Przygotowanie do ataku wymuszającego okup

Ten artykuł zawiera wskazówki specyficzne dla platformy Azure dotyczące przygotowywania organizacji do obrony przed atakami wymuszającym okup i ich odzyskiwaniem.

Wdrażanie struktury cyberbezpieczeństwa

Dobrym miejscem do rozpoczęcia jest wdrożenie testu porównawczego zabezpieczeń w chmurze (MCSB) firmy Microsoft w celu zabezpieczenia środowiska platformy Azure. Test porównawczy zabezpieczeń w chmurze firmy Microsoft to struktura kontroli zabezpieczeń platformy Azure oparta na branżowych strukturach kontroli zabezpieczeń, takich jak NIST SP800-53, MECHANIZMY CIS Controls w wersji 7.1.

Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera wskazówki dotyczące sposobu konfigurowania usług platformy Azure i platformy Azure oraz implementowania mechanizmów kontroli zabezpieczeń. Organizacje mogą używać usługi Microsoft Defender for Cloud do monitorowania stanu środowiska platformy Azure na żywo za pomocą wszystkich kontrolek MCSB.

Ostatecznie struktura ma na celu zmniejszenie i lepsze zarządzanie ryzykiem cyberbezpieczeństwa.

Określanie priorytetów zaradcze

W oparciu o nasze doświadczenie w atakach wymuszających okup w środowiskach platformy Azure uważamy, że priorytetyzacja powinna się skupić na:

1. Przygotowanie — tworzenie kopii zapasowych i planów odzyskiwania dla zasobów platformy Azure
2. Limit — ochrona uprzywilejowanego dostępu do zasobów platformy Azure
3. Zapobieganie — wzmacnianie zabezpieczeń platformy Azure

Może to wydawać się sprzeczne, ponieważ większość ludzi chce zapobiec atakowi i przejść dalej. Niestety, musimy założyć naruszenie (kluczową zasadę zero trustu) i skupić się na niezawodnym ograniczaniu najbardziej szkód. Priorytetyzacja jest krytyczna ze względu na duże prawdopodobieństwo scenariusza najgorszego przypadku z oprogramowaniem wymuszającym okup. Chociaż nie jest to przyjemna prawda do zaakceptowania, stoimy w obliczu kreatywnych i zmotywowanych ludzkich napastników, którzy są biegłi w znalezieniu sposobu kontrolowania złożonych środowisk rzeczywistych, w których działamy. W tej rzeczywistości ważne jest, aby przygotować się na najgorsze i ustanowić struktury, aby zawierać i zapobiegać możliwości uzyskania przez osoby atakujące tego, co są po nich.

Chociaż te priorytety powinny określać, co należy zrobić najpierw, zachęcamy organizacje do równoległego uruchamiania kroków tam, gdzie to możliwe, w tym ściągania szybkich zwycięstw do przodu z kroku 1, kiedy to możliwe.

Aby uzyskać kompleksowe wskazówki dotyczące trzyfazowego podejścia do ochrony przed oprogramowaniem wymuszającym okup, zobacz Ochrona organizacji przed oprogramowaniem wymuszającym okup i wymuszeniem.

Utrudnić dostanie się

Zapobiegaj atakowi z użyciem oprogramowania ransomware w środowisku Azure i szybko reaguj na zdarzenia, aby odciąć atakującemu dostęp, zanim zdąży ukraść i zaszyfrować dane. Powoduje to, że osoby atakujące kończą się niepowodzeniem wcześniej i częściej, podważając zysk swoich ataków. Chociaż zapobieganie jest preferowanym wynikiem, jest to ciągła podróż i może nie być możliwe osiągnięcie 100% zapobiegania i szybkiej reakcji w złożonej wieloplatformowej i wielochmurowej infrastrukturze organizacji z rozproszonymi obowiązkami IT.

Aby to osiągnąć, organizacje powinny identyfikować i wykonywać szybkie działania w celu wzmocnienia mechanizmów kontroli zabezpieczeń dla swoich zasobów platformy Azure, aby zapobiec nieautoryzowanemu dostępowi i szybko wykrywać/eksmitować atakujących podczas implementowania ciągłego programu, który pomaga im utrzymać bezpieczeństwo. Firma Microsoft zaleca organizacjom przestrzeganie zasad opisanych w strategii Zero Trust. W szczególności w przypadku zasobów platformy Azure organizacje powinny określać priorytety:

• Poprawa higieny zabezpieczeń przez skoncentrowanie się na zmniejszaniu obszaru ataków i zarządzaniu zagrożeniami i lukami w zabezpieczeniach dla zasobów platformy Azure.
• Implementowanie mechanizmów kontroli ochrony, wykrywania i reagowania na obciążenia platformy Azure, które mogą chronić przed zagrożeniami towarowymi i zaawansowanymi, zapewnić widoczność i alerty dotyczące aktywności osoby atakującej oraz reagować na aktywne zagrożenia.

Aby uzyskać kompleksowe wskazówki dotyczące utrudniania osobom atakującym uzyskiwania dostępu do środowiska, zobacz Obrona przed atakami wymuszającym okup.

Ograniczanie zakresu uszkodzeń

Upewnij się, że masz silne mechanizmy kontroli (zapobiegaj, wykrywaj, odpowiadaj) dla uprzywilejowanych kont z dostępem do zasobów platformy Azure, takich jak administratorzy IT i inne role z kontrolą systemów krytycznych dla działania firmy. Spowalnia to i/lub blokuje atakującym uzyskanie pełnego dostępu do zasobów platformy Azure w celu kradzieży i zaszyfrowania ich. Zabieranie osobom atakującym możliwości korzystania z kont administratorów IT jako skrótu do zasobów znacząco obniża szanse, że uda im się zaatakować Cię i zażądać płatności / zysków.

Organizacje powinny mieć podwyższony poziom zabezpieczeń dla uprzywilejowanych kont z dostępem do platformy Azure (ściśle chronić, ściśle monitorować i szybko reagować na zdarzenia związane z tymi rolami). Zobacz Plan szybkiej modernizacji zabezpieczeń firmy Microsoft, który obejmuje:

• Kompleksowe zabezpieczenia sesji (w tym uwierzytelnianie wieloskładnikowe (MFA) dla administratorów)
• Ochrona i monitorowanie systemów tożsamości
• Eliminowanie przechodzenia poprzecznego
• Szybka odpowiedź na zagrożenia

Aby uzyskać kompleksowe wskazówki dotyczące ograniczania zakresu szkód, zobacz Ograniczanie wpływu ataków wymuszających okup.

Przygotowanie na najgorsze

Zaplanuj najgorszy scenariusz i spodziewaj się, że tak się stanie (na wszystkich poziomach organizacji). Pomaga to organizacji i innym osobom w świecie, od których zależysz:

• Ogranicza szkody w najgorszym scenariuszu — podczas przywracania wszystkich systemów z kopii zapasowych jest bardzo destrukcyjne dla firmy, jest to bardziej skuteczne i wydajne niż próba odzyskania przy użyciu (niskiej jakości) narzędzi odszyfrowywania dostarczonych przez osobę atakującą po zapłaceniu za uzyskanie klucza. Uwaga: Płacenie jest niepewną ścieżką — nie masz formalnej ani prawnej gwarancji, że klucz działa na wszystkich plikach, narzędzia działają skutecznie lub że osoba atakująca (która może być amatorskim partnerem za pomocą zestawu narzędzi zawodowych) będzie działać w dobrej wierze.
• Ograniczenie zwrotu finansowego dla osób atakujących — jeśli organizacja może przywrócić operacje biznesowe bez płacenia osobom atakującym, atak kończy się niepowodzeniem i powoduje zerowy zwrot z inwestycji (ROI) dla atakujących. To sprawia, że mniej prawdopodobne jest, że będą one skierowane do organizacji w przyszłości (i pozbawi ich większego finansowania, aby zaatakować innych).

Osoby atakujące mogą nadal próbować wyłudzić organizację poprzez ujawnienie danych lub nadużywanie/sprzedaż skradzionych danych, ale daje im to mniejsze wykorzystanie niż w przypadku, gdy mają jedyną ścieżkę dostępu do Twoich danych i systemów.

Aby to zrealizować, organizacje powinny upewnić się, że:

• Rejestrowanie ryzyka — dodawanie oprogramowania wymuszającego okup do rejestrowania ryzyka jako scenariusza wysokiego prawdopodobieństwa i wysokiego wpływu. Śledzenie stanu ograniczania ryzyka za pomocą cyklu oceny zarządzania ryzykiem w przedsiębiorstwie (ERM).
• Definiowanie i tworzenie kopii zapasowych krytycznych zasobów biznesowych — definiowanie systemów wymaganych dla krytycznych operacji biznesowych i automatyczne tworzenie ich kopii zapasowych zgodnie z regularnym harmonogramem (w tym prawidłowa kopia zapasowa krytycznych zależności, takich jak usługa Active Directory) chroni kopie zapasowe przed celowym wymazywaniem i szyfrowaniem przy użyciu magazynu offline, niezmiennego magazynu i/lub kroków poza pasmem (MFA lub PIN) przed zmodyfikowaniem/wymazywaniem kopii zapasowych online.
• Przetestuj scenariusz "Odzyskiwanie po zera" — przetestuj, aby upewnić się, że ciągłość działania/odzyskiwanie po awarii (BC/DR) może szybko przynieść krytyczne operacje biznesowe w trybie online z zerowej funkcjonalności (wszystkie systemy nie działa). Przeprowadź ćwiczenia praktyczne w celu zweryfikowania procesów i procedur technicznych obejmujących między zespołami, w tym pracowników poza pasmem i komunikację z klientami (załóżmy, że wszystkie wiadomości e-mail/czat/itp. nie działa).
  Ochrona (lub drukowanie) dokumentów pomocniczych i systemów wymaganych do odzyskiwania, w tym dokumentów procedury przywracania, cmDB, diagramów sieciowych, wystąpień SolarWinds itp. Osoby atakujące regularnie je usuwają.
• Zmniejszenie lokalnej ekspozycji — poprzez przeniesienie danych do usług chmurowych platformy Azure z automatycznym tworzeniem kopii zapasowych i możliwością samoobsługowego wycofywania zmian.

Aby uzyskać kompleksowe wskazówki dotyczące przygotowywania się do najgorszego scenariusza, w tym szkolenia świadomości i gotowości SOC, zobacz Przygotowanie planu odzyskiwania oprogramowania wymuszającego okup.

Mechanizmy kontroli technicznej specyficzne dla platformy Azure na potrzeby ochrony przed oprogramowaniem wymuszającym okup

Platforma Azure oferuje szeroką gamę natywnych mechanizmów kontroli technicznych w celu ochrony, wykrywania i reagowania na zdarzenia wymuszające okup z naciskiem na zapobieganie. Organizacje, w których działają obciążenia na platformie Azure, powinny korzystać z tych natywnych możliwości platformy Azure:

Narzędzia do wykrywania i zapobiegania na platformie Azure

• Microsoft Defender for Cloud — ujednolicone zarządzanie zabezpieczeniami zapewniające ochronę przed zagrożeniami dla obciążeń platformy Azure, w tym maszyn wirtualnych, kontenerów, baz danych i magazynu
• Azure Firewall Premium — zapora nowej generacji z funkcjami IDPS do wykrywania i blokowania komunikacji C&C oprogramowania ransomware.
• Microsoft Sentinel — natywna dla chmury platforma SIEM/SOAR z wbudowaną analizą wykrywania oprogramowania wymuszającego okup i automatyczną reakcją
• Azure Network Watcher — monitorowanie i diagnostyka sieci w celu wykrywania nietypowych wzorców ruchu
• Microsoft Defender for Endpoint — w przypadku maszyn wirtualnych platformy Azure z systemem Windows lub Linux

Ochrona danych dla zasobów platformy Azure

• Usługa Azure Backup z niezmiennością i miękkim usuwaniem dla maszyn wirtualnych platformy Azure, baz danych SQL i zasobów udostępniania plików
• Niezmienne obiekty blob usługi Azure Storage — magazyn WORM (jednorazowy zapis, odczyt wielu), którego nie można modyfikować ani usuwać
• Kontrola dostępu oparta na rolach (RBAC) platformy Azure — zasada najniższych uprawnień dostępu do zasobów platformy Azure
• Azure Policy — wymuszanie zasad tworzenia kopii zapasowych i konfiguracji zabezpieczeń w ramach subskrypcji platformy Azure
• Regularna weryfikacja kopii zapasowej przy użyciu usługi Azure Site Recovery na potrzeby testowania odzyskiwania po awarii

Aby uzyskać kompleksowe wskazówki dotyczące obsługi zdarzeń, zobacz Przygotowanie planu odzyskiwania oprogramowania wymuszającego okup.

Możliwości tworzenia kopii zapasowych i odzyskiwania na platformie Azure

Upewnij się, że masz odpowiednie procesy i procedury dla obciążeń platformy Azure. Prawie wszystkie zdarzenia wymuszające okup powodują konieczność przywrócenia naruszonych systemów. Odpowiednie i przetestowane procesy tworzenia i przywracania kopii zapasowych powinny być używane dla zasobów platformy Azure wraz z odpowiednimi strategiami powstrzymywania, aby zapobiec rozprzestrzenianiu oprogramowania wymuszającego okup.

Platforma Azure oferuje wiele opcji tworzenia kopii zapasowych i odzyskiwania za pośrednictwem usługi Azure Backup i wbudowanych funkcji w różnych usługach i obciążeniach platformy Azure:

Izolowane kopie zapasowe za pomocą usługi Azure Backup

Usługa Azure Backup zapewnia niezmienne, izolowane kopie zapasowe z usuwaniem nietrwałym i ochroną za pomocą uwierzytelniania wieloskładnikowego dla:

• Azure Virtual Machines
• Bazy danych na maszynach wirtualnych platformy Azure: SQL, SAP HANA
• Azure Database for PostgreSQL
• Lokalne serwery z systemem Windows (tworzenie kopii zapasowej w chmurze przy użyciu agenta MARS)

Operacyjne kopie zapasowe

• Azure Files — udostępnianie migawek z przywracaniem do określonego punktu w czasie
• Azure Blobs — miękkie usuwanie, przechowywanie wersji i niezmienna pamięć masowa
• Dyski platformy Azure — migawki przyrostowe

Wbudowane kopie zapasowe z usług danych platformy Azure

Usługi danych, takie jak Azure SQL Database, Azure Database for MySQL/MariaDB/PostgreSQL, Azure Cosmos DB i Azure NetApp Files, oferują wbudowane funkcje tworzenia kopii zapasowych z zautomatyzowanymi harmonogramami.

Aby uzyskać szczegółowe wskazówki, zobacz Tworzenie kopii zapasowych i przywracanie planu ochrony przed oprogramowaniem wymuszającym okup.

Co dalej?

Aby uzyskać kompleksowe wskazówki dotyczące ochrony przed oprogramowaniem wymuszającym okup we wszystkich platformach i usługach firmy Microsoft, zobacz Ochrona organizacji przed oprogramowaniem wymuszającym okup i wymuszeniem.

Inne artykuły dotyczące ransomware Azure:

• Ochrona przed oprogramowaniem wymuszającym okup na platformie Azure
• Wykrywanie ataku wymuszającego okup i reagowanie na nie
• Funkcje i zasoby platformy Azure, które ułatwiają ochronę, wykrywanie i reagowanie
• Ulepszanie ochrony przed atakami wymuszającym okup dzięki usłudze Azure Firewall — wersja Premium