在這個階段中,您會逐步移除進入點的風險,讓威脅執行者 更努力 地存取內部部署或雲端系統。
雖然許多這些變更會很熟悉且易於實作,但非常重要的是您的策略工作不應減緩其他關鍵部分的進度!
以下是檢閱三部分勒索軟體預防計劃的連結:
遠端存取
透過遠端訪問連線存取組織的內部網路,是勒索軟體威脅執行者的攻擊媒介。
一旦內部部署用戶帳戶遭到入侵,威脅執行者就可以利用內部網路來收集情報、提高許可權,以及安裝勒索軟體。 2021 年的殖民地管道網路攻擊事件是一個範例。
專案和計畫成員遠端訪問的責任
下表說明如何透過贊助/計畫管理/專案管理的階層來評估及促進結果,進而提升您的遠端存取解決方案對勒索軟體的整體保護。
| Lead | 實作器 | 問責 |
|---|---|---|
| CISO 或 CIO | 高階主管贊助 | |
| 中央 IT 基礎結構/網路小組的計畫負責人 | 促進成果與跨團隊合作 | |
| IT 和 安全性 架構設計人員 | 設定元件整合至架構的優先順序 | |
| 中央 IT 身分識別小組 | 設定 Microsoft Entra ID 和條件式存取原則 | |
| 中央 IT 營運 | 將環境進行變更 | |
| 工作量責任人 | 協助管理應用程式發布的 RBAC 權限 | |
| 安全性原則和標準 | 更新標準和原則文件 | |
| 安全性合規性管理 | 監視以確保合規性 | |
| 使用者教育小組 | 更新任何有關工作流程變更的指引,並進行教育與變更管理。 |
遠端訪問的實作檢查清單
採用這些最佳做法來保護遠端訪問基礎設施免於勒索軟體攻擊者的威脅。
| 完成 | 任務 | 描述 |
|---|---|---|
| 維護軟體和設備更新。 避免遺漏或忽視製造商的保護措施(如安全更新和支援狀態)。 | 威脅執行者會使用尚未修補為攻擊媒介的已知弱點。 | |
| 設定 Microsoft Entra 識別碼以支援現有的遠端訪問,包括使用條件式存取強制執行 零信任 用戶和裝置驗證。 | 零信任提供多個層級的安全性,以保護貴組織的存取權。 | |
| 設定現有第三方 VPN 解決方案的安全性(Cisco AnyConnect、Palo Alto Networks GlobalProtect & Captive Portal、Fortinet FortiGate SSL VPN、Citrix NetScaler、Zscaler Private Access (ZPA)等等。 | 利用遠端存取解決方案的內建安全性。 | |
| 部署 Azure 點對站 (P2S) VPN 以提供遠端存取。 | 利用與 Microsoft Entra 識別碼和現有 Azure 訂用帳戶的整合。 | |
| 使用 Microsoft Entra 應用程式 Proxy 發佈內部部署 Web 應用程式。 | 以 Microsoft Entra 應用程式 Proxy 發佈的應用程式不需要遠端訪問連線。 | |
| 使用 Azure Bastion 保護對 Azure 資源的存取權。 | 透過 SSL 安全且順暢地連結到您的 Azure 虛擬機器。 | |
| 稽核和監視,以尋找和修正基準和潛在攻擊的偏差 (請參閱 偵測和回應)。 | 降低由於探查基準安全功能和設定的勒索軟體活動所帶來的風險。 |
電子郵件與共同作業
實作電子郵件和共同作業解決方案的最佳做法,讓威脅執行者更難濫用它們,同時讓您的背景工作人員輕鬆且安全地存取外部內容。
威脅執行者經常進入環境,方法是在授權的共同作業工具內引入偽裝的惡意內容,例如電子郵件和檔案共用,並說服使用者執行內容。 Microsoft 已投資增強的防護功能,大幅提升對這些攻擊媒介的保護。
計畫和專案成員在電子郵件和協作中的責任
下表描述了通過贊助/計劃管理/專案管理階層,如何全面保護您的電子郵件和協作解決方案免受勒索軟體攻擊,以決定和推動結果。
| Lead | 實作器 | 責任承擔 |
|---|---|---|
| CISO、CIO 或 Identity Director | 高階主管贊助 | |
| 安全性架構 小組的程式負責人 | 達成結果並促進跨部門合作 | |
| IT 架構師 | 設定元件整合至架構的優先順序 | |
| 雲端生產力或終端使用者小組 | 啟用 Office 365 的 Defender、Azure Site Recovery 和 AMSI | |
| 安全性架構 / 基礎結構 + 端點 | 設定協助 | |
| 使用者教育小組 | 工作流程變更的更新指引 | |
| 安全性原則和標準 | 更新標準和原則文件 | |
| 安全性合規性管理 | 監視以確保合規性 |
電子郵件和共同作業的實作檢查清單
套用這些最佳做法來保護電子郵件和共同作業解決方案免於勒索軟體威脅執行者
| 完成 | 任務 | 描述 |
|---|---|---|
| 啟用 適用于 Office VBA 的 AMSI。 | 使用 適用于端點的 Defender 等端點工具偵測 Office 巨集攻擊。 | |
| 使用 適用於 Office 365 的 Defender 或類似的解決方案實作進階電子郵件安全性。 | 電子郵件是威脅執行者常見的進入點。 | |
|
部署受攻擊面縮小 (Azure Site Recovery) 規則 來封鎖常見的攻擊技術,包括: - 端點濫用,例如認證竊取、勒索軟體活動,以及可疑的 PsExec 和 WMI 使用。 - 武器化的 Office 文件活動,例如進階巨集活動、可執行內容、進程建立,以及由 Office 應用程式觸發的進程插入。 注意: 先在稽核模式中部署這些規則,然後評估任何負面影響,然後將其部署為區塊模式。 |
Azure Site Recovery 提供特別針對降低常見攻擊方法之目標的額外保護層級。 | |
| 稽核和監視,以尋找和修正基準和潛在攻擊的偏差 (請參閱 偵測和回應)。 | 減少勒索軟體活動在探查基本安全性功能和設定時的風險。 |
端點
實作相關的安全性功能,並嚴格遵循端點 (裝置) 和應用程式的軟體維護最佳做法,優先考慮直接暴露於網際網路流量和內容的應用程式及伺服器/用戶端作業系統。
因特網公開的端點是常見的進入向量,可讓威脅執行者存取組織的資產。 使用預防性控制來排定封鎖常見OS和應用程式弱點的優先順序,以減緩或阻止它們執行下一個階段。
終端的程序和專案成員職責
這個表格從贊助、計畫管理和專案管理的角度,描述了對您的端點免受勒索軟體攻擊的整體保護,並確定和推動相關結果。
| 鉛 | 實作器 | 當責 |
|---|---|---|
| 業務領導階層需對停機和攻擊損害所帶來的業務影響負責。 | 主管贊助 (維護) | |
| 中央 IT 運營或 CIO | 高層贊助 (其他) | |
| 中央 IT 基礎架構團隊的專案負責人 | 促使成果並促進跨團隊合作 | |
| IT 和 安全性 架構設計人員 | 設定元件整合至架構的優先順序 | |
| 中央資訊科技營運 | 將變更實作到環境 | |
| 雲端生產力或終端使用者小組 | 啟用受攻擊面縮小 | |
| 工作負載/應用程式擁有者 | 識別維護視窗以進行變更 | |
| 安全性原則和標準 | 更新標準和原則文件 | |
| 安全性合規性管理 | 監視以確保合規性 |
端點的實作檢查清單
將這些最佳做法套用至所有 Windows、Linux、macOS、Android、iOS 和其他端點。
| 完成 | 任務 | 描述 |
|---|---|---|
| 使用攻擊面縮減規則、竄改防護和首次目擊封鎖來阻止已知的威脅。 | 請勿讓缺乏使用這些內建安全性功能,成為攻擊者進入組織的原因。 | |
| 套用 安全性基準 以強化網際網路面向的 Windows 伺服器和用戶端和 Office 應用程式。 | 使用最低必要的安全性,並在此基礎上建立,以保護您的組織。 | |
| 維護您的軟體,使其如下: - 已更新:快速部署作業系統、瀏覽器和電子郵件客戶程式的重要安全性更新 - 支援: 升級您廠商所支援版本的作業系統和軟體。 |
攻擊者有賴於您忽視或遺漏製造商的更新和升級。 | |
| 隔離、停用或淘汰不安全的系統與通訊協定,包括 不支援的作業系統 和 舊版通訊協定。 | 攻擊者會使用舊版裝置、系統和通訊協定的已知弱點作為貴組織的進入點。 | |
| 使用主機型防火牆和網路防禦封鎖非預期的流量。 | 某些惡意程式碼攻擊依賴對主機的未經要求輸入流量,作為建立攻擊連線的方式。 | |
| 稽核和監視,以尋找和修正基準和潛在攻擊的偏差 (請參閱 偵測和回應)。 | 降低探查基準安全性功能和設定之勒索軟體活動的風險。 |
帳戶
就像古老的萬用鑰匙無法保護房子避免現代化的竊賊入內行竊,密碼也無法讓帳戶避免遭受現今的常見攻擊。 雖然多重要素驗證 (MFA) 曾經是繁重的額外步驟,但無密碼驗證會使用不需要使用者記住或輸入密碼的生物特徵辨識方法來改善登入體驗。 此外,零信任 基礎結構會儲存受信任裝置的資訊,從而減少不必要的頻外 MFA 認證請求。
從高權限系統管理員帳戶開始,請嚴格遵循這些帳戶安全性的最佳做法,包括使用無密碼或 MFA。
帳戶相關的計畫和專案成員責任
下表從贊助、計畫管理及專案管理的階層來說明您帳戶對勒索軟體攻擊的整體防護,並以此架構來判斷和推動結果。
| 鉛 | 實作器 | 當責 |
|---|---|---|
| CISO、CIO 或 Identity Director | 高階主管贊助 | |
| 身分識別與金鑰管理 或 安全性架構小組的程式負責人 | 推動成果與跨團隊的協作 | |
| IT 和 安全性 架構設計人員 | 設定元件整合至架構的優先順序 | |
| 身分識別和金鑰管理 或 中央 IT 作業 | 實作設定變更 | |
| 安全性原則和標準 | 更新標準和原則文件 | |
| 安全性合規性管理 | 監視以確保合規性 | |
| 使用者教育小組 | 更新密碼或登入指引,並執行教育與變更管理 |
帳戶的實作檢查清單
套用這些最佳做法來保護您的帳戶,使之免于勒索軟體攻擊者攻擊。
| 完成 | 任務 | 描述 |
|---|---|---|
| 強制所有使用者使用強式 MFA 或無密碼登入。 使用一或多個下列專案,從系統管理員和 優先順序 帳戶開始: - 使用 Windows Hello 或 Microsoft Authenticator 應用程式 的無密碼驗證。 - 多重要素驗證。 - 協力廠商 MFA 解決方案。 |
藉由判斷使用者帳戶密碼,讓攻擊者更難執行認證入侵。 | |
| 增加密碼安全性: - 針對 Microsoft Entra 帳戶,請使用 Microsoft Entra Password Protection 來偵測並封鎖已知的弱式密碼,以及貴組織特有的其他弱式字詞。 - 針對 內部部署的 Active Directory Domain Services (AD DS) 帳戶,請將 Microsoft Entra Password Protection 擴充至 AD DS 帳戶。 |
請確定攻擊者無法根據您的組織名稱來判斷常見密碼或密碼。 | |
| 稽核和監視,以尋找和修正基準和潛在攻擊的偏差 (請參閱 偵測和回應)。 | 減少因勒索軟體活動而引發的風險,這些活動會探查基準安全性功能和設定。 |
實作結果和時間表
嘗試在 30 天內達成這些結果:
100% 的員工正積極使用 MFA
100% 部署更高的密碼安全性
其他勒索軟體資源
來自Microsoft的重要資訊:
2023 年 Microsoft 數位防禦報告 (請參閱第 17 至 26 頁)
Microsoft事件應變小組(先前稱為 DART)勒索軟體的策略與案例研究
Microsoft 365:
- 為您的 Microsoft 365 租使用者部署勒索軟體防護
- 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
- 從勒索軟體攻擊中復原
- 惡意程式碼和勒索軟體防護
- 保護您的 Windows 10 電腦免受勒索軟體攻擊
- 在 SharePoint Online 中處理勒索軟體
- Microsoft Defender 入口網站中勒索軟體 的威脅分析報告
Microsoft Defender 擴展偵測與回應:
Microsoft Azure:
- 適用於勒索軟體攻擊的 Azure 防禦
- 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
- 備份和還原計劃以防範勒索軟體
- 利用 Microsoft Azure 備份來防止勒索軟體 (26 分鐘的影片)
- 從系統性身份洩露中復原
- Microsoft Sentinel 中的進階多階段攻擊偵測
- Microsoft Sentinel 中勒索軟體的融合偵測
適用於雲端的 Microsoft Defender 應用程式:
Microsoft 安全性小組部落格文章:
-
Microsoft偵測和回應小組(DART)如何進行勒索軟體事件調查的重要步驟。
對抗人類操作勒索軟體的指南:第 2 部分 (2021 年 9 月)
建議和最佳做法。
了解網路安全風險來變得具有彈性:第 4 部分— 流覽目前的威脅 (2021 年 5 月)
請參閱勒索軟體一節。
人為操作的勒索軟體攻擊:可預防的災難(2020 年 3 月)
包含實際攻擊的攻擊鏈結分析。