Podejście i najlepsze rozwiązania firmy Microsoft dotyczące oprogramowania wymuszającego okup DART

Oprogramowanie wymuszane przez człowieka nie jest problemem złośliwego oprogramowania - jest to problem przestępczy. Rozwiązania używane do rozwiązywania problemów towarowych nie są wystarczające, aby zapobiec zagrożeniu, które bardziej przypomina aktora zagrożenia dla państwa narodu, który:

• Wyłącza lub odinstalowuje oprogramowanie antywirusowe przed szyfrowaniem plików
• Wyłącza usługi zabezpieczeń i rejestrowanie, aby uniknąć wykrywania
• Lokalizuje i usuwa kopie zapasowe przed wysłaniem żądania okupu

Te akcje są często wykonywane z uzasadnionymi programami, które mogą już znajdować się w twoim środowisku w celach administracyjnych. W rękach przestępczych te narzędzia są używane złośliwie do przeprowadzania ataków.

Reagowanie na rosnące zagrożenie oprogramowaniem wymuszającym okup wymaga połączenia nowoczesnej konfiguracji przedsiębiorstwa, aktualnych produktów zabezpieczeń oraz czujności wyszkolonych pracowników zabezpieczeń w celu wykrywania zagrożeń i reagowania na nie przed utratą danych.

Zespół ds. wykrywania i reagowania firmy Microsoft (DART) reaguje na naruszenia zabezpieczeń, aby pomóc klientom stać się cyberodpornym. DART zapewnia reaktywną reakcję na zdarzenia i zdalne proaktywne badania. DART wykorzystuje strategiczne partnerstwa firmy Microsoft z organizacjami zabezpieczeń na całym świecie i wewnętrznymi grupami produktów firmy Microsoft w celu zapewnienia najbardziej kompletnych i dokładnych badań.

W tym artykule opisano sposób, w jaki DART obsługuje ataki wymuszające okup dla klientów firmy Microsoft, dzięki czemu można rozważyć zastosowanie elementów ich podejścia i najlepszych rozwiązań dotyczących własnych podręczników operacji zabezpieczeń.

Aby uzyskać szczegółowe informacje, zobacz następujące sekcje:

• Jak DART korzysta z usług zabezpieczeń firmy Microsoft
• Podejście DART do prowadzenia dochodzeń w sprawie incydentów ransomware
• Zalecenia dart i najlepsze rozwiązania

Uwaga

Ta zawartość artykułu pochodzi z przewodnika A po walce z oprogramowaniem wymuszającym okup przez człowieka: część 1 i przewodnik po walce z oprogramowaniem wymuszającym okup obsługiwane przez człowieka: Część 2 wpisów w blogu zespołu ds. zabezpieczeń firmy Microsoft.

Jak DART korzysta z usług zabezpieczeń firmy Microsoft

DART opiera się w dużej mierze na danych dotyczących wszystkich badań i korzysta z istniejących wdrożeń usług zabezpieczeń firmy Microsoft, takich jak Ochrona usługi Office 365 w usłudze Microsoft Defender, Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender for Identity i Microsoft Defender dla Chmury Apps.

Ochrona punktu końcowego w usłudze Defender

Defender for Endpoint to platforma zabezpieczeń punktu końcowego przedsiębiorstwa firmy Microsoft, która ułatwia analitykom zabezpieczeń sieci przedsiębiorstwa zapobieganie zaawansowanym zagrożeniom, wykrywanie, badanie i reagowanie na nie. Usługa Defender for Endpoint może wykrywać ataki przy użyciu zaawansowanej analizy behawioralnej i uczenia maszynowego. Analitycy mogą używać usługi Defender for Endpoint do analizy behawioralnej atakującej.

Oto przykład alertu w Ochrona punktu końcowego w usłudze Microsoft Defender ataku typu pass-the-ticket.

Analitycy mogą również wykonywać zaawansowane zapytania dotyczące wyszukiwania zagrożeń, aby przerzucić wskaźniki naruszenia (IOC) lub wyszukać znane zachowanie, jeśli zidentyfikują grupę aktorów zagrożeń.

Oto przykład użycia zaawansowanych zapytań wyszukiwania zagrożeń w celu zlokalizowania znanego zachowania osoby atakującej.

W usłudze Defender dla punktu końcowego masz dostęp do usługi monitorowania i analizy na poziomie ekspertów na poziomie ekspertów w czasie rzeczywistym w celu uzyskania ciągłej aktywności podejrzanego aktora. Możesz również współpracować z ekspertami na żądanie, aby uzyskać więcej informacji na temat alertów i zdarzeń.

Oto przykład sposobu, w jaki usługa Defender dla punktu końcowego pokazuje szczegółowe działanie oprogramowania wymuszającego okup.

Defender for Identity

Usługa Defender for Identity służy do badania znanych kont z naruszonym zabezpieczeniami i znajdowania potencjalnie naruszonych kont w organizacji. Usługa Defender for Identity wysyła alerty o znanych złośliwych działaniach, których aktorzy często używają, takich jak ataki DCSync, próby zdalnego wykonywania kodu i ataki typu pass-the-hash. Usługa Defender for Identity umożliwia wskazanie podejrzanych działań i kont w celu zawężenia badania.

Oto przykład wysyłania alertów przez usługę Defender for Identity pod kątem znanych złośliwych działań związanych z atakami wymuszającym okup.

Defender dla aplikacji w chmurze

Defender dla Chmury Apps (wcześniej znane jako Microsoft Cloud App Security) umożliwia analitykom wykrywanie nietypowego zachowania w aplikacjach w chmurze w celu identyfikowania oprogramowania wymuszającego okup, naruszonych użytkowników lub nieautoryzowanych aplikacji. Defender dla Chmury Apps to rozwiązanie brokera zabezpieczeń dostępu do chmury (CASB) firmy Microsoft, które umożliwia monitorowanie usług w chmurze i dostępu do danych w usługach w chmurze przez użytkowników.

Oto przykład pulpitu nawigacyjnego usługi Defender dla Chmury Apps, który umożliwia analizę wykrywania nietypowego zachowania w aplikacjach w chmurze.

Wskaźnik bezpieczeństwa Microsoft

Zestaw usług Microsoft Defender XDR udostępnia zalecenia dotyczące korygowania na żywo w celu zmniejszenia obszaru ataków. Wskaźnik bezpieczeństwa firmy Microsoft to pomiar stanu zabezpieczeń organizacji z wyższą liczbą wskazującą, że podjęto więcej akcji poprawy. Zapoznaj się z dokumentacją wskaźnika bezpieczeństwa, aby dowiedzieć się więcej o tym, jak organizacja może używać tej funkcji do określania priorytetów akcji korygujących opartych na ich środowisku.

Podejście DART do prowadzenia dochodzeń w sprawie incydentów ransomware

Należy dokładać wszelkich starań, aby określić, w jaki sposób przeciwnik uzyskał dostęp do zasobów, aby można było skorygować luki w zabezpieczeniach. W przeciwnym razie istnieje duże prawdopodobieństwo ponownego wystąpienia tego samego typu ataku w przyszłości. W niektórych przypadkach aktor zagrożenia podejmuje kroki w celu zakrycia śladów i zniszczenia dowodów, więc istnieje możliwość, że cały łańcuch zdarzeń może nie być widoczny.

Poniżej przedstawiono trzy kluczowe kroki w badaniach oprogramowania wymuszającego okup DART:

Krok	Goal	Pytania wstępne
1. Ocena bieżącej sytuacji	Omówienie zakresu	Co początkowo wiedziało o ataku wymuszającym okup? O której godzinie/dacie po raz pierwszy dowiedziałeś się o zdarzeniu? Jakie dzienniki są dostępne i czy istnieje jakiekolwiek wskazanie, że aktor uzyskuje obecnie dostęp do systemów?
2. Identyfikowanie aplikacji biznesowych ,których dotyczy problem	Pobieranie systemów z powrotem w tryb online	Czy aplikacja wymaga tożsamości? Czy są dostępne kopie zapasowe aplikacji, konfiguracji i danych? Czy zawartość i integralność kopii zapasowych są regularnie weryfikowane przy użyciu ćwiczenia przywracania?
3. Określanie procesu odzyskiwania po naruszeniu zabezpieczeń (CR)	Usuwanie kontroli osoby atakującej ze środowiska	Nie dotyczy

Krok 1. Ocena bieżącej sytuacji

Ocena obecnej sytuacji ma kluczowe znaczenie dla zrozumienia zakresu zdarzenia oraz określenia najlepszych osób, które mają pomóc, oraz zaplanować i ograniczyć zadania badania i korygowania. Zadawanie następujących początkowych pytań ma kluczowe znaczenie dla ustalenia sytuacji.

Co początkowo uświadomiło Ci atak wymuszającego okup?

Jeśli pracownicy IT zidentyfikowali początkowe zagrożenie, takie jak zauważenie usunięcia kopii zapasowych, alertów antywirusowych, alertów wykrywanie i reagowanie w punktach końcowych (EDR) lub podejrzanych zmian systemu— często można podjąć szybkie zdecydowane środki w celu udaremnienia ataku, zazwyczaj przez wyłączenie całej przychodzącej i wychodzącej komunikacji internetowej. To zagrożenie może tymczasowo wpłynąć na operacje biznesowe, ale zwykle byłoby to znacznie mniej wpływające niż atakujący wdrażający oprogramowanie wymuszające okup.

Jeśli użytkownik zadzwoni do działu pomocy technicznej IT zidentyfikował zagrożenie, może być wystarczające ostrzeżenie przed podjęciem środków obronnych, aby zapobiec lub zminimalizować skutki ataku. Jeśli jednostka zewnętrzna, taka jak organy ścigania lub instytucja finansowa zidentyfikowała zagrożenie, prawdopodobnie szkody zostały już wykonane i zobaczysz dowody w twoim środowisku, że aktor zagrożenia ma kontrolę administracyjną nad siecią. Te dowody mogą wahać się od notatek okupu, zablokowanych ekranów lub żądań okupu.

Jaka data/godzina po raz pierwszy dowiedziała się o zdarzeniu?

Ustanowienie początkowej daty i godziny działania jest ważne, ponieważ pomaga zawęzić zakres początkowego klasyfikacji w celu szybkiego zwycięstwa przez osobę atakującą. Dodatkowe pytania mogą obejmować:

• Jakich aktualizacji brakowało w tej dacie? Ważne jest, aby zrozumieć, jakie luki w zabezpieczeniach mogły zostać wykorzystane przez przeciwnika.
• Jakie konta były używane w tej dacie?
• Jakie nowe konta zostały utworzone od tej daty?

Jakie dzienniki są dostępne i czy istnieje jakiekolwiek wskazanie, że aktor uzyskuje obecnie dostęp do systemów?

Dzienniki — takie jak oprogramowanie antywirusowe, EDR i wirtualna sieć prywatna (VPN) — są wskaźnikiem podejrzanego naruszenia. Pytania dotyczące działań następczych mogą obejmować:

• Czy dzienniki są agregowane w rozwiązaniu do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak Microsoft Sentinel, Splunk, ArcSight i inne? Jaki jest okres przechowywania tych danych?
• Czy istnieją jakieś podejrzane systemy, na których występują nietypowe działania?
• Czy istnieją podejrzane konta, które wydają się być aktywnie używane przez przeciwnika?
• Czy istnieją jakieś dowody na aktywne polecenia i kontrolki (C2s) w EDR, zaporze, sieci VPN, internetowym serwerze proxy i innych dziennikach?

W ramach oceny bieżącej sytuacji może być potrzebny kontroler domeny usługi domena usługi Active Directory Services (AD DS), który nie został naruszony, niedawna kopia zapasowa kontrolera domeny lub ostatni kontroler domeny przełączony w tryb offline na potrzeby konserwacji lub uaktualnień. Określ również, czy uwierzytelnianie wieloskładnikowe (MFA) było wymagane dla wszystkich użytkowników w firmie i czy użyto identyfikatora Entra firmy Microsoft.

Krok 2. Identyfikowanie aplikacji biznesowych, które są niedostępne z powodu zdarzenia

Ten krok ma kluczowe znaczenie w określaniu najszybszego sposobu na powrót systemów do trybu online podczas uzyskiwania wymaganych dowodów.

Czy aplikacja wymaga tożsamości?

• Jak jest przeprowadzane uwierzytelnianie?
• W jaki sposób poświadczenia, takie jak certyfikaty lub wpisy tajne, są przechowywane i zarządzane?

Czy są dostępne przetestowane kopie zapasowe aplikacji, konfiguracji i danych?

• Czy zawartość i integralność kopii zapasowych są regularnie weryfikowane przy użyciu ćwiczenia przywracania? Ta kontrola jest szczególnie ważna po zmianie zarządzania konfiguracją lub uaktualnieniach wersji.

Krok 3. Określanie procesu odzyskiwania po naruszeniu zabezpieczeń

Ten krok może być konieczny, jeśli ustalisz, że płaszczyzna sterowania, która jest zazwyczaj usługami AD DS, została naruszona.

Badanie powinno zawsze mieć na celu zapewnienie danych wyjściowych, które są przekazywane bezpośrednio do procesu CR. Cr to proces, który usuwa kontrolę osoby atakującej ze środowiska i taktycznie zwiększa stan zabezpieczeń w określonym przedziale czasu. Cr odbywa się po naruszeniu zabezpieczeń. Aby dowiedzieć się więcej na temat cr, przeczytaj zespół crSP zespołu ds. praktyk zabezpieczeń odzyskiwania zabezpieczeń firmy Microsoft: Zespół ratowniczy walczący z cyberatakami obok artykułu na blogu klientów .

Po zebraniu odpowiedzi na pytania w krokach 1 i 2 można utworzyć listę zadań i przypisać właścicieli. Kluczowym czynnikiem pomyślnego zaangażowania w reagowanie na zdarzenia jest szczegółowa, szczegółowa dokumentacja każdego elementu roboczego (na przykład właściciel, stan, wyniki, data i godzina), dzięki czemu kompilacja wyników na końcu zakontraktowania jest prosta.

Zalecenia dart i najlepsze rozwiązania

Poniżej przedstawiono zalecenia dart i najlepsze rozwiązania dotyczące powstrzymywania i działań po zdarzeniu.

Zamknięcia

Zawieranie może się zdarzyć tylko wtedy, gdy określisz, co należy zawierać. W przypadku oprogramowania wymuszającego okup celem przeciwnika jest uzyskanie poświadczeń, które umożliwiają kontrolę administracyjną nad serwerem o wysokiej dostępności, a następnie wdrożenie oprogramowania wymuszającego okup. W niektórych przypadkach aktor zagrożeń identyfikuje poufne dane i eksfiltruje je do lokalizacji, którą kontroluje.

Odzyskiwanie taktyczne jest unikatowe dla środowiska, branży i poziomu wiedzy i doświadczenia IT w organizacji. Kroki opisane poniżej są zalecane w przypadku krótkoterminowych i taktycznych kroków, które organizacja może wykonać. Aby dowiedzieć się więcej na temat długoterminowych wskazówek, zobacz Zabezpieczanie uprzywilejowanego dostępu. Aby zapoznać się z kompleksowym omówieniem oprogramowania wymuszającego okup i wymuszeniami oraz sposobem przygotowania i ochrony organizacji, zobacz Oprogramowanie wymuszane przez człowieka oprogramowanie wymuszane przez człowieka.

Następujące kroki zawierania można wykonać jednocześnie, gdy zostaną odnalezione nowe wektory zagrożeń.

Krok 1. Ocena zakresu sytuacji

• Które konta użytkowników zostały naruszone?
• Których urządzeń dotyczy problem?
• Których aplikacji dotyczy problem?

Krok 2. Zachowanie istniejących systemów

• Wyłącz wszystkie uprzywilejowane konta użytkowników z wyjątkiem niewielkiej liczby kont używanych przez administratorów, aby ułatwić resetowanie integralności infrastruktury usług AD DS. Jeśli uważasz, że konto użytkownika zostało naruszone, wyłącz je natychmiast.
• Odizolowanie systemów z sieci, ale ich wyłączenie nie jest wyłączone.
• Izolowanie co najmniej jednego znanego dobrego kontrolera domeny w każdej domenie-dwa jest jeszcze lepsze. Odłącz je od sieci lub całkowicie je zamknij. Obiektem jest zatrzymanie rozprzestrzeniania się oprogramowania wymuszającego okup na tożsamość systemów krytycznych wśród najbardziej narażonych. Jeśli wszystkie kontrolery domeny są wirtualne, upewnij się, że system platformy wirtualizacji i dyski danych są kopiami zapasowymi nośników zewnętrznych w trybie offline, które nie są połączone z siecią, na wypadek naruszenia zabezpieczeń samej platformy wirtualizacji.
• Izolowanie krytycznych znanych dobrych serwerów aplikacji, na przykład sap, bazy danych zarządzania konfiguracją (CMDB), rozliczeń i systemów księgowych.

Te dwa kroki można wykonać jednocześnie, gdy zostaną odnalezione nowe wektory zagrożeń. Wyłącz te wektory zagrożeń, a następnie spróbuj znaleźć znany dobry system, aby odizolować się od sieci.

Inne działania taktyczne zawierania mogą obejmować:

• Zresetuj hasło krbtgt, dwa razy z rzędu. Rozważ użycie skryptowego , powtarzalnego procesu. Ten skrypt umożliwia zresetowanie hasła konta krbtgt i powiązanych kluczy przy jednoczesnym zminimalizowaniu prawdopodobieństwa problemów z uwierzytelnianiem Kerberos powodowanych przez operację. Aby zminimalizować potencjalne problemy, okres istnienia krbtgt można zmniejszyć co najmniej jeden raz przed pierwszym zresetowanie hasła, aby dwa resetowanie zostało wykonane szybko. Należy pamiętać, że wszystkie kontrolery domeny, które mają być utrzymywane w środowisku, muszą być w trybie online.

• Wdróż zasady grupy do wszystkich domen, które uniemożliwiają logowanie uprzywilejowane (Administracja domeny) do dowolnych kontrolerów domeny i uprzywilejowanych stacji roboczych tylko dla administratorów (jeśli istnieją).

• Zainstaluj wszystkie brakujące aktualizacje zabezpieczeń dla systemów operacyjnych i aplikacji. Każda brakująca aktualizacja jest potencjalnym wektorem zagrożeń, który może szybko identyfikować i wykorzystywać przeciwników. Ochrona punktu końcowego w usłudze Microsoft DefenderZarządzanie zagrożeniami i lukami w zabezpieczeniach umożliwia łatwe sprawdzenie, czego brakuje, a także potencjalnego wpływu brakujących aktualizacji.

  • W przypadku urządzeń z systemem Windows 10 (lub nowszym) upewnij się, że bieżąca wersja (lub n-1) jest uruchomiona na każdym urządzeniu.

  • Wdrażanie reguł zmniejszania obszaru ataków (ASR), aby zapobiec infekcji złośliwym oprogramowaniem.

  • Włącz wszystkie funkcje zabezpieczeń systemu Windows 10.

• Sprawdź, czy każda zewnętrzna aplikacja, w tym dostęp do sieci VPN, jest chroniona przez uwierzytelnianie wieloskładnikowe, najlepiej przy użyciu aplikacji uwierzytelniania uruchomionej na zabezpieczonym urządzeniu.

• W przypadku urządzeń, które nie używają usługi Defender dla punktu końcowego jako podstawowego oprogramowania antywirusowego, uruchom pełne skanowanie przy użyciu Skaner bezpieczeństwa Microsoft w izolowanych znanych dobrych systemach przed ponownym połączeniem ich z siecią.

• W przypadku wszystkich starszych systemów operacyjnych uaktualnij do obsługiwanego systemu operacyjnego lub likwiduj te urządzenia. Jeśli te opcje nie są dostępne, wykonaj każdą możliwą miarę, aby odizolować te urządzenia, w tym izolację sieci/sieci VLAN, reguły zabezpieczeń protokołu internetowego (IPsec) i ograniczenia logowania, aby były dostępne tylko dla aplikacji przez użytkowników/urządzenia w celu zapewnienia ciągłości działania.

Najbardziej ryzykowne konfiguracje składają się z uruchamiania systemów o znaczeniu krytycznym w starszych systemach operacyjnych, tak jak System Windows NT 4.0 i aplikacje, wszystkie na starszym sprzęcie. Nie tylko te systemy operacyjne i aplikacje są niezabezpieczone i podatne na zagrożenia, jeśli ten sprzęt ulegnie awarii, kopie zapasowe zwykle nie mogą być przywracane na nowoczesnym sprzęcie. Jeśli nie jest dostępny zamiennik starszego sprzętu, te aplikacje przestaną działać. Zdecydowanie należy rozważyć przekonwertowanie tych aplikacji, aby były uruchamiane w bieżących systemach operacyjnych i sprzęcie.

Działania po zdarzeniu

Dart zaleca zaimplementowanie następujących zaleceń dotyczących zabezpieczeń i najlepszych rozwiązań po każdym zdarzeniu.

• Upewnij się, że najlepsze rozwiązania są dostępne dla rozwiązań do obsługi poczty e-mail i współpracy, aby utrudnić osobom atakującym ich wykorzystywanie, umożliwiając użytkownikom wewnętrznym łatwe i bezpieczne uzyskiwanie dostępu do zawartości zewnętrznej.

• Postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń zero trust dla rozwiązań dostępu zdalnego do wewnętrznych zasobów organizacyjnych.

• Począwszy od administratorów o krytycznym wpływie, postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń kont, w tym przy użyciu uwierzytelniania bez hasła lub uwierzytelniania wieloskładnikowego .

• Zaimplementuj kompleksową strategię, aby zmniejszyć ryzyko naruszenia uprzywilejowanego dostępu.

  • W przypadku dostępu administracyjnego do chmury i lasu/domeny należy użyć modelu dostępu uprzywilejowanego (PAM) firmy Microsoft.

  • W przypadku zarządzania administracyjnego punktu końcowego użyj lokalnego rozwiązania do zarządzania hasłami administracyjnymi (LAPS).

• Zaimplementuj ochronę danych, aby zablokować techniki wymuszania oprogramowania wymuszającego okup oraz potwierdzić szybkie i niezawodne odzyskiwanie po ataku.

• Przejrzyj systemy krytyczne. Sprawdź ochronę i kopie zapasowe przed celowym wymazywaniem lub szyfrowaniem przez osobę atakującą. Ważne jest, aby okresowo testować i weryfikować te kopie zapasowe.

• Zapewnij szybkie wykrywanie i korygowanie typowych ataków na punkt końcowy, pocztę e-mail i tożsamość.

• Aktywnie odnajdywanie i ciągłe ulepszanie stanu zabezpieczeń środowiska.

• Aktualizowanie procesów organizacyjnych w celu zarządzania głównymi zdarzeniami wymuszania oprogramowania wymuszającego okup i usprawnianie outsourcingu w celu uniknięcia problemów.

PAM

Użycie usługi PAM (wcześniej znanej jako model administracji warstwowej) zwiększa stan zabezpieczeń identyfikatora Entra firmy Microsoft, który obejmuje:

• Podział kont administracyjnych w "zaplanowanym" koncie środowiska jeden dla każdego poziomu, zwykle cztery:

• Płaszczyzna sterowania (wcześniej warstwa 0): Administracja istration kontrolerów domeny i innych kluczowych usług tożsamości, takich jak Active Directory Federation Services (ADFS) lub Microsoft Entra Połączenie, która obejmuje również aplikacje serwera, które wymagają uprawnień administracyjnych do usług AD DS, takich jak Exchange Server.

• Dwa następne samoloty były wcześniej warstwą 1:

  • Płaszczyzna zarządzania: zarządzanie zasobami, monitorowanie i zabezpieczenia.

  • Płaszczyzna danych/obciążenia: aplikacje i serwery aplikacji.

• Dwa następne samoloty były wcześniej warstwą 2:

  • Dostęp użytkowników: prawa dostępu dla użytkowników (takich jak konta).

  • Dostęp do aplikacji: prawa dostępu dla aplikacji.

• Każda z tych płaszczyzn ma oddzielną administracyjną stację roboczą dla każdej płaszczyzny i ma dostęp tylko do systemów na tej płaszczyźnie . Inne konta z innych płaszczyzn są blokowane dostęp do stacji roboczych i serwerów w innych płaszczyznach za pośrednictwem przypisań praw użytkownika ustawionych na te maszyny.

Wynikiem netto usługi PAM jest to, że:

• Naruszone konto użytkownika ma dostęp tylko do płaszczyzny, do której należy.

• Bardziej wrażliwe konta użytkowników nie będą logować się do stacji roboczych i serwerów z poziomem zabezpieczeń niższej płaszczyzny, co zmniejsza ruch boczny.

OKRĄŻEŃ

Domyślnie systemy Microsoft Windows i AD DS nie mają scentralizowanego zarządzania lokalnymi kontami administracyjnymi na stacjach roboczych i serwerach członkowskich. Może to spowodować typowe hasło podane dla wszystkich tych kont lokalnych lub przynajmniej w grupach maszyn. Taka sytuacja umożliwia osobom atakującym naruszenie zabezpieczeń jednego konta administratora lokalnego, a następnie użycie tego konta w celu uzyskania dostępu do innych stacji roboczych lub serwerów w organizacji.

Rozwiązanie LAPS firmy Microsoft ogranicza to za pomocą rozszerzenia po stronie klienta zasad grupy, które zmienia lokalne hasło administracyjne w regularnych odstępach czasu na stacjach roboczych i serwerach zgodnie z zestawem zasad. Każde z tych haseł jest inne i przechowywane jako atrybut w obiekcie komputera usług AD DS. Ten atrybut można pobrać z prostej aplikacji klienckiej, w zależności od uprawnień przypisanych do tego atrybutu.

LAPS wymaga rozszerzenia schematu usług AD DS, aby umożliwić dodatkowe atrybuty, szablony zasad grupy LAPS do zainstalowania i małe rozszerzenie po stronie klienta, które ma być zainstalowane na każdej stacji roboczej i serwerze członkowskim, aby zapewnić funkcjonalność po stronie klienta.

Możesz uzyskać usługę LAPS z Centrum pobierania Microsoft.

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

• Rosnące zagrożenie ransomware, Microsoft On the Issues blog post on the July 20, 2021
• Oprogramowanie wymuszane przez człowieka
• Szybka ochrona przed oprogramowaniem wymuszającym okup i wymuszeniem
• 2021 Raport firmy Microsoft na temat ochrony zasobów cyfrowych (patrz strony 10–19)
• Oprogramowanie wymuszające okup: wszechobecny i ciągły raport analizy zagrożeń zagrożeń w portalu usługi Microsoft Defender
• Analiza przypadku oprogramowania wymuszającego oprogramowanie microsoft DART

Microsoft 365:

• Wdrażanie ochrony oprogramowania wymuszającego okup dla dzierżawy platformy Microsoft 365
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
• Odzyskiwanie po ataku wymuszającym okup
• Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
• Ochrona komputera z systemem Windows 10 przed oprogramowaniem wymuszającym okup
• Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
• Raporty analizy zagrożeń dotyczące oprogramowania wymuszającego okup w portalu usługi Microsoft Defender

Microsoft Defender XDR:

• Znajdowanie oprogramowania wymuszającego okup za pomocą zaawansowanego wyszukiwania zagrożeń

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
• Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
• Pomoc w ochronie przed oprogramowaniem wymuszającym okup dzięki usłudze Microsoft Azure Backup (26-minutowe wideo)
• Odzyskiwanie po naruszeniu bezpieczeństwa tożsamości systemowej
• Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel
• Wykrywanie łączenia oprogramowania wymuszającego okup w usłudze Microsoft Sentinel

aplikacje Microsoft Defender dla Chmury:

• Tworzenie zasad wykrywania anomalii w aplikacjach Defender dla Chmury

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft:

• Trzy kroki, aby zapobiec i odzyskać oprogramowanie wymuszającego okup (wrzesień 2021 r.)

• Przewodnik po walce z oprogramowaniem wymuszającym okup przez człowieka: część 1 (wrzesień 2021 r.)

  Kluczowe kroki dotyczące sposobu, w jaki DART firmy Microsoft przeprowadza dochodzenia dotyczące zdarzeń oprogramowania wymuszającego okup.

• Przewodnik po walce z oprogramowaniem wymuszającym okup przez człowieka: część 2 (wrzesień 2021 r.)

  Rekomendacje i najlepsze rozwiązania.

• Stanie się odporne na zagrożenia związane z cyberbezpieczeństwem: część 4- nawigowanie po bieżących zagrożeniach (maj 2021 r.)

  Zobacz sekcję Wymuszanie oprogramowania wymuszającego okup .

• Ataki wymuszającego okup obsługiwane przez człowieka: katastrofa, która można zapobiec (marzec 2020 r.)

  Obejmuje analizy łańcuchów ataków rzeczywistych ataków.

• Ransomware response-to pay or not pay? (grudzień 2019 r.)

• Norsk Hydro reaguje na atak ransomware z przejrzystością (grudzień 2019 r.)