Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Następnym krokiem w celu ograniczenia wpływu ataków na oprogramowanie wymuszającego okup jest ochrona uprzywilejowanych ról — rodzaju zadań, w których ludzie obsługują wiele uprzywilejowanych informacji w organizacji.
Faza zapobiegania oprogramowaniu ransomware ma na celu uniemożliwienie atakującym uzyskania szerokiego dostępu do twoich systemów.
Im większy dostęp mają cyberprzestępcy do twojej organizacji i urządzeń, tym większe potencjalne szkody dla danych i systemów.
Ważne
Przeczytaj serię dotyczącą przeciwdziałania ransomware i zabezpiecz swoją organizację przed cyberatakami.
Stwórz strategię uprzywilejowanego dostępu dla ransomware
Należy zastosować dokładną i kompleksową strategię, aby zmniejszyć ryzyko naruszenia uprzywilejowanego dostępu.
Wszelkie inne stosowane mechanizmy zabezpieczeń można łatwo unieważnić przez aktora zagrożeń z uprzywilejowanym dostępem w danym środowisku. Złośliwi aktorzy mogą uzyskać dostęp przy użyciu inżynierii społecznej, a nawet wykorzystać sztuczną inteligencję do generowania i renderowania złośliwego kodu i adresów URL. Cyberprzestępcy używają uprzywilejowanego dostępu jako szybkiej ścieżki do kontrolowania wszystkich krytycznych zasobów w organizacji, aby przeprowadzić atak i dokonać dalszych wymuszeń.
Kto jest odpowiedzialny w programie lub projekcie
W tej tabeli opisano strategię uprzywilejowanego dostępu, aby zapobiec wymuszaniu okupu w odniesieniu do hierarchii zarządzania dostępem sponsorowanym/programem/zarządzania projektami w celu uzyskania wyników.
| Lead | Wdrażający | Odpowiedzialność |
|---|---|---|
| CISO lub CIO | Sponsorowanie przez kierownictwo | |
| Główny lider programu | Zwiększ wyniki i współpracę pomiędzy zespołami | |
| Architekci IT i Zabezpieczeń | Priorytetyzacja składników jest zintegrowana z architekturami | |
| Zarządzanie tożsamościami i kluczami | Implementowanie zmian tożsamości | |
| Centralna produktywność IT /zespół użytkowników końcowych | Implementowanie zmian na urządzeniach i dzierżawie usługi Office 365 | |
| Zasady zabezpieczeń i standardy | Aktualizowanie standardów i dokumentów zasad | |
| Zarządzanie zgodnością z zabezpieczeniami | Monitorowanie w celu zapewnienia zgodności | |
| Zespół ds. edukacji użytkowników | Aktualizowanie wszystkich wskazówek dotyczących haseł | |
Lista kontrolna strategii dostępu uprzywilejowanego w przypadku ransomware
Utwórz strategię wieloczęściową, korzystając ze wskazówek zawartych w https://aka.ms/SPA, która obejmuje tę listę kontrolną.
| Gotowe | Zadanie | Opis |
|---|---|---|
| Wymuszaj zabezpieczenie sesji od początku do końca. | Jawnie weryfikuje zaufanie użytkowników i urządzeń przed zezwoleniem na dostęp do interfejsów administracyjnych (przy użyciu dostępu warunkowego firmy Microsoft Entra). | |
| Ochrona i monitorowanie systemów tożsamości. | Zapobiega atakom eskalacji uprawnień, w tym katalogom, zarządzaniem tożsamościami, kontami administratorów i grupami oraz konfiguracją udzielania zgody. | |
| Eliminowanie przechodzenia bocznego. | Gwarantuje, że naruszenie jednego urządzenia nie powoduje natychmiastowego kontrolowania wielu lub wszystkich innych urządzeń przy użyciu haseł konta lokalnego, haseł konta usługi ani innych wpisów tajnych. | |
| Zapewnij szybką reakcję na zagrożenia. | Ogranicza dostęp przeciwnika i czas w środowisku. Aby uzyskać więcej informacji, zobacz Wykrywanie i reagowanie . | |
Wyniki i osie czasu implementacji
Spróbuj osiągnąć te wyniki w ciągu 30–90 dni:
Do korzystania z bezpiecznych stacji roboczych wymagane jest 100% administratorów
Hasła na 100% lokalnych stacji roboczych/serwerów są losowe.
Wdrażane są środki zaradcze dla wszystkich przypadków eskalacji uprawnień.
Wykrywanie i reagowanie na oprogramowanie wymuszającego okup
Twoja organizacja potrzebuje dynamicznego wykrywania i korygowania typowych ataków na punkty końcowe, pocztę e-mail i tożsamości. Minuty mają znaczenie.
Należy szybko skorygować typowe punkty wejścia do ataku, aby ograniczyć czas aktora zagrożeń, aby później przejść przez organizację.
Kto jest odpowiedzialny w programie lub projekcie
W tej tabeli opisano poprawę możliwości wykrywania i reagowania na oprogramowanie wymuszającego okup w zakresie sponsorowania/zarządzania programem/hierarchii zarządzania projektami w celu określenia i uzyskania wyników.
| ołów | Implementator | Odpowiedzialności |
|---|---|---|
| CISO lub CIO | Sponsorowanie przez kierownictwo | |
| Kierownik programu z Operacje Zabezpieczeń | Napędzaj wyniki i współpracę między zespołami | |
| Centralny zespół ds. infrastruktury IT | Implementacja agentów klienta i serwera oraz funkcji | |
| Security Operations | Integrowanie nowych narzędzi z procesami operacji zabezpieczeń | |
| Centralna produktywność IT /zespół użytkowników końcowych | Włączanie funkcji usługi Defender dla Endpoint, Defender dla Office 365, Defender dla Tożsamości i Defender dla Aplikacji Chmurowych | |
| Centralny zespół ds. tożsamości IT | Implementowanie zabezpieczeń usługi Microsoft Entra i usługi Defender for Identity | |
| Architekci zabezpieczeń | Porady dotyczące konfiguracji, standardów i narzędzi | |
| Zasady zabezpieczeń i standardy | Aktualizowanie standardów i dokumentów zasad | |
| Zarządzanie zgodnością z zabezpieczeniami | Monitorowanie w celu zapewnienia zgodności | |
Lista kontrolna wykrywania i reagowania na oprogramowanie wymuszającego okup
Zastosuj te najlepsze rozwiązania dotyczące ulepszania wykrywania i reagowania.
| Gotowe | Zadanie | Opis |
|---|---|---|
| Określanie priorytetów typowych punktów wejścia: — Użyj zintegrowanych narzędzi wykrywania rozszerzonego i reagowania (XDR), takich jak Usługa Microsoft Defender XDR , aby zapewnić alerty wysokiej jakości i zminimalizować problemy i ręczne kroki podczas reagowania. - Monitoruj ataki typu brute-force, takie jak rozpylanie haseł. |
Operatory wymuszające okup (i inne) preferują punkt końcowy, pocztę e-mail, tożsamość i protokół RDP jako punkty wejścia. | |
| Monitorowanie pod kątem wyłączania zabezpieczeń przez przeciwnika (często jest to część łańcucha ataków), takich jak: — Czyszczenie dziennika zdarzeń, zwłaszcza dziennik zdarzeń zabezpieczeń i dzienniki operacyjne programu PowerShell. — Wyłączanie narzędzi i mechanizmów kontroli zabezpieczeń. |
Podmioty zagrożeń kierują obiekty do wykrywania zabezpieczeń, aby bezpieczniej kontynuować atak. | |
| Nie ignoruj złośliwego oprogramowania. | Podmioty odpowiedzialne za ransomware regularnie kupują dostęp do organizacji docelowych z ciemnych bazarów. | |
| Integruj ekspertów zewnętrznych z procesami, aby uzupełnić wiedzę, taką jak zespół ds. wykrywania i reagowania firmy Microsoft (DART). | Doświadczenie ma znaczenie dla wykrywania i odzyskiwania. | |
| Użyj Defender for Endpoint, aby szybko odizolować dotknięte urządzenia. | Integracja z systemami Windows 11 i 10 sprawia, że jest to łatwe. | |
Następny krok
Kontynuuj pracę z Fazą 3, aby utrudnić atakującemu dostanie się do środowiska poprzez stopniowe usuwanie zagrożeń.
Dodatkowe zasoby oprogramowania wymuszającego okup
Kluczowe informacje od firmy Microsoft:
- Rosnące zagrożenie ransomware, wpis na blogu Microsoft On the Issues z 20 lipca 2021
- Ransomware obsługiwane przez człowieka
- Szybka ochrona przed oprogramowaniem wymuszającym okup i wymuszeniem
- 2021 Raport firmy Microsoft na temat ochrony zasobów cyfrowych (patrz strony 10–19)
- Ransomware: wszechobecne i ciągłe zagrożenie - raport analizy zagrożeń w portalu usługi Microsoft Defender
- Podejście zespołu ds. wykrywania i reagowania firmy Microsoft (DART) do oprogramowania wymuszającego okup i analiza przypadku
Microsoft 365:
- Wdrażanie ochrony oprogramowania wymuszającego okup dla dzierżawy platformy Microsoft 365
- Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
- Odzyskaj po ataku typu ransomware
- Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
- Ochrona komputera z systemem Windows 10 przed oprogramowaniem wymuszającym okup
- Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
- Raporty analizy zagrożeń dotyczące oprogramowania wymuszającego okup w portalu usługi Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Azure - zabezpieczenia przed atakiem ransomware
- Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
- Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
- Pomoc w ochronie przed oprogramowaniem wymuszającym okup dzięki usłudze Microsoft Azure Backup (26 minut wideo)
- Wychodzenie z kompromitacji tożsamości systemowej
- Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel
- Wykrywanie fuzji ransomware w usłudze Microsoft Sentinel
Microsoft Defender dla aplikacji chmurowych
Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft dotyczące wskazówek dotyczących ograniczania ryzyka oprogramowania wymuszającego okup:
3 kroki, aby zapobiec i odzyskać oprogramowanie wymuszającego okup (wrzesień 2021 r.)
Przewodnik po walce z oprogramowaniem wymuszającym okup przez człowieka: część 1 (wrzesień 2021 r.)
Kluczowe kroki dotyczące sposobu, w jaki zespół ds. wykrywania i reagowania firmy Microsoft (DART) przeprowadza badania zdarzeń oprogramowania wymuszającego okup.
Przewodnik po walce z oprogramowaniem wymuszającym okup przez człowieka: część 2 (wrzesień 2021 r.)
Zalecenia i najlepsze rozwiązania.
-
Zobacz sekcję Ransomware.
Ataki ransomware prowadzone przez człowieka: katastrofa, której można zapobiec (marzec 2020 r.)
Obejmuje analizy cyklu ataków rzeczywistych.
Odpowiedź na ransomware — płacić czy nie płacić? (grudzień 2019 r.)
Norsk Hydro reaguje na atak ransomware z przejrzystością (grudzień 2019 r.)