资产如何转换为 IT 资产(例如文件、应用程序、数据库、服务器和控制系统)?
- 可如何保护或隔离这些资产,使能访问常规 IT 环境的攻击者无法访问它们?
安全备份
必须确保关键系统及其数据已备份,并且备份可抵御攻击者的蓄意擦除或加密。
对备份的攻击侧重于削弱组织不付赎金进行应对的能力,通常会攻击需要恢复的备份和关键文档,迫使你支付勒索金额。
大多数组织不会针对这种级别的蓄意攻击来保护备份和还原过程。
注意
这样准备还可提高在遭受自然灾害和快速攻击(例如 WannaCry 和 (Not)Petya)后的复原能力。
旨在防范勒索软件的备份和还原计划介绍了攻击之前如何保护关键业务系统以及攻击期间如何确保业务操作快速恢复。
计划和项目成员责任
下表描述了数据在倡导/计划管理/项目管理层次结构方面针对勒索软件的整体防护情况,帮助确定和推动取得更佳成果。
| Lead | 实施者 | 问责 |
|---|---|---|
| 中央 IT 操作或 CIO | 管理人员倡导 | |
| 中央 IT 基础结构计划主管 | 推动取得更佳成果并促进跨团队协作 | |
| 中央 IT 基础结构/备份 | 启用基础结构备份 | |
| 中央 IT 生产力/最终用户 | 启用 OneDrive 备份 | |
| 安全体系结构 | 有关配置和标准的建议 | |
| 安全策略和标准 | 更新标准和策略文档 | |
| 安全合规性管理 | 进行监视,确保合规性 | |
实现清单
应用这些最佳做法来保护备份基础结构。
| 完成 | 任务 | 说明 |
|---|---|---|
| 定期自动备份所有关键数据。 | 可将数据恢复到最新备份。 | |
| 定期演练业务连续性/灾难恢复 (BC/DR) 计划。 | 对勒索软件或敲诈勒索攻击与自然灾害同等重视,确保快速恢复业务操作。 | |
| 保护备份以防蓄意擦除和加密: - 强保护 - 要求执行带外步骤(MFA 或 PIN)才能修改联机备份(如 Azure 备份)。 - 最强保护 - 将备份存储在联机不可变存储(如 Azure Blob)和/或完全脱机或站点外的位置。 |
攻击者可访问的备份可显示没法用于业务恢复。 实现更强大的安全性来访问备份,并且无法更改存储在备份中的数据。 | |
| 保护恢复所需的支持文档,例如还原过程文档、配置管理数据库 (CMDB) 和网络图。 | 攻击者会故意攻击这些资源,因为这会影响你的恢复能力。 确保它们能够经受住勒索软件的攻击。 |
实施结果和时间线
在 30 天内,确保平均恢复时间 (MTTR) 满足在模拟和实际操作期间规定的 BC/DR 目标。
数据保护
必须实施数据保护,确保在遭到勒索软件攻击后快速可靠地恢复并阻截攻击者的某些攻击方法。
只有在对数据和系统的所有合法访问都失去时,勒索软件勒索攻击和破坏性攻击才起作用。 确保攻击者没法剥夺你不付赎金就恢复操作的能力,这会保护你的业务并破坏攻击你的组织的金钱动机。
计划和项目成员责任
下表描述了你的组织数据在倡导/计划管理/项目管理层次结构方面针对勒索软件的整体防护情况,帮助确定和推动取得更佳成果。
| Lead | 实施者 | 问责 |
|---|---|---|
| 中央 IT 操作或 CIO | 管理人员倡导 | |
| 数据安全性计划主管 | 推动取得更佳成果并促进跨团队协作 | |
| 中央 IT 生产力/最终用户 | 针对 OneDrive 和受保护的文件夹实施对 Microsoft 365 租户的更改 | |
| 中央 IT 基础结构/备份 | 启用基础结构备份 | |
| 业务/应用程序 | 确定关键业务资产 | |
| 安全体系结构 | 有关配置和标准的建议 | |
| 安全策略和标准 | 更新标准和策略文档 | |
| 安全合规性管理 | 进行监视,确保合规性 | |
| 用户培训团队 | 确保用户指南反映策略更新 | |
实现清单
应用这些最佳做法来保护组织数据。
| 完成 | 任务 | 说明 |
|---|---|---|
| 将组织迁移到云中: - 将用户数据迁移到云解决方案(例如 OneDrive/SharePoint),来使用版本控制和回收站功能。 - 指导用户如何自行恢复文件来减少恢复延迟和成本。 |
通过内置的安全性和数据管理功能来保护 Microsoft 云中的用户数据。 | |
| 指定受保护的文件夹。 | 使未经授权的应用程序更难修改这些文件夹中的数据。 | |
| 评审你的权限: - 发现对文件共享、SharePoint 和其他解决方案的宽泛写入/删除权限。 “宽泛”的定义是许多用户对业务关键数据都具有写入/删除权限。 - 减少关键数据位置的宽泛权限,同时满足业务协作要求。 - 对关键数据位置进行审核和监视,确保不会再次出现宽泛权限。 |
降低依赖于宽泛权限的勒索软件活动的风险。 | |
下一步
继续阶段 2,通过保护特权角色限制攻击者破坏的范围。
其他勒索软件资源
Microsoft 提供的重要信息:
- 日益严重的勒索软件威胁,Microsoft On the Issues 博客文章,2021 年 7 月 20 日
- 人为操作的勒索软件
- 快速防范勒索软件和敲诈勒索
- 2021 Microsoft 数字防御报告(请参阅第 10-19 页)
- Microsoft Defender 门户中的“勒索软件:普遍和持续的威胁”威胁分析报告
- Microsoft 检测和响应团队 (DART) 勒索软件应对方法和案例研究
Microsoft 365:
- 为 Microsoft 365 租户部署勒索软件防护
- 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
- 从勒索软件攻击中恢复
- 恶意软件和勒索软件防护
- 保护 Windows 10 电脑,使其免受勒索软件侵害
- SharePoint Online 中的勒索软件
- Microsoft Defender 门户中的“勒索软件的威胁分析报告”
Microsoft Defender XDR:
Microsoft Azure:
- Azure 针对勒索软件攻击的防御措施
- 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
- 旨在防范勒索软件的备份和还原计划
- 使用 Microsoft Azure 备份帮助防范勒索软件(26 分钟的视频)
- 从系统标识泄露中恢复
- Microsoft Sentinel 中的高级多阶段攻击检测
- Microsoft Sentinel 中对勒索软件的融合检测
Microsoft Defender for Cloud Apps:
Microsoft 安全团队博客文章:
打击人为操作的勒索软件指南:第 1 部分(2021 年 9 月)
Microsoft 检测和响应团队 (DART) 进行勒索软件事件调查的关键步骤。
打击人为操作的勒索软件指南:第 2 部分(2021 年 9 月)
建议和最佳做法。
通过了解网络安全风险实现复原:第 4 部分 - 浏览当前威胁(2021 年 5 月)
请参阅“勒索软件”部分。
人为操作的勒索软件攻击:可预防的灾难(2020 年 3 月)
包括对实际攻击的攻击链分析。
反馈
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈