Megnehezítheti a zsarolóvírus-támadások szervezetbe való bejutását
Ebben a fázisban megnehezíti a támadók dolgát a helyszíni vagy a felhőrendszerekbe való belépéshez, ha fokozatosan eltávolítja a belépési pontokon jelentkező kockázatokat.
Bár sok ilyen változás ismerős és könnyen elvégezhető lesz, rendkívül fontos, hogy a stratégia ezen részén végzett munkája ne lassítsa a haladást a másik oldalon a kritikus fontosságú részek felé!
Íme a három részből álló kiberbiztonsági biztonsági terv áttekintésére mutató hivatkozások:
Távelérés
A szervezet intranetéhez való hozzáférés távelérési kapcsolaton keresztül történő elérése támadási vektor a ransomware-támadók számára.
A helyszíni felhasználói fiókok feltörése után a támadó szabadon barangolhat az intraneten, hogy intelligenciát gyűjtsön, jogosultságokat emeljen ki és zsarolóprogramokat telepítsen. A Colonial Pipeline kibertámadás 2021-ben egy példa.
Program- és projekttag-fiókképességek a táveléréshez
Ez a táblázat a távelérési megoldás zsarolóprogramokkal szembeni általános védelmét ismerteti egy szponzorálási/programkezelési/projektkezelési hierarchia alapján az eredmények meghatározásához és irányításához.
| Érdeklődő | Implementátor | Elszámoltathatóság |
|---|---|---|
| CISO vagy CIO | Vezetői szponzorálások | |
| Programvezető a központi informatikai infrastruktúrán/hálózati csapaton | Eredmények és csapatközi együttműködés | |
| Informatikai és biztonsági tervezők | Az összetevők architektúrákba való integrációjának rangsorolása | |
| Központi informatikai identitásért felelős csapat | Microsoft Entra-azonosító és feltételes hozzáférési szabályzatok konfigurálása | |
| Központi informatikai műveletek | Környezetmódosítások implementálása | |
| Számítási feladatok tulajdonosai | Segítség az RBAC-engedélyekhez az alkalmazások közzétételéhez | |
| Biztonsági szabályzat és szabványok | Szabványok és szabályzatdokumentumok frissítése | |
| Biztonsági megfelelőség kezelése | Figyelés a megfelelőség biztosításához | |
| Felhasználói oktatási csapat | A munkafolyamat-módosításokra vonatkozó útmutatás frissítése, valamint az oktatás és a változáskezelés végrehajtása |
Megvalósítási ellenőrzőlista a táveléréshez
Alkalmazza ezeket az ajánlott eljárásokat a távelérési infrastruktúra zsarolóprogram-támadókkal szembeni védelméhez.
| Kész | Feladatok | Leírás |
|---|---|---|
| Szoftver- és berendezésfrissítések karbantartása. Kerülje a hiányzó vagy elhanyagolt gyártói védelmet (biztonsági frissítések, támogatott állapot). | A támadók jól ismert biztonsági réseket használnak, amelyeket még nem javítottak támadási vektorként. | |
| Konfigurálja a Microsoft Entra-azonosítót a meglévő táveléréshez úgy, hogy feltételes hozzáféréssel kényszeríti Teljes felügyelet felhasználó- és eszközérvényesítést. | Teljes felügyelet több szintű hozzáférést biztosít a szervezet számára. | |
| Konfigurálja a meglévő külső VPN-megoldások biztonságát (Cisco Any Csatlakozás, Palo Alto Networks GlobalProtect > Kötött portál, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) stb.). | Használja ki a távelérési megoldás beépített biztonságát. | |
| Helyezze üzembe az Azure Point-to-Site (P2S) VPN-t a távelérés biztosításához. | Használja ki a Microsoft Entra-azonosítóval és a meglévő Azure-előfizetésekkel való integráció előnyeit. | |
| Helyszíni webalkalmazások közzététele a Microsoft Entra alkalmazásproxyval. | A Microsoft Entra alkalmazásproxyval közzétett alkalmazásoknak nincs szükségük távelérési kapcsolatra. | |
| Azure-erőforrások biztonságos elérése az Azure Bastion használatával. | Biztonságosan és zökkenőmentesen csatlakozhat azure-beli virtuális gépeihez SSL-en keresztül. | |
| Naplózás és monitorozás az alaptervtől és a lehetséges támadásoktól való eltérések megkereséséhez és javításához (lásd: Észlelés és válasz). | Csökkentse az alapszintű biztonsági funkciókat és beállításokat figyelő zsarolóprogram-tevékenységek kockázatát. |
E-mail és együttműködés
A levelezési és együttműködési megoldások ajánlott eljárásainak megvalósítása a támadók számára nehezebbé teszi a visszaéléseket, miközben lehetővé teszi a dolgozók számára, hogy könnyen és biztonságosan férjenek hozzá a külső tartalmakhoz.
A támadók gyakran lépnek be a környezetbe úgy, hogy rosszindulatú tartalmakat továbbítanak az engedélyezett együttműködési eszközökkel, például az e-mailekkel és a fájlmegosztással, és meggyőzik a felhasználókat a futtatásukról. A Microsoft olyan továbbfejlesztett megoldásokat fektetett be, amelyek jelentősen növelik a támadási vektorok elleni védelmet.
Program- és projekttag-fiókképességek az e-mailekhez és az együttműködéshez
Ez a táblázat az e-mail- és együttműködési megoldások zsarolóprogramokkal szembeni általános védelmét ismerteti egy szponzorálási/programkezelési/projektkezelési hierarchia alapján az eredmények meghatározásához és irányításához.
| Érdeklődő | Implementátor | Elszámoltathatóság |
|---|---|---|
| CISO, CIO vagy Identity Director | Vezetői szponzorálások | |
| Programvezető a biztonsági architektúra csapatától | Eredmények és csapatközi együttműködés | |
| Informatikai tervezők | Az összetevők architektúrákba való integrációjának rangsorolása | |
| Felhőalapú hatékonyságnövelő vagy végfelhasználói csapat | Office 365-höz készült Defender, ASR és AMSI engedélyezése | |
| Biztonsági architektúra-infrastruktúra / + végpont | Konfigurációs segítség | |
| Felhasználói oktatási csapat | Frissítési útmutató munkafolyamat-módosításokhoz | |
| Biztonsági szabályzat és szabványok | Szabványok és szabályzatdokumentumok frissítése | |
| Biztonsági megfelelőség kezelése | Figyelés a megfelelőség biztosításához |
Implementációs ellenőrzőlista az e-mailekhez és az együttműködéshez
Alkalmazza ezeket az ajánlott eljárásokat az e-mail- és együttműködési megoldások zsarolóprogram-támadók elleni védelméhez.
| Kész | Feladatok | Leírás |
|---|---|---|
| Engedélyezze az AMSI-t az Office VBA-hoz. | Az Office-makrótámadások észlelése olyan végponteszközökkel, mint a Defender for Endpoint. | |
| Speciális e-mail-biztonság implementálása Office 365-höz készült Defender vagy hasonló megoldás használatával. | Az e-mail egy gyakori belépési pont a támadók számára. | |
| A támadási felület csökkentésére (ASR) vonatkozó szabályok üzembe helyezése a gyakori támadási technikák letiltásához, beleértve a következőket: - Végponti visszaélés, például hitelesítő adatok ellopása, zsarolóprogram-tevékenység, Valamint a PsExec és a WMI gyanús használata. - Az Office-dokumentumtevékenységek, például a speciális makrótevékenységek, a végrehajtható tartalmak, a folyamatlétrehozás és a Office-app licációk által kezdeményezett folyamatinjektálás. Megjegyzés: Ezeket a szabályokat először naplózási módban helyezze üzembe, majd mérje fel a negatív hatásokat, majd telepítse őket blokk módban. |
Az ASR további védelmi rétegeket biztosít, kifejezetten a gyakori támadási módszerek mérséklése érdekében. | |
| Naplózás és monitorozás az alaptervtől és a lehetséges támadásoktól való eltérések megkereséséhez és javításához (lásd: Észlelés és válasz). | Csökkenti az alapszintű biztonsági funkciókat és beállításokat figyelő zsarolóprogram-tevékenységek kockázatát. |
Végpontok
Valósítsa meg a vonatkozó biztonsági funkciókat, és szigorúan kövesse a végpontok (eszközök) és alkalmazások szoftverkarbantartási ajánlott eljárásait, rangsorolja az alkalmazásokat és a kiszolgáló-/ügyfél operációs rendszereket, amelyek közvetlenül ki vannak téve az internetes forgalomnak és tartalomnak.
Az internet által közzétett végpontok gyakori belépési vektorok, amelyek a támadók számára hozzáférést biztosítanak a szervezet eszközeihez. Fontossági sorrendbe kell állítani a gyakori operációs rendszerek és alkalmazások biztonsági réseinek blokkolását megelőző vezérlőkkel, hogy lassítsák vagy megakadályozzák a következő szakaszok végrehajtását.
Program- és projekttag-fiókképességek az enbpointokhoz
Ez a táblázat a végpontok zsarolóprogramokkal szembeni általános védelmét ismerteti egy szponzorálási/programkezelési/projektkezelési hierarchia alapján az eredmények meghatározásához és irányításához.
| Érdeklődő | Implementátor | Elszámoltathatóság |
|---|---|---|
| Az üzleti vezetés felelős az állásidő és a támadási károk üzleti hatásaiért | Vezetői szponzorálás (karbantartás) | |
| Központi informatikai műveletek vagy CIO | Vezetői szponzorálás (mások) | |
| A központi informatikai infrastruktúra csapatának programvezetője | Eredmények és csapatközi együttműködés | |
| Informatikai és biztonsági tervezők | Az összetevők architektúrákba való integrációjának rangsorolása | |
| Központi informatikai műveletek | Környezetmódosítások implementálása | |
| Felhőalapú hatékonyságnövelő vagy végfelhasználói csapat | Támadási felület csökkentésének engedélyezése | |
| Számítási feladatok/alkalmazástulajdonosok | Karbantartási időszakok azonosítása a módosításokhoz | |
| Biztonsági szabályzat és szabványok | Szabványok és szabályzatdokumentumok frissítése | |
| Biztonsági megfelelőség kezelése | Figyelés a megfelelőség biztosításához |
Végpontok implementálási ellenőrzőlistája
Alkalmazza ezeket az ajánlott eljárásokat az összes Windows, Linux, MacOS, Android, iOS és egyéb végpontra.
| Kész | Feladatok | Leírás |
|---|---|---|
| Az ismert fenyegetések letiltása támadási felület csökkentési szabályokkal, illetéktelen beavatkozás elleni védelemmel és blokkolással az első helyen. | Ne hagyja, hogy a beépített biztonsági funkciók használatának hiánya okozza a támadók belépését a szervezetbe. | |
| Biztonsági alapkonfigurációk alkalmazása az internetkapcsolattal rendelkező Windows-kiszolgálók, -ügyfelek és Office-app licációk megerősítéséhez. | A szervezet védelme a minimális biztonsági szinttel, és onnan építkezés. | |
| A szoftver karbantartása úgy, hogy az a következő legyen: - Frissítve: Kritikus fontosságú biztonsági frissítések gyors üzembe helyezése operációs rendszerekhez, böngészőkhöz és e-mail-ügyfelekhez - Támogatott: Operációs rendszerek és szoftverek frissítése a szállítók által támogatott verziókhoz. |
A támadók arra számítanak, hogy ön hiányzik, vagy figyelmen kívül hagyja a gyártó frissítéseit és frissítéseit. | |
| Elkülönítheti, letilthatja vagy kivonhatja a nem biztonságos rendszereket és protokollokat, beleértve a nem támogatott operációs rendszereket és az örökölt protokollokat. | A támadók az örökölt eszközök, rendszerek és protokollok ismert biztonsági réseit használják belépési pontokként a szervezetbe. | |
| A váratlan forgalom letiltása gazdagépalapú tűzfallal és hálózati védelemmel. | Egyes kártevőtámadások a gazdagépek kéretlen bejövő forgalmára támaszkodnak, hogy kapcsolatot létesíthessenek egy támadáshoz. | |
| Naplózás és monitorozás az alaptervtől és a lehetséges támadásoktól való eltérések megkereséséhez és javításához (lásd: Észlelés és válasz). | Csökkenti az alapszintű biztonsági funkciókat és beállításokat figyelő zsarolóprogram-tevékenységek kockázatát. |
Számlák
Ahogy az antik csontvázkulcsok nem védik a házat a modern betörők ellen, a jelszavak nem tudják megvédeni a fiókokat a ma látható gyakori támadások ellen. Bár a többtényezős hitelesítés (MFA) egykor megterhelő extra lépés volt, a jelszó nélküli hitelesítés javítja a bejelentkezési élményt olyan biometrikus megközelítésekkel, amelyek nem követelik meg a felhasználóktól a jelszó megjegyzését vagy beírását. Emellett egy Teljes felügyelet infrastruktúra tárolja a megbízható eszközökkel kapcsolatos információkat, amelyek csökkentik a sávon kívüli MFA-műveletek bosszantó kérését.
A magas jogosultságú rendszergazdai fiókoktól kezdve szigorúan kövesse ezeket az ajánlott eljárásokat a fiókbiztonság érdekében, beleértve a jelszó nélküli vagy az MFA használatát is.
A fiókok program- és projekttag-fiókképessége
Ez a táblázat a fiókok zsarolóprogramokkal szembeni általános védelmét ismerteti egy szponzorálási/programkezelési/projektkezelési hierarchia alapján az eredmények meghatározásához és irányításához.
| Érdeklődő | Implementátor | Elszámoltathatóság |
|---|---|---|
| CISO, CIO vagy Identity Director | Vezetői szponzorálások | |
| Programvezető identitás- és kulcskezelési vagy biztonsági architektúra-csapatoktól | Eredmények és csapatközi együttműködés | |
| Informatikai és biztonsági tervezők | Az összetevők architektúrákba való integrációjának rangsorolása | |
| Identitás- és kulcskezelés vagy központi informatikai műveletek | Konfigurációs módosítások implementálása | |
| Biztonsági szabályzat és szabványok | Szabványok és szabályzatdokumentumok frissítése | |
| Biztonsági megfelelőség kezelése | Figyelés a megfelelőség biztosításához | |
| Felhasználói oktatási csapat | Jelszó vagy bejelentkezési útmutató frissítése, oktatás és változáskezelés végrehajtása |
Fiókok implementálási ellenőrzőlistája
Ezeket az ajánlott eljárásokat alkalmazva megvédheti fiókjait a ransomware-támadóktól.
| Kész | Feladatok | Leírás |
|---|---|---|
| Erős MFA- vagy jelszó nélküli bejelentkezés kényszerítése minden felhasználó számára. Kezdje a rendszergazdai és a prioritási fiókokkal az alábbiak közül egy vagy több használatával: – Jelszó nélküli hitelesítés a Windows Hello vagy a Microsoft Authenticator alkalmazással. - Azure Multi-Factor Authentication. - Külső MFA-megoldás. |
A felhasználói fiók jelszavának meghatározásával megnehezítheti a támadók számára a hitelesítő adatok feltörését. | |
| Jelszóbiztonság növelése: – Microsoft Entra-fiókok esetén a Microsoft Entra Password Protection használatával észlelheti és letilthatja az ismert gyenge jelszavakat és a szervezetre jellemző további gyenge kifejezéseket. – Helyi Active Directory Tartományi szolgáltatások (AD DS)-fiókok esetében a Microsoft Entra Password Protection kiterjesztése az AD DS-fiókokra. |
Győződjön meg arról, hogy a támadók nem tudják meghatározni a szervezet neve alapján a gyakori jelszavakat vagy jelszavakat. | |
| Naplózás és monitorozás az alaptervtől és a lehetséges támadásoktól való eltérések megkereséséhez és javításához (lásd: Észlelés és válasz). | Csökkenti az alapszintű biztonsági funkciókat és beállításokat figyelő zsarolóprogram-tevékenységek kockázatát. |
Megvalósítási eredmények és ütemtervek
Próbálja meg elérni ezeket az eredményeket 30 napon belül:
- Az alkalmazottak 100%-a aktívan használja az MFA-t
- A magasabb jelszóbiztonság 100%-os üzembe helyezése
További ransomware-erőforrások
A Microsoft legfontosabb információi:
- A zsarolóvírusok növekvő fenyegetése, a Microsoft On the Issues blogbejegyzése 2021. július 20-án
- Ember által működtetett zsarolóprogramok
- Gyors védelem a zsarolóprogramok és a zsarolás ellen
- 2021 Microsoft Digitális védelmi jelentés (lásd: 10–19. oldal)
- Ransomware: Egy átható és folyamatos fenyegetéselemzési jelentés a Microsoft Defender portálon
- A Microsoft észlelési és válaszcsapata (DART) ransomware megközelítése és esettanulmánya
Microsoft 365:
- Zsarolóprogram-védelem üzembe helyezése a Microsoft 365-bérlőn
- A Ransomware rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
- Helyreállítás zsarolóprogram-támadásból
- Kártevők és zsarolóprogramok elleni védelem
- Windows 10 rendszerű pc védelme zsarolóprogramokkal szemben
- Zsarolóprogramok kezelése a SharePoint Online-ban
- Zsarolóprogramok fenyegetéselemzési jelentései a Microsoft Defender portálon
Microsoft Defender XDR:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- A Ransomware rugalmasságának maximalizálása az Azure és a Microsoft 365 használatával
- Biztonsági mentési és visszaállítási terv a zsarolóprogramok elleni védelemhez
- Segítség a zsarolóprogramok elleni védelemhez a Microsoft Azure Backup segítségével (26 perces videó)
- Helyreállítás rendszerszintű identitás sérüléséből
- Fejlett többfázisú támadásészlelés a Microsoft Sentinelben
- Fúziós észlelés ransomware-hez a Microsoft Sentinelben
Felhőhöz készült Microsoft Defender alkalmazások:
A Microsoft Security csapatának blogbejegyzései:
3 lépés a zsarolóvírusok megelőzéséhez és helyreállításához (2021. szeptember)
Útmutató az ember által működtetett zsarolóprogramok elleni küzdelemhez: 1. rész (2021. szeptember)
A Microsoft észlelési és válaszcsapatának (DART) a zsarolóprogram-incidensek kivizsgálásához szükséges főbb lépések.
Útmutató az ember által működtetett zsarolóprogramok elleni küzdelemhez: 2. rész (2021. szeptember)
Javaslatok és ajánlott eljárások.
-
Lásd a Ransomware szakaszt.
Ember által működtetett zsarolóprogram-támadások: Megelőzhető katasztrófa (2020. március)
Tartalmazza a tényleges támadások támadáslánc-elemzését.
Ransomware-válasz – fizetni vagy nem fizetni? (2019. december)
A Norsk Hydro átláthatósággal válaszol a ransomware-támadásokra (2019. december)
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: