Fáze 3: Z těžkého nasátku
V této fázi můžete útočníkům výrazně ztížovat přístup k místní nebo cloudové infrastruktuře tím, že postupně odeberete rizika v bodech vstupu.
Důležité:
I když mnohé z nich budou známé a/nebo snadno dosáhnout, je velmi důležité, aby vaše práce ve fázi 3 nezpomalí váš postup ve fázích 1 a 2!
Podívejte se na tyto části:
Vzdálený přístup
Získání přístupu k intranetu vaší organizace prostřednictvím připojení vzdáleného přístupu je útokový vektor pro útočníky ransomwaru. Jakmile se prozrazení místního uživatelského účtu, může útočník volně přechádovat v intranetu, získat inteligenci, zvýšit oprávnění a nainstalovat kód ransomwaru. Příkladem je nedávný kybernetický útok na koloniální plynovod.
Účty členů programu a projektu
Tato tabulka popisuje celkovou ochranu vašeho řešení vzdáleného přístupu před ransomwarem, pokud jde o hierarchii sponzoringu/řízení programů/řízení projektů, která určuje a řídí výsledky.
| Zájemce | Implementátor | Odpovědnost |
|---|---|---|
| CISO nebo CIO | Sponzorství pro vedoucí pracovníky | |
| Vedoucí programu v centrální it infrastruktuře/síťovém týmu | Řízení výsledků a spolupráce mezi týmy | |
| ARCHITEKTI IT a ZABEZPEČENÍ | Stanovení priority integrace komponent do architektur | |
| Centrální IT Tým identity | Konfigurace zásad Azure AD a podmíněného přístupu | |
| Centrální IT Operace | Implementace změn prostředí | |
| Vlastníci pracovního vytížení | Pomoc s oprávněními RBAC pro publikování aplikací | |
| Zásady a standardy zabezpečení | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování, aby bylo zajištěno dodržování předpisů | |
| Tým pro vzdělávání uživatelů | Aktualizace pokynů ke změnám pracovního postupu a provádění vzdělávání a správy změn | |
Kontrolní seznam implementace
Tyto doporučené postupy použijte k ochraně infrastruktury vzdáleného přístupu před útočníky ransomwaru.
| Hotovo | Úkol | Popis |
|---|---|---|
| Udržujte aktualizace softwaru a zařízení. Vyhněte se chybějícím nebo zanedbáváním ochrany výrobce (aktualizace zabezpečení, podporovaný stav). | Útočníci používají známé chyby zabezpečení, které ještě nebyly opraveny jako vektory útoku. | |
| Nakonfigurujte Azure AD pro stávající vzdálený přístup tak, že vynucujete ověření uživatele nulové důvěryhodnosti a zařízení pomocí podmíněného přístupu. | Nulový vztah důvěryhodnosti poskytuje více úrovní zabezpečení přístupu k vaší organizaci. | |
| Nakonfigurujte zabezpečení pro stávající řešení VPN třetích stran (Cisco AnyConnect,Palo Alto Networks GlobalProtectCaptive Portal,Fortinet FortiGate SSL VPN,Citrix NetScaler,Zscaler Private Access (ZPA)a další). | Využijte integrované zabezpečení řešení vzdáleného přístupu. | |
| Nasaďte vpn Azure Point-to-Site (P2S) pro zajištění vzdáleného přístupu. | Využijte výhod integrace s Azure AD a stávajícími předplatnámi Azure. | |
| Publikujte místní webové aplikace pomocí Proxy aplikací Azure AD. | Aplikace publikované pomocí Proxy aplikací Azure AD nepo potřebují připojení ke vzdálenému přístupu. | |
| Zabezpečený přístup k prostředkům Azure pomocí Azure Bašta. | Bezpečně a bezproblémově se připojte k virtuálním počítačům Azure přes SSL. | |
| Auditujte a sledujte, jak najít a opravit odchylky od směrného plánu a potenciálních útoků (viz Zjišťování a odpověď). | Snižuje riziko aktivit ransomwaru, které testují základní funkce zabezpečení a nastavení. | |
E-mail a spolupráce
Implementujte osvědčené postupy pro e-mailová řešení a řešení pro spolupráci, aby bylo pro útočníky obtížnější je zneužít a zároveň umožnit vašim pracovníkům snadný a bezpečný přístup k externímu obsahu.
Útočníci často vstupují do prostředí přenosem škodlivého obsahu pomocí autorizovaných nástrojů pro spolupráci, jako je e-mail a sdílení souborů, a přesvědčují uživatele, aby ho spouštěly. Microsoft investoval do vylepšených zmírnění rizik, která výrazně zvyšují ochranu před těmito vektory útoku.
Účty členů programu a projektu
Tato tabulka popisuje celkovou ochranu vašich e-mailových řešení a řešení pro spolupráci před ransomwarem, pokud jde o hierarchii sponzoringu/řízení programů/řízení projektů, která určuje a řídí výsledky.
| Zájemce | Implementátor | Odpovědnost |
|---|---|---|
| CISO, CIO nebo Identity Director | Sponzorství pro vedoucí pracovníky | |
| Vedoucí programu z týmu Architektury zabezpečení | Řízení výsledků a spolupráce mezi týmy | |
| IT architekti | Stanovení priority integrace komponent do architektur | |
| Cloudová produktivita nebo tým koncových uživatelů | Povolení defenderu pro Office 365, ASR a AMSI | |
| Architektura zabezpečeníInfrastruktura + koncový bod | Pomoc s konfigurací | |
| Tým pro vzdělávání uživatelů | Pokyny k aktualizaci změn pracovního postupu | |
| Zásady a standardy zabezpečení | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování, aby bylo zajištěno dodržování předpisů | |
Kontrolní seznam implementace
Tyto osvědčené postupy použijte k ochraně e-mailů a řešení pro spolupráci před útočníky ransomwaru.
| Hotovo | Úkol | Popis |
|---|---|---|
| Povolte amsi pro Office VBA. | Pomocí Office koncových bodů, jako je Defender pro koncový bod, můžete rozpoznat útoky maker. | |
| Implementujte pokročilé zabezpečení e-mailu pomocí Defenderu Office 365 nebo podobného řešení. | E-mail je běžným vstupním bodem pro útočníky. | |
| Povolte pravidla snížení útoku (ASR) k blokování běžných technik útoku, mezi které patří: – Zneužití koncového bodu, jako je krádež přihlašovacích údajů, aktivita ransomwaru a podezřelé použití psexec a služby WMI. - Office aktivity v dokumentu, jako je pokročilá aktivita maker, spustitelný obsah, vytváření procesů a vkládání procesů iniciované Office aplikacemi. Poznámka: Nejdřív nasaďte tato pravidla v režimu auditování, potom zhodnoťte negativní dopad a pak je nasaďte v režimu blokování. |
Funkce ASR poskytuje další vrstvy ochrany, které jsou speciálně zaměřené na zmírnění běžných metod útoku. | |
| Auditujte a sledujte, jak najít a opravit odchylky od směrného plánu a potenciálních útoků (viz Zjišťování a odpověď). | Snižuje riziko aktivit ransomwaru, které testují základní funkce zabezpečení a nastavení. | |
Koncové body
Implementujte příslušné funkce zabezpečení a důsledně dodržujte osvědčené postupy údržby softwaru pro počítače a aplikace, upřednostňujte aplikace a serverové/klientské operační systémy přímo vystavené internetovému provozu a obsahu.
Internetové koncové body jsou běžným vstupním vektorem, který umožňuje útočníkům přístup k prostředkům organizace. Upřednostňujte blokování běžných operačních systémů a aplikací pomocí preventivních kontrol, abyste je zpomalili nebo zastavili v provádění dalších fází.
Účty členů programu a projektu
Tato tabulka popisuje celkovou ochranu vašich koncových bodů před ransomwarem, pokud jde o hierarchii sponzoringu/řízení programů/řízení projektů, která určuje a řídí výsledky.
| Zájemce | Implementátor | Odpovědnost |
|---|---|---|
| Vedení firmy je zohlednitelné pro obchodní dopad prostojů i poškození útokem. | Sponzorování vedoucích pracovníků (údržba) | |
| Centrální IT Operace nebo CIO | Sponzorství pro vedoucí pracovníky (ostatní) | |
| Program vede od centrálního týmu IT infrastruktury | Řízení výsledků a spolupráce mezi týmy | |
| ARCHITEKTI IT a ZABEZPEČENÍ | Stanovení priority integrace komponent do architektur | |
| Centrální IT Operace | Implementace změn prostředí | |
| Cloudová produktivita nebo tým koncových uživatelů | Povolení snížení povrchu útoku | |
| Vlastníci úloh a aplikací | Určení oken údržby pro změny | |
| Zásady a standardy zabezpečení | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování, aby bylo zajištěno dodržování předpisů | |
Kontrolní seznam implementace
Tyto doporučené postupy použijte pro všechny Windows, Linux, MacOS, Android, iOS a další koncové body.
| Hotovo | Úkol | Popis |
|---|---|---|
| Blokujte známé hrozby pomocí pravidel pro omezení povrchu útoku, ochranyproti neoprávněné manipulaci a blokování na prvním webu. | Nepou ít tyto integrované funkce zabezpečení je důvod, proč útočník do vaší organizace vnikl. | |
| Použití standardních hodnot zabezpečení k ztvrdování internetových Windows serverů a klientů a Office aplikací. | Chraňte svou organizaci s minimální úrovní zabezpečení a buildem odtud. | |
| Udržujte software tak, aby byl: - Aktualizováno: Rychlé nasazení důležitých aktualizací zabezpečení pro operační systémy, prohlížeče, & e-mailové klienty - Podporované: Upgradujte operační systémy a software pro verze podporované vašimi dodavateli. |
Útočníci spoléhají na to, že vám chybí nebo zanedbáváte aktualizace a upgrady od výrobce. | |
| Izolujte, zakažte nebo vyřazení nezabezpečených systémů a protokolů, včetně nepodporovaných operačních systémů a starších protokolů. | Útočníci používají známé chyby zabezpečení starších zařízení, systémů a protokolů jako vstupní body do vaší organizace. | |
| Blokujte neočekávaný provoz pomocí brány firewall založené na hostiteli a ochrany sítě. | Některé útoky malwaru na nevyžádané příchozí přenosy hostitelům odpoví jako způsob připojení k útoku. | |
| Auditujte a sledujte, jak najít a opravit odchylky od směrného plánu a potenciálních útoků (viz Zjišťování a odpověď). | Snižuje riziko aktivit ransomwaru, které testují základní funkce zabezpečení a nastavení. | |
Účty
Stejně jako antikvariátové klíče chrání dům před moderními lupičemi, hesla nemohou chránit účty před běžnými útoky, které dnes vidíme. I když vícefaktorové ověřování (MFA) bylo jednou zatěžující krok navíc, ověřování bez hesla zlepšuje přihlašování pomocí biometrických přístupů, které nevyžadují, aby si vaši uživatelé zapamatoval nebo zapisoval heslo. Infrastruktura Zero Trust navíc ukládá informace o důvěryhodných zařízeních, což snižuje výzvy k otravným akcím MFA mimo pásmo.
Od účtů s vysokými oprávněními správce důsledně dodržujte tyto doporučené postupy pro zabezpečení účtu, včetně použití bez hesla nebo MFA.
Účty členů programu a projektu
Tato tabulka popisuje celkovou ochranu vašich účtů před ransomwarem, pokud jde o hierarchii sponzoringu/řízení programů/řízení projektů, která určuje a řídí výsledky.
| Zájemce | Implementátor | Odpovědnost |
|---|---|---|
| CISO, CIO nebo Identity Director | Sponzorství pro vedoucí pracovníky | |
| Vedoucí programu z týmů identity a správy klíčů nebo architektury zabezpečení | Řízení výsledků a spolupráce mezi týmy | |
| ARCHITEKTI IT a ZABEZPEČENÍ | Stanovení priority integrace komponent do architektur | |
| Správa identit a klíčů nebo centrální operace IT | Implementace změn konfigurace | |
| Zásady a standardy zabezpečení | Aktualizace standardů a dokumentů zásad | |
| Správa dodržování předpisů zabezpečení | Monitorování, aby bylo zajištěno dodržování předpisů | |
| Tým pro vzdělávání uživatelů | Aktualizace hesla nebo přihlašovacích pokynů a provádění správy vzdělávání a změn | |
Kontrolní seznam implementace
Tyto osvědčené postupy použijte k ochraně účtů před útočníky ransomwaru.
| Hotovo | Úkol | Popis |
|---|---|---|
| Vynucovat silné MFA nebo bez hesla přihlášení pro všechny uživatele. Začněte s účty správce a prioritními účty pomocí jednoho nebo více z těchto účtů: - Bez hesla ověřování s Windows Hello nebo Microsoft Authenticator aplikace. - - - Řešení MFA od jiných výrobců |
Ztížte útočníkovi ohrožení zabezpečení přihlašovacích údajů. | |
| Zvýšení zabezpečení hesla: – U účtů Azure AD použijte Azure AD Password Protection ke zjišťování a blokování známých slabých hesel a dalších slabých termínů, které jsou specifické pro vaši organizaci. – Pro místní účty služba Active Directory Domain Services (služba AD DS) rozšířit ochranu heslem Azure AD na služba AD DS účty. |
Zajistěte, aby útočníci na základě názvu vaší organizace nezískaly běžná hesla nebo hesla. | |
| Auditujte a sledujte, jak najít a opravit odchylky od směrného plánu a potenciálních útoků (viz Zjišťování a odpověď). | Snižuje riziko aktivit ransomwaru, které testují základní funkce zabezpečení a nastavení. | |
Výsledky implementace a časové osy
Zkuste dosáhnout těchto výsledků do 30 dnů:
- 100 % zaměstnanců aktivně používá MFA
- 100% nasazení vyššího zabezpečení heslem
Další zdroje ransomwaru
Klíčové informace od Microsoftu:
- Rostoucí hrozba ransomwaru, příspěvek na blogu Microsoft On the Issues dne 20. července 2021
- Ransomwar provozovaný lidmi
- Rychle chránit před ransomwarem a vydíráním
- 2021 Microsoft Digital Defense Report (viz stránky 10–19)
- Ransomware: Na portálu Microsoft 365 Defender se nachází všudypřítomná a průběžná analýza hrozeb
- Přístup a osvědčené postupy ransomwaru DART od Microsoftu
Microsoft 365:
- Nasazení ochrany proti ransomwaru pro vašeho Microsoft 365 tenanta
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoft 365
- Obnovení z útoku ransomwaru
- Ochrana proti malwaru a ransomwaru
- Chraňte svůj Windows 10 počítač před ransomwarem
- Zpracování ransomwaru v SharePoint Online
- Sestavy analýzy hrozeb pro ransomwar na Microsoft 365 Defender portálu
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximalizace odolnosti ransomwaru pomocí Azure a Microsoft 365
- Zálohování a obnovení plánu na ochranu před ransomwarem
- Pomozte chránit před ransomwarem pomocí Microsoft Azure Backup (26minutové video)
- Obnovení ze systémového ohrožení identity
- Pokročilá detekce vícestupňových útoků v Microsoft Sentinelu
- Detekce fúze pro Ransomwar v Microsoft Sentinelu
Microsoft Defender pro cloudové aplikace:
Příspěvky na blogu týmu Microsoft Security:
Průvodce bojem proti ransomwaru provozované člověkem: část 1 (září 2021)
Klíčové kroky, jak tým microsoftu pro zjišťování a odpovědi (DART) provádí vyšetřování incidentů ransomwaru.
Průvodce bojem proti ransomwaru provozované člověkem: část 2 (září 2021)
Recommendations a osvědčené postupy.
Odolnost vůči kybernetickým rizikům: Část 4 – navigace v současných hrozbách (květen 2021)
Podívejte se na část Ransomware.
Útoky ransomwaru provozované lidmi: Katastrofa, které je možné předcházet (březen 2020)
Zahrnuje analýzy útokového řetězce skutečných útoků.
Norsk Hydro reaguje na útok ransomwaru transparentně (prosinec 2019)