備份和還原計劃以防範勒索軟體

  • 發行項

勒索軟體攻擊會刻意加密或清除數據和系統,以強制貴組織向攻擊者支付費用。 這些攻擊的目標是您的數據、備份,以及需要您復原的重要檔,而不需支付攻擊者費用(作為增加組織支付的機會的手段)。

本文說明在攻擊之前要執行的動作,以保護您重要的商務系統,以及在攻擊期間,以確保快速復原商務作業。

注意

準備勒索軟體也改善了自然災害的復原能力,以及 WannaCry & (Not)Petya 等快速攻擊。

什麼是勒索軟體?

勒索軟體是一種敲詐勒索攻擊,可加密檔案和資料夾,以防止存取重要的數據和系統。 攻擊者使用勒索軟體來敲詐受害者的錢財,通常是以加密貨幣的形式,以換取解密密鑰,或交換不將敏感數據釋放到黑暗網路或公用因特網。

雖然早期勒索軟體大多使用與網路釣魚或裝置之間傳播的惡意代碼,但人類操作的勒索軟體已經出現,由人類攻擊操作員驅動的一組作用中攻擊者,以組織中的所有系統為目標(而不是單一裝置或一組裝置)。 攻擊可以:

  • 加密您的資料
  • 外洩您的數據
  • 您的備份損毀

勒索軟體利用攻擊者對常見系統和安全性設定錯誤和弱點的知識,滲透組織、流覽企業網路,並隨著其運作而適應環境和弱點。

勒索軟體可以在勒索軟體實際在特定日期執行之前,先在數周或幾個月內,暫存以外洩您的數據。

勒索軟體也可以慢慢加密您的數據,同時將密鑰保留在系統上。 使用您的金鑰仍然可用時,您的數據可供您使用,且勒索軟體不會受到忽視。 不過,您的備份是加密的數據。 一旦所有數據都經過加密,而且最近的備份也是加密的數據,您的密鑰就會移除,讓您無法再讀取您的數據。

當攻擊外洩檔案時,通常會造成真正的損害,同時將後門留在網路中以供未來的惡意活動使用,而且無論是否支付贖金,這些風險仍然存在。 這些攻擊對商務作業可能造成災難性影響,而且難以清除,需要完全的敵人收回,才能防範未來的攻擊。 不同於早期勒索軟體只需要補救惡意程式碼的形式,人為操作的勒索軟體可以在一開始發生之後持續威脅您的商務作業。

攻擊的影響

勒索軟體攻擊對任何組織的影響很難準確量化。 視攻擊範圍而定,影響可能包括:

  • 數據存取遺失
  • 業務作業中斷
  • 財務損失
  • 智慧財產權盜竊
  • 遭入侵的客戶信任或損毀的聲譽
  • 法律費用

如何保護自己?

防止勒索軟體成為受害者的最佳方式,是實作預防措施,並讓工具保護您的組織免受攻擊者滲透系統的每一個步驟的影響。

您可以將組織移至雲端服務,以減少內部部署曝光。 Microsoft 已投資原生安全性功能,讓 Microsoft Azure 能夠抵禦勒索軟體攻擊,並協助組織擊敗勒索軟體攻擊技術。 如需勒索軟體和敲詐與如何保護組織的完整檢視,請使用人類操作勒索軟體風險降低專案方案 PowerPoint 簡報中的資訊。

您應該假設在某個時間點,您會成為勒索軟體攻擊的受害者。 若要保護您的數據,並避免支付贖金,您可以採取的最重要步驟之一,就是為您的業務關鍵資訊提供可靠的備份和還原計劃。 由於勒索軟體攻擊者已投入大量資金來中和備份應用程式和操作系統功能,例如磁碟區陰影複製,因此讓惡意攻擊者無法存取的備份非常重要。

Azure 備份

Azure 備份 提供備份環境的安全性,無論是在傳輸中還是待用時。 使用 Azure 備份,您可以備份

  • 內部部署檔案、資料夾和系統狀態
  • 整個 Windows/Linux VM
  • Azure 受控磁碟
  • 將 Azure 檔案共用至儲存體帳戶
  • 在 Azure VM 上執行的 SQL Server 資料庫

備份資料都儲存在 Azure 儲存體中,客體或攻擊者無法直接存取備份儲存體或其內容。 使用虛擬機器備份時,備份快照集的建立和儲存體是由 Azure 網狀架構所完成,而客體或攻擊者除了停止應用程式一致性備份的工作負載之外,也沒有任何牽連。 使用 SQL 和 SAP HANA,備份延伸模組會取得寫入特定 Blob 的暫時存取權。 如此一來,即使在遭洩漏的環境中,攻擊者也無法竄改或刪除現有的備份。

Azure 備份提供內建的監視和警示功能,可檢視和設定與 Azure 備份相關事件的動作。 備份報告可作為追蹤使用量、稽核備份和還原,以及識別不同層級資料細微性的關鍵趨勢的一站式目的地。 使用 Azure 備份的監視和報告工具,可在任何未經授權、可疑或惡意活動發生時立即發出警示。

已新增檢查以確保只有有效的使用者才能執行各種作業。 其中包括新增額外的驗證層。 在新增重要作業的額外驗證層時,系統會提示您輸入安全性 PIN,再 修改在線備份

深入瞭解 Azure 備份 內建的安全性功能

驗證備份

在還原之前,驗證備份在建立備份時是否良好。 我們建議您使用 復原服務保存庫,這是 Azure 中儲存數據的記憶體實體。 資料通常是資料的副本,或是虛擬機器 (VM)、工作負載、伺服器或工作站的設定資訊。 您可以使用復原服務保存庫來保存各種 Azure 服務的備份數據,例如 IaaS VM(Linux 或 Windows)和 Azure SQL 資料庫,以及內部部署資產。 復原服務保存庫可讓您輕鬆地組織備份數據並提供下列功能:

  • 增強的功能,以確保您可以保護備份,並安全地復原數據,即使生產伺服器和備份伺服器遭到入侵也一樣。 深入了解
  • 從中央入口網站監視混合式IT環境(Azure IaaS VM和內部部署資產)。 深入了解
  • 與 Azure 角色型存取控制 (Azure RBAC) 的相容性,這會限制對一組已定義之使用者角色的備份和還原存取。 Azure RBAC 提供各種內建角色,Azure 備份 有三個內建角色來管理恢復點。 深入了解
  • 虛刪除保護,即使惡意執行者刪除備份(或備份數據不小心刪除)。 備份數據會保留 14 天,允許復原備份專案且不會遺失數據。 深入了解
  • 跨區域還原,可讓您還原次要區域中的 Azure VM,也就是 Azure 配對的區域。 您可以隨時還原次要區域中的複寫數據。 這可讓您還原次要區域數據以進行稽核合規性,以及在中斷案例期間,而不需要等待 Azure 宣告災害(不同於保存庫的 GRS 設定)。 深入了解

注意

Azure 備份 中有兩種類型的保存庫。 除了復原服務保存庫之外,還有備份保存庫可存放 Azure 備份 所支援較新工作負載的數據。

攻擊前該怎麼辦

如先前所述,您應該假設在某個時間點,您會成為勒索軟體攻擊的受害者。 在遭受攻擊之前識別業務關鍵系統並套用最佳做法,讓您儘快恢復正常運作。

判斷您最重要的事項

當您規劃攻擊時,勒索軟體可能會受到攻擊,因此您的第一個優先順序應該是識別對您最重要的業務關鍵系統,並開始在這些系統上執行定期備份。

在我們的體驗中,客戶最重要的五個應用程式會依此優先順序分為下列類別:

  • 身分識別系統 – 使用者存取任何系統所需的系統(包括下面所述的所有其他系統),例如 Active Directory、Microsoft Entra 連線、AD 域控制器
  • 人類生命 – 任何支持人類生命的系統,或可能使其面臨危險,例如醫療或生命保障系統、安全系統(救護車、調度系統、交通燈控制)、大型機械、化學/生物系統、食品或個人產品生產等
  • 財務系統 – 處理貨幣交易並維持業務運作的系統,例如付款系統和相關資料庫、每季報告的金融體系
  • 產品或服務啟用 – 提供商務服務或產生/傳遞客戶支付給您的實體產品所需的任何系統、工廠控制系統、產品交付/分派系統,以及類似的
  • 安全性 (最低) - 您也應該優先設定監視攻擊所需的安全性系統優先順序,並提供最低安全性服務。 這應該著重於確保目前的攻擊(或容易的機會攻擊)無法立即取得(或重新取得)對已還原系統的存取權

您優先的備份清單也會成為您優先的還原清單。 識別出重要系統並執行定期備份之後,請採取步驟來降低暴露程度。

在攻擊之前採取的步驟

在攻擊之前套用這些最佳做法。

Task 詳細資料
識別您需要先帶回在線的重要系統(使用上述五大類別),然後立即開始執行這些系統的定期備份。 若要在攻擊之後儘快備份並執行,請判斷您目前最重要的事項。
將組織移轉至雲端。

請考慮購買 Microsoft 統一支援 方案,或與 Microsoft 合作夥伴合作,協助支援移轉至雲端。		 使用自動備份和自助式復原,將數據移至雲端服務,以減少您的內部部署暴露。 Microsoft Azure 有一組強大的工具,可協助您備份業務關鍵系統,並更快速地還原備份。

Microsoft 統一支援 是一種雲端服務支援模型,可讓您隨時協助您。 統一支援:

提供 24x7 可用的指定小組,並視需要解決問題和重大事件呈報

協助您監視IT環境的健康情況,並主動運作,以確保問題在發生之前已避免發生
將用戶數據移至 OneDrive 和 SharePoint 等雲端解決方案,以利用 版本設定和回收站功能

教育使用者如何自行復原其檔案,以減少復原的延遲和成本。 例如,如果使用者的 OneDrive 檔案受到惡意代碼感染,他們可以 將整個 OneDrive 還原 到先前的時間。

在允許使用者還原自己的檔案之前,請考慮防禦策略,例如 Microsoft Defender 全面偵測回應		 Microsoft 雲端中的使用者資料可受到內建安全性和資料管理功能的保護。

最好教使用者如何還原自己的檔案,但您必須小心,您的使用者不會還原用來執行攻擊的惡意代碼。 您需要:

請確定您的使用者不會還原其檔案,直到您確信攻擊者已被收回

如果用戶確實還原某些惡意代碼,請就地進行風險降低

Microsoft Defender 全面偵測回應 使用 AI 支援的自動動作和劇本,將受影響的資產補救回安全狀態。 Microsoft Defender 全面偵測回應 利用套件產品的自動補救功能,確保盡可能自動補救與事件相關的所有受影響的資產。
實作 Microsoft 雲端安全性效能評定 Microsoft 雲端安全性效能評定是以產業為基礎的安全性控制架構,例如 NIST SP800-53、CIS 控件 v7.1。 它提供組織如何設定 Azure 和 Azure 服務及實作安全性控制措施的指引。 請參閱 備份和復原
定期練習商務持續性/災害復原 (BC/DR) 計劃。

模擬事件回應案例。 您準備攻擊時所執行的練習應該針對您優先的備份和還原清單進行規劃及執行。

定期測試「從零復原」案例,以確保 BC/DR 能夠從零功能快速上線關鍵商務營運(所有系統關閉)。		 將勒索軟體或敲詐攻擊視為與自然災害相同的重要性,確保快速復原業務作業。

進行練習練習,以驗證跨小組流程和技術程式,包括頻外員工和客戶通訊(假設所有電子郵件和聊天都已關閉)。
請考慮建立風險緩存器來識別潛在風險,並解決您將如何透過預防性控制和動作進行調解。 將勒索軟體新增至風險註冊為高可能性和高影響案例。 風險緩存器可協助您根據風險發生的可能性,以及企業應發生風險的嚴重性來設定風險的優先順序。

透過 企業風險管理 (ERM) 評定週期追蹤風險降低狀態。
定期自動備份所有重要的商務系統(包括 Active Directory 等重要相依性的備份)。

驗證備份在建立備份時是否良好。		 可讓您將資料復原到最後一個備份。
保護 (或列印) 支持復原所需的檔和系統,例如還原程序檔、CMDB、網狀圖和 SolarWinds 實例。 攻擊者會刻意以這些資源為目標,因為其會影響復原的能力。
請確定您有充分記載的程式可吸引任何第三方支援,特別是來自威脅情報提供者、反惡意代碼解決方案提供者,以及惡意代碼分析提供者的支援。 保護(或列印)這些程式。 如果指定的勒索軟體變體具有已知的弱點或解密工具,則第三方聯繫人可能會很有用。
確定備份和復原策略包括:

將資料備份至特定時間點的能力。

備份的多個複本會儲存在隔離、離線(空中套用)位置。

建立可擷取和放入生產環境的備份資訊速度的復原時間目標。

快速還原至生產環境/沙盒。		 在組織遭到入侵之後,備份對於復原至關重要。 套用 3-2-1 規則以取得最大保護和可用性:3 個復本(原始 + 2 個備份)、2 個儲存類型,以及 1 個異地或冷複製。
保護備份免於故意清除和加密:

將備份儲存在離線或異地記憶體和/或固定記憶體中。

允許修改或清除在線備份之前,需要頻外步驟(例如 MFA 或安全性 PIN)。

在 Azure 虛擬網絡 內建立私人端點,以從復原服務保存庫安全地備份和還原數據。		 攻擊者可存取的備份可以轉譯為無法用於業務復原。

離線記憶體可確保備份數據的強固傳輸,而不需使用任何網路頻寬。 Azure 備份 支援離線備份,其會脫機傳輸初始備份數據,而不需使用網路頻寬。 它提供將備份數據複製到實體記憶體裝置的機制。 然後,這些裝置會運送到附近的 Azure 數據中心,並上傳至 復原服務保存庫

在線固定記憶體(例如 Azure Blob)可讓您將業務關鍵性數據物件儲存在 WORM(寫入一次、讀取許多)狀態。 此狀態能讓資料在使用者指定的間隔內不可清除,也不可修改。

對於所有系統管理員帳戶,多重要素驗證 (MFA) 應該是強制性的,強烈建議所有使用者使用。 慣用的方法是盡可能使用驗證器應用程式,而不是簡訊或語音。 當您設定 Azure 備份 時,您可以設定復原服務,以使用 Azure 入口網站 中產生的安全性 PIN 來啟用 MFA。 這可確保產生安全性針腳來執行重要作業,例如更新或移除恢復點。
指定 受保護的資料夾 讓未經授權的應用程式更難以修改這些資料夾中的資料。
檢閱您的權限:

探索檔案共用、SharePoint 和其他解決方案的廣泛寫入/刪除許可權。 廣泛定義為具有業務關鍵資料寫入/刪除權限的使用者。

降低廣泛許可權,同時符合商務共同作業需求。

稽核和監視以確保廣泛許可權不會重新出現。		 降低廣泛啟用勒索軟體活動的風險。
防止網路釣魚嘗試:

定期進行安全性意識訓練,協助使用者識別網路釣魚嘗試,並避免按兩下可建立入侵初始進入點的專案。

將安全性篩選控制件套用至電子郵件,以偵測並最小化成功網路釣魚嘗試的可能性。		 攻擊者用來滲透組織的最常見方法是透過電子郵件進行網路釣魚嘗試。 Exchange Online Protection (EOP) 是雲端式篩選服務,可保護您的組織免於垃圾郵件、惡意代碼和其他電子郵件威脅。 EOP 包含在所有具備 Exchange Online 信箱的 Microsoft 365 組織中。

電子郵件的安全性篩選控件範例是 保管庫 連結。 保管庫 連結是 適用於 Office 365 的 Defender 中的一項功能,可在輸入郵件流程期間掃描和重寫電子郵件訊息中的 URL 和連結,以及電子郵件訊息和其他位置中 URL 和鏈接的點擊時間驗證(Microsoft Teams 和 Office 檔)。 保管庫 除了 EOP 中輸入電子郵件訊息中的一般反垃圾郵件和反惡意代碼防護之外,也會進行鏈接掃描。 安全連結接掃描有助於保護您的組織免受網路釣魚和其他攻擊中使用的惡意連結的侵害。

深入瞭解 防網路釣魚保護

攻擊期間要執行的動作

如果您遭到攻擊,優先順序的備份清單會變成您優先的還原清單。 在還原之前,請再次驗證備份是否良好。 您可以在備份內尋找惡意程式碼。

攻擊期間採取的步驟

在攻擊期間套用這些最佳做法。

Task 詳細資料
在攻擊初期,請洽詢第三方支援,特別是來自威脅情報提供者、反惡意代碼解決方案提供者和惡意代碼分析提供者的支援。 如果指定的勒索軟體變體具有已知的弱點或解密工具,這些聯繫人可能會很有用。

Microsoft 偵測和回應小組 (DART) 可協助保護您免受攻擊。 DART 與世界各地的客戶互動,協助保護和強化攻擊發生之前,以及調查和補救攻擊發生時。

Microsoft 也提供快速勒索軟體復原服務。 服務是由 Microsoft Global Compromise Recovery Security Practice (CRSP) 獨家提供。 在勒索軟體攻擊期間,此小組的重點在於還原驗證服務,並限制勒索軟體的影響。

DART 和 CRSP 是 Microsoft 產業解決方案傳遞安全性服務線的一部分。
請連絡您的當地或聯邦執法機構。 如果您是在 美國,請連絡 FBI 以使用 IC3 投訴轉介表單報告勒索軟體缺口。
採取步驟,從您的環境中移除惡意代碼或勒索軟體承載,並停止傳播。

在所有可疑的計算機和裝置上執行完整且目前的防毒掃描,以偵測並移除與勒索軟體相關聯的承載。

掃描正在同步處理數據的裝置,或對應網路驅動器機的目標。		 您可以使用 Windows Defender 或 (適用於舊版用戶端) Microsoft Security Essentials

另一種也可協助您移除勒索軟體或惡意程式碼的替代方案是 惡意軟體移除工具 (MSRT)
請先還原業務關鍵系統。 請記得在還原之前再次驗證備份是否良好。 此時,您不需要還原所有專案。 將焦點放在還原清單中的前五個業務關鍵系統。
如果您有離線備份,您可能會在從環境中移除勒索軟體承載(惡意代碼)之後還原加密的數據 若要防止未來的攻擊,請在還原之前,確定勒索軟體或惡意代碼不在脫機備份上。
識別已知不會感染的安全時間點備份映像。

如果您使用復原服務保存庫,請仔細檢閱事件時間軸,以瞭解還原備份的正確時間點。		 若要防止未來的攻擊,請在還原之前掃描勒索軟體或惡意代碼的備份。
使用安全掃描器和其他工具進行完整的操作系統還原,以及數據還原案例。 Microsoft 安全掃描工具 是一種掃描工具,旨在從 Windows 電腦尋找和移除惡意代碼。 只要下載並執行掃描來尋找惡意代碼,並嘗試反轉已識別威脅所做的變更。
請確定您的防病毒軟體或 端點偵測及回應 (EDR) 解決方案是最新的。 您也需要有最新的修補程式。 偏好使用 EDR 解決方案,例如 適用於端點的 Microsoft Defender
在業務關鍵系統啟動並執行之後,請還原其他系統。

當系統還原時,請開始收集遙測數據,以便對您要還原的內容做出格式化決策。		 遙測數據應該可協助您識別惡意代碼是否仍在您的系統上。

攻擊後或模擬

勒索軟體攻擊或事件回應模擬之後,請採取下列步驟來改善備份和還原計劃以及安全性狀態:

  1. 找出程式無法正常運作的教訓(以及簡化、加速或改善程序的機會)
  2. 針對最大的挑戰執行根本原因分析(有足夠的詳細數據以確保解決方案解決正確的問題 — 考慮人員、程式和技術)
  3. 調查並補救原始缺口 (請 Microsoft 偵測和回應小組 (DART) 提供協助)
  4. 根據學到的經驗和機會來更新備份和還原策略 -- 先根據最高影響和最快實作步驟排定優先順序

下一步

在本文中,您已瞭解如何改善備份和還原計劃,以防止勒索軟體。 如需部署勒索軟體保護的最佳做法,請參閱快速防範勒索軟體和敲詐勒索。

重要產業資訊:

Microsoft Azure:

Microsoft 365:

Microsoft Defender 全面偵測回應:

Microsoft 安全性小組部落格文章: