1. fázis: A helyreállítási terv előkészítése
Az első teendője ezeknek a támadásoknak az, hogy felkészítse a szervezetet, hogy életképes alternatívát biztosítsunk a váltságdíj fizetésére. Bár a szervezetet irányító támadók többféleképpen is nyomást gyakorolnak a fizetésre, az igények elsősorban két kategóriára összpontosítanak:
Fizetés a hozzáférés helyreállításáért
A támadók fizetést követelnek azzal a fenyegetéssel, hogy nem adnak vissza hozzáférést a rendszerekhez és az adatokhoz. Ez leggyakrabban a rendszerek és az adatok titkosításával, valamint a visszafejtési kulcs kifizetésével történik.
Fontos
A váltságdíj kifizetése nem olyan egyszerű és tiszta megoldás, mint amilyennek tűnhet. Mivel olyan bűnözőkkel foglalkozik, akiket csak a fizetés motivál (és gyakran viszonylag amatőr operátorok, akik valaki más által biztosított eszközkészletet használnak), sok bizonytalanság van a váltságdíj kifizetése körül. Nincs jogi garancia arra, hogy olyan kulcsot biztosítanak, amely visszafejti a rendszerek és az adatok 100%-át, vagy egyáltalán megad egy kulcsot. Ezeknek a rendszereknek a visszafejtésére szolgáló folyamat a saját készítésű támadóeszközöket használja, ami gyakran ügyetlen és manuális folyamat.
Fizetés a közzététel elkerülése érdekében
A támadók fizetést követelnek azért, hogy ne adjanak ki bizalmas vagy kínos adatokat a sötét weben (más bűnözők) vagy a nyilvánosság számára.
A fizetésre kényszerítés elkerülése érdekében (a támadók számára nyereséges helyzet) a lehető legközelibb és leghatékonyabb lépés annak biztosítása, hogy a szervezet visszaállíthassa a teljes vállalatot a nem módosítható tárolóból, amelyet sem a támadó, sem Ön nem módosíthat.
A legérzékenyebb eszközök azonosítása és magasabb szintű megbízhatósági szintű védelme szintén kritikus fontosságú, de egy hosszabb és nagyobb kihívást jelentő folyamat. Nem szeretnénk, ha az 1. vagy a 2. fázisban más területeket tartana, de azt javasoljuk, hogy kezdje el a folyamatot úgy, hogy összefogja az üzleti, informatikai és biztonsági érdekelt feleket, hogy kérdéseket tegyenek fel és válaszoljanak meg, például:
- Milyen üzleti eszközök lennének a legkárosítóbbak, ha illetéktelen kezekbe kerülnének? Például milyen eszközökkel hajlandó lenne az üzleti vezetés zsarolási követelést fizetni, ha a támadók irányítják őket?
- Hogyan alakítják át ezeket az üzleti eszközöket informatikai eszközökre (például fájlokra, alkalmazásokra, adatbázisokra, kiszolgálókra és vezérlőrendszerekre)?
- Hogyan védhetjük meg vagy különíthetjük el ezeket az eszközöket, hogy az általános informatikai környezethez hozzáféréssel rendelkező támadók ne férhessenek hozzájuk?
Biztonsági mentések biztonságossá tételét
Gondoskodnia kell arról, hogy a kritikus rendszerekről és adataikról biztonsági másolat készüljön, és a biztonsági másolatok védve legyenek a támadók szándékos törlésével vagy titkosításával szemben.
A biztonsági másolatok elleni támadások arra összpontosítanak, hogy megbénítják a szervezet fizetős válaszképességét, és gyakran a helyreállításhoz szükséges biztonsági másolatokat és kulcsdokumentációkat célozva kényszerítik ki a zsarolási igények kielégítésére.
A legtöbb szervezet nem védi a biztonsági mentési és visszaállítási eljárásokat az ilyen szintű szándékos célzás ellen.
Megjegyzés
Ez a készítmény javítja a természeti katasztrófák és a gyors támadások, mint a WannaCry és (nem) Petya ellenálló képességét.
A zsarolóvírusok elleni védelemmel kapcsolatos biztonsági mentési és visszaállítási terv foglalkozik azzal, hogy mit kell tennie a kritikus fontosságú üzleti rendszerek védelme érdekében, valamint egy támadás során, hogy biztosítsa az üzleti műveletek gyors helyreállítását.
Program- és projekttag-fiókképességek
Ez a táblázat az adatok zsarolóprogramokkal szembeni általános védelmét ismerteti egy szponzorálási/programkezelési/projektkezelési hierarchia alapján az eredmények meghatározásához és ösztönzéséhez.
| Lead (Érdeklődő) | Implementátor | Elszámoltathatóság |
|---|---|---|
| Központi informatikai Műveletek vagy CIO | Vezetői szponzorálás | |
| Programvezető a központi informatikai infrastruktúrából | Eredmények elérése és csapatközi együttműködés | |
| Központi informatikai Infrastruktúra/biztonsági mentés | Infrastruktúra biztonsági mentésének engedélyezése | |
| Központi informatikai Termelékenység / Végfelhasználó | A OneDrive biztonsági mentésének engedélyezése | |
| Biztonsági architektúra | Tanácsadás a konfigurációval és a szabványokkal kapcsolatban | |
| Biztonsági szabályzatok és szabványok | Szabványok és szabályzatdokumentumok frissítése | |
| Biztonsági megfelelőség kezelése | Monitorozás a megfelelőség biztosítása érdekében | |
Megvalósítási ellenőrzőlista
Alkalmazza ezeket az ajánlott eljárásokat a biztonsági mentési infrastruktúra védelméhez.
| Kész | Feladat | Leírás |
|---|---|---|
| Rendszeres időközönként automatikusan biztonsági másolatot készít az összes kritikus adatról. | Lehetővé teszi az adatok helyreállítását az utolsó biztonsági mentésig. | |
| Rendszeresen gyakorolja üzletmenet-folytonossági/vészhelyreállítási (BC/DR) tervét. | Biztosítja az üzleti műveletek gyors helyreállítását egy olyan zsarolóprogram vagy zsaroló támadás kezelésével, amely ugyanolyan fontos, mint egy természeti katasztrófa. | |
| A biztonsági másolatok szándékos törléssel és titkosítással szembeni védelme: – Erős védelem – Az online biztonsági mentések (például az Azure Backup) módosítása előtt sávon kívüli lépések (MFA vagy PIN-kód) megkövetelése. – Legerősebb védelem – A biztonsági másolatok tárolása online nem módosítható tárolóban (például Azure Blob) és/vagy teljesen offline vagy nem elérhető helyen. |
A támadók által elérhető biztonsági másolatok nem használhatók az üzleti helyreállításhoz. Nagyobb biztonságot valósíthat meg a biztonsági másolatokhoz való hozzáféréshez, és nem módosíthatja a biztonsági másolatokban tárolt adatokat. | |
| Védelemmel ellátni a helyreállításhoz szükséges dokumentumokat, például a visszaállítási eljárás dokumentumait, a konfigurációkezelési adatbázist (CMDB) és a hálózati diagramokat. | A támadók szándékosan megcélzták ezeket az erőforrásokat, mert ez hatással van a helyreállításra. Győződjön meg arról, hogy túlélik a zsarolóvírus támadást. |
Megvalósítási eredmények és ütemtervek
30 napon belül győződjön meg arról, hogy a helyreállítás átlagos ideje (MTTR) megfelel a szimulációk és a valós műveletek során mért BC/DR-célnak.
Adatvédelem
Az adatvédelem alkalmazásával biztosíthatja a zsarolóvírusok támadásainak gyors és megbízható helyreállítását, valamint a támadók bizonyos technikáinak blokkolását.
A zsarolóvírusok zsarolási és romboló támadásai csak akkor működnek, ha az adatokhoz és rendszerekhez való minden törvényes hozzáférés elvész. Ha biztosítja, hogy a támadók ne tudják megszüntetni a fizetés nélküli műveletek folytatásának képességét, azzal megvédheti vállalkozását, és alááshatja a szervezet elleni támadás pénzügyi ösztönzőit.
Program- és projekttag-fiókképességek
Ez a táblázat a szervezeti adatok zsarolóprogramokkal szembeni általános védelmét ismerteti egy szponzorálási/programkezelési/projektkezelési hierarchia tekintetében az eredmények meghatározásához és ösztönzéséhez.
| Lead (Érdeklődő) | Implementátor | Elszámoltathatóság |
|---|---|---|
| Központi informatikai Műveletek vagy CIO | Vezetői szponzorálás | |
| Programvezető az Adatbiztonságból | Eredmények elérése és csapatközi együttműködés | |
| Központi informatikai Termelékenység / Végfelhasználó | A Microsoft 365-bérlő módosításainak implementálása a OneDrive-hoz és a védett mappákhoz | |
| Központi informatikai Infrastruktúra/biztonsági mentés | Infrastruktúra biztonsági mentésének engedélyezése | |
| Üzleti / alkalmazás | Kritikus fontosságú üzleti eszközök azonosítása | |
| Biztonsági architektúra | Tanácsadás a konfigurációval és a szabványokkal kapcsolatban | |
| Biztonsági szabályzatok és szabványok | Szabványok és szabályzatdokumentumok frissítése | |
| Biztonsági megfelelőség kezelése | Monitorozás a megfelelőség biztosítása érdekében | |
| Felhasználói oktatási csapat | Útmutatás biztosítása a felhasználók számára a szabályzatfrissítéseknek megfelelően | |
Megvalósítási ellenőrzőlista
Alkalmazza ezeket az ajánlott eljárásokat a szervezeti adatok védelméhez.
| Kész | Feladat | Leírás |
|---|---|---|
| A szervezet migrálása a felhőbe: – A verziószámozási és lomtárfunkciók kihasználása érdekében helyezze át a felhasználói adatokat felhőbeli megoldásokba, például a OneDrive-ba/SharePointba. – Tájékoztassa a felhasználókat a fájlok önálló helyreállításáról a késések és a helyreállítási költségek csökkentése érdekében. |
A Microsoft-felhőben tárolt felhasználói adatok beépített biztonsági és adatkezelési funkciókkal védhetők. | |
| Jelölje ki a védett mappákat. | Megnehezíti a jogosulatlan alkalmazások számára az ezekben a mappákban lévő adatok módosítását. | |
| Tekintse át az engedélyeket: – Széles körű írási/törlési engedélyeket fedezhet fel a fájlmegosztásokhoz, a SharePointhoz és más megoldásokhoz. A széles körű definíció szerint sok felhasználó rendelkezik írási/törlési engedéllyel az üzleti szempontból kritikus fontosságú adatokhoz. – Csökkentse a kritikus adathelyekre vonatkozó széles körű engedélyeket, miközben megfelel az üzleti együttműködési követelményeknek. – A kritikus adathelyek naplózása és monitorozása annak érdekében, hogy a széles körű engedélyek ne legyenek újra megjelennek. |
Csökkenti a széles körű hozzáférésre támaszkodó zsarolóprogram-tevékenységek kockázatát. | |
Következő lépés
Folytassa a 2. fázissal , hogy korlátozza a támadások hatókörét a kiemelt szerepkörök védelmével.
További zsarolóprogram-erőforrások
A Microsoft legfontosabb információi:
- A zsarolóvírusok egyre növekvő fenyegetése, a Microsoft On the Issues blogbejegyzés 2021. július 20-án
- Emberi üzemeltetésű zsarolóprogramok
- Gyors védelem zsarolóprogramok és zsarolóprogramok ellen
- 2021 Microsoft Digital Defense-jelentés (lásd 10–19. oldal)
- Zsarolóvírus: A Veszélyforrások elemzése jelentés a Microsoft 365 Defender portálon
- A Microsoft észlelési és válaszcsapatának (DART) zsarolóprogramokkal kapcsolatos megközelítése és esettanulmánya
Microsoft 365:
- Zsarolóprogram-védelem üzembe helyezése a Microsoft 365-bérlőhöz
- Zsarolóvírusok rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
- Helyreállítás zsarolóprogram-támadásból
- Kártevők és zsarolóprogramok elleni védelem
- Windows 10 rendszerű számítógép védelme zsarolóprogramokkal szemben
- Zsarolóprogramok kezelése a SharePoint Online-ban
- Zsarolóprogramok fenyegetéselemzési jelentései a Microsoft 365 Defender portálon
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses zsarolóvírus-támadáshoz
- Zsarolóvírusok rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
- Biztonsági mentési és visszaállítási terv a zsarolóprogramok elleni védelem érdekében
- Zsarolóprogramok elleni védelem a Microsoft Azure Backuppal (26 perces videó)
- Helyreállítás rendszerszintű identitás sérüléséből
- Fejlett többfázisú támadásészlelés a Microsoft Sentinelben
- Zsarolóvírusok fúziós észlelése a Microsoft Sentinelben
Microsoft Defender a Cloud Appshez:
A Microsoft Security csapatának blogbejegyzései:
Útmutató az emberi üzemeltetésű zsarolóvírusok elleni küzdelemhez: 1. rész (2021. szeptember)
A Microsoft észlelési és reagálási csapatának (DART) zsarolóprogram-incidensekkel kapcsolatos vizsgálatának főbb lépései.
Útmutató az emberi üzemeltetésű zsarolóvírusok elleni küzdelemhez: 2. rész (2021. szeptember)
Javaslatok és ajánlott eljárások.
3 lépés a zsarolóvírusok megelőzésére és helyreállítására (2021. szeptember)
-
Lásd a Ransomware szakaszt.
Ember által működtetett zsarolóvírus-támadások: Megelőzhető katasztrófa (2020. március)
Tartalmazza a tényleges támadások támadáslánc-elemzését.
Zsarolóvírus válasz – fizetni vagy nem fizetni? (2019. december)
A Norsk Hydro átláthatóan reagál a zsarolóvírusok támadására (2019. december)