Fáze 1: Příprava plánu obnovení
První věc, kterou byste měli pro tyto útoky udělat, je připravit vaši organizaci tak, aby měla schůdnou alternativu k placení výkupného. Zatímco útočníci, kteří mají nad vaší organizací kontrolu, mají různé způsoby, jak vás tlačit na placení, požadavky se primárně zaměřují na dvě kategorie:
Platba za opětovné získání přístupu
Útočníci požadují platbu pod hrozbou, že vám nevrátí přístup k vašim systémům a datům. To se nejčastěji provádí šifrováním systémů a dat a náročnou platbou za dešifrovací klíč.
Důležité:
Placení výkupného není tak jednoduché a čisté, jak se může zdát. Vzhledem k tomu, že se zabýváte zločinci, kteří jsou motivovaní jenom platbou (a často relativně amatérští operátoři, kteří používají sadu nástrojů od někoho jiného), existuje spousta nejasností ohledně toho, jak dobře bude výkupné skutečně fungovat. Neexistuje žádná právní záruka, že poskytne klíč, který dešifruje 100 % vašich systémů a dat, nebo dokonce poskytne vůbec klíč. Proces dešifrování těchto systémů používá domácí nástroje pro útočníky, což je často neohrabaný a ruční proces.
Zaplatit, abyste se vyhnuli zveřejnění
Útočníci požadují platbu výměnou za to, že neuvolňují citlivá nebo trapná data do tmavého webu (jiných zločinců) nebo široké veřejnosti.
Abyste se vyhnuli placení (zisková situace pro útočníky), nejefektivnější a nejefektivnější akcí, kterou můžete udělat, je zajistit, aby vaše organizace mohla obnovit celý váš podnik z neměnného úložiště, které útočník ani vy nemůžete změnit.
Identifikace nejcitlivějších aktiv a jejich ochrana na vyšší úrovni zajištění je také kriticky důležitá, ale je to delší a náročnější proces, který je nutné provést. Nechceme, abyste ve fázích 1 nebo 2 zadržely jiné oblasti, ale doporučujeme, abyste tento proces zahájili tím, že sdružujete obchodní, IT a bezpečnostní účastníky, kteří se budou klást otázky a odpovídat na tyto otázky:
- Jaký obchodní majetek by byl v případě ohrožení ohrožení nejškodlivější? Jaká aktiva by například vedení firmy byla ochotná zaplatit vydírání, pokud by je ovládli útočníci?
- Jak se tyto obchodní prostředky překládají na prostředky IT (soubory, aplikace, databáze, servery atd.)?
- Jak můžeme tyto prostředky chránit nebo izolovat, aby k nim měli přístup útočníci s přístupem k obecnému PROSTŘEDÍ IT?
Zabezpečené zálohy
Musíte zajistit, aby byly zálohované důležité systémy a jejich data a aby byly zálohy chráněné před záměrným vymazáním nebo šifrováním útočníkem.
Útoky na zálohy se zaměřují na ochromení schopnosti vaší organizace reagovat bez placení, často se zaměřují na zálohy a klíčovou dokumentaci, která je nutná k obnovení, aby vás přinutili platit vydírání.
Většina organizací chrání postupy zálohování a obnovení před touto úrovní záměrného cílení.
Poznámka:
Tato příprava také zlepšuje odolnost vůči přírodním katastrofám a rychlým útokům, jako je WannaCry a (Ne)Petya.
Plán zálohování a obnovení ochrany před ransomwarem řeší, co dělat před útokem na ochranu důležitých obchodních systémů a během útoku, aby se zajistilo rychlé obnovení obchodních operací.
Účty členů programu a projektu
Tato tabulka popisuje celkovou ochranu vašich dat před ransomwarem, pokud jde o hierarchii sponzoringu/řízení programů/řízení projektů, která určuje a řídí výsledky.
| Zájemce | Implementátor | Odpovědnost |
|---|---|---|
| Centrální IT Operace nebo CIO | Sponzorství pro vedoucí pracovníky | |
| Program vede z centrální it infrastruktury | Řízení výsledků a spolupráce mezi týmy | |
| Centrální IT Infrastruktura/zálohování | Povolení zálohování infrastruktury | |
| Centrální IT Produktivita / koncový uživatel | Povolení OneDrive zálohování | |
| Architektura zabezpečení | Poradit se s konfigurací a standardy | |
| Zásady a standardy zabezpečení | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování, aby bylo zajištěno dodržování předpisů | |
Kontrolní seznam implementace
K zabezpečení infrastruktury zálohování použijte tyto doporučené postupy.
| Hotovo | Úkol | Popis |
|---|---|---|
| Automaticky zálohujte všechny důležité systémy podle běžného plánu. | Umožňuje obnovit data až do poslední zálohy. | |
| Pravidelně provád ět plán kontinuity provozu nebo obnovy po havárii (BC/DR). | Zajišťuje rychlé obnovení obchodních operací tím, že zachází s ransomwarem nebo útokem vydírání se stejnou důležitostí jako při přírodní katastrofě. | |
| Ochrana záloh před záměrným vymazáním a šifrováním: – Silná ochrana – před úpravami online záloh (jako je Azure Backup)je potřeba mimo pásmo (MFA nebo PIN). – Nejpevnější ochrana – zálohy můžete ukládat v online neměnné úložišti (například objekt Blob Azure)a/nebo plně offline nebo mimo web. |
Zálohy, které jsou přístupné útočníky, se díky obnovení podniku kreslí jako nepoužitelné. | |
| Chraňte podpůrné dokumenty potřebné k obnovení, jako jsou dokumenty postupu obnovení, databáze pro správu konfigurace (CMDB) a síťové diagramy. | Útočníci záměrně cílí na tyto prostředky, protože to má vliv na vaši schopnost obnovit. |
Výsledky implementace a časové osy
Do 30 dnů zajistěte, aby střední doba obnovení (MTTR) splňovala váš cíl BC/DR, který se měří při simulacích a operacích v reálném světě.
Ochrana dat
Abyste zajistili rychlé a spolehlivé obnovení útoku ransomwaru a blokují některé techniky útočníků, musíte implementovat ochranu dat.
Vydírání ransomwaru a destruktivní útoky fungují jenom v případě ztráty veškerého legitimního přístupu k datům a systémům. Zajištění toho, aby útočníci neodebere vaši schopnost pokračovat v operacích bez platby, ochrání vaši firmu a podkope peněžní pobídku k útoku na vaši organizaci.
Účty členů programu a projektu
Tato tabulka popisuje celkovou ochranu dat vaší organizace před ransomwarem, pokud jde o hierarchii sponzoringu/řízení programů/řízení projektů, která určuje a řídí výsledky.
| Zájemce | Implementátor | Odpovědnost |
|---|---|---|
| Centrální IT Operace nebo CIO | Sponzorství pro vedoucí pracovníky | |
| Program lead from Data Security | Řízení výsledků a spolupráce mezi týmy | |
| Centrální IT Produktivita / koncový uživatel | Implementace změn Microsoft 365 tenanta pro OneDrive a chráněné složky | |
| Centrální IT Infrastruktura/zálohování | Povolení zálohování infrastruktury | |
| Business /Aplikace | Určení důležitých obchodních prostředků | |
| Architektura zabezpečení | Poradit se s konfigurací a standardy | |
| Zásady a standardy zabezpečení | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování, aby bylo zajištěno dodržování předpisů | |
| Tým pro vzdělávání uživatelů | Zajistit, aby pokyny pro uživatele odrážely aktualizace zásad | |
Kontrolní seznam implementace
Tyto doporučené postupy použijte k ochraně dat vaší organizace.
| Hotovo | Úkol | Popis |
|---|---|---|
| Migrace organizace do cloudu: – Přesuňte uživatelská data do cloudových řešení, jako je OneDrive/SharePoint, abyste využili možnosti správy verzí a koše. – Vyučovat uživatele, jak obnovit soubory sami, aby se snížily zpoždění a náklady na obnovení. |
Uživatelská data v cloudu Microsoftu mohou být chráněna integrovanými funkcemi zabezpečení a správy dat. | |
| Určete chráněné složky. | Ztížuje neautorizované aplikace úpravy dat v těchto složkách. | |
| Zkontrolujte oprávnění: – Objevte široká oprávnění pro zápis nebo odstranění u sdílených složek, SharePoint a dalších řešení. Funkce Broad je definována jako mnoho uživatelů, kteří mají oprávnění k zápisu nebo odstranění dat důležitých pro firmy. – Omezte široká oprávnění při plnění požadavků na obchodní spolupráci. – Auditujte a sledujte, abyste zajistili, že se široká oprávnění znovu neobjeví. |
Snižuje riziko ze širokého přístupu umožňujícího ransomwarové aktivity. | |
Další krok
Pokračujte ve fázi 2 a omezte rozsah poškození útoku ochranou privilegovaných rolí.
Další zdroje ransomwaru
Klíčové informace od Microsoftu:
- Rostoucí hrozba ransomwaru, příspěvek na blogu Microsoft On the Issues dne 20. července 2021
- Ransomwar provozovaný lidmi
- Rychle chránit před ransomwarem a vydíráním
- 2021 Microsoft Digital Defense Report (viz stránky 10–19)
- Ransomware: Na portálu Microsoft 365 Defender se nachází všudypřítomná a průběžná analýza hrozeb
- Přístup a osvědčené postupy ransomwaru DART od Microsoftu
Microsoft 365:
- Nasazení ochrany proti ransomwaru pro vašeho Microsoft 365 tenanta
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoft 365
- Obnovení z útoku ransomwaru
- Ochrana proti malwaru a ransomwaru
- Chraňte svůj Windows 10 počítač před ransomwarem
- Zpracování ransomwaru v SharePoint Online
- Sestavy analýzy hrozeb pro ransomwar na Microsoft 365 Defender portálu
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoft 365
- Zálohování a obnovení plánu na ochranu před ransomwarem
- Pomozte chránit před ransomwarem pomocí Microsoft Azure Backup (26minutové video)
- Obnovení ze systémového ohrožení identity
- Pokročilá detekce vícestupňových útoků v Microsoft Sentinelu
- Detekce fúze pro Ransomwar v Microsoft Sentinelu
Microsoft Defender pro cloudové aplikace:
Příspěvky na blogu týmu Microsoft Security:
Průvodce bojem proti ransomwaru provozované člověkem: část 1 (září 2021)
Klíčové kroky, jak tým microsoftu pro zjišťování a odpovědi (DART) provádí vyšetřování incidentů ransomwaru.
Průvodce bojem proti ransomwaru provozované člověkem: část 2 (září 2021)
Recommendations a osvědčené postupy.
Odolnost vůči kybernetickým rizikům: Část 4 – navigace v současných hrozbách (květen 2021)
Podívejte se na část Ransomware.
Útoky ransomwaru provozované lidmi: Katastrofa, které je možné předcházet (březen 2020)
Zahrnuje analýzy útokového řetězce skutečných útoků.
Norsk Hydro reaguje na útok ransomwaru transparentně (prosinec 2019)