Trin 5. Beskyt oplysninger

Da ransomware-hackere også vil se på dine data i det lokale miljø, der er placeret på fil, database og andre typer servere, er en af de bedste måder at beskytte disse data på at overføre dem til din Microsoft 365-lejer. Når den er der, kan den beskyttes af indbyggede afhjælpnings- og genoprettelsesfunktioner, f.eks . versionering, papirkurv og gendannelse af filer.

Sådan yder du yderligere beskyttelse af følsomme oplysninger i din Microsoft 365-lejer:

• Find dine følsomme oplysninger.
• Implementer strenge tilladelser, og fjern bred adgang (undgå f.eks., at for mange brugere har skrive-, redigerings- og slettefunktioner).
• Beskyt dine følsomme oplysninger.

Bemærk!

Hvis du vil have en detaljeret udrulningsvejledning til beskyttelse af oplysninger i en Microsoft 365-lejer, skal du se Udrul regler for beskyttelse af personlige oplysninger. Selvom det er beregnet til regler for beskyttelse af personlige oplysninger, gælder meget af vejledningen også for ransomware-beskyttelse.

Find dine følsomme oplysninger

Den første opgave er at identificere typerne og placeringen af følsomme oplysninger i din lejer, som kan omfatte følgende typer:

• Følsomme
• Ejendomsret eller intellektuel ejendom
• Regulerede, sådanne regionale regler, der angiver beskyttelse af personlige identificerende oplysninger (PII)
• Planer for it-genoprettelse

For hver type følsomme oplysninger skal du bestemme følgende:

• Brugen af oplysningerne til din organisation

• En relativ måling af dens pengeværdi, hvis den blev holdt som løsesum (f.eks. høj, mellem, lav)

• Dens aktuelle placering, f.eks. en OneDrive- eller SharePoint-mappe eller et samarbejdssted, f.eks. et Microsoft Teams-team

• De aktuelle tilladelser, der består af:

  • De brugerkonti, der har adgang

  • De handlinger, der er tilladt for hver konto, der har adgang

Implementer strenge tilladelser for placeringer med følsomme oplysninger

Implementering af strenge tilladelser i din Microsoft 365-lejer bruger princippet om færrest rettigheder for placeringer og kommunikationssteder, som i Microsoft 365 typisk er OneDrive-mapper, SharePoint-websteder og -mapper samt teams.

Selvom det er nemmere at oprette fillagringsplaceringer eller teams med bred adgang (f.eks. standarden for alle i din organisation), skal de tilladte brugerkonti og de tilladte handlinger være begrænset til det minimum, der kræves for at opfylde kravene til samarbejde og forretning.

Når en ransomware-hacker har infiltreret din lejer, forsøger de at eskalere deres rettigheder ved at kompromittere legitimationsoplysningerne for brugerkonti med bredere omfang af tilladelser på tværs af din lejer, f.eks. administratorrollekonti eller brugerkonti, der har adgang til følsomme oplysninger.

Baseret på denne typiske adfærd for hackere er der to niveauer af vanskeligheder for angriberen:

• Lav: En hacker kan bruge en konto med lav tilladelse og finde dine følsomme oplysninger på grund af bred adgang i hele din lejer.
• Højere: En hacker kan ikke bruge en konto med lav tilladelse og finde dine følsomme oplysninger på grund af strenge tilladelser. De skal eskalere deres tilladelser ved at bestemme og derefter kompromittere legitimationsoplysningerne for en konto, der har adgang til en placering med følsomme oplysninger, men som derefter kun kan udføre et begrænset sæt handlinger.

Hvis du vil have følsomme oplysninger, skal du gøre det så svært som muligt.

Du kan sikre strenge tilladelser i din lejer ved hjælp af disse trin:

1. Gennemse tilladelserne til placering af følsomme oplysninger, så du kan finde dine følsomme oplysninger.
2. Implementer strenge tilladelser til de følsomme oplysninger, mens du opfylder samarbejds- og forretningskrav, og informér de brugere, der berøres.
3. Udfør ændringsstyring for dine brugere, så fremtidige placeringer for følsomme oplysninger oprettes og vedligeholdes med strenge tilladelser.
4. Overvåg og overvåg placeringerne for følsomme oplysninger for at sikre, at der ikke gives brede tilladelser.

Se Konfigurer sikker fildeling og samarbejde med Microsoft Teams for at få en detaljeret vejledning. Et eksempel på et kommunikations- og samarbejdssted med strenge tilladelser til følsomme oplysninger er et team med sikkerhedsisolering.

Beskyt dine følsomme oplysninger

For at beskytte dine følsomme oplysninger, hvis en ransomware-hacker får adgang til dem:

• Brug kontrolleret mappeadgang for at gøre det vanskeligere for uautoriserede programmer at ændre dataene i kontrollerede mapper.

• Brug Microsoft Purview Information Protection og følsomhedsmærkater, og anvend dem på følsomme oplysninger. Følsomhedsmærkater kan konfigureres til yderligere kryptering og tilladelser med definerede brugerkonti og tilladte handlinger. En fil, der er mærket med denne type følsomhedsmærkat, som eksfiltreres fra din lejer, kan kun bruges til en brugerkonto, der er defineret i mærkaten.

• Brug Microsoft Purview DLP (Forebyggelse af datatab) til at registrere, advare og blokere risikable, utilsigtede eller upassende deling af data, der indeholder personlige eller fortrolige oplysninger baseret på følsomhedsmærkater, både internt og eksternt.

• Brug Microsoft Defender for Cloud Apps til at blokere downloads af følsomme oplysninger, f.eks. filer. Du kan også bruge politikker for registrering af uregelmæssigheder i Defender for Cloud Apps til at registrere et højt antal aktiviteter for filuploads eller filsletning.

Indvirkning på brugere og ændringsstyring

Administrative ændringer af brede tilladelser kan medføre, at brugere nægtes adgang, eller at nogle handlinger ikke kan udføres.

For at beskytte følsomme oplysninger i din Microsoft 365-lejer skal du desuden oplære dine brugere til at:

• Opret kommunikations- og samarbejdssteder med strenge tilladelser (minimumsættet af brugerkonti til adgang og de mindst tilladte handlinger for hver konto).
• Anvend de korrekte følsomhedsmærkater på følsomme oplysninger.
• Brug kontrolleret mappeadgang.

Resulterende konfiguration

Her er ransomware-beskyttelse for din lejer til trin 1-5.

Yderligere ransomware-ressourcer

Nøgleoplysninger fra Microsoft:

• Den voksende trussel om ransomware, Microsoft On the Issues blogindlæg den 20. juli 2021
• Menneskedrevet ransomware
• Udrul ransomware-forebyggelse hurtigt
• 2021 Microsoft-rapport over digitalt forsvar (se side 10-19)
• Ransomware: En gennemtrængende og løbende rapport over trusselsanalyser på Microsoft Defender-portalen
• Microsofts DART(Detection and Response Team) ransomware-tilgang og bedste praksis og casestudie

Microsoft 365:

• Maksimer ransomware robusthed med Azure og Microsoft 365
• Playbooks om ransomware-hændelsessvar
• Beskyttelse mod malware og ransomware
• Beskyt din Windows 10 pc mod ransomware
• Håndtering af ransomware i SharePoint Online
• Trusselsanalyserapporter for ransomware på Microsoft Defender-portalen

Microsoft Defender XDR:

• Find ransomware med avanceret jagt

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maksimer ransomware robusthed med Azure og Microsoft 365
• Sikkerhedskopierings- og gendannelsesplan for beskyttelse mod ransomware
• Hjælp med at beskytte mod ransomware med Microsoft Azure Backup (26-minutters video)
• Gendannelse efter kompromitteret systemisk identitet
• Avanceret registrering af angreb i fleretages i Microsoft Sentinel
• Fusion Detection for Ransomware i Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Opret politikker for registrering af uregelmæssigheder i Defender for Cloud Apps

Blogindlæg om Microsoft Security-teamet:

• 3 trin til at forhindre og komme sig efter ransomware (september 2021)

• En guide til bekæmpelse af menneskeligt drevet ransomware: Del 1 (september 2021)

  Vigtige trin til, hvordan Microsofts detection and Response Team (DART) udfører ransomware-hændelsesundersøgelser.

• En guide til bekæmpelse af menneskeligt drevet ransomware: Del 2 (september 2021)

  Anbefalinger og bedste praksis.

• At blive modstandsdygtig ved at forstå cybersikkerhedsrisici: Del 4 – navigering i aktuelle trusler (maj 2021)

  Se afsnittet Ransomware .

• Menneskedrevne ransomware-angreb: En forebyggelig katastrofe (marts 2020)

  Indeholder analyser af angrebskæder af faktiske angreb.

• Ransomware-svar – at betale eller ikke at betale? (december 2019)

• Norsk Hydro reagerer på ransomware-angreb med gennemsigtighed (december 2019)