1. fázis: A helyreállítási terv előkészítése

Az első teendője ezeknek a támadásoknak az, hogy felkészítse a szervezetet, hogy életképes alternatívát biztosítsunk a váltságdíj fizetésére. Bár a szervezetet irányító támadók többféleképpen is nyomást gyakorolnak a fizetésre, az igények elsősorban két kategóriára összpontosítanak:

  • Fizetés a hozzáférés helyreállításáért

    A támadók fizetést követelnek azzal a fenyegetéssel, hogy nem adnak vissza hozzáférést a rendszerekhez és az adatokhoz. Ez leggyakrabban a rendszerek és az adatok titkosításával, valamint a visszafejtési kulcs kifizetésével történik.

    Fontos

    A váltságdíj kifizetése nem olyan egyszerű és tiszta megoldás, mint amilyennek tűnhet. Mivel olyan bűnözőkkel foglalkozik, akiket csak a fizetés motivál (és gyakran viszonylag amatőr operátorok, akik valaki más által biztosított eszközkészletet használnak), sok bizonytalanság van a váltságdíj kifizetése körül. Nincs jogi garancia arra, hogy olyan kulcsot biztosítanak, amely visszafejti a rendszerek és az adatok 100%-át, vagy egyáltalán megad egy kulcsot. Ezeknek a rendszereknek a visszafejtésére szolgáló folyamat a saját készítésű támadóeszközöket használja, ami gyakran ügyetlen és manuális folyamat.

  • Fizetés a közzététel elkerülése érdekében

    A támadók fizetést követelnek azért, hogy ne adjanak ki bizalmas vagy kínos adatokat a sötét weben (más bűnözők) vagy a nyilvánosság számára.

A fizetésre kényszerítés elkerülése érdekében (a támadók számára nyereséges helyzet) a lehető legközelibb és leghatékonyabb lépés annak biztosítása, hogy a szervezet visszaállíthassa a teljes vállalatot a nem módosítható tárolóból, amelyet sem a támadó, sem Ön nem módosíthat.

A legérzékenyebb eszközök azonosítása és magasabb szintű megbízhatósági szintű védelme szintén kritikus fontosságú, de egy hosszabb és nagyobb kihívást jelentő folyamat. Nem szeretnénk, ha az 1. vagy a 2. fázisban más területeket tartana, de azt javasoljuk, hogy kezdje el a folyamatot úgy, hogy összefogja az üzleti, informatikai és biztonsági érdekelt feleket, hogy kérdéseket tegyenek fel és válaszoljanak meg, például:

  • Milyen üzleti eszközök lennének a legkárosítóbbak, ha illetéktelen kezekbe kerülnének? Például milyen eszközökkel hajlandó lenne az üzleti vezetés zsarolási követelést fizetni, ha a támadók irányítják őket?
  • Hogyan alakítják át ezeket az üzleti eszközöket informatikai eszközökre (például fájlokra, alkalmazásokra, adatbázisokra, kiszolgálókra és vezérlőrendszerekre)?
  • Hogyan védhetjük meg vagy különíthetjük el ezeket az eszközöket, hogy az általános informatikai környezethez hozzáféréssel rendelkező támadók ne férhessenek hozzájuk?

Biztonsági mentések biztonságossá tételét

Gondoskodnia kell arról, hogy a kritikus rendszerekről és adataikról biztonsági másolat készüljön, és a biztonsági másolatok védve legyenek a támadók szándékos törlésével vagy titkosításával szemben.

A biztonsági másolatok elleni támadások arra összpontosítanak, hogy megbénítják a szervezet fizetős válaszképességét, és gyakran a helyreállításhoz szükséges biztonsági másolatokat és kulcsdokumentációkat célozva kényszerítik ki a zsarolási igények kielégítésére.

A legtöbb szervezet nem védi a biztonsági mentési és visszaállítási eljárásokat az ilyen szintű szándékos célzás ellen.

Megjegyzés

Ez a készítmény javítja a természeti katasztrófák és a gyors támadások, mint a WannaCry és (nem) Petya ellenálló képességét.

A zsarolóvírusok elleni védelemmel kapcsolatos biztonsági mentési és visszaállítási terv foglalkozik azzal, hogy mit kell tennie a kritikus fontosságú üzleti rendszerek védelme érdekében, valamint egy támadás során, hogy biztosítsa az üzleti műveletek gyors helyreállítását.

Program- és projekttag-fiókképességek

Ez a táblázat az adatok zsarolóprogramokkal szembeni általános védelmét ismerteti egy szponzorálási/programkezelési/projektkezelési hierarchia alapján az eredmények meghatározásához és ösztönzéséhez.

Lead (Érdeklődő) Implementátor Elszámoltathatóság
Központi informatikai Műveletek vagy CIO Vezetői szponzorálás
Programvezető a központi informatikai infrastruktúrából Eredmények elérése és csapatközi együttműködés
Központi informatikai Infrastruktúra/biztonsági mentés Infrastruktúra biztonsági mentésének engedélyezése
Központi informatikai Termelékenység / Végfelhasználó A OneDrive biztonsági mentésének engedélyezése
Biztonsági architektúra Tanácsadás a konfigurációval és a szabványokkal kapcsolatban
Biztonsági szabályzatok és szabványok Szabványok és szabályzatdokumentumok frissítése
Biztonsági megfelelőség kezelése Monitorozás a megfelelőség biztosítása érdekében

Megvalósítási ellenőrzőlista

Alkalmazza ezeket az ajánlott eljárásokat a biztonsági mentési infrastruktúra védelméhez.

Kész Feladat Leírás
Rendszeres időközönként automatikusan biztonsági másolatot készít az összes kritikus adatról. Lehetővé teszi az adatok helyreállítását az utolsó biztonsági mentésig.
Rendszeresen gyakorolja üzletmenet-folytonossági/vészhelyreállítási (BC/DR) tervét. Biztosítja az üzleti műveletek gyors helyreállítását egy olyan zsarolóprogram vagy zsaroló támadás kezelésével, amely ugyanolyan fontos, mint egy természeti katasztrófa.
A biztonsági másolatok szándékos törléssel és titkosítással szembeni védelme:

– Erős védelem – Az online biztonsági mentések (például az Azure Backup) módosítása előtt sávon kívüli lépések (MFA vagy PIN-kód) megkövetelése.

– Legerősebb védelem – A biztonsági másolatok tárolása online nem módosítható tárolóban (például Azure Blob) és/vagy teljesen offline vagy nem elérhető helyen.
A támadók által elérhető biztonsági másolatok nem használhatók az üzleti helyreállításhoz. Nagyobb biztonságot valósíthat meg a biztonsági másolatokhoz való hozzáféréshez, és nem módosíthatja a biztonsági másolatokban tárolt adatokat.
Védelemmel ellátni a helyreállításhoz szükséges dokumentumokat, például a visszaállítási eljárás dokumentumait, a konfigurációkezelési adatbázist (CMDB) és a hálózati diagramokat. A támadók szándékosan megcélzták ezeket az erőforrásokat, mert ez hatással van a helyreállításra. Győződjön meg arról, hogy túlélik a zsarolóvírus támadást.

Megvalósítási eredmények és ütemtervek

30 napon belül győződjön meg arról, hogy a helyreállítás átlagos ideje (MTTR) megfelel a szimulációk és a valós műveletek során mért BC/DR-célnak.

Adatvédelem

Az adatvédelem alkalmazásával biztosíthatja a zsarolóvírusok támadásainak gyors és megbízható helyreállítását, valamint a támadók bizonyos technikáinak blokkolását.

A zsarolóvírusok zsarolási és romboló támadásai csak akkor működnek, ha az adatokhoz és rendszerekhez való minden törvényes hozzáférés elvész. Ha biztosítja, hogy a támadók ne tudják megszüntetni a fizetés nélküli műveletek folytatásának képességét, azzal megvédheti vállalkozását, és alááshatja a szervezet elleni támadás pénzügyi ösztönzőit.

Program- és projekttag-fiókképességek

Ez a táblázat a szervezeti adatok zsarolóprogramokkal szembeni általános védelmét ismerteti egy szponzorálási/programkezelési/projektkezelési hierarchia tekintetében az eredmények meghatározásához és ösztönzéséhez.

Lead (Érdeklődő) Implementátor Elszámoltathatóság
Központi informatikai Műveletek vagy CIO Vezetői szponzorálás
Programvezető az Adatbiztonságból Eredmények elérése és csapatközi együttműködés
Központi informatikai Termelékenység / Végfelhasználó A Microsoft 365-bérlő módosításainak implementálása a OneDrive-hoz és a védett mappákhoz
Központi informatikai Infrastruktúra/biztonsági mentés Infrastruktúra biztonsági mentésének engedélyezése
Üzleti / alkalmazás Kritikus fontosságú üzleti eszközök azonosítása
Biztonsági architektúra Tanácsadás a konfigurációval és a szabványokkal kapcsolatban
Biztonsági szabályzatok és szabványok Szabványok és szabályzatdokumentumok frissítése
Biztonsági megfelelőség kezelése Monitorozás a megfelelőség biztosítása érdekében
Felhasználói oktatási csapat Útmutatás biztosítása a felhasználók számára a szabályzatfrissítéseknek megfelelően

Megvalósítási ellenőrzőlista

Alkalmazza ezeket az ajánlott eljárásokat a szervezeti adatok védelméhez.

Kész Feladat Leírás
A szervezet migrálása a felhőbe:

– A verziószámozási és lomtárfunkciók kihasználása érdekében helyezze át a felhasználói adatokat felhőbeli megoldásokba, például a OneDrive-ba/SharePointba.

– Tájékoztassa a felhasználókat a fájlok önálló helyreállításáról a késések és a helyreállítási költségek csökkentése érdekében.
A Microsoft-felhőben tárolt felhasználói adatok beépített biztonsági és adatkezelési funkciókkal védhetők.
Jelölje ki a védett mappákat. Megnehezíti a jogosulatlan alkalmazások számára az ezekben a mappákban lévő adatok módosítását.
Tekintse át az engedélyeket:

– Széles körű írási/törlési engedélyeket fedezhet fel a fájlmegosztásokhoz, a SharePointhoz és más megoldásokhoz. A széles körű definíció szerint sok felhasználó rendelkezik írási/törlési engedéllyel az üzleti szempontból kritikus fontosságú adatokhoz.

– Csökkentse a kritikus adathelyekre vonatkozó széles körű engedélyeket, miközben megfelel az üzleti együttműködési követelményeknek.

– A kritikus adathelyek naplózása és monitorozása annak érdekében, hogy a széles körű engedélyek ne legyenek újra megjelennek.
Csökkenti a széles körű hozzáférésre támaszkodó zsarolóprogram-tevékenységek kockázatát.

Következő lépés

Phase 2. Limit the scope of damage

Folytassa a 2. fázissal , hogy korlátozza a támadások hatókörét a kiemelt szerepkörök védelmével.

További zsarolóprogram-erőforrások

A Microsoft legfontosabb információi:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender a Cloud Appshez:

A Microsoft Security csapatának blogbejegyzései: