Fase 2: Batasi cakupan kerusakan

Dalam fase ini, Anda melindungi peran istimewa untuk mencegah penyerang mendapatkan cakupan akses yang besar untuk potensi kerusakan pada data dan sistem.

Strategi akses istimewa

Anda harus menerapkan strategi komprehensif untuk mengurangi risiko penyusupan akses istimewa.

Semua kontrol keamanan lainnya dapat dengan mudah dibatalkan oleh penyerang dengan akses istimewa di lingkungan Anda. Penyerang ransomware menggunakan akses istimewa sebagai jalur cepat untuk mengontrol semua aset penting dalam organisasi untuk serangan dan pemerasan berikutnya.

Akuntabilitas anggota program dan proyek

Tabel ini menjelaskan strategi akses istimewa terhadap ransomware dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.

Lead Pelaksana Akuntabilitas
CISO atau CIO Sponsor eksekutif
Prospek program Mendorong hasil dan kolaborasi lintas tim
Arsitek TI dan Keamanan Memprioritaskan komponen yang terintegrasi ke dalam arsitektur
Manajemen Identitas dan Kunci Menerapkan perubahan identitas
TI Tengah Tim Produktivitas / Pengguna Akhir Menerapkan perubahan pada perangkat dan penyewa Office 365
Kebijakan dan Standar Keamanan Memperbarui standar dan dokumen kebijakan
Manajemen Kepatuhan Keamanan Memantau untuk memastikan kepatuhan
Tim Pendidikan Pengguna Memperbarui panduan kata sandi apa pun

Daftar periksa penerapan

Bangun strategi multi-bagian menggunakan panduan di https://aka.ms/SPA yang mencakup daftar periksa ini.

Selesai Tugas Deskripsi
Menerapkan keamanan sesi end-to-end. Secara eksplisit memvalidasi kepercayaan pengguna dan perangkat sebelum mengizinkan akses ke antarmuka administratif (menggunakan Akses Bersyar Azure Active Directory).
Melindungi dan memantau sistem identitas. Mencegah serangan eskalasi hak istimewa termasuk direktori, manajemen identitas, akun dan grup administrator, dan konfigurasi pemberian persetujuan.
Mitigasi traversal lateral. Memastikan bahwa mengorbankan satu perangkat tidak segera mengarah pada kontrol banyak atau semua perangkat lain menggunakan kata sandi akun lokal, kata sandi akun layanan, atau rahasia lainnya.
Pastikan respons ancaman yang cepat. Membatasi akses dan waktu adversary di lingkungan. Lihat Deteksi dan Respons untuk informasi selengkapnya.

Hasil implementasi dan garis waktu

Cobalah untuk mencapai hasil ini dalam 30-90 hari:

  • 100 % admin diperlukan untuk menggunakan stasiun kerja yang aman
  • 100 % kata sandi stasiun kerja/server lokal diacak
  • Mitigasi eskalasi hak istimewa 100 % disebarkan

Deteksi dan respons

Organisasi Anda memerlukan deteksi responsif dan remediasi serangan umum pada titik akhir, email, dan identitas. Menit penting. Anda harus memulihkan titik masuk serangan umum dengan cepat untuk membatasi waktu penyerang untuk melintasi organisasi Anda secara lateral.

Akuntabilitas anggota program dan proyek

Tabel ini menjelaskan peningkatan kemampuan deteksi dan respons Anda terhadap ransomware dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.

Lead Pelaksana Akuntabilitas
CISO atau CIO Sponsor eksekutif
Prospek program dari Operasi Keamanan Mendorong hasil dan kolaborasi lintas tim
TI Tengah Tim Infrastruktur Menerapkan agen/fitur klien dan server
Operasi Keamanan Mengintegrasikan alat baru apa pun ke dalam proses operasi keamanan
TI Tengah Tim Produktivitas / Pengguna Akhir Mengaktifkan fitur untuk Pertahanan untuk Titik Akhir, Pertahanan untuk Office 365, Pertahanan untuk Identitas, dan Aplikasi Defender for Cloud
TI Tengah Tim Identitas Menerapkan keamanan Azure Active Directory dan Defender for Identity
Arsitek Keamanan Menyarankan konfigurasi, standar, dan peralatan
Kebijakan dan Standar Keamanan Memperbarui standar dan dokumen kebijakan
Manajemen Kepatuhan Keamanan Memantau untuk memastikan kepatuhan

Daftar periksa penerapan

Terapkan praktik terbaik ini untuk meningkatkan deteksi dan respons Anda.

Selesai Tugas Deskripsi
Prioritaskan titik masuk umum:

- Gunakan alat Extended Detection and Response (XDR) terintegrasi seperti Pertahanan Microsoft 365 untuk memberikan pemberitahuan berkualitas tinggi dan meminimalkan gesekan dan langkah manual selama respons.

- Pantau upaya brute-force seperti semprotan kata sandi.
Operator ransomware (dan lainnya) mendukung titik akhir, email, identitas, dan RDP sebagai titik masuk.
Pantau untuk iklan yang menonaktifkan keamanan (ini sering menjadi bagian dari rantai serangan), seperti:

- Pembersihan log peristiwa, terutama log Peristiwa Keamanan dan log Operasional PowerShell.

- Menonaktifkan alat dan kontrol keamanan.
Penyerang menargetkan fasilitas deteksi keamanan untuk melanjutkan serangan mereka dengan lebih aman.
Jangan abaikan malware komoditas. Penyerang ransomware secara teratur membeli akses ke organisasi target dari pasar gelap.
Integrasikan pakar luar ke dalam proses untuk melengkapi keahlian, seperti Microsoft Detection and Response Team (DART). Jumlah pengalaman untuk deteksi dan pemulihan.
Mengisolasi komputer yang disusupi dengan cepat menggunakan Pertahanan untuk Titik Akhir. Integrasi Windows 11 dan 10 memudahkan hal ini.

Langkah selanjutnya

Phase 3. Make it hard to get in

Lanjutkan dengan Fase 3 untuk mempermudah penyerang masuk ke lingkungan Anda dengan menghapus risiko secara bertahap.

Sumber daya ransomware tambahan

Informasi utama dari Microsoft:

Microsoft 365:

Pertahanan Microsoft 365:

Microsoft Azure:

Aplikasi Pertahanan Microsoft untuk Cloud:

Posting blog tim Microsoft Security: