准备好应对勒索软件攻击

本文提供特定于 Azure 的指南，指导组织防范和从勒索软件攻击中恢复。

采用网络安全框架

一个很好的开始是采用 Microsoft云安全基准（MCSB） 来保护 Azure 环境。 Microsoft 云安全基准是 Azure 安全控制框架，以 NIST SP800-53、CIS Controls v7.1 等基于行业的安全控制框架为基础。

Microsoft 云安全基准为组织提供了有关如何配置 Azure 和 Azure 服务并实现安全控制的指导。 组织可以使用 Microsoft Defender for Cloud 来监视其实时 Azure 环境状态以及所有 MCSB 控件。

最终，该框架旨在降低和更好地管理网络安全风险。

确定缓解措施的优先级

根据我们在 Azure 环境中遭受勒索软件攻击的经验，我们发现优先级应侧重于：

1. 准备 - 为 Azure 资源制定备份和恢复计划
2. 限制 - 保护对 Azure 资源的特权访问
3. 阻止 - 强化 Azure 安全控制

这似乎有点违背常理，因为大多数人都希望先阻止攻击，然后再采取其他措施。 遗憾的是，我们必须做出违规假设（一项关键的零信任原则），并首先注重于可靠地减轻最严重的损害。 由于勒索软件极有可能造成最坏的情况，因此这种优先顺序至关重要。 虽然这不是一个可让人愉快接受的事实，但我们面临的是富有创造力且动机性很强的人类攻击者，他们善于找到一种方法来控制我们所处的复杂现实环境。 针对这一现实，为最坏的情况做好准备并建立框架来遏制和预防攻击者获得他们想要的东西非常重要。

虽然这些优先级应该确定首先要做什么，但我们鼓励组织尽可能并行运行步骤（包括尽可能从第 1 步就快速取得胜利）。

有关勒索软件防护的三阶段方法的综合指南，请参阅 保护组织免受勒索软件和敲诈勒索。

使进入更加困难

防止勒索软件攻击者进入 Azure 环境，并快速响应事件以删除攻击者访问权限，然后才能窃取和加密数据。 这会导致攻击者更早、更频繁地失败，从而削弱他们攻击的收益。 虽然预防是理想的结果，但这是一项持续的过程，在实际组织中，不可能实现 100% 预防和快速响应，尤其是在拥有复杂的多平台和多云环境以及 IT 责任分散的情况下。

为了实现这一目标，组织应识别和执行快速胜利，以加强其 Azure 资源的安全控制，以防止进入，并快速检测/逐出攻击者，同时实施一个持续计划，帮助他们保持安全。 Microsoft建议组织遵循零信任策略中概述的原则。 具体而言，对于 Azure 资源，组织应确定以下优先级：

• 通过专注于 Azure 资源的攻击面减少和威胁和漏洞管理来改善安全卫生。
• 为 Azure 工作负载实施保护、检测和响应控制，以防御普通及高级威胁，提供对攻击者活动的可见性和警报，并能对正在进行的威胁作出响应。

有关使攻击者更难访问环境的综合指南，请参阅 防御勒索软件攻击。

限制损害范围

确保对有权访问 Azure 资源（如 IT 管理员和其他角色）的特权帐户拥有强大的控制（阻止、检测、响应），并控制业务关键型系统。 这会减缓和/或阻止攻击者获取对 Azure 资源的完整访问权限，从而窃取和加密这些资源。 消除攻击者使用 IT 管理员帐户作为捷径访问资源的能力可以大大降低他们成功得手并要求你付款/从中获利的可能性。

组织应为具有 Azure 访问权限的特权帐户提升安全性（严格保护、密切监视和快速响应与这些角色相关的事件）。 请参阅 Microsoft 的安全快速现代化计划，其中包括：

• 端到端会话安全性（包括管理员的多重身份验证 (MFA)）
• 保护和监视标识系统
• 缓解横向穿越
• 快速威胁响应

有关限制损害范围的综合指南，请参阅 限制勒索软件攻击的影响。

为最坏情况做准备

针对最坏的情况做好规划，并预期这种情况会发生（在组织的各个层面）。 这可以帮助组织以及你所依赖的其他人：

• 限制最坏情况造成的损害 – 虽然从备份中还原所有系统对企业的破坏性较大，但与花钱购买密钥后尝试使用攻击者提供的（劣质）解密工具进行恢复相比，这种方法更高效且有效。 注意：付费是一条不确定的途径 – 在密钥是否适用于所有文件、工具是否有效运行，或攻击者（也许是使用专业工具包的业余成员）是否诚实守信方面，你得不到正式或法律性的保证。
• 限制攻击者的财务回报 – 如果某家组织可以在不向攻击者付费的情况下恢复业务运营，则攻击失败，这意味着攻击者的投资回报率 (ROI) 为零。 这样一来，他们今后不太可能以该组织作为攻击目标（也失去了攻击其他人的更多资本）。

攻击者可能仍会尝试通过数据透露或滥用/出售盗取的数据来勒索组织，但与他们拥有数据和系统的唯一访问途径相比，这种做法的利用价值更小。

为做到这一点，组织应确保：

• 登记风险 - 将勒索软件作为高可能性和高影响性的威胁添加到风险登记表中。 通过企业风险管理 (ERM) 评估周期跟踪缓解状态。
• 定义并备份关键业务资产 – 定义关键业务运营所需的系统，并定期自动将其备份（包括正确备份 Active Directory 等关键依赖项）。在修改/删除联机备份之前，先使用脱机存储、不可变存储和/或带外步骤（MFA 或 PIN）来保护备份，以防攻击者蓄意将其擦除和加密。
• 测试“通过归零恢复”方案 – 进行测试并确保业务连续性/灾难恢复 (BC/DR) 方案能够通过归零功能（关闭所有系统）快速使关键业务运营恢复联机。 开展实践练习以验证跨团队流程和技术过程，包括带外员工和客户通信（假定所有电子邮件、聊天等应用程序已关闭）。
  务必保护（或打印）在恢复时所需的支持文档和系统，包括还原过程文档、CMDB、网络图、SolarWinds 实例等。攻击者会定期销毁这些资源。
• 通过自动备份和自助回滚将数据移到 Azure 云服务，减少本地曝光率。

有关准备最坏情况（包括意识培训和 SOC 准备情况）的综合指南，请参阅 准备勒索软件恢复计划。

Azure 特定的勒索软件保护技术控制

Azure 提供了各种本机技术控制，用于保护、检测和响应勒索软件事件，重点是预防。 在 Azure 中运行工作负荷的组织应利用以下 Azure 本机功能：

适用于 Azure 的检测和防护工具

• Microsoft Defender for Cloud - 统一的安全管理为 Azure 工作负荷提供威胁防护，包括 VM、容器、数据库和存储
• Azure 防火墙高级 - 具有 IDPS 功能的下一代防火墙，用于检测和阻止勒索软件 C&C 通信
• Microsoft Sentinel - 具有内置勒索软件检测分析和自动响应的云原生 SIEM/SOAR 平台
• Azure 网络观察程序 - 网络监视和诊断，用于检测异常流量模式
• Microsoft Defender for Endpoint - 适用于运行 Windows 或 Linux 的 Azure VM

Azure 资源的数据保护

• 具有不可变性和软删除的 Azure 备份，适用于 Azure VM、SQL 数据库和文件共享
• Azure 存储不可变 Blob - WORM (write once, read many) 存储，无法被修改或删除
• Azure 基于角色的访问控制 （RBAC） - Azure 资源访问的最低特权原则
• Azure Policy - 跨 Azure 订阅强制实施备份策略和安全配置
• 常规备份验证 使用 Azure Site Recovery 进行灾难恢复测试

有关全面的事件处理指南，请参阅 准备勒索软件恢复计划。

Azure 备份和恢复功能

确保已为 Azure 工作负载制定适当的流程和过程。 几乎所有的勒索软件事件都会导致需要还原已受损害的系统。 应为 Azure 资源制定适当的、经过测试的备份和还原过程，并制定适当的遏制策略来阻止勒索软件的传播。

Azure 平台通过 Azure 备份和各种 Azure 数据服务和工作负载中的内置功能提供多个备份和恢复选项：

使用 Azure 备份进行独立备份

Azure 备份 提供不可变的隔离备份，并提供软删除和 MFA 保护，用于：

• Azure 虚拟机
• Azure VM 中的数据库：SQL、SAP HANA
• Azure Database for PostgreSQL
• 本地 Windows Server（使用 MARS 代理备份到云）

操作性备份

• Azure 文件存储 - 使用时间点还原共享快照
• Azure Blob - 软删除、版本控制以及不可变存储
• Azure 磁盘 - 增量快照

Azure 数据服务的内置备份

Azure SQL 数据库、Azure Database for MySQL/MariaDB/PostgreSQL、Azure Cosmos DB 和 Azure NetApp 文件等数据服务提供具有自动计划的内置备份功能。

有关详细指导，请参阅 备份和还原计划，以防止勒索软件。

后续步骤

有关所有Microsoft平台和服务的综合勒索软件保护指南，请参阅 保护组织免受勒索软件和敲诈勒索。

请参阅白皮书： 针对勒索软件攻击白皮书的 Azure 防御。

其他 Azure 勒索软件文章：

• Azure 中的勒索软件防护
• 检测和响应勒索软件攻击
• 有助于保护、检测和响应的 Azure 功能和资源
• 使用 Azure 防火墙高级版改进勒索软件攻击的安全防御