Příprava plánu obnovení útoku ransomwaru

Článek
03/25/2024

Jedna věc, kterou musíte udělat před útokem ransomwaru, je připravit vaši organizaci, aby měl alternativu k placení výkupného.

Důležité

Přečtěte si celou řadu prevence ransomwaru a ztěžujte útok ransomwaru ve vaší organizaci.

Útočníci kyberzločinného ransomwaru pod kontrolou vaší organizace mají mnoho způsobů, jak vás tlačit na placení. Požadavky se primárně zaměřují na dvě kategorie:

Zaplatit výkupné za účelem opětovného získání přístupu

Útočníci vyžadují platbu za hrozbu, že vám neudělí zpět přístup k vašim systémům a datům. To se obvykle provádí šifrováním systémů a dat a náročným platbou za dešifrovací klíč.

Důležité

Placení výkupného není tak jednoduché a čisté řešení, jak se může zdát.

Vzhledem k tomu, že se zabýváte kybernetickými zločinci, které jsou motivovány pouze platbou (a často relativně amatérské operátory, kteří používají sadu nástrojů poskytovanou někým jiným), existuje mnoho nejistoty ohledně toho, jak dobře platit výkupné bude skutečně fungovat. Neexistuje žádná právní záruka, že poskytne klíč, který dešifruje 100 % vašich systémů a dat, nebo dokonce poskytne klíč vůbec. Proces dešifrování těchto systémů používá nástroje útočníka domácího vlastníka, což je často neslušný a ruční proces.

Platit, aby se zabránilo zveřejnění

Útočníci požadují platbu výměnou za to, že neuvolní citlivá nebo trapná data na tmavém webu (jiní zločinci) nebo veřejnost.

Abyste se vyhnuli vynucení platby (zisková situace pro útočníky), je nejobsáhlejší a nejúčinnější akcí, kterou můžete provést, zajistit, aby vaše organizace obnovila celý podnik z neměnného úložiště, které útočník ani nemůžete upravit.

Identifikace nejcitlivějších prostředků a jejich ochrana na vyšší úrovni záruky je také velmi důležitá, ale je to delší a náročnější proces, který je potřeba provést. Nechceme, abyste ve fázích 1 nebo 2 sdružovali další oblasti, ale doporučujeme, abyste tento proces zahájili propojením obchodních, IT a bezpečnostních zúčastněných stran, abyste mohli klást a odpovídat na otázky, jako jsou:

Jaké obchodní prostředky by byly nejvíce škodlivé, pokud by byly ohroženy? Jaké prostředky by například naše vedení firmy ochotno zaplatit vyděračství, pokud je útočníci ovládali?
Jak se tyto obchodní prostředky překládají na IT prostředky (například soubory, aplikace, databáze, servery a řídicí systémy)?
Jak můžeme tyto prostředky chránit nebo izolovat, aby k nim útočníci s přístupem k obecnému IT prostředí neměli přístup?

Zabezpečené zálohy

Musíte zajistit, aby kritické systémy a jejich data byly zálohovány a zálohy chráněny před úmyslným vymazáním nebo šifrováním útočníkem.

Útoky na vaše zálohy se zaměřují na zmrzačení schopnosti vaší organizace reagovat bez placení, často zaměřené na zálohy a dokumentaci ke klíči potřebné k obnovení, aby vás vynutily platit požadavky na vyděračství.

Většina organizací nechrání postupy zálohování a obnovení proti této úrovni záměrného cílení.

Plán zálohování a obnovení, který chrání před ransomwarem , řeší, co dělat před útokem na ochranu důležitých obchodních systémů a během útoku, aby se zajistilo rychlé obnovení obchodních operací.

Závazky v rámci programu a člena projektu

Tato tabulka popisuje celkovou ochranu vašich dat před ransomwarem z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.

Lead	Implementátor	Odpovědnost
Centrální IT provoz nebo it oddělení		Podpora z vedení
Vedoucí programu z centrální IT infrastruktury		Podpora výsledků a spolupráce mezi týmy
	Centrální infrastruktura IT / zálohování	Povolení zálohování infrastruktury
	Centrální produktivita IT / koncový uživatel	Povolení zálohování OneDrivu
	Architektura zabezpečení	Rady o konfiguraci a standardech
	Zásady zabezpečení a standardy	Aktualizace standardů a dokumentů zásad
	Správa dodržování předpisů zabezpečení	Monitorování pro zajištění dodržování předpisů

Kontrolní seznam pro implementaci

Tyto osvědčené postupy použijte k zabezpečení infrastruktury zálohování.

Hotovo	Úloha	Popis
	Automaticky zálohujte všechna důležitá data podle běžného plánu.	Umožňuje obnovit data až do poslední zálohy.
	Pravidelně si procvičujte plán provozní kontinuity a zotavení po havárii (BC/DR).	Zajišťuje rychlé zotavení obchodních operací tím, že zachází s ransomwarem nebo útokem na vydírání se stejnou důležitostí jako přírodní katastrofa.
	Ochrana záloh před úmyslným vymazáním a šifrováním: – Silná ochrana – Před úpravou online záloh (jako je Azure Backup) vyžadovat kroky mimo pásmo (MFA nebo PIN). – Nejsilnější ochrana – Ukládání záloh v online neměnném úložišti (jako je Azure Blob) nebo plně offline nebo mimo lokalitu.	Zálohy, které jsou přístupné útočníkům, se dají vykreslit jako nepoužitelné pro obnovení firmy. Implementovat silnější zabezpečení pro přístup k zálohám a nemožnost změnit data uložená v zálohách.
	Chraňte podpůrné dokumenty potřebné k obnovení, jako jsou dokumenty postupu obnovení, databáze pro správu konfigurace (CMDB) a síťové diagramy.	Útočníci záměrně cílí na tyto prostředky, protože ovlivňují vaši schopnost obnovení. Ujistěte se, že přežijí útok ransomwaru.

Výsledky a časové osy implementace

Během 30 dnů se ujistěte, že střední doba obnovení (MTTR) splňuje váš cíl BC/DR měřený během simulací a reálných operací.

Ochrana dat

Musíte implementovat ochranu dat, abyste zajistili rychlé a spolehlivé zotavení po útoku ransomwarem a zablokovali některé techniky útočníků.

Vydírání ransomwaru a destruktivní útoky fungují pouze v případech, kdy dojde ke ztrátě veškerého legitimního přístupu k datům a systémům. Zajištění, aby útočníci nemohli odebrat vaši schopnost pokračovat v provozu bez platby, ochrání vaši firmu a podkope peněžní pobídku pro útok na vaši organizaci.

Závazky v rámci programu a člena projektu

Tato tabulka popisuje celkovou ochranu dat vaší organizace před ransomwarem z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.

Lead	Implementátor	Odpovědnost
Centrální IT provoz nebo it oddělení		Podpora z vedení
Vedoucí programu ze služby Data Security		Podpora výsledků a spolupráce mezi týmy
	Centrální produktivita IT / koncový uživatel	Implementace změn v tenantovi Microsoftu 365 pro OneDrive a chráněné složky
	Centrální infrastruktura IT / zálohování	Povolení zálohování infrastruktury
	Obchodní /aplikační aplikace	Identifikace důležitých obchodních prostředků
	Architektura zabezpečení	Rady o konfiguraci a standardech
	Zásady zabezpečení a standardy	Aktualizace standardů a dokumentů zásad
	Správa dodržování předpisů zabezpečení	Monitorování pro zajištění dodržování předpisů
	Tým pro vzdělávání uživatelů	Ujistěte se, že pokyny pro uživatele odrážejí aktualizace zásad.

Kontrolní seznam pro implementaci

Tyto osvědčené postupy použijte k ochraně dat organizace.

Hotovo	Úloha	Popis
	Migrace organizace do cloudu: – Přesuňte uživatelská data do cloudových řešení, jako je OneDrive nebo SharePoint, a využijte možnosti správy verzí a koše. - Informujte uživatele o tom, jak sami obnovit své soubory , aby snížili zpoždění a náklady na obnovení.	Uživatelská data v cloudu Microsoftu můžou být chráněná integrovanými funkcemi zabezpečení a správy dat.
	Určete chráněné složky.	Znesnadňuje neoprávněným aplikacím upravovat data v těchto složkách.
	Zkontrolujte svá oprávnění: – Objevte obecná oprávnění k zápisu a odstraňování u sdílených složek, SharePointu a dalších řešení. Široké je definováno, kolik uživatelů má oprávnění k zápisu nebo odstranění pro důležitá obchodní data. – Omezte široká oprávnění pro důležitá umístění dat při splnění požadavků na obchodní spolupráci. – Auditujte a monitorujte důležitá umístění dat, abyste měli jistotu, že se znovu nezobrazí široká oprávnění.	Snižuje riziko aktivit ransomwaru, které se spoléhají na široký přístup.