Fase 2: het bereik van schade beperken
In deze fase voorkomt u dat aanvallers een groot bereik van toegang krijgen voor mogelijke schade aan gegevens en systemen door bevoorrechte rollen te beschermen.
Strategie voor geprivilegieerde toegang
U moet een uitgebreide strategie implementeren om het risico van geprivilegieerde toegangscompromitteerdheid te beperken.
Alle andere beveiligingsbesturingselementen kunnen eenvoudig worden ongeldig gemaakt door een aanvaller met bevoorrechte toegang in uw omgeving. Ransomware-aanvallers gebruiken bevoorrechte toegang als een snelpad om alle kritieke activa in de organisatie te beheren voor hun afpersing.
Accountmogelijkheden voor programma- en projectlid
In deze tabel wordt een bevoorrechte toegangsstrategie tegen ransomware beschreven in termen van een hiërarchie voor sponsoring/programmabeheer/projectmanagement om resultaten te bepalen en te bepalen.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO of CIO | Executive sponsoring | |
| Programma-lead | Resultaten en samenwerking tussen verschillende teams stimuleren | |
| IT- en beveiligingsarchitecten | Prioriteit geven aan onderdelen die zijn geïntegreerd in architecturen | |
| Identiteits- en sleutelbeheer | Identiteitswijzigingen implementeren | |
| Centrale IT Productiviteit / Team eindgebruikers | Wijzigingen implementeren in apparaten en Office 365 tenant | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligings compliancebeheer | Controleren om naleving te waarborgen | |
| User Education Team | Eventuele wachtwoordbegeleiding bijwerken | |
Controlelijst voor implementatie
Maak een strategie met meerdere gedeelten met behulp van de https://aka.ms/SPA richtlijnen die deze controlelijst bevat.
| Klaar | Taak | Beschrijving |
|---|---|---|
| End-to-end sessiebeveiliging afdwingen. | Valideert expliciet het vertrouwen van gebruikers en apparaten voordat u toegang geeft tot beheerinterfaces (met Azure AD Voorwaardelijke toegang). | |
| Identiteitssystemen beveiligen en controleren. | Voorkomt escalatie van bevoegdheden, waaronder directories, identiteitsbeheer, beheerdersaccounts en groepen, en toestemmingsverkenningsconfiguratie. | |
| Beperk laterale traversale. | Zorgt ervoor dat het compromitteren van één apparaat niet onmiddellijk leidt tot controle over veel of alle andere apparaten met lokale accountwachtwoorden, serviceaccountwachtwoorden of andere geheimen. | |
| Zorg voor een snelle reactie op bedreigingen. | Beperkt de toegang en tijd van een tegenstref in de omgeving. Zie Detectie en antwoord voor meer informatie. | |
Implementatieresultaten en tijdlijnen
Probeer deze resultaten binnen 30-90 dagen te bereiken:
- 100 % van de beheerders die vereist zijn voor het gebruik van beveiligde werkstations
- 100 % lokale workstation-/serverwachtwoorden gerandomiseerd
- 100 % implementatie van escalatie van bevoegdheden
Detectie en antwoord
Uw organisatie heeft behoefte aan snelle detectie en herstel van veelvoorkomende aanvallen op eindpunten, e-mail en identiteiten. Minuten zijn belangrijk. U moet snel algemene aanvalsinvoerpunten herstellen om de tijd van de aanvaller te beperken om uw organisatie lateraal te doorlopen.
Accountmogelijkheden voor programma- en projectlid
In deze tabel wordt de verbetering beschreven van uw detectie- en reactiemogelijkheden tegen ransomware in termen van een hiërarchie voor sponsoring/programmabeheer/projectmanagement om resultaten te bepalen en te bepalen.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO of CIO | Executive sponsoring | |
| Programma-lead van beveiligingsbewerkingen | Resultaten en samenwerking tussen verschillende teams stimuleren | |
| Centrale IT Infrastructuurteam | Client- en serveragenten/-functies implementeren | |
| Beveiligingsbewerkingen | Nieuwe hulpprogramma's integreren in beveiligingsbewerkingsprocessen | |
| Centrale IT Productiviteit / Team eindgebruikers | Functies inschakelen voor Defender voor Eindpunt, Defender voor Office 365, Defender voor identiteit en Defender voor cloud-apps | |
| Centrale IT Identiteitsteam | Azure AD-beveiliging en Defender voor identiteit implementeren | |
| Beveiligingsarchitecten | Advies over configuratie, standaarden en hulpprogramma's | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligings compliancebeheer | Controleren om naleving te waarborgen | |
Controlelijst voor implementatie
Pas deze best practices toe voor het verbeteren van uw detectie en reactie.
| Klaar | Taak | Beschrijving |
|---|---|---|
| Prioriteit geven aan veelgebruikte invoerpunten: - Gebruik geïntegreerde XDR-hulpprogramma's (Extended Detection and Response) zoals Microsoft 365 Defender om waarschuwingen van hoge kwaliteit te geven en wrijving en handmatige stappen tijdens de reactie te minimaliseren. - Monitor voor brute-force pogingen, zoals wachtwoordsproei. |
Ransomware (en andere) operatoren zijn voorstander van eindpunten, e-mail, identiteit en RDP als toegangspunten. | |
| Controleer of een aanvaller de beveiliging uit moet zetten (dit maakt vaak deel uit van een aanvalsketen), zoals: - Het wissen van gebeurtenislogboeken, met name het logboek beveiligingsgebeurtenissen en De operationele logboeken van PowerShell. - Het uitschakelen van beveiligingshulpmiddelen en -besturingselementen (gekoppeld aan bepaalde groepen). |
Aanvallers richten zich op beveiligingsdetectievoorzieningen om hun aanval veiliger voort te zetten. | |
| Negeer geen malware van goederen. | Ransomware-aanvallers kopen regelmatig toegang tot doelorganisaties op donkere markten. | |
| Integreer externe experts in processen ter aanvulling van expertise, zoals het Microsoft Detection and Response Team (DART). | Ervaring telt voor detectie en herstel. | |
| Snel gecompromitteerde computers isoleren met Defender voor Eindpunt. | Windows 10 integratie maakt dit eenvoudig. | |
Volgende stap
Ga verder met fase 3 om het lastig te maken voor een aanvaller om in uw omgeving te komen door risico's stapsgewijs te verwijderen.
Extra ransomware-bronnen
Belangrijke informatie van Microsoft:
- De groeiende bedreiging van ransomware, Microsoft On the Issues blog post on July 20, 2021
- Door mensen beheerde ransomware
- Snel beschermen tegen ransomware en afpersing
- Microsoft Digital Defense Report 2021 (zie pagina's 10-19)
- Ransomware: een doorlopende en permanente bedreigingsanalyserapport in de Microsoft 365 Defender portal
- Microsoft's PIJL-RANSOMWARE-benadering en best practices
Microsoft 365:
- Ransomware-beveiliging implementeren voor uw Microsoft 365 tenant
- Ransomware Resiliency maximaliseren met Azure en Microsoft 365
- Herstellen van een ransomware-aanval
- Beveiliging tegen malware en ransomware
- Bescherm uw Windows 10 pc tegen ransomware
- Ransomware verwerken in SharePoint Online
- Bedreigingsanalyserapporten voor ransomware in de Microsoft 365 Defender portal
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Ransomware Resiliency maximaliseren met Azure en Microsoft 365
- Back-up maken en herstellen van plan om te beschermen tegen ransomware
- Bescherm u tegen ransomware met Microsoft Azure Back-up (video van 26 minuten)
- Herstellen van systeemidentiteitscompromitteerd
- Geavanceerde meervoudige detectie van aanvallen in Microsoft Sentinel
- Detectie van fusies voor ransomware in Microsoft Sentinel
Microsoft Defender voor cloud-apps:
Blogberichten van Microsoft Security-team:
3 stappen om ransomware te voorkomen en te herstellen (september 2021)
Een handleiding voor het bestrijden van door mensen beheerde ransomware: Deel 1 (september 2021)
Belangrijke stappen voor de manier waarop het Microsoft Detection and Response Team (DART) onderzoek naar ransomware-incidenten voert.
Een handleiding voor het bestrijden van door mensen beheerde ransomware: Deel 2 (september 2021)
Aanbevelingen en best practices.
-
Zie de sectie Ransomware.
Door mensen beheerde ransomware-aanvallen: een ramp die kan worden voorkomen (maart 2020)
Bevat analyses van de aanvalsketen van werkelijke aanvallen.
Ransomware antwoord- om te betalen of niet te betalen? (december 2019)
Norsk Hydro reageert op ransomware-aanval met transparantie (december 2019)