Fase 3: Maak het lastig om binnen te komen
In deze fase maakt u de aanvallers veel moeilijker om toegang te krijgen tot uw on-premises of cloudinfrastructuur door de risico's op de beginpunten stapsgewijs te verwijderen.
Belangrijk
Hoewel veel van deze bekend zijn en/of gemakkelijk te bereiken zijn, is het van essentieel belang dat uw werk aan fase 3 uw voortgang in fasen 1 en 2 niet vertraagt.
Zie deze secties:
Externe toegang
Toegang krijgen tot het intranet van uw organisatie via een externe toegangsverbinding is een aanvalsvector voor ransomware-aanvallers. Wanneer een on-premises gebruikersaccount is gehackt, kan een aanvaller vrij rondlopen op een intranet om informatie te verzamelen, bevoegdheden te verhogen en ransomware-code te installeren. De recente cyberaanvallen op de koloniale pijplijn is een voorbeeld.
Accountmogelijkheden voor programma- en projectlid
In deze tabel wordt de algehele beveiliging van uw oplossing voor externe toegang tegen ransomware beschreven in termen van een hiërarchie voor sponsoring/programmabeheer/projectmanagement om resultaten te bepalen en te bepalen.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO of CIO | Executive sponsoring | |
| Program lead on the Central IT Infrastructure/Network Team | Resultaten en samenwerking tussen verschillende teams stimuleren | |
| IT- en beveiligingsarchitecten | Prioriteit geven aan componentintegratie in architecturen | |
| Centrale IT Identiteitsteam | Beleidsregels voor Azure AD en voorwaardelijke toegang configureren | |
| Centrale IT Bewerkingen | Wijzigingen in omgeving implementeren | |
| Eigenaren van werkbelasting | Assisteren met RBAC-machtigingen voor het publiceren van apps | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligings compliancebeheer | Controleren om naleving te waarborgen | |
| User Education Team | Richtlijnen voor werkstroomwijzigingen bijwerken en onderwijs- en wijzigingsbeheer uitvoeren | |
Controlelijst voor implementatie
Gebruik deze best practices om uw externe toegangsinfrastructuur te beschermen tegen ransomware-aanvallers.
| Klaar | Taak | Beschrijving |
|---|---|---|
| Software- en apparaatupdates onderhouden. Vermijd het ontbreken of negeren van beveiligingen van fabrikanten (beveiligingsupdates, ondersteunde status). | Aanvallers gebruiken bekende beveiligingslekken die nog niet zijn gepatcht als aanvalsvectoren. | |
| Configureer Azure AD voor bestaande externe toegang door Zero Trust-gebruiker en apparaatvalidatie af te afdwingen met Voorwaardelijke toegang. | Zero Trust biedt meerdere niveaus voor het beveiligen van toegang tot uw organisatie. | |
| Beveiliging configureren voor bestaande VPN-oplossingen van derden (Cisco AnyConnect,Palo Alto Networks GlobalProtectCaptive Portal,Fortinet FortiGate SSL VPN,Citrix NetScaler,Zscaler Private Access (ZPA)en meer). | Profiteer van de ingebouwde beveiliging van uw oplossing voor externe toegang. | |
| Implementeer Azure Point-to-Site (P2S) VPN om externe toegang te bieden. | Profiteer van integratie met Azure AD en uw bestaande Azure-abonnementen. | |
| On-premises web-apps publiceren met Azure AD Application Proxy. | Apps die zijn gepubliceerd met Azure AD Application Proxy, hebben geen externe toegangsverbinding nodig. | |
| Beveiligde toegang tot Azure-resources met Azure Bastion. | Maak veilig en naadloos verbinding met uw Azure-virtuele machines via SSL. | |
| Controleer en controleer om afwijkingen van basislijn en potentiële aanvallen te vinden en op te lossen (zie Detectie en antwoord). | Vermindert het risico van ransomware-activiteiten die beveiligingsfuncties en -instellingen van basislijn onderzoeken. | |
E-mail en samenwerking
Implementeert best practices voor e-mail- en samenwerkingsoplossingen om het lastiger te maken voor aanvallers om ze te misbruiken, terwijl uw werknemers eenvoudig en veilig toegang hebben tot externe inhoud.
Aanvallers komen vaak in de omgeving door schadelijke inhoud over te brengen met geautoriseerde samenwerkingshulpmiddelen zoals e-mail en bestandsdeling en gebruikers ervan te overtuigen deze uit te voeren. Microsoft heeft geïnvesteerd in verbeterde mitigaties die de beveiliging tegen deze aanvalsvectoren aanzienlijk verhogen.
Accountmogelijkheden voor programma- en projectlid
In deze tabel wordt de algehele bescherming van uw e-mail- en samenwerkingsoplossingen tegen ransomware beschreven in termen van een hiërarchie voor sponsoring/programmabeheer/projectmanagement om resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO, CIO of Identity Director | Executive sponsoring | |
| Programmaleider van het beveiligingsarchitectuurteam | Resultaten en samenwerking tussen verschillende teams stimuleren | |
| IT-architecten | Prioriteit geven aan componentintegratie in architecturen | |
| Cloudproductiviteit of Team eindgebruikers | Defender inschakelen Office 365, ASR en AMSI | |
| BeveiligingsarchitectuurInfrastructuur + Eindpunt | Configuratiehulp | |
| User Education Team | Richtlijnen voor werkstroomwijzigingen bijwerken | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligings compliancebeheer | Controleren om naleving te waarborgen | |
Controlelijst voor implementatie
Pas deze best practices toe om uw e-mail- en samenwerkingsoplossingen te beschermen tegen ransomware-aanvallers.
| Klaar | Taak | Beschrijving |
|---|---|---|
| AMSI inschakelen voor Office VBA. | Detecteer Office macroaanvallen met eindpunthulpmiddelen zoals Defender voor Eindpunt. | |
| Geavanceerde e-mailbeveiliging implementeren met Defender Office 365 of een soortgelijke oplossing. | E-mail is een veelgebruikt toegangspunt voor aanvallers. | |
| Asr-regels (Attack Surface Reduction) inschakelen om veelgebruikte aanvalstechnieken te blokkeren, zoals: - Endpoint-misbruik, zoals diefstal van referenties, ransomwareactiviteit en verdacht gebruik van PsExec en WMI. - Bewapende Office documentactiviteit zoals geavanceerde macroactiviteit, uitvoerbare inhoud, procescreatie en procesinjectie die wordt gestart door Office toepassingen. Opmerking: Implementeer deze regels eerst in de auditmodus, beoordeel eventuele negatieve gevolgen en implementeer ze vervolgens in de blokmodus. |
ASR biedt extra beveiligen die specifiek zijn gericht op het mitigeren van veelgebruikte aanvalsmethoden. | |
| Controleer en controleer om afwijkingen van basislijn en potentiële aanvallen te vinden en op te lossen (zie Detectie en antwoord). | Vermindert het risico van ransomware-activiteiten die beveiligingsfuncties en -instellingen van basislijn onderzoeken. | |
Eindpunten
Implementeer relevante beveiligingsfuncties en volg zorgvuldig de best practices voor softwareonderhoud voor computers en toepassingen, met prioriteit voor toepassingen en server-/clientbesturingssystemen die rechtstreeks worden blootgesteld aan internetverkeer en inhoud.
Met internet belichte eindpunten zijn een veelgebruikte invoervector die aanvallers toegang biedt tot de activa van de organisatie. Geef prioriteit aan het blokkeren van veelgebruikte besturingssystemen en toepassingen met preventief besturingselementen om de uitvoering van de volgende stadia te vertragen of te stoppen.
Accountmogelijkheden voor programma- en projectlid
In deze tabel wordt de algehele beveiliging van uw eindpunten tegen ransomware beschreven in termen van een hiërarchie voor sponsoring/programmabeheer/projectmanagement om de resultaten te bepalen en te bepalen.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| Zakelijk leiderschap dat verantwoordelijk is voor de gevolgen voor het bedrijf van zowel downtime als schade aan aanvallen | Executive sponsoring (onderhoud) | |
| Centrale IT Operations of CIO | Executive sponsoring (anderen) | |
| Programmaleider van het Centrale IT-infrastructuurteam | Resultaten en samenwerking tussen verschillende teams stimuleren | |
| IT- en beveiligingsarchitecten | Prioriteit geven aan componentintegratie in architecturen | |
| Centrale IT Bewerkingen | Wijzigingen in omgeving implementeren | |
| Cloudproductiviteit of Team eindgebruikers | Surface-beperking voor aanvallen inschakelen | |
| Eigenaren van werkbelasting/apps | Onderhoudsvensters identificeren voor wijzigingen | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligings compliancebeheer | Controleren om naleving te waarborgen | |
Controlelijst voor implementatie
Pas deze best practices toe op Windows, Linux, MacOS, Android, iOS en andere eindpunten.
| Klaar | Taak | Beschrijving |
|---|---|---|
| U kunt bekende bedreigingen blokkeren met regels voor het verlagen van de aanvalsoppervlakken, beveiliging tegen geknoei en blokkeren op de eerste site. | Laat het ontbreken van het gebruik van deze ingebouwde beveiligingsfuncties niet de reden zijn dat een aanvaller uw organisatie heeft ingevoerd. | |
| Beveiligingslijnlijnen toepassen op het harden van internet-Windows servers en clients en Office toepassingen. | Bescherm uw organisatie met het minimale beveiligingsniveau en bouw van hier uit. | |
| Uw software zo onderhouden dat dit het volgende is: - Bijgewerkt: snel kritieke beveiligingsupdates implementeren voor besturingssystemen, browsers, & e-mail clients - Ondersteund: Upgrade van besturingssystemen en software voor versies die worden ondersteund door uw leveranciers. |
Aanvallers rekenen erop dat u updates en upgrades van de fabrikant mist of negeert. | |
| Onveilige systemen en protocollen isoleren, uitschakelen of buiten gebruik stellen, inclusief niet-ondersteunde besturingssystemen en oudere protocollen. | Aanvallers gebruiken bekende beveiligingslekken van oudere apparaten, systemen en protocollen als toegangspunten in uw organisatie. | |
| Blokkeer onverwacht verkeer met hostgebaseerde firewall en netwerkafweer. | Sommige malwareaanvallen reageren op ongevraagd binnenkomende verkeer naar hosts als een manier om verbinding te maken voor een aanval. | |
| Controleer en controleer om afwijkingen van basislijn en potentiële aanvallen te vinden en op te lossen (zie Detectie en antwoord). | Vermindert het risico van ransomware-activiteiten die beveiligingsfuncties en -instellingen van basislijn onderzoeken. | |
Accounts
Net zoals antieke skeletsleutels een huis niet beschermen tegen een moderne inbreker, kunnen wachtwoorden accounts niet beschermen tegen veelvoorkomende aanvallen die we vandaag de dag zien. Hoewel meervoudige verificatie (MFA) ooit een lastige extra stap was, verbetert wachtwoordloze verificatie de aanmeldingservaring met behulp van biometrische benaderingen waarvoor uw gebruikers geen wachtwoord hoeven te onthouden of typen. Bovendien slaat een Zero Trust-infrastructuur informatie op over vertrouwde apparaten, waardoor er minder wordt gevraagd om vervelende out-of-band MFA-acties.
Begin met beheerdersaccounts met hoge bevoegdheden en volg deze best practices voor accountbeveiliging, inclusief het gebruik van wachtwoordloos of MFA.
Accountmogelijkheden voor programma- en projectlid
In deze tabel wordt de algehele beveiliging van uw accounts tegen ransomware beschreven in termen van een hiërarchie voor sponsoring/programmabeheer/projectmanagement om de resultaten te bepalen en te bepalen.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO, CIO of Identity Director | Executive sponsoring | |
| Programmaleiding van teams voor identiteits- en sleutelbeheerof beveiligingsarchitectuur | Resultaten en samenwerking tussen verschillende teams stimuleren | |
| IT- en beveiligingsarchitecten | Prioriteit geven aan componentintegratie in architecturen | |
| Identiteits- en sleutelbeheer of Centrale IT-bewerkingen | Configuratiewijzigingen implementeren | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligings compliancebeheer | Controleren om naleving te waarborgen | |
| User Education Team | Wachtwoord- of aanmeldingsadviezen bijwerken en onderwijs- en wijzigingsbeheer uitvoeren | |
Controlelijst voor implementatie
Pas deze best practices toe om uw accounts te beschermen tegen ransomware-aanvallers.
| Klaar | Taak | Beschrijving |
|---|---|---|
| Sterk MFA of wachtwoordloos aanmelden afdwingen voor alle gebruikers. Begin met beheerders- en prioriteitsaccounts met behulp van een of meer van: - Wachtwoordloze verificatie met Windows Hello of de Microsoft Authenticator app. - - . - MFA-oplossing van derden. |
Maak het lastiger voor een aanvaller om een referentiecompromitteerd compromis uit te voeren. | |
| Wachtwoordbeveiliging verhogen: - Voor Azure AD-accounts gebruikt u Azure AD Password Protection om bekende zwakke wachtwoorden en aanvullende zwakke termen te detecteren en te blokkeren die specifiek zijn voor uw organisatie. - Voor on-premises Ad DS-accounts (Active Directory Domain Services) kunt u Azure AD Password Protection uitbreiden naar AD DS-accounts. |
Zorg ervoor dat aanvallers geen algemene wachtwoorden of wachtwoorden kunnen bepalen op basis van de naam van uw organisatie. | |
| Controleer en controleer om afwijkingen van basislijn en potentiële aanvallen te vinden en op te lossen (zie Detectie en antwoord). | Vermindert het risico van ransomware-activiteiten die beveiligingsfuncties en -instellingen van basislijn onderzoeken. | |
Implementatieresultaten en tijdlijnen
Probeer deze resultaten binnen 30 dagen te bereiken:
- 100 % van de werknemers maakt actief gebruik van MFA
- 100 % implementatie van hogere wachtwoordbeveiliging
Extra ransomware-bronnen
Belangrijke informatie van Microsoft:
- De groeiende bedreiging van ransomware, Microsoft On the Issues blog post on July 20, 2021
- Door mensen beheerde ransomware
- Snel beschermen tegen ransomware en afpersing
- Microsoft Digital Defense Report 2021 (zie pagina's 10-19)
- Ransomware: een doorlopende en permanente bedreigingsanalyserapport in de Microsoft 365 Defender portal
- Microsoft's PIJL-RANSOMWARE-benadering en best practices
Microsoft 365:
- Ransomware-beveiliging implementeren voor uw Microsoft 365 tenant
- Ransomware Resiliency maximaliseren met Azure en Microsoft 365
- Herstellen van een ransomware-aanval
- Beveiliging tegen malware en ransomware
- Bescherm uw Windows 10 pc tegen ransomware
- Ransomware verwerken in SharePoint Online
- Bedreigingsanalyserapporten voor ransomware in de Microsoft 365 Defender portal
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Ransomware Resiliency maximaliseren met Azure en Microsoft 365
- Back-up maken en herstellen van plan om te beschermen tegen ransomware
- Bescherm u tegen ransomware met Microsoft Azure Back-up (video van 26 minuten)
- Herstellen van systeemidentiteitscompromitteerd
- Geavanceerde meervoudige detectie van aanvallen in Microsoft Sentinel
- Detectie van fusies voor ransomware in Microsoft Sentinel
Microsoft Defender voor cloud-apps:
Blogberichten van Microsoft Security-team:
3 stappen om ransomware te voorkomen en te herstellen (september 2021)
Een handleiding voor het bestrijden van door mensen beheerde ransomware: Deel 1 (september 2021)
Belangrijke stappen voor de manier waarop het Microsoft Detection and Response Team (DART) onderzoek naar ransomware-incidenten voert.
Een handleiding voor het bestrijden van door mensen beheerde ransomware: Deel 2 (september 2021)
Aanbevelingen en best practices.
-
Zie de sectie Ransomware.
Door mensen beheerde ransomware-aanvallen: een ramp die kan worden voorkomen (maart 2020)
Bevat analyses van de aanvalsketen van werkelijke aanvallen.
Ransomware antwoord- om te betalen of niet te betalen? (december 2019)
Norsk Hydro reageert op ransomware-aanval met transparantie (december 2019)