Fase 1: Uw herstelplan voorbereiden

Het eerste wat u moet doen voor deze aanvallen is uw organisatie voorbereiden, zodat het een levensvatbaar alternatief voor het betalen van het losgeld heeft. Hoewel aanvallers in de controle over uw organisatie verschillende manieren hebben om u te belasten met betalen, richten de vereisten zich voornamelijk op twee categorieën:

  • Betalen om weer toegang te krijgen

    Aanvallers eisen betaling onder de bedreiging dat ze u geen toegang geven tot uw systemen en gegevens. Dit wordt meestal gedaan door uw systemen en gegevens te versleutelen en te eisen dat de ontsleutelingssleutel wordt betaald.

    Belangrijk

    Betalen van het losgeld is niet zo eenvoudig en schoon van een oplossing als het lijkt. Omdat je te maken hebt met criminelen die alleen gemotiveerd zijn door betaling (en vaak relatief amateuroperators die een toolkit van iemand anders gebruiken), is er veel onzekerheid over hoe goed betalen het losgeld daadwerkelijk zal werken. Er is geen wettelijke garantie dat ze een sleutel leveren die 100% van uw systemen en gegevens ontsleutelt of zelfs een sleutel biedt. Het proces voor het ontsleutelen van deze systemen maakt gebruik van hulpprogramma's voor thuisgroeide aanvallers, wat vaak een onhandig en handmatig proces is.

  • Betalen om openbaarmaking te voorkomen

    Aanvallers eisen betaling in ruil voor het niet vrijgeven van gevoelige of gênante gegevens op het dark web (andere criminelen) of het grote publiek.

Om te voorkomen dat u wordt gedwongen tot betaling (de winstgevende situatie voor aanvallers), is de meest directe en effectieve actie die u kunt ondernemen, ervoor te zorgen dat uw organisatie uw hele onderneming kan herstellen van onveranderbare opslag, die noch de aanvaller noch u kunt wijzigen.

Het identificeren van de meest gevoelige activa en het beveiligen ervan op een hoger niveau van zekerheid is ook van cruciaal belang, maar is een langer en moeilijker proces om uit te voeren. We willen niet dat u andere gebieden in fase 1 of 2 ophoudt, maar we raden u aan om het proces te starten door zakelijke, IT- en beveiligingsbelangen samen te brengen om vragen te stellen en te beantwoorden, zoals:

  • Welke bedrijfsassets zouden het schadelijkst zijn als er inbreuk wordt gedaan? Welke activa zouden onze leidinggevenden bijvoorbeeld bereid zijn om een afpersingsvraag te betalen als aanvallers ze gecontroleerd hebben?
  • Hoe worden deze zakelijke assets omgezet in IT-assets (zoals bestanden, toepassingen, databases, servers en controlesystemen)?
  • Hoe kunnen we deze assets beveiligen of isoleren zodat aanvallers met toegang tot de algemene IT-omgeving geen toegang hebben?

Back-ups beveiligen

U moet ervoor zorgen dat kritieke systemen en hun gegevens worden geback-upt en back-ups worden beschermd tegen opzettelijke verwijdering of versleuteling door een aanvaller.

Aanvallen op uw back-ups richten zich op het verlammen van de mogelijkheid van uw organisatie om te reageren zonder te betalen, vaak gericht op back-ups en belangrijke documentatie die nodig is om u te dwingen afpersingsvereisten te betalen.

De meeste organisaties beschermen geen back-up- en herstelprocedures tegen dit doelniveau.

Notitie

Deze voorbereiding verbetert ook de tolerantie voor natuurrampen en snelle aanvallen zoals WannaCry en (Niet)Petya.

Back-up en herstel plannen om te beschermen tegen ransomware adressen wat te doen vóór een aanval om uw kritieke bedrijfssystemen en tijdens een aanval te beschermen om een snel herstel van uw zakelijke activiteiten te garanderen.

Accountabilities voor programma- en projectleden

In deze tabel wordt de algehele beveiliging van uw gegevens tegen ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.

Potentiële klant Implementor Verantwoordelijkheid
Centrale IT Bewerkingen of CIO Executive sponsorship
Programmaleider van centrale IT-infrastructuur Resultaten en samenwerking tussen teams stimuleren
Centrale IT Infrastructuur/back-up Back-up van infrastructuur inschakelen
Centrale IT Productiviteit /eindgebruiker OneDrive-back-up inschakelen
Beveiligingsarchitectuur Adviseren over configuratie en standaarden
Beveiligingsbeleid en -standaarden Standaarden en beleidsdocumenten bijwerken
Beveiligingsnalevingsbeheer Controleren om naleving te garanderen

Controlelijst voor implementatie

Pas deze aanbevolen procedures toe om uw back-upinfrastructuur te beveiligen.

Gereed Taak Beschrijving
Maak automatisch een back-up van alle kritieke gegevens volgens een regelmatig schema. Hiermee kunt u gegevens herstellen tot de laatste back-up.
Oefen regelmatig uw plan voor bedrijfscontinuïteit/herstel na noodgevallen (BC/DR). Zorgt voor snel herstel van bedrijfsactiviteiten door een ransomware- of afpersingsaanval te behandelen met hetzelfde belang als een natuurramp.
Back-ups beschermen tegen opzettelijk verwijderen en versleutelen:

- Sterke beveiliging: buiten-bandstappen (MFA of pincode) vereisen voordat u onlineback-ups (zoals Azure Backup) wijzigt.

- Sterkste beveiliging: sla back-ups op in online onveranderbare opslag (zoals Azure Blob) en/of volledig offline of off-site.
Back-ups die toegankelijk zijn voor aanvallers, kunnen onbruikbaar worden gemaakt voor bedrijfsherstel. Implementeer betere beveiliging voor toegang tot back-ups en het niet kunnen wijzigen van de gegevens die zijn opgeslagen in back-ups.
Beveilig ondersteunende documenten die nodig zijn voor herstel, zoals herstelproceduredocumenten, uw CONFIGURATIEbeheerdatabase (CMDB) en netwerkdiagrammen. Aanvallers richten zich bewust op deze resources, omdat dit van invloed is op uw mogelijkheid om te herstellen. Zorg ervoor dat ze een ransomware-aanval overleven.

Implementatieresultaten en tijdlijnen

Zorg er binnen 30 dagen voor dat Mean Time to Recover (MTTR) voldoet aan uw BC/DR-doel, zoals gemeten tijdens simulaties en praktijkbewerkingen.

Gegevensbeveiliging

U moet gegevensbeveiliging implementeren om snel en betrouwbaar herstel te garanderen van een ransomware-aanval en om bepaalde technieken van aanvallers te blokkeren.

Ransomware afpersing en destructieve aanvallen werken alleen wanneer alle legitieme toegang tot gegevens en systemen verloren gaat. Door ervoor te zorgen dat aanvallers uw mogelijkheid om bewerkingen te hervatten niet kunnen hervatten zonder betaling, worden uw bedrijf beschermd en wordt de financiële stimulans voor het aanvallen van uw organisatie aangetast.

Accountabilities voor programma- en projectleden

In deze tabel wordt de algehele beveiliging van uw organisatiegegevens tegen ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.

Potentiële klant Implementor Verantwoordelijkheid
Centrale IT Bewerkingen of CIO Executive sponsorship
Programmaleider van Gegevensbeveiliging Resultaten en samenwerking tussen teams stimuleren
Centrale IT Productiviteit /eindgebruiker Wijzigingen implementeren in Microsoft 365-tenant voor OneDrive en beveiligde mappen
Centrale IT Infrastructuur/back-up Back-up van infrastructuur inschakelen
Bedrijf/toepassing Kritieke bedrijfsactiva identificeren
Beveiligingsarchitectuur Adviseren over configuratie en standaarden
Beveiligingsbeleid en -standaarden Standaarden en beleidsdocumenten bijwerken
Beveiligingsnalevingsbeheer Controleren om naleving te garanderen
Team voor gebruikersonderwijs Zorg ervoor dat de richtlijnen voor gebruikers beleidsupdates weerspiegelen

Controlelijst voor implementatie

Pas deze aanbevolen procedures toe om uw organisatiegegevens te beveiligen.

Gereed Taak Beschrijving
Uw organisatie migreren naar de cloud:

- Verplaats gebruikersgegevens naar cloudoplossingen zoals OneDrive/SharePoint om te profiteren van de mogelijkheden voor versiebeheer en prullenbak.

- Informeer gebruikers over hoe ze hun bestanden zelf kunnen herstellen om vertragingen en kosten van herstel te verminderen.
Gebruikersgegevens in de Microsoft-cloud kunnen worden beveiligd door ingebouwde beveiligings- en gegevensbeheerfuncties.
Beveiligde mappen toewijzen. Maakt het moeilijker voor onbevoegde toepassingen om de gegevens in deze mappen te wijzigen.
Controleer uw machtigingen:

- Ontdek uitgebreide schrijf-/verwijdermachtigingen voor bestandsshares, SharePoint en andere oplossingen. Breed wordt gedefinieerd als veel gebruikers met schrijf-/verwijdermachtigingen voor bedrijfskritieke gegevens.

- Verminder brede machtigingen voor kritieke gegevenslocaties tijdens het voldoen aan de vereisten voor zakelijke samenwerking.

- Controleer en bewaak kritieke gegevenslocaties om ervoor te zorgen dat brede machtigingen niet opnieuw worden weergegeven.
Vermindert het risico van ransomware-activiteiten die afhankelijk zijn van brede toegang.

Volgende stap

Phase 2. Limit the scope of damage

Ga verder met fase 2 om het bereik van schade aan een aanval te beperken door bevoorrechte rollen te beschermen.

Aanvullende ransomware-resources

Belangrijke informatie van Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender voor Cloud Apps:

Blogberichten van het Microsoft Security-team: