2. fázis: A kár hatókörének korlátozása

Ebben a fázisban a kiemelt szerepkörök védelme érdekében megakadályozza, hogy a támadók nagy hozzáférési hatókört kapjanak az adatok és rendszerek esetleges sérülése érdekében.

Emelt szintű hozzáférési stratégia

Átfogó stratégiát kell implementálnia az emelt szintű hozzáférés sérülésének kockázatának csökkentése érdekében.

Az összes többi biztonsági vezérlőt könnyen érvénytelenítheti egy támadó, aki emelt szintű hozzáféréssel rendelkezik a környezetében. A zsarolóprogram-támadók emelt szintű hozzáférést használnak gyorsútmutatóként a szervezet összes kritikus fontosságú eszközének ellenőrzéséhez támadás és későbbi zsarolás céljából.

Program- és projekttagi fiókképességek

Ez a táblázat a zsarolóprogramok elleni emelt szintű hozzáférési stratégiát ismerteti szponzorálási/programkezelési/projektkezelési hierarchia alapján az eredmények meghatározásához és irányításához.

Lead (Érdeklődő) Implementátor Elszámoltathatóság
CISO vagy CIO Vezetői szponzorálás
Programvezető Eredmények elérése és csapatközi együttműködés
Informatikai és biztonsági tervezők Összetevők rangsorolása az architektúrákba integrálva
Identitás- és kulcskezelés Identitásmódosítások implementálása
Központi informatikai Hatékonyság / Végfelhasználói csapat Eszközök és Office 365-bérlő módosításainak implementálása
Biztonsági szabályzatok és szabványok Szabványok és szabályzatdokumentumok frissítése
Biztonsági megfelelőség kezelése Monitorozás a megfelelőség biztosítása érdekében
Felhasználói oktatási csapat Jelszóval kapcsolatos útmutatás frissítése

Megvalósítási ellenőrzőlista

Az ellenőrzőlistát tartalmazó útmutató https://aka.ms/SPA segítségével többrészes stratégiát hozhat létre.

Kész Feladat Leírás
A munkamenetek végpontok közötti biztonságának kényszerítése. Explicit módon ellenőrzi a felhasználók és eszközök bizalmát, mielőtt engedélyezi a hozzáférést a felügyeleti felületekhez ( az Azure Active Directory feltételes hozzáféréssel).
Identitásrendszerek védelme és monitorozása. Megakadályozza a jogosultságeszkalációs támadásokat, beleértve a címtárakat, az identitáskezelést, a rendszergazdai fiókokat és -csoportokat, valamint a hozzájárulás megadásának konfigurációját.
Csökkentse az oldalirányú bejárást. Biztosítja, hogy egyetlen eszköz veszélyeztetése ne vezessen azonnal sok vagy minden más eszköz vezérléséhez helyi fiókjelszavak, szolgáltatásfiókjelszavak vagy egyéb titkos kódok használatával.
Gyors fenyegetéskezelés biztosítása. Korlátozza a támadó hozzáférését és idejét a környezetben. További információt az Észlelés és a Válasz című témakörben talál.

Megvalósítási eredmények és ütemtervek

Próbálja meg elérni ezeket az eredményeket 30-90 nap alatt:

  • A rendszergazdák 100%-a szükséges a biztonságos munkaállomások használatához
  • A 100%-os helyi munkaállomás-/kiszolgálójelszavak véletlenszerűen vannak rendezve
  • 100%-os jogosultságeszkalációs kockázatcsökkentések vannak üzembe helyezve

Észlelés és válasz

A szervezetnek rugalmas észlelésre és a végpontokra, e-mailekre és identitásokra irányuló gyakori támadások elhárítására van szüksége. A percek számítanak. Gyorsan kell kijavítania a gyakori támadási belépési pontokat, hogy korlátozza a támadó idejét a szervezet oldalirányú bejárására.

Program- és projekttagi fiókképességek

Ez a táblázat a zsarolóprogramok észlelési és reagálási képességeinek fejlesztését ismerteti szponzorálási/programkezelési/projektkezelési hierarchia alapján az eredmények meghatározásához és irányításához.

Lead (Érdeklődő) Implementátor Elszámoltathatóság
CISO vagy CIO Vezetői szponzorálás
Programvezető a biztonsági műveletekből Eredmények elérése és csapatközi együttműködés
Központi informatikai Infrastruktúra-csapat Ügyfél- és kiszolgálóügynökök/szolgáltatások implementálása
Biztonsági műveletek Új eszközök integrálása a biztonsági üzemeltetési folyamatokba
Központi informatikai Hatékonyság / Végfelhasználói csapat A Defender for Endpoint, az Office 365 Defender, a Defender for Identity és a Defender for Cloud Apps funkcióinak engedélyezése
Központi informatikai Identitáskezelési csapat Az Azure AD-biztonság és a Defender for Identity implementálása
Biztonsági tervezők Konfigurálási, szabvány- és eszközhasználati tanácsok
Biztonsági szabályzatok és szabványok Szabványok és szabályzatdokumentumok frissítése
Biztonsági megfelelőség kezelése Monitorozás a megfelelőség biztosítása érdekében

Megvalósítási ellenőrzőlista

Alkalmazza ezeket az ajánlott eljárásokat az észlelés és a válasz javításához.

Kész Feladat Leírás
A gyakori belépési pontok rangsorolása:

– A microsoft 365 Defenderhez hasonló integrált kiterjesztett észlelési és reagálási (XDR) eszközökkel kiváló minőségű riasztásokat biztosíthat, és minimálisra csökkentheti a súrlódást és a manuális lépéseket a válasz során.

- Figyelje a találgatásos kísérleteket, például a jelszófeltörést.
A zsarolóprogramok (és más) operátorok belépési pontokként részesítik előnyben a végpontot, az e-mail-címet, az identitást és az RDP-t.
A támadók letiltásának figyelése (ez gyakran egy támadási lánc része), például:

– Eseménynapló-törlés, különösen a biztonsági eseménynapló és a PowerShell működési naplói.

- A biztonsági eszközök és vezérlők letiltása.
A támadók biztonsági észlelési létesítményeket céloznak meg, hogy biztonságosabban folytathassák a támadást.
Ne hagyja figyelmen kívül a kereskedelmi kártevő szoftvereket. A zsarolóvírus-támadók rendszeresen vásárolnak hozzáférést a célszervezetekhez a sötét piacokról.
Külső szakértőket integrálhat olyan folyamatokba, amelyek kiegészítik a szakértelmet, például a Microsoft észlelési és reagálási csapatát (DART). A tapasztalatok száma az észleléshez és a helyreállításhoz.
Gyorsan elkülönítheti a feltört számítógépeket a Defender for Endpoint használatával. A Windows 11 és 10 integrációja megkönnyíti ezt.

Következő lépés

Phase 3. Make it hard to get in

Folytassa a 3. fázissal , hogy a kockázatok fokozatos eltávolításával megnehezítse a támadóknak a környezetbe való bejutását.

További zsarolóprogram-erőforrások

A Microsoft legfontosabb információi:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender a Cloud Appshez:

A Microsoft biztonsági csapatának blogbejegyzései: