Daftar periksa RaMP—Kesiapan pemulihan Ransomware
Daftar periksa Rencana Modernisasi Cepat (RaMP) ini membantu Anda menyiapkan organisasi sehingga Anda memiliki alternatif yang layak untuk membayar tebusan yang diminta oleh penyerang ransomware. Meskipun penyerang yang mengendalikan organisasi Anda memiliki berbagai cara untuk menekan Anda agar membayar, tuntutan tersebut terutama berfokus pada dua kategori:
Membayar untuk mendapatkan kembali akses
Penyerang menuntut pembayaran di bawah ancaman bahwa mereka tidak akan memberi Anda akses kembali ke sistem dan data Anda. Ini paling sering dilakukan dengan mengenkripsi sistem dan data Anda dan menuntut pembayaran untuk kunci dekripsi.
Penting
Membayar tebusan tidak sesingkat dan bersih dari solusi seperti yang terlihat. Karena Anda berurusan dengan penjahat yang hanya dimotivasi oleh pembayaran (dan seringkali operator yang relatif amatir yang menggunakan toolkit yang disediakan oleh orang lain), ada banyak ketidakpastian tentang seberapa baik membayar tebusan akan benar-benar bekerja. Tidak ada jaminan hukum bahwa mereka akan memberikan kunci yang mendekripsi 100% sistem dan data Anda, atau bahkan memberikan kunci sama sekali. Proses untuk mendekripsi sistem ini menggunakan alat penyerang homegrown, yang sering kali merupakan proses yang canggung dan manual.
Bayar untuk menghindari pengungkapan
Penyerang menuntut pembayaran dengan imbalan untuk tidak merilis data sensitif atau memalukan ke web gelap (penjahat lain) atau masyarakat umum.
Untuk menghindari dipaksa pembayaran (situasi yang menguntungkan bagi penyerang), tindakan paling langsung dan efektif yang dapat Anda ambil adalah memastikan organisasi Anda dapat memulihkan seluruh perusahaan Anda dari penyimpanan yang tidak dapat diubah yang belum terinfeksi atau dienkripsi oleh serangan ransomware, yang tidak dapat Anda ubah oleh penyerang maupun Anda.
Mengidentifikasi aset yang paling sensitif dan melindunginya pada tingkat jaminan yang lebih tinggi juga sangat penting tetapi merupakan proses yang lebih panjang dan lebih menantang untuk dijalankan. Kami tidak ingin Anda menahan area lain, tetapi kami sarankan Anda memulai proses dengan menyatukan pemangku kepentingan bisnis, TI, dan keamanan untuk mengajukan dan menjawab pertanyaan seperti:
- Aset bisnis apa yang paling merusak jika disusupi? Misalnya, aset apa yang akan dikendalikan oleh kepemimpinan bisnis untuk membayar permintaan pemerasan jika penyerang mengendalikannya?
- Bagaimana aset bisnis ini diterjemahkan ke aset IT seperti file, aplikasi, database, dan server?
- Bagaimana Anda dapat melindungi atau mengisolasi aset ini sehingga penyerang dengan akses ke lingkungan IT umum tidak dapat mengaksesnya?
Pencadangan aman
Anda harus memastikan bahwa sistem penting dan datanya dicadangkan dan tidak dapat diubah untuk melindungi dari penghapusan atau enkripsi yang disarankan oleh penyerang. Cadangan harus belum terinfeksi atau dienkripsi oleh serangan ransomware, jika tidak, Anda memulihkan sekumpulan file yang dapat berisi titik masuk bagi penyerang untuk dieksploitasi setelah pemulihan.
Serangan pada cadangan Anda berfokus pada melumpuhkan kemampuan organisasi Anda untuk merespons tanpa membayar, sering menargetkan cadangan dan dokumentasi utama yang diperlukan untuk pemulihan untuk memaksa Anda membayar tuntutan pemerasan.
Sebagian besar organisasi tidak melindungi prosedur pencadangan dan pemulihan terhadap tingkat penargetan yang disengaja ini.
Catatan
Persiapan ini juga meningkatkan ketahanan terhadap bencana alam dan serangan cepat seperti WannaCry dan (Bukan)Petya.
Rencana pencadangan dan pemulihan untuk melindungi dari ransomware membahas apa yang harus dilakukan sebelum serangan untuk melindungi sistem bisnis penting Anda dan selama serangan untuk memastikan pemulihan operasi bisnis Anda yang cepat menggunakan Azure Backup dan layanan cloud Microsoft lainnya. Jika Anda menggunakan solusi pencadangan di luar lokasi yang disediakan oleh pihak ketiga, silakan lihat dokumentasi mereka.
Akuntabilitas anggota program dan proyek
Tabel ini menjelaskan perlindungan keseluruhan data Anda dari ransomware dalam hal hierarki manajemen sponsor/manajemen program/manajemen proyek untuk menentukan dan mendorong hasil.
| Lead | Pemilik | Akuntabilitas |
|---|---|---|
| Operasi TI Pusat atau CIO | Sponsor eksekutif | |
| Pimpinan program dari infrastruktur IT Tengah | Mendorong hasil dan kolaborasi lintas tim | |
| Insinyur Infrastruktur/Pencadangan | Aktifkan pencadangan Infrastruktur | |
| Admin Microsoft 365 | Menerapkan perubahan pada penyewa Microsoft 365 Anda untuk OneDrive dan Folder Terproteksi | |
| Teknisi Keamanan | Saran tentang konfigurasi dan standar | |
| Admin TI | Memperbarui standar dan dokumen kebijakan | |
| Tata Kelola Keamanan dan/atau Admin TI | Memantau untuk memastikan kepatuhan | |
| Tim Pendidikan Pengguna | Pastikan panduan untuk pengguna merekomendasikan penggunaan OneDrive dan Folder Terproteksi |
Tujuan penyebaran
Penuhi tujuan penyebaran ini untuk mengamankan infrastruktur cadangan Anda.
| Selesai | Tujuan penyebaran | Pemilik |
|---|---|---|
| 1. Lindungi dokumen pendukung yang diperlukan untuk pemulihan seperti dokumen prosedur pemulihan, database manajemen konfigurasi (CMDB), dan diagram jaringan Anda. | Arsitek atau pelaksana IT | |
| 2. Buat proses untuk mencadangkan semua sistem penting secara otomatis pada jadwal reguler dan memantau kepatuhan. | Administrator cadangan TI | |
| 3. Tetapkan proses dan jadwal untuk menjalankan rencana kelangsungan bisnis/pemulihan bencana (BCDR) Anda secara teratur. | Arsitek TI | |
| 4. Sertakan melindungi cadangan dari penghapusan dan enkripsi yang disarankan dalam rencana pencadangan Anda: - Perlindungan Kuat – Memerlukan langkah-langkah di luar band (seperti autentikasi multifaktor atau PIN) sebelum memodifikasi cadangan online (seperti Azure Backup). - Perlindungan Terkuat - Simpan cadangan dalam penyimpanan online yang tidak dapat diubah (seperti Azure Blob) dan/atau sepenuhnya offline atau di luar situs. |
Administrator cadangan TI | |
| 5. Minta pengguna Anda mengonfigurasi pencadangan OneDrive dan Folder Terproteksi. | Administrator produktivitas Microsoft 365 |
Langkah selanjutnya
Lanjutkan inisiatif data, kepatuhan, dan tata kelola dengan Langkah 3. Data.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk