Bescherming tegen ransomware stap 2: Beperk het bereik van ransomwareschade

De volgende stap om ransomware te voorkomen, is het beschermen van bevoorrechte rollen - het soort taken waarbij mensen veel bevoegde informatie in een organisatie verwerken.

Deze fase van ransomwarepreventie is erop gericht om te voorkomen dat cybercriminelen veel toegang krijgen tot uw systemen.

Hoe meer toegang een cybercriminelen heeft tot uw organisatie en apparaten, hoe hoger de mogelijke schade aan uw gegevens en systemen.

Een ransomware 'privileged access strategy' maken

U moet een grondige en uitgebreide strategie toepassen om het risico op inbreuk op bevoegde toegang te verminderen.

Elk ander beveiligingsbeheer dat u toepast, kan eenvoudig worden ongeldig gemaakt door een aanvaller met bevoegde toegang in uw omgeving. Ransomware-aanvallers gebruiken bevoegde toegang als een snel pad om alle kritieke assets in de organisatie te beheren voor aanvallen en daaropvolgende afpersing.

Wie is verantwoordelijk voor het programma of project

In deze tabel wordt een strategie voor bevoorrechte toegang beschreven om ransomware te stoppen in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.

Lead Implementor Verantwoordelijkheid
CISO of CIO Ondersteuning door uitvoerende sponsor
Programmaleider Resultaten en samenwerking tussen teams stimuleren
IT- en beveiligingsarchitecten Onderdelen prioriteren die zijn geïntegreerd in architecturen
Identiteits- en sleutelbeheer Identiteitswijzigingen implementeren
Centraal IT-productiviteitsteam / eindgebruikersteam Wijzigingen in apparaten en Office 365-tenant implementeren
Beveiligingsbeleid en -standaarden Standaarden en beleidsdocumenten bijwerken
Beveiligingsnalevingsbeheer Controleren om naleving te garanderen
Team voor gebruikersonderwijs Alle wachtwoordrichtlijnen bijwerken

Controlelijst voor ransomware 'strategie voor bevoegde toegang'

Bouw een meerdelige strategie met behulp van de richtlijnen https://aka.ms/SPA die deze controlelijst bevatten.

Gereed Opdracht Beschrijving
End-to-end sessiebeveiliging afdwingen. Valideert expliciet de vertrouwensrelatie van gebruikers en apparaten voordat toegang tot beheerinterfaces wordt toegestaan (met behulp van voorwaardelijke toegang van Microsoft Entra).
Identiteitssystemen beveiligen en bewaken. Voorkomt escalatieaanvallen voor bevoegdheden, waaronder mappen, identiteitsbeheer, beheerdersaccounts en groepen, en configuratie van toestemming verlenen.
Laterale doorkruising beperken. Zorgt ervoor dat het in gevaar brengen van één apparaat niet onmiddellijk leidt tot het beheer van veel of alle andere apparaten met behulp van wachtwoorden voor het lokale account, wachtwoorden voor serviceaccounts of andere geheimen.
Snelle reactie op bedreigingen garanderen. Beperkt de toegang en tijd van een kwaadwillende persoon in de omgeving. Zie Detectie en antwoord voor meer informatie.

Implementatieresultaten en tijdlijnen

Probeer deze resultaten in 30-90 dagen te bereiken:

  • 100% van de beheerders is vereist voor het gebruik van beveiligde werkstations
  • 100 % lokaal werkstation/serverwachtwoorden worden willekeurig
  • 100 % escalatie van bevoegdheden worden geïmplementeerd

Detectie en reactie van ransomware

Uw organisatie heeft responsieve detectie en herstel van veelvoorkomende aanvallen op eindpunten, e-mail en identiteiten nodig. Minuten zijn belangrijk.

U moet snel veelvoorkomende aanvalsinvoerpunten herstellen om de tijd van de aanvaller te beperken om lateraal door uw organisatie te gaan.

Wie is verantwoordelijk voor het programma of project

In deze tabel wordt de verbetering van uw detectie- en reactiemogelijkheden tegen ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.

Lead Implementor Verantwoordelijkheid
CISO of CIO Ondersteuning door uitvoerende sponsor
Programmaleider van beveiligingsbewerkingen Resultaten en samenwerking tussen teams stimuleren
Centraal IT-infrastructuurteam Client- en serveragents/-functies implementeren
Beveiligingsbewerkingen Nieuwe hulpprogramma's integreren in processen voor beveiligingsbewerkingen
Centraal IT-productiviteitsteam / eindgebruikersteam Functies inschakelen voor Defender voor Eindpunt, Defender voor Office 365, Defender for Identity en Defender voor Cloud-apps
Centraal IT-identiteitsteam Microsoft Entra-beveiliging en Defender for Identity implementeren
Beveiligingsarchitecten Adviseren over configuratie, standaarden en hulpprogramma's
Beveiligingsbeleid en -standaarden Standaarden en beleidsdocumenten bijwerken
Beveiligingsnalevingsbeheer Controleren om naleving te garanderen

Controlelijst voor detectie en reactie van ransomware

Pas deze aanbevolen procedures toe om uw detectie en reactie te verbeteren.

Gereed Opdracht Beschrijving
Prioriteit geven aan algemene toegangspunten:

- Gebruik geïntegreerde XDR-hulpprogramma's (Extended Detection and Response), zoals Microsoft Defender XDR , om waarschuwingen van hoge kwaliteit te bieden en wrijving en handmatige stappen tijdens het reageren te minimaliseren.

- Controleren op brute-force pogingen zoals wachtwoordspray.
Ransomware-operators (en andere) geven de voorkeur aan eindpunten, e-mail, identiteit en RDP als toegangspunten.
Bewaken voor een kwaadwillende uitschakeling van beveiliging (dit maakt vaak deel uit van een aanvalsketen), zoals:

- Het wissen van gebeurtenislogboeken, met name het beveiligingslogboek en de operationele PowerShell-logboeken.

- Uitschakelen van beveiligingshulpprogramma's en besturingselementen.
Aanvallers richten zich op beveiligingsdetectiefaciliteiten om hun aanval veiliger voort te zetten.
Negeer basismalware niet. Ransomware-aanvallers kopen regelmatig toegang tot doelorganisaties van donkere markten.
Integreer externe experts in processen om expertise aan te vullen, zoals het Microsoft Detection and Response Team (DART). Ervaring telt voor detectie en herstel.
Isoleer snel gecompromitteerde computers met Defender voor Eindpunt. Windows 11- en 10-integratie maakt dit eenvoudig.

Volgende stap

Phase 3. Make it hard to get in

Ga verder met fase 3 om het voor een aanvaller moeilijk te maken om in uw omgeving te komen door incrementeel risico's te verwijderen.

Aanvullende ransomware-bronnen

Belangrijke informatie van Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender voor Cloud Apps:

Blogberichten van het Microsoft Security-team: