Fase 2: Batasi cakupan kerusakan
Dalam fase ini, Anda melindungi peran istimewa untuk mencegah penyerang mendapatkan cakupan akses yang besar untuk potensi kerusakan pada data dan sistem.
Strategi akses istimewa
Anda harus menerapkan strategi komprehensif untuk mengurangi risiko penyusupan akses istimewa.
Semua kontrol keamanan lainnya dapat dengan mudah dibatalkan oleh penyerang dengan akses istimewa di lingkungan Anda. Penyerang ransomware menggunakan akses istimewa sebagai jalur cepat untuk mengontrol semua aset penting dalam organisasi untuk serangan dan pemerasan berikutnya.
Akuntabilitas anggota program dan proyek
Tabel ini menjelaskan strategi akses istimewa terhadap ransomware dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.
| Lead | Pelaksana | Akuntabilitas |
|---|---|---|
| CISO atau CIO | Sponsor eksekutif | |
| Prospek program | Mendorong hasil dan kolaborasi lintas tim | |
| Arsitek TI dan Keamanan | Memprioritaskan komponen yang terintegrasi ke dalam arsitektur | |
| Manajemen Identitas dan Kunci | Menerapkan perubahan identitas | |
| TI Tengah Tim Produktivitas / Pengguna Akhir | Menerapkan perubahan pada perangkat dan penyewa Office 365 | |
| Kebijakan dan Standar Keamanan | Memperbarui standar dan dokumen kebijakan | |
| Manajemen Kepatuhan Keamanan | Memantau untuk memastikan kepatuhan | |
| Tim Pendidikan Pengguna | Memperbarui panduan kata sandi apa pun | |
Daftar periksa penerapan
Bangun strategi multi-bagian menggunakan panduan di https://aka.ms/SPA yang mencakup daftar periksa ini.
| Selesai | Tugas | Deskripsi |
|---|---|---|
| Menerapkan keamanan sesi end-to-end. | Secara eksplisit memvalidasi kepercayaan pengguna dan perangkat sebelum mengizinkan akses ke antarmuka administratif (menggunakan Akses Bersyar Azure Active Directory). | |
| Melindungi dan memantau sistem identitas. | Mencegah serangan eskalasi hak istimewa termasuk direktori, manajemen identitas, akun dan grup administrator, dan konfigurasi pemberian persetujuan. | |
| Mitigasi traversal lateral. | Memastikan bahwa mengorbankan satu perangkat tidak segera mengarah pada kontrol banyak atau semua perangkat lain menggunakan kata sandi akun lokal, kata sandi akun layanan, atau rahasia lainnya. | |
| Pastikan respons ancaman yang cepat. | Membatasi akses dan waktu adversary di lingkungan. Lihat Deteksi dan Respons untuk informasi selengkapnya. | |
Hasil implementasi dan garis waktu
Cobalah untuk mencapai hasil ini dalam 30-90 hari:
- 100 % admin diperlukan untuk menggunakan stasiun kerja yang aman
- 100 % kata sandi stasiun kerja/server lokal diacak
- Mitigasi eskalasi hak istimewa 100 % disebarkan
Deteksi dan respons
Organisasi Anda memerlukan deteksi responsif dan remediasi serangan umum pada titik akhir, email, dan identitas. Menit penting. Anda harus memulihkan titik masuk serangan umum dengan cepat untuk membatasi waktu penyerang untuk melintasi organisasi Anda secara lateral.
Akuntabilitas anggota program dan proyek
Tabel ini menjelaskan peningkatan kemampuan deteksi dan respons Anda terhadap ransomware dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.
| Lead | Pelaksana | Akuntabilitas |
|---|---|---|
| CISO atau CIO | Sponsor eksekutif | |
| Prospek program dari Operasi Keamanan | Mendorong hasil dan kolaborasi lintas tim | |
| TI Tengah Tim Infrastruktur | Menerapkan agen/fitur klien dan server | |
| Operasi Keamanan | Mengintegrasikan alat baru apa pun ke dalam proses operasi keamanan | |
| TI Tengah Tim Produktivitas / Pengguna Akhir | Mengaktifkan fitur untuk Pertahanan untuk Titik Akhir, Pertahanan untuk Office 365, Pertahanan untuk Identitas, dan Aplikasi Defender for Cloud | |
| TI Tengah Tim Identitas | Menerapkan keamanan Azure Active Directory dan Defender for Identity | |
| Arsitek Keamanan | Menyarankan konfigurasi, standar, dan peralatan | |
| Kebijakan dan Standar Keamanan | Memperbarui standar dan dokumen kebijakan | |
| Manajemen Kepatuhan Keamanan | Memantau untuk memastikan kepatuhan | |
Daftar periksa penerapan
Terapkan praktik terbaik ini untuk meningkatkan deteksi dan respons Anda.
| Selesai | Tugas | Deskripsi |
|---|---|---|
| Prioritaskan titik masuk umum: - Gunakan alat Extended Detection and Response (XDR) terintegrasi seperti Pertahanan Microsoft 365 untuk memberikan pemberitahuan berkualitas tinggi dan meminimalkan gesekan dan langkah manual selama respons. - Pantau upaya brute-force seperti semprotan kata sandi. |
Operator ransomware (dan lainnya) mendukung titik akhir, email, identitas, dan RDP sebagai titik masuk. | |
| Pantau untuk iklan yang menonaktifkan keamanan (ini sering menjadi bagian dari rantai serangan), seperti: - Pembersihan log peristiwa, terutama log Peristiwa Keamanan dan log Operasional PowerShell. - Menonaktifkan alat dan kontrol keamanan. |
Penyerang menargetkan fasilitas deteksi keamanan untuk melanjutkan serangan mereka dengan lebih aman. | |
| Jangan abaikan malware komoditas. | Penyerang ransomware secara teratur membeli akses ke organisasi target dari pasar gelap. | |
| Integrasikan pakar luar ke dalam proses untuk melengkapi keahlian, seperti Microsoft Detection and Response Team (DART). | Jumlah pengalaman untuk deteksi dan pemulihan. | |
| Mengisolasi komputer yang disusupi dengan cepat menggunakan Pertahanan untuk Titik Akhir. | Integrasi Windows 11 dan 10 memudahkan hal ini. | |
Langkah selanjutnya
Lanjutkan dengan Fase 3 untuk mempermudah penyerang masuk ke lingkungan Anda dengan menghapus risiko secara bertahap.
Sumber daya ransomware tambahan
Informasi utama dari Microsoft:
- Ancaman ransomware yang berkembang, Microsoft Pada posting blog Masalah pada 20 Juli 2021
- Ransomware yang dioperasikan manusia
- Melindungi dengan cepat dari ransomware dan pemerasan
- Laporan Pertahanan Digital Microsoft 2021 (lihat halaman 10-19)
- Ransomware: Laporan analitik ancaman ancaman yang meresap dan berkelanjutan di portal Pertahanan Microsoft 365
- Pendekatan ransomware Tim Deteksi dan Respons Microsoft (DART) dan studi kasus
Microsoft 365:
- Menyebarkan perlindungan ransomware untuk penyewa Microsoft 365 Anda
- Memaksimalkan Ketahanan Ransomware dengan Azure dan Microsoft 365
- Pulih dari serangan ransomware
- Perlindungan terhadap malware dan ransomware
- Melindungi PC Windows 10 Anda dari ransomware
- Menangani ransomware di SharePoint Online
- Laporan analitik ancaman untuk ransomware di portal Pertahanan Microsoft 365
Pertahanan Microsoft 365:
Microsoft Azure:
- Azure Defenses untuk Serangan Ransomware
- Memaksimalkan Ketahanan Ransomware dengan Azure dan Microsoft 365
- Rencana pencadangan dan pemulihan untuk melindungi terhadap ransomware
- Membantu melindungi dari ransomware dengan Microsoft Azure Backup (video 26 menit)
- Memulihkan dari kompromi identitas sistemik
- Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel
- Deteksi Fusion untuk Ransomware di Microsoft Azure Sentinel
Aplikasi Pertahanan Microsoft untuk Cloud:
Posting blog tim Microsoft Security:
3 langkah untuk mencegah dan memulihkan dari ransomware (September 2021)
Panduan untuk memerangi ransomware yang dioperasikan manusia: Bagian 1 (September 2021)
Langkah-langkah utama tentang bagaimana Tim Deteksi dan Respons (DART) Microsoft melakukan penyelidikan insiden ransomware.
Panduan untuk memerangi ransomware yang dioperasikan manusia: Bagian 2 (September 2021)
Rekomendasi dan praktik terbaik.
-
Lihat bagian Ransomware .
Serangan ransomware yang dioperasikan manusia: Bencana yang dapat dicegah (Maret 2020)
Termasuk rantai serangan menganalisis serangan aktual.
Respons ransomware—untuk membayar atau tidak? (Desember 2019)
Norsk Hydro menanggapi serangan ransomware dengan transparansi (Desember 2019)