Pendekatan dan praktik terbaik ransomware Microsoft DART

Ransomware yang dioperasikan manusia bukanlah masalah perangkat lunak berbahaya - ini adalah masalah kriminal manusia. Solusi yang digunakan untuk mengatasi masalah komoditas tidak cukup untuk mencegah ancaman yang lebih mirip dengan aktor ancaman negara-negara yang:

• Menonaktifkan atau menghapus instalan perangkat lunak antivirus Anda sebelum mengenkripsi file
• Menonaktifkan layanan keamanan dan pengelogan untuk menghindari deteksi
• Menemukan dan merusak atau menghapus cadangan sebelum mengirim permintaan tebusan

Tindakan ini biasanya dilakukan dengan program sah yang mungkin sudah Anda miliki di lingkungan Anda untuk tujuan administratif. Di tangan kriminal, alat-alat ini digunakan dengan jahat untuk melakukan serangan.

Menanggapi meningkatnya ancaman ransomware memerlukan kombinasi konfigurasi perusahaan modern, produk keamanan terbaru, dan kewaspadaan staf keamanan terlatih untuk mendeteksi dan merespons ancaman sebelum data hilang.

Tim Deteksi dan Respons Microsoft (DART) merespons kompromi keamanan untuk membantu pelanggan menjadi tangguh cyber. DART menyediakan respons insiden reaktif lokal dan investigasi proaktif jarak jauh. DART menggunakan kemitraan strategis Microsoft dengan organisasi keamanan di seluruh dunia dan grup produk Internal Microsoft untuk memberikan penyelidikan yang paling lengkap dan menyeluruh.

Artikel ini menjelaskan bagaimana DART menangani serangan ransomware untuk pelanggan Microsoft sehingga Anda dapat mempertimbangkan untuk menerapkan elemen pendekatan dan praktik terbaik mereka untuk playbook operasi keamanan Anda sendiri.

Lihat bagian ini untuk detailnya:

• Cara DART menggunakan layanan keamanan Microsoft
• Pendekatan DART untuk melakukan penyelidikan insiden ransomware
• Rekomendasi dan praktik terbaik DART

Catatan

Konten artikel ini berasal dari panduan A untuk memerangi ransomware yang dioperasikan manusia: Bagian 1 dan Panduan untuk memerangi ransomware yang dioperasikan manusia: Bagian 2 posting blog tim Keamanan Microsoft.

Cara DART menggunakan layanan keamanan Microsoft

DART sangat bergantung pada data untuk semua penyelidikan dan menggunakan penyebaran layanan keamanan Microsoft yang ada seperti Microsoft Defender untuk Office 365, Microsoft Defender untuk Titik Akhir, Microsoft Defender untuk Identitas, dan aplikasi Microsoft Defender untuk Cloud.

Defender for Endpoint

Defender for Endpoint adalah platform keamanan titik akhir perusahaan Microsoft yang dirancang untuk membantu analis keamanan jaringan perusahaan mencegah, mendeteksi, menyelidiki, dan merespons ancaman tingkat lanjut. Defender for Endpoint dapat mendeteksi serangan menggunakan analitik perilaku tingkat lanjut dan pembelajaran mesin. Analis Anda dapat menggunakan Defender for Endpoint untuk analitik perilaku penyerang.

Berikut adalah contoh pemberitahuan di Microsoft Defender untuk Titik Akhir untuk serangan pass-the-ticket.

Analis Anda juga dapat melakukan kueri perburuan tingkat lanjut untuk memivot indikator kompromi (IOC) atau mencari perilaku yang diketahui jika mereka mengidentifikasi grup aktor ancaman.

Berikut adalah contoh bagaimana kueri perburuan tingkat lanjut dapat digunakan untuk menemukan perilaku penyerang yang diketahui.

Di Defender for Endpoint, Anda memiliki akses ke layanan pemantauan dan analisis tingkat ahli real time oleh Pakar Ancaman Microsoft untuk aktivitas aktor yang dicurigai sedang berlangsung. Anda juga dapat berkolaborasi dengan para ahli sesuai permintaan untuk lebih banyak wawasan tentang pemberitahuan dan insiden.

Berikut adalah contoh bagaimana Defender for Endpoint menunjukkan aktivitas ransomware terperinci.

Pertahanan untuk Identitas

Anda menggunakan Defender for Identity untuk menyelidiki akun yang diketahui disusupi dan menemukan akun yang berpotensi disusupi di organisasi Anda. Defender for Identity mengirimkan pemberitahuan untuk aktivitas berbahaya yang diketahui yang sering digunakan aktor seperti serangan DCSync, upaya eksekusi kode jarak jauh, dan serangan pass-the-hash. Defender for Identity memungkinkan Anda menentukan aktivitas dan akun tersangka untuk mempersempit penyelidikan.

Berikut adalah contoh bagaimana Defender for Identity mengirimkan pemberitahuan untuk aktivitas berbahaya yang diketahui terkait dengan serangan ransomware.

Aplikasi Defender for Cloud

Defender untuk Cloud Apps (sebelumnya dikenal sebagai Microsoft Cloud App Security) memungkinkan analis Anda mendeteksi perilaku yang tidak biasa di seluruh aplikasi cloud untuk mengidentifikasi ransomware, pengguna yang disusupi, atau aplikasi nakal. Defender untuk Cloud Apps adalah solusi broker keamanan akses cloud (CASB) Microsoft yang memungkinkan pemantauan layanan cloud dan akses data di layanan cloud oleh pengguna.

Berikut adalah contoh dasbor Defender untuk Cloud Apps, yang memungkinkan analisis mendeteksi perilaku yang tidak biasa di seluruh aplikasi cloud.

Microsoft Secure Score

Set layanan Microsoft Defender XDR menyediakan rekomendasi remediasi langsung untuk mengurangi permukaan serangan. Skor Aman Microsoft adalah pengukuran postur keamanan organisasi, dengan jumlah yang lebih tinggi yang menunjukkan bahwa lebih banyak tindakan peningkatan telah diambil. Lihat dokumentasi Skor Aman untuk mengetahui selengkapnya tentang bagaimana organisasi Anda dapat menggunakan fitur ini untuk memprioritaskan tindakan remediasi yang didasarkan pada lingkungan mereka.

Pendekatan DART untuk melakukan penyelidikan insiden ransomware

Anda harus melakukan setiap upaya untuk menentukan bagaimana adversary mendapatkan akses ke aset Anda sehingga kerentanan dapat diperbaiki. Jika tidak, kemungkinan besar jenis serangan yang sama terjadi lagi di masa depan. Dalam beberapa kasus, pelaku ancaman mengambil langkah-langkah untuk menutupi jejak mereka dan menghancurkan bukti, sehingga ada kemungkinan bahwa seluruh rantai peristiwa mungkin tidak terbukti.

Berikut ini adalah tiga langkah utama dalam investigasi ransomware DART:

Langkah	Goal	Pertanyaan awal
1. Menilai situasi saat ini	Memahami cakupan	Apa yang awalnya membuat Anda menyadari serangan ransomware? Jam/tanggal berapa Anda pertama kali mengetahui insiden tersebut? Log apa yang tersedia dan apakah ada indikasi bahwa aktor saat ini mengakses sistem?
2. Identifikasi aplikasi lini bisnis (LOB) yang terpengaruh	Membuat sistem kembali online	Apakah aplikasi memerlukan identitas? Apakah cadangan aplikasi, konfigurasi, dan data tersedia? Apakah konten dan integritas cadangan diverifikasi secara teratur menggunakan latihan pemulihan?
3. Tentukan proses pemulihan kompromi (CR)	Menghapus kontrol penyerang dari lingkungan	T/A

Langkah 1: Menilai situasi saat ini

Penilaian situasi saat ini sangat penting untuk memahami cakupan insiden dan untuk menentukan orang-orang terbaik untuk membantu dan merencanakan dan mencakup tugas penyelidikan dan remediasi. Mengajukan pertanyaan awal berikut sangat penting dalam membantu menentukan situasi.

Apa yang awalnya membuat Anda menyadari serangan ransomware?

Jika staf IT Anda mengidentifikasi ancaman awal–seperti mencatat cadangan yang dihapus, peringatan antivirus, peringatan deteksi dan respons titik akhir (EDR), atau perubahan sistem yang mencurigakan–sering kali dimungkinkan untuk mengambil langkah-langkah cepat untuk menggagalkan serangan, biasanya dengan menonaktifkan semua komunikasi Internet masuk dan keluar. Ancaman ini mungkin sementara memengaruhi operasi bisnis, tetapi biasanya akan jauh lebih tidak berdampak daripada seterusnya yang menyebarkan ransomware.

Jika pengguna memanggil staf dukungan TI mengidentifikasi ancaman, mungkin ada cukup peringatan sebelumnya untuk mengambil langkah-langkah defensif untuk mencegah atau meminimalkan efek serangan. Jika entitas eksternal seperti penegak hukum atau lembaga keuangan mengidentifikasi ancaman, kemungkinan kerusakan sudah dilakukan, dan Anda akan melihat bukti di lingkungan Anda bahwa pelaku ancaman memiliki kontrol administratif atas jaringan Anda. Bukti ini dapat berkisar dari catatan ransomware, layar terkunci, atau tuntutan tebusan.

Tanggal/waktu apa yang pertama kali Anda pelajari tentang insiden tersebut?

Menetapkan tanggal dan waktu aktivitas awal penting karena membantu mempersempit cakupan triase awal untuk kemenangan cepat oleh penyerang. Pertanyaan tambahan mungkin mencakup:

• Pembaruan apa yang hilang pada tanggal tersebut? Penting untuk memahami kerentanan apa yang mungkin telah dieksploitasi oleh pejuang.
• Akun apa yang digunakan pada tanggal tersebut?
• Akun baru apa yang telah dibuat sejak tanggal tersebut?

Log apa yang tersedia, dan apakah ada indikasi bahwa aktor saat ini mengakses sistem?

Log - seperti antivirus, EDR, dan jaringan privat virtual (VPN)-adalah indikator dugaan kompromi. Pertanyaan tindak lanjut mungkin mencakup:

• Apakah log dikumpulkan dalam solusi Security Information and Event Management (SIEM) seperti Microsoft Sentinel, Splunk, ArcSight, dan lainnya-dan saat ini? Berapa periode retensi data ini?
• Apakah ada sistem yang dicurigai disusupi yang mengalami aktivitas yang tidak biasa?
• Apakah ada dugaan akun yang disusupi yang tampaknya secara aktif digunakan oleh musuh?
• Apakah ada bukti perintah dan kontrol aktif (C2) di EDR, firewall, VPN, proksi web, dan log lainnya?

Sebagai bagian dari menilai situasi saat ini, Anda mungkin memerlukan pengontrol domain Active Directory Domain Services (AD DS) yang tidak disusupi, cadangan pengontrol domain baru-baru ini, atau pengendali domain terbaru yang diambil offline untuk pemeliharaan atau peningkatan. Tentukan juga apakah autentikasi multifaktor (MFA) diperlukan untuk semua orang di perusahaan dan apakah ID Microsoft Entra digunakan.

Langkah 2: Identifikasi aplikasi LOB yang tidak tersedia karena insiden

Langkah ini sangat penting untuk mencari tahu cara tercepat untuk membuat sistem kembali online sambil mendapatkan bukti yang diperlukan.

Apakah aplikasi memerlukan identitas?

• Bagaimana autentikasi dilakukan?
• Bagaimana kredensial seperti sertifikat atau rahasia disimpan dan dikelola?

Apakah cadangan aplikasi, konfigurasi, dan data yang diuji tersedia?

• Apakah konten dan integritas cadangan diverifikasi secara teratur menggunakan latihan pemulihan? Pemeriksaan ini sangat penting setelah manajemen konfigurasi berubah atau peningkatan versi.

Langkah 3: Tentukan proses pemulihan kompromi

Langkah ini mungkin diperlukan jika Anda telah menentukan bahwa sarana kontrol, yang biasanya AD DS, telah disusupi.

Penyelidikan Anda harus selalu memiliki tujuan untuk memberikan output yang mengumpan langsung ke dalam proses CR. CR adalah proses yang menghapus kontrol penyerang dari lingkungan dan secara taktis meningkatkan postur keamanan dalam periode yang ditetapkan. CR terjadi pelanggaran pasca-keamanan. Untuk mempelajari selengkapnya tentang CR, baca CRSP tim Praktik Keamanan Microsoft Compromise Recovery: Tim darurat yang memerangi serangan cyber di samping artikel blog pelanggan .

Setelah mengumpulkan respons terhadap pertanyaan di langkah 1 dan 2, Anda dapat membuat daftar tugas dan menetapkan pemilik. Faktor utama dalam keterlibatan respons insiden yang berhasil adalah dokumentasi menyeluruh dan terperinci dari setiap item kerja (seperti pemilik, status, temuan, tanggal, dan waktu), membuat kompilasi temuan di akhir keterlibatan menjadi proses yang mudah.

Rekomendasi dan praktik terbaik DART

Berikut adalah rekomendasi dan praktik terbaik DART untuk kegiatan penahanan dan pasca-insiden.

Penahanan

Penahanan hanya dapat terjadi setelah Anda menentukan apa yang perlu dimuat. Dalam kasus ransomware, tujuan adversary adalah untuk mendapatkan kredensial yang memungkinkan kontrol administratif atas server yang sangat tersedia dan kemudian menyebarkan ransomware. Dalam beberapa kasus, pelaku ancaman mengidentifikasi data sensitif dan menyelundupkannya ke lokasi yang mereka kontrol.

Pemulihan taktis unik untuk lingkungan, industri, dan tingkat keahlian dan pengalaman IT organisasi Anda. Langkah-langkah yang diuraikan di bawah ini direkomendasikan untuk langkah-langkah penahanan jangka pendek dan taktis yang dapat dilakukan organisasi Anda. Untuk mempelajari selengkapnya tentang panduan jangka panjang, lihat mengamankan akses istimewa. Untuk pandangan komprehensif tentang ransomware dan pemerasan serta cara mempersiapkan dan melindungi organisasi Anda, lihat Ransomware yang dioperasikan manusia.

Langkah-langkah penahanan berikut dapat dilakukan secara bersamaan saat vektor ancaman baru ditemukan.

Langkah 1: Menilai cakupan situasi

• Akun pengguna mana yang disusupi?
• Perangkat mana yang terpengaruh?
• Aplikasi mana yang terpengaruh?

Langkah 2: Pertahankan sistem yang ada

• Nonaktifkan semua akun pengguna istimewa kecuali untuk sejumlah kecil akun yang digunakan oleh admin Anda untuk membantu mengatur ulang integritas infrastruktur AD DS Anda. Jika Anda yakin akun pengguna disusupi, nonaktifkan segera.
• Isolasi sistem yang disusupi dari jaringan, tetapi jangan matikan.
• Mengisolasi setidaknya satu pengendali domain yang baik yang diketahui di setiap domain-dua bahkan lebih baik. Putuskan sambungan dari jaringan atau matikan sepenuhnya. Objek ini untuk menghentikan penyebaran ransomware ke identitas sistem penting yang menjadi salah satu yang paling rentan. Jika semua pengontrol domain Anda virtual, pastikan bahwa sistem platform virtualisasi dan drive data dicadangkan ke media eksternal offline yang tidak terhubung ke jaringan, jika platform virtualisasi itu sendiri disusupi.
• Mengisolasi server aplikasi bagus yang diketahui penting, misalnya SAP, database manajemen konfigurasi (CMDB), penagihan, dan sistem akuntansi.

Kedua langkah ini dapat dilakukan secara bersamaan saat vektor ancaman baru ditemukan. Nonaktifkan vektor ancaman tersebut dan kemudian coba temukan sistem yang baik yang diketahui untuk mengisolasi dari jaringan.

Tindakan penahanan taktis lainnya dapat mencakup:

• Atur ulang kata sandi krbtgt, dua kali berturut-turut dengan cepat. Pertimbangkan untuk menggunakan proses berskrip dan dapat diulang. Skrip ini memungkinkan Anda mengatur ulang kata sandi akun krbtgt dan kunci terkait sambil meminimalkan kemungkinan masalah autentikasi Kerberos yang disebabkan oleh operasi. Untuk meminimalkan potensi masalah, masa pakai krbtgt dapat dikurangi satu atau beberapa kali sebelum reset kata sandi pertama sehingga kedua reset dilakukan dengan cepat. Perhatikan bahwa semua pengendali domain yang Anda rencanakan untuk disimpan di lingkungan Anda harus online.

• Sebarkan Kebijakan Grup ke seluruh domain yang mencegah login istimewa (Admin Domain) ke apa pun kecuali pengendali domain dan stasiun kerja khusus administratif istimewa (jika ada).

• Instal semua pembaruan keamanan yang hilang untuk sistem operasi dan aplikasi. Setiap pembaruan yang hilang adalah vektor ancaman potensial yang dapat diidentifikasi dan dieksploitasi dengan cepat. Microsoft Defender untuk Titik AkhirManajemen Ancaman dan Kerentanan menyediakan cara mudah untuk melihat dengan tepat apa yang hilang serta dampak potensial dari pembaruan yang hilang.

  • Untuk perangkat Windows 10 (atau lebih tinggi), konfirmasikan bahwa versi saat ini (atau n-1) berjalan di setiap perangkat.

  • Menyebarkan aturan pengurangan permukaan serangan (ASR) untuk mencegah infeksi malware.

  • Aktifkan semua fitur keamanan Windows 10.

• Periksa apakah setiap aplikasi eksternal yang menghadap, termasuk akses VPN, dilindungi oleh autentikasi multifaktor, sebaiknya menggunakan aplikasi autentikasi yang berjalan pada perangkat aman.

• Untuk perangkat yang tidak menggunakan Defender for Endpoint sebagai perangkat lunak antivirus utamanya, jalankan pemindaian penuh dengan Microsoft Brankas ty Scanner pada sistem baik yang diketahui terisolasi sebelum menyambungkannya kembali ke jaringan.

• Untuk sistem operasi warisan apa pun, tingkatkan ke OS yang didukung atau nonaktifkan perangkat ini. Jika opsi ini tidak tersedia, ambil setiap langkah yang mungkin untuk mengisolasi perangkat ini, termasuk isolasi jaringan/VLAN, aturan keamanan Protokol Internet (IPsec), dan pembatasan masuk, sehingga hanya dapat diakses oleh aplikasi oleh pengguna/perangkat untuk memberikan kelangsungan bisnis.

Konfigurasi paling berisiko terdiri dari menjalankan sistem penting misi pada sistem operasi warisan setingkat Windows NT 4.0 dan aplikasi, semuanya pada perangkat keras warisan. Sistem operasi dan aplikasi ini tidak aman dan rentan, jika perangkat keras tersebut gagal, cadangan biasanya tidak dapat dipulihkan pada perangkat keras modern. Kecuali perangkat keras warisan pengganti tersedia, aplikasi ini berhenti berfungsi. Sangat mempertimbangkan untuk mengonversi aplikasi ini agar berjalan pada sistem operasi dan perangkat keras saat ini.

Aktivitas pasca-insiden

DART merekomendasikan penerapan rekomendasi keamanan dan praktik terbaik berikut setelah setiap insiden.

• Pastikan praktik terbaik tersedia untuk solusi email dan kolaborasi agar penyerang lebih sulit untuk menyalahgunakannya sekaligus memungkinkan pengguna internal mengakses konten eksternal dengan mudah dan aman.

• Ikuti praktik terbaik keamanan Zero Trust untuk solusi akses jarak jauh ke sumber daya organisasi internal.

• Dimulai dengan administrator dampak penting, ikuti praktik terbaik untuk keamanan akun termasuk menggunakan autentikasi tanpa kata sandi atau MFA.

• Terapkan strategi komprehensif untuk mengurangi risiko kompromi akses istimewa.

  • Untuk akses administratif cloud dan forest/domain, gunakan model akses istimewa (PAM) Microsoft.

  • Untuk manajemen administratif titik akhir, gunakan solusi kata sandi administratif lokal (LAPS).

• Terapkan perlindungan data untuk memblokir teknik ransomware dan untuk mengonfirmasi pemulihan yang cepat dan andal dari serangan.

• Tinjau sistem penting Anda. Periksa perlindungan dan pencadangan terhadap penghapusan atau enkripsi penyerang yang disarankan. Penting bahwa Anda secara berkala menguji dan memvalidasi cadangan ini.

• Pastikan deteksi cepat dan remediasi serangan umum pada titik akhir, email, dan identitas.

• Secara aktif menemukan dan terus meningkatkan postur keamanan lingkungan Anda.

• Perbarui proses organisasi untuk mengelola peristiwa ransomware utama dan menyederhanakan outsourcing untuk menghindari gesekan.

PAM

Menggunakan PAM (sebelumnya dikenal sebagai model administrasi berjenjang) meningkatkan postur keamanan ID Microsoft Entra, yang melibatkan:

• Memutus akun administratif dalam akun lingkungan -satu "terencana" untuk setiap tingkat, biasanya empat:

• Sarana Kontrol (sebelumnya Tingkat 0): Administrasi pengendali domain dan layanan identitas penting lainnya, seperti Active Directory Federation Services (ADFS) atau Microsoft Entra Koneksi, yang juga mencakup aplikasi server yang memerlukan izin administratif ke AD DS, seperti Server Exchange.

• Dua pesawat berikutnya sebelumnya Tier 1:

  • Bidang Manajemen: Manajemen aset, pemantauan, dan keamanan.

  • Data/Sarana Beban Kerja: Aplikasi dan server aplikasi.

• Dua pesawat berikutnya sebelumnya Tier 2:

  • Akses Pengguna: Hak akses untuk pengguna (seperti akun).

  • Akses Aplikasi: Hak akses untuk aplikasi.

• Masing-masing bidang ini memiliki stasiun kerja administratif terpisah untuk setiap bidang dan hanya memiliki akses ke sistem dalam bidang tersebut. Akun lain dari bidang lain ditolak akses ke stasiun kerja dan server di bidang lain melalui penetapan hak pengguna yang diatur ke komputer tersebut.

Hasil bersih dari PAM adalah bahwa:

• Akun pengguna yang disusupi hanya memiliki akses ke bidang tempat akun tersebut berada.

• Akun pengguna yang lebih sensitif tidak akan masuk ke stasiun kerja dan server dengan tingkat keamanan bidang yang lebih rendah, sehingga mengurangi gerakan lateral.

LAP

Secara default, Microsoft Windows dan AD DS tidak memiliki manajemen terpusat akun administratif lokal di stasiun kerja dan server anggota. Ini dapat mengakibatkan kata sandi umum yang diberikan untuk semua akun lokal ini, atau setidaknya dalam kelompok komputer. Situasi ini memungkinkan penyerang untuk membahayakan satu akun administrator lokal, lalu menggunakan akun tersebut untuk mendapatkan akses ke stasiun kerja atau server lain di organisasi.

LAPS Microsoft mengurangi ini dengan menggunakan ekstensi sisi klien Kebijakan Grup yang mengubah kata sandi administratif lokal secara berkala pada stasiun kerja dan server sesuai dengan kebijakan yang ditetapkan. Masing-masing kata sandi ini berbeda dan disimpan sebagai atribut di objek komputer AD DS. Atribut ini dapat diambil dari aplikasi klien sederhana, tergantung pada izin yang ditetapkan ke atribut tersebut.

LAPS mengharuskan skema AD DS diperluas untuk memungkinkan atribut tambahan, templat Kebijakan Grup LAPS untuk diinstal, dan ekstensi sisi klien kecil untuk diinstal di setiap stasiun kerja dan server anggota untuk menyediakan fungsionalitas sisi klien.

Anda bisa mendapatkan LAPS dari Pusat Unduhan Microsoft.

Sumber daya ransomware tambahan

Informasi utama dari Microsoft:

• Ancaman ransomware yang berkembang, Microsoft Pada posting blog Masalah pada 20 Juli 2021
• Ransomware yang dioperasikan manusia
• Melindungi dengan cepat dari ransomware dan pemerasan
• Laporan Pertahanan Digital Microsoft 2021 (lihat halaman 10-19)
• Ransomware: Laporan analitik ancaman ancaman yang meresap dan berkelanjutan di portal Pertahanan Microsoft
• Studi kasus ransomware Microsoft DART

Microsoft 365:

• Menyebarkan perlindungan ransomware untuk penyewa Microsoft 365 Anda
• Memaksimalkan Ketahanan Ransomware dengan Azure dan Microsoft 365
• Pulih dari serangan ransomware
• Perlindungan terhadap malware dan ransomware
• Melindungi PC Windows 10 Anda dari ransomware
• Menangani ransomware di SharePoint Online
• Laporan analitik ancaman untuk ransomware di portal Pertahanan Microsoft

Microsoft Defender XDR:

• Menemukan ransomware dengan perburuan lanjutan

Microsoft Azure:

• Azure Defenses untuk Serangan Ransomware
• Memaksimalkan Ketahanan Ransomware dengan Azure dan Microsoft 365
• Rencana pencadangan dan pemulihan untuk melindungi dari ransomware
• Membantu melindungi dari ransomware dengan Microsoft Azure Backup (video 26 menit)
• Memulihkan dari penyusupan identitas sistemik
• Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel
• Deteksi Fusion untuk Ransomware di Microsoft Azure Sentinel

Aplikasi Microsoft Defender untuk Cloud:

• Membuat kebijakan deteksi anomali di Defender untuk Cloud Apps

Posting blog tim Microsoft Security:

• Tiga langkah untuk mencegah dan memulihkan ransomware (September 2021)

• Panduan untuk memerangi ransomware yang dioperasikan manusia: Bagian 1 (September 2021)

  Langkah-langkah utama tentang bagaimana DART Microsoft melakukan penyelidikan insiden ransomware.

• Panduan untuk memerangi ransomware yang dioperasikan manusia: Bagian 2 (September 2021)

  Rekomendasi dan praktik terbaik.

• Menjadi tangguh dengan memahami risiko keamanan cyber: Bagian 4 menavigasi ancaman saat ini (Mei 2021)

  Lihat bagian Ransomware .

• Serangan ransomware yang dioperasikan manusia: Bencana yang dapat dicegah (Maret 2020)

  Termasuk analisis rantai serangan dari serangan aktual.

• Respons ransomware untuk membayar atau tidak membayar? (Desember 2019)

• Norsk Hydro menanggapi serangan ransomware dengan transparansi (Desember 2019)