Fáze 2: Omezení rozsahu poškození
V této fázi zabráníte útočníkům v získání velkého rozsahu přístupu k potenciálnímu poškození dat a systémů ochranou privilegovaných rolí.
Strategie privilegovaného přístupu
Abyste snížili riziko ohrožení privilegovaného přístupu, musíte implementovat komplexní strategii.
Všechny ostatní ovládací prvky zabezpečení může útočník s privilegovaným přístupem ve vašem prostředí snadno zneplatní. Útočníci ransomwaru používají privilegovaný přístup jako rychlou cestu k řízení všech důležitých prostředků v organizaci pro jejich vydírání.
Účty členů programu a projektu
Tato tabulka popisuje strategii privilegovaného přístupu proti ransomwaru, pokud jde o hierarchii sponzoringu/řízení programů/řízení projektů, která určuje a řídí výsledky.
| Zájemce | Implementátor | Odpovědnost |
|---|---|---|
| CISO nebo CIO | Sponzorství pro vedoucí pracovníky | |
| Program lead | Řízení výsledků a spolupráce mezi týmy | |
| ARCHITEKTI IT a ZABEZPEČENÍ | Upřednostňovat součásti integrované do architektur | |
| Správa identit a klíčů | Implementace změn identity | |
| Centrální IT Produktivita / Tým koncových uživatelů | Implementace změn v zařízeních a Office 365 tenantovi | |
| Zásady a standardy zabezpečení | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování, aby bylo zajištěno dodržování předpisů | |
| Tým pro vzdělávání uživatelů | Aktualizace pokynů pro hesla | |
Kontrolní seznam implementace
Vytvořte strategii s více částmi pomocí pokynů, které https://aka.ms/SPA obsahují tento kontrolní seznam.
| Hotovo | Úkol | Popis |
|---|---|---|
| Vynucuje zabezpečení relace mezi koncovými zařízeními. | Před povolením přístupu k rozhraní pro správu (pomocí podmíněnéhopřístupu Azure AD) explicitně ověřuje důvěryhodnost uživatelů a zařízení. | |
| Chraňte a sledujte systémy identit. | Zabraňuje útokům na zvýšení oprávnění včetně adresářů, správy identit, účtů a skupin správce a konfigurace udělení souhlasu. | |
| Zmírní boční přechod. | Zajistí, aby kompromitování jednoho zařízení nevedlo okamžitě ke kontrole mnoha nebo všech ostatních zařízení pomocí hesel místních účtů, hesel ke servisním účtům nebo jiných tajných kódů. | |
| Zajistěte rychlou reakci na hrozby. | Omezuje přístup a čas adverzního uživatele v prostředí. Další informace najdete v článku Zjišťování a odpověď. | |
Výsledky implementace a časové osy
Zkuste dosáhnout těchto výsledků za 30–90 dní:
- 100 % správců nutných k používání zabezpečených pracovních stanic
- 100 % náhodných hesel místních pracovních stanic a serverů
- 100% nasazení omezení eskalace oprávnění
Zjišťování a odpověď
Vaše organizace potřebuje reagovat na odhalování a nápravu běžných útoků na koncové body, e-maily a identity. Záleží na minutách. Abyste omezili čas útočníka na boční přechod ve vaší organizaci, musíte rychle opravit běžné vstupní body útoku.
Účty členů programu a projektu
Tato tabulka popisuje vylepšení vaší schopnosti zjišťování a odezvy proti ransomwaru, pokud jde o hierarchii sponzoringu/řízení programů/řízení projektů, která určuje a řídí výsledky.
| Zájemce | Implementátor | Odpovědnost |
|---|---|---|
| CISO nebo CIO | Sponzorství pro vedoucí pracovníky | |
| Program lead from Security Operations | Řízení výsledků a spolupráce mezi týmy | |
| Centrální IT Tým infrastruktury | Implementace agentů a funkcí klientů a serverů | |
| Operace zabezpečení | Integrace všech nových nástrojů do procesů operací zabezpečení | |
| Centrální IT Produktivita / Tým koncových uživatelů | Povolení funkcí pro Defender pro koncový bod, Defender pro Office 365, Defender pro identitu a Defender pro cloudové aplikace | |
| Centrální IT Tým identity | Implementace zabezpečení Azure AD a Defenderu pro identitu | |
| Architekti zabezpečení | Poradit se s konfigurací, standardy a nástroji | |
| Zásady a standardy zabezpečení | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování, aby bylo zajištěno dodržování předpisů | |
Kontrolní seznam implementace
Použijte tyto doporučené postupy pro zlepšení zjišťování a reakce.
| Hotovo | Úkol | Popis |
|---|---|---|
| Stanovení priorit běžných vstupních bodů: – Používejte integrované nástroje XDR (Extended Detection and Response), jako je Microsoft 365 Defender, které poskytují vysoce kvalitní upozornění a minimalizují tření a ruční kroky během odezvy. - Sledujte pokusy o hrubou sílu, jako je třeba rozprašování heslem. |
Operátoři Ransomwaru (a dalších) upřednostní koncový bod, e-mail, identitu a protokol PRV jako vstupní body. | |
| Sledujte, jak je možné, že by protichůdci zakazující zabezpečení (to je často součástí řetězce útoků), například: – Vymazání protokolu událostí, zejména protokolu událostí zabezpečení a provozních protokolů PowerShellu - Zakázání nástrojů a ovládacích prvků zabezpečení (přidružených k některým skupinám). |
Útočníci cílí na zařízení pro zjišťování zabezpečení, aby mohli bezpečněji pokračovat v útoku. | |
| Neignorujte malwarovou komoditu. | Útočníci ransomwaru pravidelně nakupují přístup k cílovým organizacím z tmavých trhů. | |
| Integrujte externí odborníky do procesů, abyste doplnili odborné znalosti, jako je tým microsoftu pro zjišťování a odezvu (DART). | Počty prostředí pro zjišťování a obnovení | |
| Rychle izolovat ohrožené počítače pomocí Defenderu pro koncový bod. | Windows 10 integrace to usnadňuje. | |
Další krok
Pokračujte ve fázi 3, aby se útočník mohl dostat do vašeho prostředí tím, že postupně odstraní rizika.
Další zdroje ransomwaru
Klíčové informace od Microsoftu:
- Rostoucí hrozba ransomwaru, příspěvek na blogu Microsoft On the Issues dne 20. července 2021
- Ransomwar provozovaný lidmi
- Rychle chránit před ransomwarem a vydíráním
- 2021 Microsoft Digital Defense Report (viz stránky 10–19)
- Ransomware: Na portálu Microsoft 365 Defender se nachází všudypřítomná a průběžná analýza hrozeb
- Přístup a osvědčené postupy ransomwaru DART od Microsoftu
Microsoft 365:
- Nasazení ochrany proti ransomwaru pro vašeho Microsoft 365 tenanta
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoft 365
- Obnovení z útoku ransomwaru
- Ochrana proti malwaru a ransomwaru
- Chraňte svůj Windows 10 počítač před ransomwarem
- Zpracování ransomwaru v SharePoint Online
- Sestavy analýzy hrozeb pro ransomwar na Microsoft 365 Defender portálu
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoft 365
- Zálohování a obnovení plánu na ochranu před ransomwarem
- Pomozte chránit před ransomwarem pomocí Microsoft Azure Backup (26minutové video)
- Obnovení ze systémového ohrožení identity
- Pokročilá detekce vícestupňových útoků v Microsoft Sentinelu
- Detekce fúze pro Ransomwar v Microsoft Sentinelu
Microsoft Defender pro cloudové aplikace:
Příspěvky na blogu týmu Microsoft Security:
Průvodce bojem proti ransomwaru provozované člověkem: část 1 (září 2021)
Klíčové kroky, jak tým microsoftu pro zjišťování a odpovědi (DART) provádí vyšetřování incidentů ransomwaru.
Průvodce bojem proti ransomwaru provozované člověkem: část 2 (září 2021)
Recommendations a osvědčené postupy.
Odolnost vůči kybernetickým rizikům: Část 4 – navigace v současných hrozbách (květen 2021)
Podívejte se na část Ransomware.
Útoky ransomwaru provozované lidmi: Katastrofa, které je možné předcházet (březen 2020)
Zahrnuje analýzy útokového řetězce skutečných útoků.
Norsk Hydro reaguje na útok ransomwaru transparentně (prosinec 2019)