RaMP 檢查清單 - 勒索軟體復原整備程度
此快速現代化計劃 (RaMP) 檢查清單可協助您準備組織,讓您有可行的替代方案,以支付勒索軟體攻擊者所要求的贖金。 雖然控制貴組織的攻擊者會用盡各種方式逼您支付,但需求主要著重於兩種類別:
付費以重新取得存取權
攻擊者要求付款,威脅表示他們不會還給您系統與資料的存取權。 最常用來完成這個威脅的方式,是將系統和資料加密,並要求付款以換取解密金鑰。
重要
支付贖金看起來並不像解決方案如此簡單且簡潔。 因為您正在處理的犯罪動機只有付款 (且通常相對不穩定的操作員會使用其他人所提供的工具組),所以關於支付贖金的實際作用有著許多不確定。 法律上並不保證攻擊者會提供一個金鑰來解密 100% 的系統和資料,或者甚至完全提供金鑰。 解密這些系統的程序會使用自製的攻擊者工具,這通常是一種繁瑣且手動的程序。
支付以避免洩漏
攻擊者要求付款,以交換不向暗網 (其他犯罪) 或一般大眾釋出敏感性或令人難堪的資料。
為了避免被迫付款(攻擊者的盈利情況),您可以採取的最直接且有效的動作是確保貴組織可以從尚未受到勒索軟體攻擊感染或加密的不可變記憶體還原整個企業,這既不是攻擊者也不能修改。
識別最敏感的資產,並以較高層級的保證來加以保護也至關重要,但這是較冗長且更具挑戰性的執行程序。 我們不希望您掌握其他領域,但建議您透過整合業務、IT 和安全性項目關係人來提出並回答問題,以開始此程式:
- 如果遭入侵,哪些會是最有害的商務資產? 例如,如果攻擊者控制這些資產,企業領導會願意支付敲詐勒索要求哪些資產?
- 這些商務資產如何轉譯為IT資產,例如檔案、應用程式、資料庫和伺服器?
- 如何保護或隔離這些資產,讓具有一般IT環境存取權的攻擊者無法存取這些資產?
保護備份
您必須確保重要系統及其數據已備份,且不可變,以防止攻擊者故意清除或加密。 備份 必須尚未受到勒索軟體攻擊的感染或加密,否則您要還原一組檔案,其中包含攻擊者在復原後惡意探索的進入點。
您的備份攻擊著重於讓貴組織在不支付費用的情況下癱瘓回應的能力,經常鎖定復原所需的備份和重要文件,以強制您支付敲詐需求。
大部分的組織不會針對這種層級的刻意目標保護備份和還原程序。
注意
這種準備也會改善自然災害的復原能力,以及 WannaCry 和 (Not)Petya 等快速攻擊。
備份和還原計劃,以防範勒索軟體,解決攻擊前要執行的動作,以保護您的重要商務系統,以及在攻擊期間,確保使用 Azure 備份 和其他 Microsoft 雲端服務快速復原您的商務作業。 如果您使用第三方提供的異地備份解決方案,請參閱其檔。
計劃和專案成員責任
下表就贊助/計畫管理/專案管理階層,說明對您資料的整體保護免於勒索軟體攻擊,以判斷並推動結果。
潛在客戶 | 負責人 | 當責 |
---|---|---|
中央 IT 作業或 CIO | 執行贊助 | |
中央 IT 基礎結構的計劃負責人 | 推動結果和跨小組共同作業 | |
基礎結構/備份工程師 | 啟用基礎結構備份 | |
Microsoft 365 系統管理 | 為 OneDrive 和受保護的資料夾實作 Microsoft 365 租使用者的變更 | |
安全性工程師 | 建議設定和標準 | |
IT 系統管理員 | 更新標準和原則文件 | |
安全性治理和/或IT管理員 | 監視以確保合規性 | |
使用者教育小組 | 確保使用者的指引建議使用 OneDrive 和受保護的資料夾 |
部署目標
符合這些部署目標,以保護備份基礎結構。
完成 | 部署目標 | 負責人 |
---|---|---|
1.保護復原所需的支持檔,例如還原程式檔、您的組態管理資料庫 (CMDB) 和網路圖。 | IT 架構設計人員或實作者 | |
2.建立程式,以定期排程自動備份所有重要系統並監視遵循。 | IT 備份管理員 | |
3.建立流程和排程,定期執行商務持續性/災害復原(BCDR)計劃。 | IT 架構師 | |
4.在備份計劃中納入保護備份,以防止故意清除和加密: - 強式保護 – 在修改在線 Azure 備份 備份之前,需要頻外步驟(例如多重要素驗證或 PIN)。 - 最強式保護 – 將備份儲存在線上不可變的儲存體 (例如 Azure Blob) 和/或完全離線或異地作業。 |
IT 備份管理員 | |
5.讓用戶設定 OneDrive 備份 和 受保護的資料夾。 | Microsoft 365 生產力系統管理員 |