Backup és visszaállítási terv a zsarolóprogramok elleni védelem érdekében

A zsarolóprogramok szándékosan titkosítják vagy törlik az adatokat és rendszereket, hogy a szervezet pénzt fizessen a támadóknak. Ezek a támadások a támadók fizetése nélkül történő helyreállításhoz szükséges adatokra, biztonsági másolatokra és kulcsfontosságú dokumentációkra irányulnak (ami növeli a szervezet fizetési esélyét).

Ez a cikk azt ismerteti, hogy mit kell tennie a kritikus fontosságú üzleti rendszerek védelme érdekében végrehajtott támadás előtt, illetve egy támadás során az üzleti műveletek gyors helyreállításának biztosítása érdekében.

Megjegyzés

A zsarolóprogramokra való felkészülés emellett javítja a természeti katasztrófák és a gyors támadások, például a WannaCry&(Nem)Petya elleni ellenálló képességet.

Mi az a zsarolóprogram?

A zsarolóprogramok olyan zsarolási támadások, amelyek titkosítják a fájlokat és mappákat, megakadályozva a fontos adatokhoz és rendszerekhez való hozzáférést. A támadók zsarolóprogramokkal pénzt követelnek az áldozatoktól, általában kriptovaluták formájában, visszafejtési kulcsért cserébe, vagy azért cserébe, hogy nem adnak ki bizalmas adatokat a sötét webe vagy a nyilvános internetre.

Míg a korai zsarolóprogramok többnyire adathalászattal vagy eszközök között terjedő kártevőket használtak, az emberi üzemeltetésű zsarolóprogramok olyan helyen jelentek meg, ahol az emberi támadási operátorok által vezetett aktív támadókból álló banda egy szervezet összes rendszerét célozza (nem egyetlen eszközt vagy eszközkészletet). A támadás a következő lehet:

  • Adatok titkosítása
  • Adatok kiszivárgása
  • A biztonsági másolatok sérültek

A zsarolóvírusok a támadók általános rendszer- és biztonsági konfigurációs és biztonsági résekkel kapcsolatos tudását használják a szervezetbe való beszivárgáshoz, a vállalati hálózatban való navigáláshoz, valamint a környezethez és gyengeségeihez való alkalmazkodáshoz.

A zsarolóprogramokat úgy lehet előkészítetten végrehajtani, hogy az adatokat először, több hét vagy hónap alatt kiszűrjük, mielőtt a zsarolóprogram ténylegesen végrehajtja egy adott napon.

A zsarolóprogramok is lassan titkosíthatják az adatokat, miközben a kulcsot a rendszeren tartják. Ha a kulcs továbbra is elérhető, az adatok felhasználhatók Önnek, és a zsarolóprogramok észrevétlenek lesznek. A biztonsági másolatok azonban a titkosított adatokról vannak. Miután az összes adat titkosítva lett, és a legutóbbi biztonsági másolatok is titkosított adatokból állnak, a rendszer eltávolítja a kulcsot, hogy többé ne tudja olvasni az adatokat.

A valódi kár gyakran akkor fordul elő, ha a támadás fájlokat szivárgást okoz, miközben hátrahagyja a hálózatot a jövőbeli rosszindulatú tevékenységek miatt – és ezek a kockázatok továbbra is fennállnak, függetlenül attól, hogy kifizetik-e a váltságdíjat. Ezek a támadások katasztrofálisak lehetnek az üzleti műveletek számára, és nehezen tisztíthatók meg, és teljes támadói kizárást igényelnek a jövőbeli támadások elleni védelem érdekében. Ellentétben a zsarolóvírusok korai formáival, amelyek csak kártevő-szervizelést igényelnek, az ember által üzemeltetett zsarolóprogramok továbbra is veszélyeztethetik üzleti műveleteit a kezdeti találkozás után.

Támadás hatása

A zsarolóvírusok bármilyen szervezetre gyakorolt hatását nehéz pontosan számszerűsíteni. A támadás hatókörétől függően a hatás a következők lehetnek:

  • Adathozzáférés elvesztése
  • Üzleti műveletek megszakítása
  • Pénzügyi veszteség
  • Szellemi tulajdon eltulajdonítása
  • Sérült ügyfélmegbízhatóság vagy kifáradt hírnév
  • Jogi költségek

Hogyan védheti meg magát?

A zsarolóvírusok áldozatává vált támadások megelőzésének legjobb módja, ha megelőző intézkedéseket vezet be, és olyan eszközökkel rendelkezik, amelyek megvédik a szervezetet minden olyan lépéstől, amelyet a támadók megtesznek a rendszerek beszivárgásához.

A szervezet felhőszolgáltatásba való áthelyezésével csökkentheti a helyszíni kitettséget. A Microsoft olyan natív biztonsági képességeket fektetett be, amelyek Microsoft Azure ellenállóvá teszik a zsarolóprogramokkal szembeni támadásokat, és segítenek a szervezeteknek legyőzni a zsarolóvírusok támadási technikáit. A zsarolóprogramok és zsarolóprogramok átfogó megtekintéséhez és a szervezet védelmének módjához használja az emberi üzemeltetésű zsarolóvírusok elleni védelem Project terv PowerPoint bemutatójában található információkat.

Azt kell feltételeznie, hogy egy adott időpontban zsarolóprogram-támadás áldozatává válik. Az adatok védelme és a váltságdíj fizetésének elkerülése érdekében az egyik legfontosabb lépés, ha megbízható biztonsági mentési és visszaállítási tervet készít az üzleti szempontból kritikus fontosságú információkhoz. Mivel a zsarolóprogram-támadók nagy mértékben fektettek a biztonsági mentési alkalmazások és az operációs rendszer olyan funkcióinak semlegesítésére, mint a kötet árnyékmásolata, kritikus fontosságú, hogy a biztonsági másolatok elérhetetlenek legyenek a rosszindulatú támadók számára.

Azure Backup

Azure Backup biztonságot nyújt a biztonsági mentési környezetnek, mind az adatok átvitele közben, mind inaktív állapotban. A Azure Backup a következő biztonsági mentéseket végezheti el:

  • Helyszíni fájlok, mappák és rendszerállapot
  • Teljes Windows/Linux rendszerű virtuális gépek
  • Azure Managed Disks
  • Azure-fájlmegosztások tárfiókba
  • Azure-beli virtuális gépeken futó adatbázisok SQL Server

A biztonsági mentési adatokat az Azure Storage tárolja, és a vendég vagy a támadó nem rendelkezik közvetlen hozzáféréssel a biztonsági mentési tárhoz vagy annak tartalmához. A virtuális gépek biztonsági mentésével a biztonsági mentés pillanatképének létrehozását és tárolását az Azure Fabric végzi, ahol a vendégnek vagy a támadónak nincs más szerepe, mint az alkalmazáskonzisztens biztonsági mentések számítási feladatának leválasztása. Az SQL és a SAP HANA esetén a biztonsági mentési bővítmény ideiglenes hozzáférést kap az adott blobokhoz való íráshoz. Ily módon még a feltört környezetben sem lehet módosítani vagy törölni a támadó a meglévő biztonsági másolatokat.

Azure Backup beépített figyelési és riasztási képességeket biztosít a Azure Backup kapcsolatos események műveleteinek megtekintéséhez és konfigurálásához. Backup jelentések egyablakos célként szolgálnak a használat nyomon követéséhez, a biztonsági mentések és visszaállítások naplózásához, valamint a különböző részletességi szintek kulcsfontosságú trendjeinek azonosításához. A Azure Backup monitorozási és jelentéskészítési eszközeinek használatával azonnal riasztást kaphat a jogosulatlan, gyanús vagy rosszindulatú tevékenységekről.

Az ellenőrzésekkel meggyőződhet arról, hogy csak érvényes felhasználók hajthatnak végre különböző műveleteket. Ezek közé tartozik egy további hitelesítési réteg hozzáadása. A kritikus műveletekhez szükséges további hitelesítési réteg hozzáadása részeként a rendszer arra kéri, hogy az online biztonsági mentések módosítása előtt adjon meg egy biztonsági PIN-kódot.

További információ a Azure Backup beépített biztonsági funkcióiról.

Biztonsági másolatok ellenőrzése

Ellenőrizze, hogy a biztonsági mentés megfelelő-e a biztonsági mentés létrehozásakor és a visszaállítás előtt. Javasoljuk, hogy egy Recovery Services-tárolót használjon, amely egy azure-beli tárolóentitás, amely adatokat tárol. Az adatok általában az adatok másolatai, vagy a virtuális gépek (VM-ek), számítási feladatok, kiszolgálók vagy munkaállomások konfigurációs információi. A Recovery Services-tárolókkal biztonsági mentési adatokat tárolhat különböző Azure-szolgáltatásokhoz, például IaaS virtuális gépekhez (Linux vagy Windows), Azure SQL adatbázisokhoz és helyszíni eszközökhöz. A Recovery Services-tárolók megkönnyítik a biztonsági mentési adatok rendszerezését, és olyan funkciókat biztosítanak, mint:

  • Továbbfejlesztett képességek, amelyek biztosítják a biztonsági másolatok védelmét és az adatok biztonságos helyreállítását, még akkor is, ha az éles és biztonsági mentési kiszolgálók biztonsága sérül. További információ.
  • A hibrid informatikai környezet (Azure IaaS virtuális gépek és helyszíni eszközök) monitorozása egy központi portálról. További információ.
  • Kompatibilitás az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC), amely korlátozza a biztonsági mentési és visszaállítási hozzáférést a felhasználói szerepkörök meghatározott készletére. Az Azure RBAC különböző beépített szerepköröket biztosít, és Azure Backup három beépített szerepkört tartalmaz a helyreállítási pontok kezeléséhez. További információ.
  • Helyreállítható törlés elleni védelem, még akkor is, ha egy rosszindulatú szereplő töröl egy biztonsági másolatot (vagy véletlenül törli a biztonsági mentési adatokat). Backup adatok további 14 napig maradnak meg, így adatvesztés nélkül helyreállíthatók a biztonsági mentési elemek. További információ.
  • Régiók közötti visszaállítás, amely lehetővé teszi az Azure-beli virtuális gépek visszaállítását egy másodlagos régióban, amely egy Azure-beli párosított régió. A replikált adatokat bármikor visszaállíthatja a másodlagos régióban. Ez lehetővé teszi, hogy visszaállítsa a másodlagos régió adatait a naplózási megfelelőséghez és a kimaradási forgatókönyvek során anélkül, hogy az Azure-ra várna, hogy vészhelyzetet deklaráljon (ellentétben a tároló GRS-beállításaival). További információ.

Megjegyzés

A Azure Backup kétféle tárolótípus létezik. A Recovery Services-tárolók mellett Backup tárolók is találhatók, amelyek a Azure Backup által támogatott újabb számítási feladatok adatait is tárolni képesek.

Mi a teendő a támadás előtt?

Ahogy korábban említettük, feltételezzük, hogy valamikor egy zsarolóprogram-támadás áldozatává válik. Az üzletileg kritikus rendszerek azonosítása és az ajánlott eljárások alkalmazása a támadás előtt a lehető leggyorsabban biztonsági mentést és futtatást tesz lehetővé.

Annak meghatározása, hogy mi a legfontosabb Önnek

A zsarolóprogramok támadást végezhetnek, miközben támadást tervez, így az első prioritás az, hogy azonosítsa azokat az üzletileg kritikus rendszereket, amelyek a legfontosabbak Önnek, és rendszeres biztonsági mentéseket végezzenek ezeken a rendszereken.

Tapasztalataink szerint az ügyfeleknek nyújtott öt legfontosabb alkalmazás a következő kategóriákba sorolható ebben a prioritási sorrendben:

  • Identitásrendszerek – a felhasználók számára szükséges minden olyan rendszerhez (beleértve az alább ismertetetteket is), mint az Active Directory, Azure AD Csatlakozás, AD-tartományvezérlők
  • Emberi élet – bármely olyan rendszer, amely támogatja az emberi életet, vagy veszélyeztetheti azt, például orvosi vagy élettámogatási rendszerek, biztonsági rendszerek (mentők, diszpécserrendszerek, közlekedési lámpák szabályozása), nagy gépek, kémiai/biológiai rendszerek, élelmiszer- vagy személyes termékek előállítása és mások
  • Pénzügyi rendszerek – pénzügyi tranzakciók feldolgozására és az üzleti működés fenntartására szolgáló rendszerek, például fizetési rendszerek és kapcsolódó adatbázisok, pénzügyi rendszer a negyedéves jelentéskészítéshez
  • Termék vagy szolgáltatás engedélyezése – minden olyan rendszer, amely szükséges az üzleti szolgáltatások nyújtásához vagy az ügyfelek által fizetett fizikai termékek előállításához/szállításához, a gyári vezérlőrendszerekhez, a termékkézbesítési/kézbesítő rendszerekhez és hasonlókhoz
  • Biztonság (minimum) – A támadások monitorozásához és a minimális biztonsági szolgáltatások biztosításához szükséges biztonsági rendszereket is előnyben kell részesítenie. Ennek arra kell összpontosítania, hogy a jelenlegi (vagy könnyen opportunista) támadások ne tudjanak azonnal hozzáférést szerezni (vagy visszanyerni) a visszaállított rendszerekhez

A rangsorban szereplő biztonsági mentési lista szintén a rangsorban szereplő visszaállítási listává válik. Miután azonosította a kritikus rendszereket, és rendszeres biztonsági mentéseket végez, lépéseket kell tennie az expozíció szintjének csökkentése érdekében.

A támadás előtti lépések

Alkalmazza ezeket az ajánlott eljárásokat a támadás előtt.

Feladat Részletek
Azonosítsa azokat a fontos rendszereket, amelyeket először online állapotba kell állítania (a fenti öt kategóriát használva), és azonnal megkezdheti ezeknek a rendszereknek a rendszeres biztonsági mentését. Ha egy támadás után a lehető leggyorsabban szeretne biztonsági mentést készíteni és futni, határozza meg, hogy mi a legfontosabb Önnek.
A szervezet migrálása a felhőbe.

Fontolja meg egy Microsoft Egyesített támogatás csomag megvásárlását, vagy egy Microsoft-partnerrel együttműködve támogassa a felhőbe való áttérést.
Az adatok felhőszolgáltatásokba való automatikus biztonsági mentéssel és önkiszolgáló visszaállítással történő áthelyezésével csökkentheti a helyszíni kitettséget. Microsoft Azure számos olyan eszközkészlettel rendelkezik, amelyek segítenek az üzleti szempontból kritikus fontosságú rendszerek biztonsági mentésében és a biztonsági másolatok gyorsabb visszaállításában.

Microsoft Egyesített támogatás egy felhőszolgáltatások támogatási modellje, amely segít önnek, amikor szüksége van rá. Egyesített támogatás:

Egy kijelölt csapatot biztosít, amely 24x7-es skálán érhető el a szükséges problémamegoldással és a kritikus incidensek eszkalálásával

Segít az informatikai környezet állapotának monitorozásában, és proaktívan dolgozik annak érdekében, hogy a problémák megelőzhetők legyenek azok bekövetkezése előtt
A verziószámozási és lomtárfunkciók kihasználásához helyezze át a felhasználói adatokat a felhőalapú megoldásokba, például a OneDrive és a SharePoint.

Tájékoztassa a felhasználókat a fájlok önálló helyreállításáról a késések és a helyreállítási költségek csökkentése érdekében. Ha például egy felhasználó OneDrive fájljait kártevők fertőzték meg, visszaállíthatja a teljes OneDrive egy korábbi időpontra.

Mielőtt lehetővé tenné a felhasználóknak a saját fájljaik visszaállítását, fontolja meg egy védelmi stratégiát, például a Microsoft 365 Defender.
A Microsoft-felhőben tárolt felhasználói adatok beépített biztonsági és adatkezelési funkciókkal védhetők.

Jó, ha megtanítja a felhasználóknak, hogyan állíthatják vissza a saját fájljaikat, de óvatosnak kell lennie, hogy a felhasználók ne állítják vissza a támadás végrehajtásához használt kártevőket. Az alábbiakat kell elvégeznie:

Győződjön meg arról, hogy a felhasználók nem állítják vissza a fájljaikat, amíg nem biztos abban, hogy a támadót kizárták

Megoldásra van lehetőség abban az esetben, ha a felhasználó visszaállítja a kártevők egy részét

Microsoft 365 Defender mesterséges intelligencián alapuló automatikus műveleteket és forgatókönyveket használ az érintett objektumok biztonságos állapotba való visszaállításához. Microsoft 365 Defender a csomagtermékek automatikus szervizelési képességeit kihasználva biztosítja, hogy az incidenshez kapcsolódó összes érintett eszköz automatikusan szervizelhető legyen, ahol csak lehetséges.
Az Azure Security Benchmark implementálása. Az Azure Security Benchmark az Azure saját biztonsági vezérlési keretrendszere, amely olyan iparági alapú biztonsági vezérlési keretrendszereken alapul, mint az NIST SP800-53, a CIS Controls v7.1. Útmutatást nyújt a szervezeteknek az Azure- és az Azure-szolgáltatások konfigurálásához és a biztonsági vezérlők implementálásához. Lásd: Backup és helyreállítás.
Rendszeresen gyakorolja üzletmenet-folytonossági/vészhelyreállítási (BC/DR) tervét.

Incidensmegoldási forgatókönyvek szimulálása. A támadásra való felkészülés során végrehajtott gyakorlatokat a rangsorban szereplő biztonsági mentési és visszaállítási listák köré kell megtervezni és végrehajtani.

Rendszeresen tesztelje a "Helyreállítás nulláról" forgatókönyvet annak biztosítása érdekében, hogy a BC/DR gyorsan online állapotba hozza a kritikus üzleti műveleteket a nulla funkcionalitásból (minden rendszer leáll).
Biztosítja az üzleti műveletek gyors helyreállítását egy olyan zsarolóprogram vagy zsaroló támadás kezelésével, amely ugyanolyan fontos, mint egy természeti katasztrófa.

Gyakorolja a csapatközi folyamatok és technikai eljárások ellenőrzését, beleértve a sávon kívüli alkalmazottak és az ügyfelek kommunikációját (feltételezve, hogy az összes e-mail és csevegés leállt).
Érdemes lehet létrehozni egy kockázatregisztrációs nyilvántartást, amely azonosítja a lehetséges kockázatokat, és a megelőzési vezérlők és műveletek segítségével kezeli a közvetítés módját. Adjon hozzá zsarolóprogramokat a kockázatregisztráláshoz nagy valószínűséggel és nagy hatású forgatókönyvként. A kockázatregisztráló segítségével rangsorolhatja a kockázatokat a kockázat bekövetkezésének valószínűsége és a kockázat bekövetkezése esetén a vállalkozásra vonatkozó súlyosság alapján.

A kockázatcsökkentés állapotának nyomon követése a vállalati kockázatkezelés (ERM) értékelési ciklusán keresztül.
Backup minden kritikus üzleti rendszer automatikusan rendszeres ütemezés szerint (beleértve a kritikus függőségek, például az Active Directory biztonsági mentését is).

Ellenőrizze, hogy a biztonsági mentés megfelelő-e a biztonsági mentés létrehozásakor.
Lehetővé teszi az adatok helyreállítását az utolsó biztonsági mentésig.
Védje (vagy nyomtassa ki) a helyreállításhoz szükséges dokumentumokat és rendszereket, például a visszaállítási eljárás dokumentumait, a CMDB-t, a hálózati diagramokat és a SolarWinds-példányokat. A támadók szándékosan megcélzták ezeket az erőforrásokat, mert ez hatással van a helyreállításra.
Győződjön meg arról, hogy rendelkezik jól dokumentált eljárásokkal bármely külső támogatáshoz, különösen a fenyegetésfelderítési szolgáltatóktól, a kártevőirtó megoldásszolgáltatóktól és a kártevő-elemzési szolgáltatótól származó támogatáshoz. Az eljárások védelme (vagy nyomtatása). A külső partnerek akkor lehetnek hasznosak, ha az adott zsarolóprogram-változat ismert gyengeségekkel vagy visszafejtési eszközökkel rendelkezik.
Győződjön meg arról, hogy a biztonsági mentési és helyreállítási stratégia a következőket tartalmazza:

Adatok biztonsági mentése adott időpontra.

A biztonsági másolatok több példányát elkülönített, offline (légi hozzáférésű) helyeken tárolja a rendszer.

Helyreállítási időcélok, amelyek meghatározzák, hogy milyen gyorsan kérhetők le és helyezhetők el a biztonsági mentési adatok az éles környezetben.

A biztonsági mentés gyors visszaállítása éles környezetbe/tesztkörnyezetbe.
A biztonsági másolatok elengedhetetlenek a szervezet sérülése utáni rugalmassághoz. A maximális védelem és rendelkezésre állás érdekében alkalmazza a 3-2-1 szabályt: 3 példány (eredeti + 2 biztonsági másolat), 2 tárolási típus és 1 külső vagy ritka elérésű példány.
A biztonsági másolatok szándékos törléssel és titkosítással szembeni védelme:

A biztonsági másolatokat offline vagy külső tárolóban és/vagy nem módosítható tárolóban tárolhatja.

Az online biztonsági mentés módosításának vagy törlésének engedélyezése előtt sávon kívüli lépések (például MFA vagy biztonsági PIN-kód) megkövetelése.

Hozzon létre privát végpontokat az Azure-beli virtuális hálózaton az adatok biztonságos biztonsági mentéséhez és helyreállításához a Recovery Services-tárolóból.
A támadók által elérhető biztonsági másolatok nem használhatók az üzleti helyreállításhoz.

Az offline tárolás hálózati sávszélesség használata nélkül biztosítja a biztonsági mentési adatok robusztus átvitelét. Azure Backup támogatja az offline biztonsági mentést, amely a kezdeti biztonsági mentési adatokat offline, hálózati sávszélesség használata nélkül továbbítja. Lehetővé teszi a biztonsági mentési adatok fizikai tárolóeszközökre történő másolását. Az eszközöket ezután egy közeli Azure-adatközpontba szállítják, és feltöltik egy Recovery Services-tárolóba.

Az online nem módosítható tároló (például az Azure Blob) lehetővé teszi az üzleti szempontból kritikus fontosságú adatobjektumok WORM (Egyszer írás, Több olvasása) állapotban történő tárolását. Ez az állapot a felhasználó által megadott időközönként nem törölhetővé és nem módosíthatóvá teszi az adatokat.

A többtényezős hitelesítésnek (MFA) kötelezőnek kell lennie minden rendszergazdai fiókhoz, és minden felhasználó számára erősen ajánlott. Az előnyben részesített módszer egy hitelesítő alkalmazás használata SMS vagy hang helyett, ahol csak lehetséges. A Azure Backup beállításakor konfigurálhatja a helyreállítási szolgáltatásokat úgy, hogy engedélyezze az MFA-t a Azure Portal létrehozott biztonsági PIN-kód használatával. Ez biztosítja, hogy a rendszer biztonsági pin-kódot hozzon létre olyan kritikus műveletek végrehajtásához, mint a helyreállítási pont frissítése vagy eltávolítása.
Jelöljön ki védett mappákat. Megnehezíti a jogosulatlan alkalmazások számára az ezekben a mappákban lévő adatok módosítását.
Tekintse át az engedélyeket:

Széles körű írási/törlési engedélyeket fedezhet fel a fájlmegosztásokhoz, SharePoint és egyéb megoldásokhoz. A széles körű definíció szerint sok felhasználó rendelkezik írási/törlési engedéllyel az üzleti szempontból kritikus fontosságú adatokhoz.

Csökkentse a széles körű engedélyeket, miközben megfelel az üzleti együttműködési követelményeknek.

Naplózás és figyelés annak érdekében, hogy a széles körű engedélyek ne jelennek meg újra.
Csökkenti a széles körű hozzáférést lehetővé tevő zsarolóprogramok kockázatait.
Védelem adathalászati kísérlet ellen:

Rendszeresen végezzen biztonsági tudatossági képzést, amely segít a felhasználóknak azonosítani az adathalászati kísérleteket, és elkerülni, hogy olyan dolgokra kattintanak, amelyek kezdeti belépési pontot hozhatnak létre a biztonság sérüléséhez.

Alkalmazza a biztonsági szűrési vezérlőket az e-mailekre, hogy észlelje és minimalizálja a sikeres adathalászati kísérletek valószínűségét.
A támadók által a szervezetbe való beszivárgás leggyakoribb módszere az e-mailen keresztüli adathalászati kísérletek. A Exchange Online Védelmi szolgáltatás (EOP) egy felhőalapú szűrőszolgáltatás, amely megvédi a szervezetet a levélszemét, a kártevők és az egyéb e-mail-fenyegetések ellen. Az EOP az Exchange Online postaládákkal rendelkező összes Microsoft 365 szervezet részét képezi.

Az e-mailek biztonsági szűrésének vezérlője például a hivatkozások Széf. Széf A hivatkozások a Office 365-höz készült Defender egyik funkciója, amely az e-mailek bejövő e-mailjeinek URL-vizsgálatát és újraírását, valamint az URL-címek és az e-mailekben és más helyeken található hivatkozások kattintásra történő ellenőrzését biztosítja. Széf A hivatkozások vizsgálata az EOP-ban a bejövő e-mailekben a szokásos levélszemét- és kártevőirtó védelem mellett történik. Széf A hivatkozások vizsgálata segíthet megvédeni a szervezetet az adathalászatban és más támadásokban használt rosszindulatú hivatkozásoktól.

További információ az adathalászat elleni védelemről.

Mi a teendő a támadás során?

Ha támadás éri, a rangsorban szereplő biztonsági mentési lista lesz a rangsorban szereplő visszaállítási lista. A visszaállítás előtt ellenőrizze újra, hogy a biztonsági mentés megfelelő-e. Lehetséges, hogy a biztonsági másolatban kártevőket is kereshet.

A támadás során követendő lépések

Alkalmazza ezeket az ajánlott eljárásokat egy támadás során.

Feladat Részletek
A támadás korai szakaszában vegye fel a kapcsolatot külső fél támogatásával, különösen a fenyegetésfelderítési szolgáltatók, a kártevőirtó-megoldásszolgáltatók és a kártevő-elemző szolgáltató támogatásával. Ezek a kapcsolatok akkor lehetnek hasznosak, ha az adott zsarolóprogram-változat ismert gyengeségekkel vagy visszafejtési eszközökkel rendelkezik.

A Microsoft észlelési és reagálási csapata (DART) globálisan kapcsolatba lép az ügyfelekkel a kockázatok azonosítása, valamint reaktív incidensmegoldási és proaktív biztonsági vizsgálati szolgáltatások biztosítása érdekében. A DART segít ügyfeleinknek kezelni a kiberkockázatot, különösen a mai dinamikus fenyegetési környezetben.

A Microsoft Rapid Ransomware Recovery-szolgáltatásokat is nyújt. A szolgáltatásokat kizárólag a Microsoft globális kompromisszumos helyreállítási biztonsági gyakorlata (CRSP) biztosítja. Ennek a csapatnak a fókusza a zsarolóprogramok támadása során a hitelesítési szolgáltatás visszaállítása és a zsarolóprogramok hatásának korlátozása.

A DART és a CRSP a Microsoft Industry Solutions Delivery biztonsági szolgáltatásának része.
Lépjen kapcsolatba a helyi vagy a szövetségi rendvédelmi szervekkel. Ha a Egyesült Államok, lépjen kapcsolatba az FBI-jal, és jelentse be a zsarolóvírusok megsértését az IC3 panasztételi űrlap használatával.
Lépéseket kell tennie a kártevők vagy zsarolóprogramok hasznos adatainak a környezetből való eltávolításához és a terjedésének leállításához.

Futtasson teljes, aktuális víruskeresést az összes gyanús számítógépen és eszközön a zsarolóprogramhoz kapcsolódó hasznos adatok észleléséhez és eltávolításához.

Az adatokat szinkronizáló eszközök vagy a leképezett hálózati meghajtók céljainak vizsgálata.
Használhatja Windows Defender vagy (régebbi ügyfelek esetén) a Microsoft Security Essentialst.

A zsarolóvírusok vagy kártevők eltávolításában is segítséget nyújt a kártevő-eltávolító eszköz (MSRT).
Először állítsa vissza az üzletileg kritikus rendszereket. A visszaállítás előtt ne felejtse el ismét ellenőrizni, hogy a biztonsági mentés megfelelő-e. Ezen a ponton nem kell mindent visszaállítania. A visszaállítási lista öt legfontosabb üzleti szempontból kritikus rendszerére összpontosítson.
Ha offline biztonsági másolatokkal rendelkezik, valószínűleg visszaállíthatja a titkosított adatokat, miután eltávolította a zsarolóprogram hasznos adatait (kártevőket) a környezetéből. A jövőbeli támadások megelőzése érdekében a visszaállítás előtt győződjön meg arról, hogy a zsarolóprogram vagy a kártevő szoftver nincs az offline biztonsági mentésen.
Azonosíthat egy biztonságos, időponthoz kötött biztonsági mentési rendszerképet, amelyről ismert, hogy nem fertőzött.

Ha Recovery Services-tárolót használ, alaposan tekintse át az incidens idővonalát, hogy megértse a biztonsági mentés visszaállításához szükséges időpontot.
A jövőbeli támadások megelőzése érdekében a visszaállítás előtt vizsgálja meg a zsarolóvírusok vagy kártevők biztonsági mentését.
Használjon biztonsági ellenőrző eszközt és más eszközöket az operációs rendszer teljes visszaállításához, valamint az adat-visszaállítási forgatókönyvekhez. A Microsoft Biztonsági ellenőrzőeszköz egy olyan vizsgálati eszköz, amely Windows számítógépek kártevőinek megkeresésére és eltávolítására szolgál. Egyszerűen töltse le, és futtasson egy vizsgálatot a kártevők kereséséhez, és próbálja meg visszafordítani az azonosított fenyegetések által végrehajtott módosításokat.
Győződjön meg arról, hogy a víruskereső vagy a végponti észlelés és reagálás (EDR) megoldás naprakész. Emellett naprakész javításokkal is rendelkeznie kell. Ajánlott EDR megoldás, például Végponthoz készült Microsoft Defender.
Az üzletileg kritikus rendszerek üzembe kerülnek, és a többi rendszert is visszaállítják.

A rendszerek visszaállításakor kezdje el gyűjteni a telemetriai adatokat, hogy megalapozott döntéseket hozhass a visszaállítással kapcsolatban.
A telemetriai adatok segítenek azonosítani, hogy a kártevők továbbra is a rendszereken találhatók-e.

Támadás vagy szimuláció utáni

Zsarolóprogram-támadás vagy incidensmegoldási szimuláció után hajtsa végre a következő lépéseket a biztonsági mentési és visszaállítási tervek, valamint a biztonsági helyzet javítása érdekében:

  1. Megismerheti azokat a tanulságokat, amelyekben a folyamat nem működött megfelelően (és lehetőség van a folyamat egyszerűsítésére, felgyorsítására vagy más módon történő javítására)
  2. Végezze el a kiváltó okok elemzését a legnagyobb kihívásokkal kapcsolatban (elég részletességgel ahhoz, hogy a megoldások megoldják a megfelelő problémát – figyelembe véve az embereket, a folyamatot és a technológiát)
  3. Az eredeti szabálysértés kivizsgálása és elhárítása (segítségért forduljon a Microsoft észlelési és reagálási csapatához (DART )
  4. Frissítse biztonsági mentési és visszaállítási stratégiáját a tanulságok és a lehetőségek alapján – rangsorolás a legnagyobb hatás és a leggyorsabb megvalósítási lépések alapján

Következő lépések

Ebben a cikkben megtanulta, hogyan javíthatja a biztonsági mentési és visszaállítási tervet a zsarolóprogramok elleni védelem érdekében. A zsarolóvírusok elleni védelem telepítésével kapcsolatos ajánlott eljárásokért lásd: Gyors védelem a zsarolóprogramok és a zsarolóvírusok ellen.

Fő iparági információk:

Microsoft Azure:

Microsoft 365:

Microsoft 365 Defender:

A Microsoft biztonsági csapatának blogbejegyzései: