Udostępnij przez

Ochrona przed oprogramowaniem wymuszającym okup na platformie Azure

Oprogramowanie wymuszające okup i wymuszenia to wysoki zysk, niskokosztowy biznes, który ma wyniszczający wpływ na docelowe organizacje, bezpieczeństwo krajowe/regionalne, bezpieczeństwo gospodarcze i zdrowie publiczne i bezpieczeństwo publiczne. To, co zaczęło się od prostego oprogramowania wymuszającego okup na jednym komputerze, obejmowało różne techniki wymuszenia skierowane do wszystkich typów sieci firmowych i platform w chmurze.

Aby zapewnić, że klienci działający na platformie Azure są chronieni przed atakami ransomware, firma Microsoft inwestuje znacznie w zabezpieczenia naszych platform chmurowych i zapewnia mechanizmy kontroli zabezpieczeń, które są potrzebne do ochrony obciążeń chmurowych platformy Azure.

Korzystając z natywnych ochrony przed oprogramowaniem wymuszającym okup platformy Azure i wdrażając najlepsze rozwiązania zalecane w tym artykule, podejmujesz działania, które pozwalają twojej organizacji zapobiegać, chronić i wykrywać potencjalne ataki wymuszające okup na zasoby platformy Azure.

W tym artykule opisano kluczowe natywne możliwości i zabezpieczenia platformy Azure na potrzeby ataków wymuszającego okup oraz wskazówki dotyczące proaktywnego używania tych funkcji w celu ochrony zasobów w chmurze platformy Azure.

Wskazówka

Aby uzyskać kompleksowe wskazówki dotyczące ochrony przed oprogramowaniem wymuszającym okup we wszystkich platformach i usługach firmy Microsoft, zobacz Ochrona organizacji przed oprogramowaniem wymuszającym okup i wymuszeniem. Aby uzyskać informacje o tym, czym jest oprogramowanie wymuszającego okup i jak to działa, zobacz Co to jest oprogramowanie wymuszającego okup?

Jak są ukierunkowane zasoby w chmurze platformy Azure

Podczas ataku na infrastrukturę chmury przeciwnicy często atakują wiele zasobów, aby spróbować uzyskać dostęp do danych klientów lub wpisów tajnych firmy. Model "kill chain" w chmurze wyjaśnia, w jaki sposób osoby atakujące próbują uzyskać dostęp do dowolnych zasobów działających w chmurze publicznej za pomocą czteroetapowego procesu: ekspozycji, dostępu, przenoszenia bocznego i akcji.

  1. Ekspozycja polega na tym, że osoby atakujące szukają możliwości uzyskania dostępu do infrastruktury. Na przykład osoby atakujące wiedzą, że aplikacje dostępne dla klientów muszą być otwarte, aby dostęp do nich mogli uzyskać wiarygodni użytkownicy. Te aplikacje są narażone na Internet i dlatego podatne na ataki.
  2. Osoby atakujące próbują wykorzystać narażenie na uzyskanie dostępu do infrastruktury chmury publicznej. Można to zrobić za pomocą poświadczeń użytkownika, naruszonych wystąpień lub nieprawidłowo skonfigurowanych zasobów.
  3. Podczas etapu przenoszenia bocznego osoby atakujące odkrywają, do jakich zasobów mają dostęp i jaki jest zakres tego dostępu. Pomyślne ataki na wystąpienia zapewniają osobom atakującym dostęp do baz danych i innych poufnych informacji. Następnie osoba atakująca wyszukuje inne poświadczenia. Nasze dane Microsoft Defender dla Chmury pokazują, że bez narzędzia zabezpieczeń do szybkiego powiadamiania o ataku organizacja może wykryć naruszenie średnio 101 dni. Tymczasem w ciągu zaledwie 24-48 godzin po naruszeniu atakujący zwykle ma pełną kontrolę nad siecią.
  4. Działania podejmowane przez osobę atakującą po przesiewowym są w dużej mierze zależne od zasobów, do których byli w stanie uzyskać dostęp w fazie przenoszenia bocznego. Osoby atakujące mogą podejmować działania, które powodują eksfiltrację danych, utratę danych lub uruchamianie innych ataków. W przypadku przedsiębiorstw średni wpływ finansowy utraty danych wynosi obecnie 1,23 mln USD.

Schemat blokowy przedstawiający sposób atakowania infrastruktury chmury: narażenie, dostęp, przenoszenie boczne i akcje

Wektory ataków specyficzne dla platformy Azure

Podczas ataków na środowiska Azure, atakujący ransomware często wykorzystują następujące sposoby:

  • Nieprawidłowo skonfigurowane zasoby platformy Azure: publiczne uwidocznione konta magazynu, bazy danych lub maszyny wirtualne ze słabymi mechanizmami kontroli dostępu
  • Naruszone poświadczenia platformy Azure: skradzione konta usługi Azure AD, jednostki usługi lub tożsamości zarządzane, które zapewniają dostęp do zasobów platformy Azure
  • Maszyny wirtualne platformy Azure z lukami w zabezpieczeniach: niezaznaczone maszyny wirtualne dostępne za pośrednictwem protokołu RDP (Remote Desktop Protocol) lub SSH
  • Słabe zabezpieczenia sieci: nieprawidłowo skonfigurowane sieciowe grupy zabezpieczeń lub reguły usługi Azure Firewall
  • Nieodpowiednia ochrona kopii zapasowych: konfiguracje usługi Azure Backup, które nie mają niezmienności lub ochrony uwierzytelniania wieloskładnikowego
  • Słabe zabezpieczenia tożsamości: konta usługi Azure AD bez uwierzytelniania wieloskładnikowego lub zasad dostępu warunkowego

Usługa Microsoft Defender for Cloud stale monitoruje te luki w zabezpieczeniach w środowisku platformy Azure. Aby uzyskać kompleksowe wskazówki dotyczące technik ataków i strategii obrony, zobacz Co to jest oprogramowanie wymuszającego okup?.

Ochrona natywna platformy Azure przed oprogramowaniem wymuszającym okup

Platforma Azure oferuje wbudowane możliwości obrony przed atakami wymuszającym okup na każdym etapie cyklu życia ataku. Najlepszą obroną przed płaceniem okupu jest wdrożenie środków zapobiegawczych przy użyciu niezawodnych narzędzi zabezpieczeń platformy Azure i zapewnienie możliwości szybkiego odzyskiwania dotkniętych zasobów w celu szybkiego przywrócenia operacji biznesowych.

Najważniejsze możliwości ochrony natywnej platformy Azure obejmują:

  • Microsoft Defender for Cloud — zapewnia wykrywanie zagrożeń i reagowanie na nie (XDR) dla obciążeń platformy Azure z funkcjami wykrywania specyficznymi dla oprogramowania wymuszającego okup
  • Azure Backup — oferuje niezmienne kopie zapasowe z miękkim usuwaniem i ochroną MFA w celu zapewnienia opcji odzyskiwania
  • Azure Firewall Premium — obejmuje system wykrywania i zapobiegania włamaniom (IDPS) do wykrywania i blokowania komunikacji Command & Control (C&C) ransomware
  • Microsoft Entra ID Protection — wykrywa kradzież poświadczeń i podejrzane wzorce uwierzytelniania przeznaczone dla zasobów platformy Azure
  • Azure Policy — wymusza konfiguracje zabezpieczeń i zgodność między zasobami platformy Azure
  • Microsoft Sentinel — udostępnia możliwości SIEM/SOAR z analizą wykrywania specyficzną dla oprogramowania ransomware

Aby uzyskać szczegółowe informacje o funkcjach platformy Azure, które pomagają chronić, wykrywać i reagować na oprogramowanie wymuszające okup, zobacz Funkcje i zasoby platformy Azure, które ułatwiają ochronę, wykrywanie i reagowanie.

Następne kroki

Aby uzyskać kompleksowe wskazówki dotyczące ochrony przed oprogramowaniem wymuszającym okup we wszystkich platformach firmy Microsoft, zobacz Ochrona organizacji przed oprogramowaniem wymuszającym okup i wymuszeniem.

Artykuły dotyczące ochrony przed oprogramowaniem wymuszającym okup platformy Azure:

Dodatkowe zasoby:

  • Last updated on