Příprava plánu obnovení útoku ransomwaru
Jedna věc, kterou musíte udělat před útokem ransomwaru, je připravit vaši organizaci, aby měl alternativu k placení výkupného.
Důležité
Přečtěte si celou řadu prevence ransomwaru a ztěžujte útok ransomwaru ve vaší organizaci.
Útočníci kyberzločinného ransomwaru pod kontrolou vaší organizace mají mnoho způsobů, jak vás tlačit na placení. Požadavky se primárně zaměřují na dvě kategorie:
Zaplatit výkupné za účelem opětovného získání přístupu
Útočníci vyžadují platbu za hrozbu, že vám neudělí zpět přístup k vašim systémům a datům. To se obvykle provádí šifrováním systémů a dat a náročným platbou za dešifrovací klíč.
Důležité
Placení výkupného není tak jednoduché a čisté řešení, jak se může zdát.
Vzhledem k tomu, že se zabýváte kybernetickými zločinci, které jsou motivovány pouze platbou (a často relativně amatérské operátory, kteří používají sadu nástrojů poskytovanou někým jiným), existuje mnoho nejistoty ohledně toho, jak dobře platit výkupné bude skutečně fungovat. Neexistuje žádná právní záruka, že poskytne klíč, který dešifruje 100 % vašich systémů a dat, nebo dokonce poskytne klíč vůbec. Proces dešifrování těchto systémů používá nástroje útočníka domácího vlastníka, což je často neslušný a ruční proces.
Platit, aby se zabránilo zveřejnění
Útočníci požadují platbu výměnou za to, že neuvolní citlivá nebo trapná data na tmavém webu (jiní zločinci) nebo veřejnost.
Abyste se vyhnuli vynucení platby (zisková situace pro útočníky), je nejobsáhlejší a nejúčinnější akcí, kterou můžete provést, zajistit, aby vaše organizace obnovila celý podnik z neměnného úložiště, které útočník ani nemůžete upravit.
Identifikace nejcitlivějších prostředků a jejich ochrana na vyšší úrovni záruky je také velmi důležitá, ale je to delší a náročnější proces, který je potřeba provést. Nechceme, abyste ve fázích 1 nebo 2 sdružovali další oblasti, ale doporučujeme, abyste tento proces zahájili propojením obchodních, IT a bezpečnostních zúčastněných stran, abyste mohli klást a odpovídat na otázky, jako jsou:
- Jaké obchodní prostředky by byly nejvíce škodlivé, pokud by byly ohroženy? Jaké prostředky by například naše vedení firmy ochotno zaplatit vyděračství, pokud je útočníci ovládali?
- Jak se tyto obchodní prostředky překládají na IT prostředky (například soubory, aplikace, databáze, servery a řídicí systémy)?
- Jak můžeme tyto prostředky chránit nebo izolovat, aby k nim útočníci s přístupem k obecnému IT prostředí neměli přístup?
Zabezpečené zálohy
Musíte zajistit, aby kritické systémy a jejich data byly zálohovány a zálohy chráněny před úmyslným vymazáním nebo šifrováním útočníkem.
Útoky na vaše zálohy se zaměřují na zmrzačení schopnosti vaší organizace reagovat bez placení, často zaměřené na zálohy a dokumentaci ke klíči potřebné k obnovení, aby vás vynutily platit požadavky na vyděračství.
Většina organizací nechrání postupy zálohování a obnovení proti této úrovni záměrného cílení.
Plán zálohování a obnovení, který chrání před ransomwarem , řeší, co dělat před útokem na ochranu důležitých obchodních systémů a během útoku, aby se zajistilo rychlé obnovení obchodních operací.
Závazky v rámci programu a člena projektu
Tato tabulka popisuje celkovou ochranu vašich dat před ransomwarem z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.
Lead | Implementátor | Odpovědnost |
---|---|---|
Centrální IT provoz nebo it oddělení | Podpora z vedení | |
Vedoucí programu z centrální IT infrastruktury | Podpora výsledků a spolupráce mezi týmy | |
Centrální infrastruktura IT / zálohování | Povolení zálohování infrastruktury | |
Centrální produktivita IT / koncový uživatel | Povolení zálohování OneDrivu | |
Architektura zabezpečení | Rady o konfiguraci a standardech | |
Zásady zabezpečení a standardy | Aktualizace standardů a dokumentů zásad | |
Správa dodržování předpisů zabezpečení | Monitorování pro zajištění dodržování předpisů | |
Kontrolní seznam pro implementaci
Tyto osvědčené postupy použijte k zabezpečení infrastruktury zálohování.
Hotovo | Úloha | Popis |
---|---|---|
Automaticky zálohujte všechna důležitá data podle běžného plánu. | Umožňuje obnovit data až do poslední zálohy. | |
Pravidelně si procvičujte plán provozní kontinuity a zotavení po havárii (BC/DR). | Zajišťuje rychlé zotavení obchodních operací tím, že zachází s ransomwarem nebo útokem na vydírání se stejnou důležitostí jako přírodní katastrofa. | |
Ochrana záloh před úmyslným vymazáním a šifrováním: – Silná ochrana – Před úpravou online záloh (jako je Azure Backup) vyžadovat kroky mimo pásmo (MFA nebo PIN). – Nejsilnější ochrana – Ukládání záloh v online neměnném úložišti (jako je Azure Blob) nebo plně offline nebo mimo lokalitu. |
Zálohy, které jsou přístupné útočníkům, se dají vykreslit jako nepoužitelné pro obnovení firmy. Implementovat silnější zabezpečení pro přístup k zálohám a nemožnost změnit data uložená v zálohách. | |
Chraňte podpůrné dokumenty potřebné k obnovení, jako jsou dokumenty postupu obnovení, databáze pro správu konfigurace (CMDB) a síťové diagramy. | Útočníci záměrně cílí na tyto prostředky, protože ovlivňují vaši schopnost obnovení. Ujistěte se, že přežijí útok ransomwaru. |
Výsledky a časové osy implementace
Během 30 dnů se ujistěte, že střední doba obnovení (MTTR) splňuje váš cíl BC/DR měřený během simulací a reálných operací.
Ochrana dat
Musíte implementovat ochranu dat, abyste zajistili rychlé a spolehlivé zotavení po útoku ransomwarem a zablokovali některé techniky útočníků.
Vydírání ransomwaru a destruktivní útoky fungují pouze v případech, kdy dojde ke ztrátě veškerého legitimního přístupu k datům a systémům. Zajištění, aby útočníci nemohli odebrat vaši schopnost pokračovat v provozu bez platby, ochrání vaši firmu a podkope peněžní pobídku pro útok na vaši organizaci.
Závazky v rámci programu a člena projektu
Tato tabulka popisuje celkovou ochranu dat vaší organizace před ransomwarem z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.
Lead | Implementátor | Odpovědnost |
---|---|---|
Centrální IT provoz nebo it oddělení | Podpora z vedení | |
Vedoucí programu ze služby Data Security | Podpora výsledků a spolupráce mezi týmy | |
Centrální produktivita IT / koncový uživatel | Implementace změn v tenantovi Microsoftu 365 pro OneDrive a chráněné složky | |
Centrální infrastruktura IT / zálohování | Povolení zálohování infrastruktury | |
Obchodní /aplikační aplikace | Identifikace důležitých obchodních prostředků | |
Architektura zabezpečení | Rady o konfiguraci a standardech | |
Zásady zabezpečení a standardy | Aktualizace standardů a dokumentů zásad | |
Správa dodržování předpisů zabezpečení | Monitorování pro zajištění dodržování předpisů | |
Tým pro vzdělávání uživatelů | Ujistěte se, že pokyny pro uživatele odrážejí aktualizace zásad. | |
Kontrolní seznam pro implementaci
Tyto osvědčené postupy použijte k ochraně dat organizace.
Hotovo | Úloha | Popis |
---|---|---|
Migrace organizace do cloudu: – Přesuňte uživatelská data do cloudových řešení, jako je OneDrive nebo SharePoint, a využijte možnosti správy verzí a koše. - Informujte uživatele o tom, jak sami obnovit své soubory , aby snížili zpoždění a náklady na obnovení. |
Uživatelská data v cloudu Microsoftu můžou být chráněná integrovanými funkcemi zabezpečení a správy dat. | |
Určete chráněné složky. | Znesnadňuje neoprávněným aplikacím upravovat data v těchto složkách. | |
Zkontrolujte svá oprávnění: – Objevte obecná oprávnění k zápisu a odstraňování u sdílených složek, SharePointu a dalších řešení. Široké je definováno, kolik uživatelů má oprávnění k zápisu nebo odstranění pro důležitá obchodní data. – Omezte široká oprávnění pro důležitá umístění dat při splnění požadavků na obchodní spolupráci. – Auditujte a monitorujte důležitá umístění dat, abyste měli jistotu, že se znovu nezobrazí široká oprávnění. |
Snižuje riziko aktivit ransomwaru, které se spoléhají na široký přístup. | |
Další krok
Pokračujte ve fázi 2 a omezte rozsah poškození útoku tím, že chráníte privilegované role.
Další zdroje informací o ransomwaru
Klíčové informace od Microsoftu:
- Rostoucí hrozba ransomware, Microsoft On the Issues blogový příspěvek 20. července 2021
- Ransomwar provozovaný člověkem
- Rychlá ochrana před ransomwarem a vydíráním
- 2021 Microsoft Digital Defense Report (viz stránky 10–19)
- Ransomwaru: Sestava analýzy hrozeb pro trvalou a průběžnou hrozbu na portálu Microsoft Defender
- Přístupk ransomwaru a případová studie týmu Microsoftu pro detekci a reakce (DART)
Microsoft 365:
- Nasazení ochrany ransomwaru pro vašeho tenanta Microsoftu 365
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
- Zotavení z útoku ransomwarem
- Ochrana proti malwaru a ransomwaru
- Ochrana počítače s Windows 10 před ransomwarem
- Zpracování ransomwaru v SharePointu Online
- Sestavy analýzy hrozeb pro ransomware na portálu Microsoft Defenderu
XDR v programu Microsoft Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
- Plán zálohování a obnovení pro ochranu před ransomwarem
- Pomoc s ochranou před ransomwarem pomocí služby Microsoft Azure Backup (26minutové video)
- Zotavení z ohrožení systémové identity
- Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel
- Fúzní detekce ransomwaru v Microsoft Sentinelu
Microsoft Defender for Cloud Apps:
Blogové příspěvky týmu zabezpečení Microsoftu:
Průvodce bojem proti ransomwaru provozovanému člověkem: část 1 (září 2021)
Klíčové kroky týkající se toho, jak tým Microsoftu pro detekci a reakce (DART) provádí vyšetřování incidentů ransomwaru.
Průvodce bojem proti ransomwaru provozovanému člověkem: část 2 (září 2021)
Doporučení a osvědčené postupy
-
Viz část Ransomware.
Útoky ransomwaru provozované lidmi: Prevence havárie (březen 2020)
Zahrnuje analýzy skutečných útoků z řetězu útoků.
Norsk Hydro reaguje na útok ransomwaru s transparentností (prosinec 2019)
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro