Fáze 2: Omezení rozsahu škod

V této fázi chráníte privilegované role, abyste zabránili útočníkům v získání velkého rozsahu přístupu pro potenciální poškození dat a systémů.

Strategie privilegovaného přístupu

Musíte implementovat komplexní strategii, která snižuje riziko ohrožení privilegovaného přístupu.

Všechny ostatní bezpečnostní prvky můžou útočník snadno zneplatnit s privilegovaným přístupem ve vašem prostředí. Útočníci ransomwaru používají privilegovaný přístup jako rychlou cestu k řízení všech důležitých prostředků v organizaci za účelem útoku a následného vydírání.

Závazky členů programu a projektu

Tato tabulka popisuje strategii privilegovaného přístupu proti ransomwaru, pokud jde o hierarchii správy sponzorů, programů nebo řízení projektů za účelem určení a řízení výsledků.

Zájemce Implementátor Odpovědnost
CISO nebo CIO Executive Sponsorship
Vedoucí programu Podpora výsledků a spolupráce mezi týmy
IT a bezpečnostní architekti Stanovení priorit integrace komponent do architektur
Správa identit a klíčů Implementace změn identity
Centrální IT Produktivita / tým koncových uživatelů Implementace změn v zařízeních a tenantovi Office 365
Zásady zabezpečení a standardy Aktualizace standardů a dokumentů zásad
Správa dodržování předpisů zabezpečení Monitorování za účelem zajištění dodržování předpisů
Tým pro vzdělávání uživatelů Aktualizace pokynů k heslu

Kontrolní seznam pro implementaci

Pomocí pokynů https://aka.ms/SPA , které obsahují tento kontrolní seznam, vytvořte strategii s více částmi.

Hotovo Úkol Popis
Vynucujte zabezpečení kompletní relace. Explicitně ověří důvěryhodnost uživatelů a zařízení před povolením přístupu k rozhraním pro správu (pomocí podmíněného přístupu Azure Active Directory).
Chraňte a monitorujte systémy identit. Zabrání útokům eskalace oprávnění, včetně adresářů, správy identit, účtů správců a skupin a konfigurace udělení souhlasu.
Zmírnění laterální procházení Zajišťuje, že ohrožení zabezpečení jednoho zařízení okamžitě nevede k řízení mnoha nebo všech ostatních zařízení pomocí hesel místních účtů, hesel účtů služeb nebo jiných tajných kódů.
Zajištění rychlé reakce na hrozby Omezuje přístup a čas nežádoucího uživatele v prostředí. Další informace najdete v tématu Detekce a odpověď .

Výsledky a časové osy implementace

Zkuste dosáhnout těchto výsledků za 30 až 90 dní:

  • K používání zabezpečených pracovních stanic se vyžaduje 100 % správců.
  • 100 % místních hesel pracovních stanic/serverů je randomizováno.
  • Nasadí se 100 % omezení rizik eskalace oprávnění.

Detekce a odpověď

Vaše organizace potřebuje responzivní detekci a nápravu běžných útoků na koncové body, e-maily a identity. Záleží na minutách. Pokud chcete omezit čas útočníka na pozdější procházení vaší organizace, musíte rychle napravit běžné vstupní body útoku.

Závazky členů programu a projektu

Tato tabulka popisuje zlepšení vaší schopnosti detekce a reakce vůči ransomwaru z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.

Zájemce Implementátor Odpovědnost
CISO nebo CIO Executive Sponsorship
Vedoucí programu z operací zabezpečení Podpora výsledků a spolupráce mezi týmy
Centrální IT Tým infrastruktury Implementace agentů nebo funkcí klienta a serveru
Operace zabezpečení Integrace všech nových nástrojů do procesů operací zabezpečení
Centrální IT Produktivita / tým koncových uživatelů Povolení funkcí pro Defender for Endpoint, Defender for Office 365, Defender for Identity a Defender for Cloud Apps
Centrální IT Tým identit Implementace zabezpečení Azure AD a Defenderu pro identitu
Architekti zabezpečení Rady o konfiguraci, standardech a nástrojích
Zásady zabezpečení a standardy Aktualizace standardů a dokumentů zásad
Správa dodržování předpisů zabezpečení Monitorování za účelem zajištění dodržování předpisů

Kontrolní seznam pro implementaci

Využijte tyto osvědčené postupy pro zlepšení detekce a reakce.

Hotovo Úkol Popis
Stanovení priorit společných vstupních bodů:

– Pomocí integrovaných nástrojů rozšířené detekce a odezvy (XDR), jako je Microsoft 365 Defender , můžete poskytovat vysoce kvalitní výstrahy a minimalizovat třecí plochy a ruční kroky během odezvy.

- Monitorujte pokusy o hrubou sílu, jako je sprej hesla.
Ransomwaru (a další) operátory upřednostňují koncový bod, e-mail, identitu a protokol RDP jako vstupní body.
Monitorování nežádoucího člověka, který zakáže zabezpečení (často je součástí řetězu útoků), například:

– Vymazání protokolu událostí, zejména protokol událostí zabezpečení a provozní protokoly PowerShellu.

- Zakázání nástrojů a ovládacích prvků zabezpečení.
Útočníci cílí na zařízení detekce zabezpečení, aby mohli pokračovat v útoku bezpečněji.
Neignorujte komoditní malware. Útočníci ransomwaru pravidelně kupují přístup k cílovým organizacím z tmavých trhů.
Integrujte externí odborníky do procesů, které doplňují odborné znalosti, jako je tým Microsoftu pro detekci a reakce (DART). Počty zkušeností pro detekci a obnovení
Rychle izolovat ohrožené počítače pomocí programu Defender for Endpoint. Integrace s Windows 11 a 10 to usnadňuje.

Další krok

Phase 3. Make it hard to get in

Pokračujte ve fázi 3 , abyste útočníkovi znesnadněli dostat se do vašeho prostředí přírůstkovým odstraněním rizik.

Další zdroje informací o ransomwaru

Klíčové informace od Microsoftu:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Blogové příspěvky týmu Microsoft Security: