限制勒索軟體攻擊的範圍和影響
防止勒索軟體攻擊的下一個步驟是 保護特殊許可權角色 ,這是人員處理組織中許多特殊許可權資訊的工作類型。
這一階段的勒索軟體預防旨在防止網路犯罪攻擊者取得您系統的大量存取權。
網路犯罪對組織與裝置的存取越多,數據與系統的潛在損害就越高。
建立勒索軟體「特殊許可權存取策略」
您必須套用徹底且全面的策略,以降低特殊許可權存取入侵的風險。
任何您套用的任何其他安全性控制,都很容易被您環境中具有特殊許可權存取權的攻擊者所失效。 勒索軟體攻擊者會使用特殊權限存取作為快速路徑,控制組織中所有重要資產,以進行攻擊和後續的勒索。
神秘 在程式或項目中負責
下表說明特殊許可權存取策略,以防止勒索軟體在贊助/計劃管理/專案管理階層中驅動結果。
| 潛在客戶 | 實作器 | 當責 |
|---|---|---|
| CISO 或 CIO | 執行贊助 | |
| 計畫負責人 | 推動結果和跨小組共同作業 | |
| IT 和安全性架構師 | 設定元件整合至結構的優先順序 | |
| 身分識別與金鑰管理 | 實作身分識別變更 | |
| 中央 IT 生產力/終端使用者小組 | 實作裝置和 Office 365 租用戶的變更 | |
| 安全性原則和標準 | 更新標準和原則文件 | |
| 安全性合規性管理 | 監視以確保合規性 | |
| 使用者教育小組 | 更新任何密碼指導方針 | |
勒索軟體「特殊許可權存取策略」檢查清單
使用包含此檢查清單的 https://aka.ms/SPA 指引來建置多部分策略。
| 完成 | Task | 描述 |
|---|---|---|
| 強制執行端對端工作階段安全性。 | 先明確驗證使用者和裝置的信任,再允許存取系統管理介面(使用 Microsoft Entra 條件式存取)。 | |
| 保護和監視身分識別系統。 | 防止權限提升攻擊,包括目錄、身分識別管理、系統管理員帳戶和群組,以及同意授與設定。 | |
| 減輕橫向周遊。 | 確保遭入侵的單一裝置不會立即導致入侵者使用本機帳戶密碼、服務帳戶密碼或其他祕密來控制許多或所有其他裝置。 | |
| 確保快速威脅回應。 | 限制敵人在環境中的存取權和時間。 如需詳細資訊,請參閱偵測和回應。 | |
實作結果和時間表
嘗試在 30-90 天內達成這些結果:
- 需要 100% 的系統管理員才能使用安全工作站
- 100% 本機工作站/伺服器密碼會隨機化
- 已部署 100% 的權限提升風險降低功能
勒索軟體偵測和回應
您的組織需要對端點、電子郵件和身分識別的常見攻擊進行回應式偵測和補救。 時間寶貴。
您必須快速補救常見的攻擊進入點,以限制攻擊者稍後周遊組織的時間。
程式或專案中 神秘 負責
下表就贊助/計畫管理/專案管理階層,描述針對勒索軟體的偵測和回應功能進行改善,以判斷並推動結果。
| 潛在客戶 | 實作器 | 當責 |
|---|---|---|
| CISO 或 CIO | 執行贊助 | |
| 安全性作業的計畫負責人 | 推動結果和跨小組共同作業 | |
| 中央 IT 基礎結構小組 | 實作用戶端和伺服器代理程式/功能 | |
| 安全性作業 | 將任何新工具整合至安全性作業流程中 | |
| 中央 IT 生產力/終端使用者小組 | 啟用適用於端點的 Defender、適用於 Office 365 的 Defender、適用於身分識別的 Defender,以及 Defender for Cloud Apps 的功能 | |
| 中央 IT 身分識別小組 | 實作適用於身分識別的 Microsoft Entra 安全性和 Defender | |
| 安全性架構師 | 建議設定、標準和工具 | |
| 安全性原則和標準 | 更新標準和原則文件 | |
| 安全性合規性管理 | 監視以確保合規性 | |
勒索軟體偵測和回應檢查清單
套用這些最佳做法來改善您的偵測和回應。
| 完成 | Task | 描述 |
|---|---|---|
| 排定一般進入點的優先順序: - 使用 Microsoft Defender 全面偵測回應 等整合式擴充偵測和回應 (XDR) 工具來提供高品質的警示,並將響應期間的摩擦和手動步驟降到最低。 - 監視暴力密碼破解嘗試,例如密碼噴灑。 |
勒索軟體 (和其他) 操作員偏好以端點、電子郵件、身分識別和 RDP 作為進入點。 | |
| 監視敵人停用安全性(這通常是攻擊鏈的一部分),例如: - 清除事件記錄檔,特別是安全性事件記錄和 PowerShell 作業記錄。 - 停用安全性工具和控制項。 |
攻擊者的目標是安全性偵測設施,以便用更安全的方式繼續攻擊。 | |
| 不要忽略商用惡意程式碼。 | 勒索軟體攻擊者會定期向黑市購買目標組織的存取權。 | |
| 將外部專家整合到程式,以補充專業知識,例如 Microsoft 偵測和回應小組(DART)。 | 偵測和復原經驗非常重要。 | |
| 使用適用於端點的 Defender 快速隔離遭入侵的電腦。 | Windows 11 和 10 整合可讓您輕鬆完成操作。 | |
後續步驟
繼續進行第 3 階段,藉由累加移除風險,讓攻擊者難以進入您的環境。
其他勒索軟體資源
來自 Microsoft 的重要資訊:
- Microsoft On the Issues 部落格文章 2021 年 7 月 20 日勒索軟體的威脅越來越大
- 人為操作的勒索軟體
- 快速防範勒索軟體和敲詐勒索
- 2021 Microsoft 數位防禦報告 (見第 10-19 頁)
- 勒索軟體:Microsoft Defender 入口網站中普遍且持續的威脅 威脅分析報告
- Microsoft 的偵測和回應小組 (DART) 勒索軟體方法和案例研究
Microsoft 365:
- 為您的 Microsoft 365 租使用者部署勒索軟體防護
- 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
- 從勒索軟體攻擊中復原
- 惡意代碼和勒索軟體防護
- 保護您的 Windows 10 計算機免於勒索軟體
- 在 SharePoint Online 中處理勒索軟體
- Microsoft Defender 入口網站中勒索軟體 的威脅分析報告
Microsoft Defender 全面偵測回應:
Microsoft Azure:
- 適用於勒索軟體攻擊的 Azure 防禦
- 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
- 備份和還原計劃以防範勒索軟體
- 使用 Microsoft Azure 備份 協助保護勒索軟體 (26 分鐘影片)
- 從系統性身分識別入侵中復原
- Microsoft Sentinel 中的進階多階段攻擊偵測
- Microsoft Sentinel 中勒索軟體的融合偵測
適用於雲端的 Microsoft Defender 應用程式:
Microsoft 安全性小組部落格文章:
-
Microsoft 偵測和回應小組(DART)如何進行勒索軟體事件調查的重要步驟。
對抗人類操作勒索軟體的指南:第 2 部分 (2021 年 9 月)
建議和最佳做法。
了解網路安全風險來變得具有彈性:第 4 部分— 流覽目前的威脅 (2021 年 5 月)
請參閱勒索軟體一節。
人為操作的勒索軟體攻擊:可預防的災難(2020 年 3 月)
包含實際攻擊的攻擊鏈結分析。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應