Fase 1: Uw herstelplan voorbereiden
Het eerste wat u voor deze aanvallen moet doen, is uw organisatie voorbereiden, zodat het een haalbaar alternatief heeft voor het betalen van het rantsoen. Hoewel aanvallers de controle over uw organisatie hebben op verschillende manieren om u onder druk te zetten om te betalen, zijn de eisen voornamelijk gericht op twee categorieën:
Betalen om weer toegang te krijgen
Aanvallers eisen betaling onder de dreiging dat ze u geen toegang meer geven tot uw systemen en gegevens. Dit wordt het meest gedaan door uw systemen en gegevens te versleutelen en betaling te eisen voor de ontsleutelingssleutel.
Belangrijk
Het betalen van het rantsoen is niet zo eenvoudig en schoon van een oplossing als het lijkt. Omdat u te maken hebt met criminelen die alleen worden gemotiveerd door betaling (en vaak relatief amateur-operatoren die een toolkit van iemand anders gebruiken), is er veel onzekerheid over hoe goed het betalen van het los geld daadwerkelijk werkt. Er is geen wettelijke garantie dat deze een sleutel levert die 100% van uw systemen en gegevens ontsleutelt of zelfs helemaal geen sleutel verstrekt. Bij het ontsleutelen van deze systemen wordt gebruikgemaakt van hulpprogramma's voor eigen gebruik van aanvallers, wat vaak een onhandig en handmatig proces is.
Betalen om openbaarmaking te voorkomen
Aanvallers eisen betaling in ruil voor het niet vrijgeven van gevoelige of gênante gegevens op het donkere web (andere criminelen) of het grote publiek.
Om te voorkomen dat u wordt gedwongen tot betaling (de voordelige situatie voor aanvallers), kunt u de meest directe en effectieve actie ondernemen om ervoor te zorgen dat uw organisatie uw hele onderneming kan herstellen van onveranderlijke opslag, die noch de aanvaller, noch u kunt wijzigen.
Het identificeren van de meest gevoelige activa en het beschermen ervan op een hoger betrouwbaarheidsniveau is ook van essentieel belang, maar is een langer en uitdagender proces om uit te voeren. We willen niet dat u andere gebieden in fase 1 of 2 in stand houdt, maar we raden u aan het proces op gang te brengen door zakelijke, IT- en beveiligings belanghebbenden samen te brengen om vragen te stellen en te beantwoorden, zoals:
- Welke zakelijke activa zijn het schadelijkst als ze worden gecompromitteerd? Welke activa zouden bedrijfsleiding bijvoorbeeld bereid zijn om een afpersingsvraag te betalen als aanvallers ze controleerden?
- Hoe vertalen deze bedrijfsactiva zich naar IT-assets (bestanden, toepassingen, databases, servers, enzovoort)?
- Hoe kunnen we deze assets beschermen of isoleren, zodat aanvallers met toegang tot de algemene IT-omgeving er geen toegang toe hebben?
Back-ups beveiligen
U moet ervoor zorgen dat kritieke systemen en hun gegevens worden geback-upt en dat back-ups worden beveiligd tegen opzettelijke wissen of versleuteling door een aanvaller.
Aanvallen op uw back-ups zijn gericht op het verlammen van de mogelijkheid van uw organisatie om te reageren zonder te betalen, vaak gericht op back-ups en belangrijke documentatie die nodig zijn voor herstel, om u te dwingen afpersingseisen te betalen.
De meeste organisaties beschermen back-up- en herstelprocedures niet tegen dit niveau van doelbewuste targeting.
Opmerking
Deze voorbereiding verbetert ook de tolerantie voor natuurrampen en snelle aanvallen zoals WannaCry en (Niet)Petya.
Back-up maken en herstellen van plan om te beschermen tegen ransomware adressen wat te doen vóór een aanval om uw kritieke bedrijfssystemen te beschermen en tijdens een aanval om ervoor te zorgen dat uw bedrijfsactiviteiten snel worden hersteld.
Accountmogelijkheden voor programma- en projectlid
In deze tabel wordt de algehele beveiliging van uw gegevens tegen ransomware beschreven in termen van een sponsor/programmabeheer/projectmanagementhiërarchie om de resultaten te bepalen en te bepalen.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| Centrale IT Operations of CIO | Executive sponsoring | |
| Program lead from Central IT infrastructure | Resultaten en samenwerking tussen verschillende teams stimuleren | |
| Centrale IT Infrastructuur/back-up | Back-up van infrastructuur inschakelen | |
| Centrale IT Productiviteit / Eindgebruiker | Back-OneDrive inschakelen | |
| Beveiligingsarchitectuur | Advies over configuratie en standaarden | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligings compliancebeheer | Controleren om naleving te waarborgen | |
Controlelijst voor implementatie
Pas deze best practices toe om uw back-upinfrastructuur te beveiligen.
| Klaar | Taak | Beschrijving |
|---|---|---|
| Back-up maken van alle kritieke systemen automatisch volgens een normale planning. | Hiermee kunt u gegevens tot de laatste back-up herstellen. | |
| Oefen regelmatig uw plan voor bedrijfscontinuïteit/noodherstel (BC/DR). | Zorgt voor een snel herstel van bedrijfsprocessen door een ransomware- of afpersingsaanval te behandelen met hetzelfde belang als een natuurramp. | |
| Back-ups beschermen tegen doelbewuste wissen en versleuteling: - Sterke beveiliging: vereist out-of-bandstappen (MFA of pincode) voordat u onlineback-ups (zoals Azure Backup) wijzigt. - Sterkste beveiliging: sla back-ups op in online onveranderlijke opslag (zoals Azure Blob)en/of volledig offline of off-site. |
Back-ups die toegankelijk zijn voor aanvallers, kunnen onbruikbaar worden gemaakt voor bedrijfsherstel. | |
| Bescherm ondersteunende documenten die nodig zijn voor herstel, zoals herstelproceduredocumenten, uw CMDB-database (Configuration Management Database) en netwerkdiagrammen. | Aanvallers richten zich bewust op deze resources, omdat dit van invloed is op uw vermogen om te herstellen. |
Implementatieresultaten en tijdlijnen
Zorg er binnen 30 dagen voor dat Mean Time to Recover (MTTR) voldoet aan uw BC/DR-doel, zoals gemeten tijdens simulaties en real-world bewerkingen.
Gegevensbescherming
U moet gegevensbescherming implementeren om ervoor te zorgen dat een ransomware-aanval snel en betrouwbaar kan worden hersteld en om bepaalde technieken van aanvallers te blokkeren.
Ransomware afpersing en destructieve aanvallen werken alleen wanneer alle legitieme toegang tot gegevens en systemen verloren gaat. Als u ervoor zorgt dat aanvallers uw mogelijkheid om activiteiten zonder betaling te hervatten niet kunnen verwijderen, wordt uw bedrijf beschermd en wordt de monetaire stimulans voor het aanvallen van uw organisatie ondermijnd.
Accountmogelijkheden voor programma- en projectlid
In deze tabel wordt de algehele bescherming van uw organisatiegegevens tegen ransomware beschreven in termen van een hiërarchie voor sponsoring/programmabeheer/projectmanagement om resultaten te bepalen en te bepalen.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| Centrale IT Operations of CIO | Executive sponsoring | |
| Programma lead from Data Security | Resultaten en samenwerking tussen verschillende teams stimuleren | |
| Centrale IT Productiviteit / Eindgebruiker | Wijzigingen implementeren in Microsoft 365 tenant voor OneDrive en beveiligde mappen | |
| Centrale IT Infrastructuur/back-up | Back-up van infrastructuur inschakelen | |
| Business /Application | Kritieke bedrijfsactiva identificeren | |
| Beveiligingsarchitectuur | Advies over configuratie en standaarden | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligings compliancebeheer | Controleren om naleving te waarborgen | |
| User Education Team | Richtlijnen voor gebruikers waarborgen die beleidsupdates weerspiegelen | |
Controlelijst voor implementatie
Pas deze best practices toe om uw organisatiegegevens te beschermen.
| Klaar | Taak | Beschrijving |
|---|---|---|
| Uw organisatie migreren naar de cloud: - Verplaats gebruikersgegevens naar cloudoplossingen zoals OneDrive/SharePoint om te profiteren van de mogelijkheden voor versie- en prullenbakken. - Gebruikers informeren over hoe ze hun bestanden zelf kunnen herstellen om vertragingen en herstelkosten te beperken. |
Gebruikersgegevens in de Microsoft-cloud kunnen worden beveiligd met ingebouwde beveiligings- en gegevensbeheerfuncties. | |
| Beveiligde mappen aanwijzen. | Maakt het lastiger voor niet-geautoriseerde toepassingen om de gegevens in deze mappen te wijzigen. | |
| Controleer uw machtigingen: - Ontdek uitgebreide schrijf-/verwijdermachtigingen voor bestandsaandelen, SharePoint en andere oplossingen. Breed wordt gedefinieerd als veel gebruikers met schrijf-/verwijdermachtigingen voor bedrijfskritische gegevens. - Verlaag algemene machtigingen terwijl u voldoet aan de vereisten voor zakelijke samenwerking. - Controleer en controleer om ervoor te zorgen dat brede machtigingen niet opnieuw worden gebruikt. |
Vermindert de risico's van ransomware-activiteiten met brede toegang. | |
Volgende stap
Ga verder met fase 2 om het bereik van schade van een aanval te beperken door bevoorrechte rollen te beschermen.
Extra ransomware-bronnen
Belangrijke informatie van Microsoft:
- De groeiende bedreiging van ransomware, Microsoft On the Issues blog post on July 20, 2021
- Door mensen beheerde ransomware
- Snel beschermen tegen ransomware en afpersing
- Microsoft Digital Defense Report 2021 (zie pagina's 10-19)
- Ransomware: een doorlopende en permanente bedreigingsanalyserapport in de Microsoft 365 Defender portal
- Microsoft's PIJL-RANSOMWARE-benadering en best practices
Microsoft 365:
- Ransomware-beveiliging implementeren voor uw Microsoft 365 tenant
- Ransomware Resiliency maximaliseren met Azure en Microsoft 365
- Herstellen van een ransomware-aanval
- Beveiliging tegen malware en ransomware
- Bescherm uw Windows 10 pc tegen ransomware
- Ransomware verwerken in SharePoint Online
- Bedreigingsanalyserapporten voor ransomware in de Microsoft 365 Defender portal
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Ransomware Resiliency maximaliseren met Azure en Microsoft 365
- Back-up maken en herstellen van plan om te beschermen tegen ransomware
- Bescherm u tegen ransomware met Microsoft Azure Back-up (26 minuten video)
- Herstellen van systeemidentiteitscompromitteerd
- Geavanceerde meervoudige detectie van aanvallen in Microsoft Sentinel
- Detectie van fusies voor ransomware in Microsoft Sentinel
Microsoft Defender voor cloud-apps:
Blogberichten van Microsoft Security-team:
Een handleiding voor het bestrijden van door mensen beheerde ransomware: Deel 1 (september 2021)
Belangrijke stappen voor de manier waarop het Microsoft Detection and Response Team (DART) onderzoek naar ransomware-incidenten voert.
Een handleiding voor het bestrijden van door mensen beheerde ransomware: Deel 2 (september 2021)
Aanbevelingen en best practices.
3 stappen om ransomware te voorkomen en te herstellen (september 2021)
-
Zie de sectie Ransomware.
Door mensen beheerde ransomware-aanvallen: een ramp die kan worden voorkomen (maart 2020)
Bevat analyses van de aanvalsketen van werkelijke aanvallen.
Ransomware antwoord- om te betalen of niet te betalen? (december 2019)
Norsk Hydro reageert op ransomware-aanval met transparantie (december 2019)