Fáze 2: Omezení rozsahu škod
V této fázi chráníte privilegované role, abyste zabránili útočníkům v získání velkého rozsahu přístupu pro potenciální poškození dat a systémů.
Strategie privilegovaného přístupu
Musíte implementovat komplexní strategii, která snižuje riziko ohrožení privilegovaného přístupu.
Všechny ostatní bezpečnostní prvky můžou útočník snadno zneplatnit s privilegovaným přístupem ve vašem prostředí. Útočníci ransomwaru používají privilegovaný přístup jako rychlou cestu k řízení všech důležitých prostředků v organizaci za účelem útoku a následného vydírání.
Závazky členů programu a projektu
Tato tabulka popisuje strategii privilegovaného přístupu proti ransomwaru, pokud jde o hierarchii správy sponzorů, programů nebo řízení projektů za účelem určení a řízení výsledků.
| Zájemce | Implementátor | Odpovědnost |
|---|---|---|
| CISO nebo CIO | Executive Sponsorship | |
| Vedoucí programu | Podpora výsledků a spolupráce mezi týmy | |
| IT a bezpečnostní architekti | Stanovení priorit integrace komponent do architektur | |
| Správa identit a klíčů | Implementace změn identity | |
| Centrální IT Produktivita / tým koncových uživatelů | Implementace změn v zařízeních a tenantovi Office 365 | |
| Zásady zabezpečení a standardy | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování za účelem zajištění dodržování předpisů | |
| Tým pro vzdělávání uživatelů | Aktualizace pokynů k heslu | |
Kontrolní seznam pro implementaci
Pomocí pokynů https://aka.ms/SPA , které obsahují tento kontrolní seznam, vytvořte strategii s více částmi.
| Hotovo | Úkol | Popis |
|---|---|---|
| Vynucujte zabezpečení kompletní relace. | Explicitně ověří důvěryhodnost uživatelů a zařízení před povolením přístupu k rozhraním pro správu (pomocí podmíněného přístupu Azure Active Directory). | |
| Chraňte a monitorujte systémy identit. | Zabrání útokům eskalace oprávnění, včetně adresářů, správy identit, účtů správců a skupin a konfigurace udělení souhlasu. | |
| Zmírnění laterální procházení | Zajišťuje, že ohrožení zabezpečení jednoho zařízení okamžitě nevede k řízení mnoha nebo všech ostatních zařízení pomocí hesel místních účtů, hesel účtů služeb nebo jiných tajných kódů. | |
| Zajištění rychlé reakce na hrozby | Omezuje přístup a čas nežádoucího uživatele v prostředí. Další informace najdete v tématu Detekce a odpověď . | |
Výsledky a časové osy implementace
Zkuste dosáhnout těchto výsledků za 30 až 90 dní:
- K používání zabezpečených pracovních stanic se vyžaduje 100 % správců.
- 100 % místních hesel pracovních stanic/serverů je randomizováno.
- Nasadí se 100 % omezení rizik eskalace oprávnění.
Detekce a odpověď
Vaše organizace potřebuje responzivní detekci a nápravu běžných útoků na koncové body, e-maily a identity. Záleží na minutách. Pokud chcete omezit čas útočníka na pozdější procházení vaší organizace, musíte rychle napravit běžné vstupní body útoku.
Závazky členů programu a projektu
Tato tabulka popisuje zlepšení vaší schopnosti detekce a reakce vůči ransomwaru z hlediska sponzorství, řízení programů nebo hierarchie řízení projektů za účelem určení a řízení výsledků.
| Zájemce | Implementátor | Odpovědnost |
|---|---|---|
| CISO nebo CIO | Executive Sponsorship | |
| Vedoucí programu z operací zabezpečení | Podpora výsledků a spolupráce mezi týmy | |
| Centrální IT Tým infrastruktury | Implementace agentů nebo funkcí klienta a serveru | |
| Operace zabezpečení | Integrace všech nových nástrojů do procesů operací zabezpečení | |
| Centrální IT Produktivita / tým koncových uživatelů | Povolení funkcí pro Defender for Endpoint, Defender for Office 365, Defender for Identity a Defender for Cloud Apps | |
| Centrální IT Tým identit | Implementace zabezpečení Azure AD a Defenderu pro identitu | |
| Architekti zabezpečení | Rady o konfiguraci, standardech a nástrojích | |
| Zásady zabezpečení a standardy | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování za účelem zajištění dodržování předpisů | |
Kontrolní seznam pro implementaci
Využijte tyto osvědčené postupy pro zlepšení detekce a reakce.
| Hotovo | Úkol | Popis |
|---|---|---|
| Stanovení priorit společných vstupních bodů: – Pomocí integrovaných nástrojů rozšířené detekce a odezvy (XDR), jako je Microsoft 365 Defender , můžete poskytovat vysoce kvalitní výstrahy a minimalizovat třecí plochy a ruční kroky během odezvy. - Monitorujte pokusy o hrubou sílu, jako je sprej hesla. |
Ransomwaru (a další) operátory upřednostňují koncový bod, e-mail, identitu a protokol RDP jako vstupní body. | |
| Monitorování nežádoucího člověka, který zakáže zabezpečení (často je součástí řetězu útoků), například: – Vymazání protokolu událostí, zejména protokol událostí zabezpečení a provozní protokoly PowerShellu. - Zakázání nástrojů a ovládacích prvků zabezpečení. |
Útočníci cílí na zařízení detekce zabezpečení, aby mohli pokračovat v útoku bezpečněji. | |
| Neignorujte komoditní malware. | Útočníci ransomwaru pravidelně kupují přístup k cílovým organizacím z tmavých trhů. | |
| Integrujte externí odborníky do procesů, které doplňují odborné znalosti, jako je tým Microsoftu pro detekci a reakce (DART). | Počty zkušeností pro detekci a obnovení | |
| Rychle izolovat ohrožené počítače pomocí programu Defender for Endpoint. | Integrace s Windows 11 a 10 to usnadňuje. | |
Další krok
Pokračujte ve fázi 3 , abyste útočníkovi znesnadněli dostat se do vašeho prostředí přírůstkovým odstraněním rizik.
Další zdroje informací o ransomwaru
Klíčové informace od Microsoftu:
- Rostoucí hrozba ransomware, Microsoft On the Issues blog příspěvek 20. července 2021
- Ransomwar provozovaný člověkem
- Rychlá ochrana před ransomwarem a vydíráním
- 2021 Microsoft Digital Defense Report (viz stránky 10–19)
- Ransomware: Pervasivní a průběžná sestava analýzy hrozeb na portálu Microsoft 365 Defender
- Přístup k ransomwaru a případovou studii od Microsoftu (DART)
Microsoft 365:
- Nasazení ochrany ransomwaru pro vašeho tenanta Microsoftu 365
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
- Zotavení z útoku ransomwarem
- Ochrana proti malwaru a ransomwaru
- Ochrana počítače s Windows 10 před ransomwarem
- Zpracování ransomwaru v SharePointu Online
- Sestavy analýzy hrozeb pro ransomware na portálu Microsoft 365 Defender
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
- Plán zálohování a obnovení pro ochranu před ransomwarem
- Pomoc s ochranou před ransomwarem pomocí služby Microsoft Azure Backup (26minutové video)
- Obnovení z ohrožení systémové identity
- Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel
- Detekce fúze pro ransomware v Microsoft Sentinelu
Microsoft Defender for Cloud Apps:
Blogové příspěvky týmu Microsoft Security:
Průvodce bojem proti ransomwaru provozovanému člověkem: část 1 (září 2021)
Klíčové kroky týkající se toho, jak microsoftův tým pro detekci a reakci (DART) provádí vyšetřování incidentů ransomwaru.
Průvodce bojem proti ransomwaru provozovanému člověkem: část 2 (září 2021)
Doporučení a osvědčené postupy
-
Viz část Ransomware .
Útoky ransomwaru provozované lidmi: Předcházet havárii (březen 2020)
Zahrnuje analýzy skutečných útoků.
Norsk Hydro reaguje na útok ransomwarem s transparentností (prosinec 2019)