Faza 1. Przygotowanie planu odzyskiwania
Pierwszą rzeczą, jaką należy wykonać w przypadku tych ataków, jest przygotowanie organizacji tak, aby była to opłacalna alternatywa dla płacenia okupu. Podczas gdy osoby atakujące kontrolujące organizację mają różne sposoby wywierania nacisku na płacenie, żądania koncentrują się przede wszystkim na dwóch kategoriach:
Płatność, aby odzyskać dostęp
Osoby atakujące żądają płatności pod groźbą, że nie zapewnią ci dostępu do systemów i danych. Jest to najczęściej wykonywane przez szyfrowanie systemów i danych oraz wymaganie płatności za klucz odszyfrowywania.
Ważne
Płacenie okupu nie jest tak proste i czyste rozwiązanie, jak może się wydawać. Ponieważ masz do czynienia z przestępcami, którzy są tylko motywowani płatnością (i często stosunkowo amatorzy operatorzy, którzy korzystają z zestawu narzędzi dostarczonego przez kogoś innego), istnieje wiele niepewności co do tego, jak dobrze zapłaci okup rzeczywiście zadziała. Nie ma żadnej gwarancji prawnej, że zapewni ona klucz, który odszyfruje 100% systemów i danych, a nawet zapewni klucz w ogóle. Proces odszyfrowywania tych systemów korzysta z narzędzi atakujących homegrown, które często są niezręcze i procesem ręcznym.
Płatność, aby uniknąć ujawnienia
Atakujący domagają się płatności w zamian za to, że nie zwalniają poufnych lub żenujących danych do ciemnej sieci (innych przestępców) lub ogółu społeczeństwa.
Aby uniknąć wymuszonej płatności (opłacalnej sytuacji dla osób atakujących), najbardziej natychmiastowe i skuteczne działania, które można podjąć, jest zapewnienie, że organizacja może przywrócić całe przedsiębiorstwo z niezmiennego magazynu, który nie może modyfikować ani atakujący.
Identyfikowanie najbardziej poufnych zasobów i ochrona ich na wyższym poziomie zapewniania jest również niezwykle ważne, ale jest to dłuższy i bardziej trudny proces do wykonania. Nie chcemy, aby utrzymać inne obszary w fazach 1 lub 2, ale zalecamy rozpoczęcie procesu, łącząc zainteresowanych stronami biznesowymi, IT i zabezpieczeń, aby zadawać i odpowiadać na pytania, takie jak:
- Jakie zasoby biznesowe byłyby najbardziej szkodliwe w przypadku naruszenia zabezpieczeń? Na przykład jakie aktywa byłyby skłonne zapłacić żądanie wymuszenia, jeśli atakujący je kontrolowali?
- Jak te zasoby biznesowe tłumaczą się na zasoby IT (takie jak pliki, aplikacje, bazy danych, serwery i systemy sterowania)?
- Jak możemy chronić lub odizolować te zasoby, aby osoby atakujące z dostępem do ogólnego środowiska IT nie mogły uzyskać do nich dostępu?
Zabezpieczanie kopii zapasowych
Należy upewnić się, że krytyczne systemy i ich dane są kopiami zapasowymi, a kopie zapasowe są chronione przed celowym wymazywaniem lub szyfrowaniem przez osobę atakującą.
Ataki na kopie zapasowe koncentrują się na paraliżowaniu zdolności organizacji do reagowania bez płacenia, często przeznaczonych dla kopii zapasowych i dokumentacji klucza wymaganej do odzyskania, aby wymusić na płacenie żądań wymuszenia.
Większość organizacji nie chroni procedur tworzenia kopii zapasowych i przywracania przed tym poziomem celowego określania celu.
Uwaga
To przygotowanie zwiększa również odporność na klęski żywiołowe i szybkie ataki, takie jak WannaCry i (Nie)Petya.
Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed atakiem przed atakiem w celu ochrony krytycznych systemów biznesowych i podczas ataku w celu zapewnienia szybkiego odzyskiwania operacji biznesowych.
Konta członków programu i projektu
W tej tabeli opisano ogólną ochronę danych przed oprogramowaniem wymuszającym okup pod względem hierarchii zarządzania sponsorem/programu/zarządzania projektami w celu określenia i podsyłania wyników.
| Potencjalny klient | Implementator | Odpowiedzialność |
|---|---|---|
| Centralna it Operacje lub CIO | Sponsorowanie kadry kierowniczej | |
| Główny lider programu z centralnej infrastruktury IT | Wyniki i współpraca między zespołami | |
| Centralna it Infrastruktura/kopia zapasowa | Włączanie tworzenia kopii zapasowej infrastruktury | |
| Centralna it Produktywność/użytkownik końcowy | Włączanie kopii zapasowej usługi OneDrive | |
| Architektura zabezpieczeń | Porady dotyczące konfiguracji i standardów | |
| Zasady i standardy zabezpieczeń | Aktualizowanie standardów i dokumentów zasad | |
| Zarządzanie zgodnością z zabezpieczeniami | Monitorowanie w celu zapewnienia zgodności | |
Lista kontrolna wdrażania
Zastosuj te najlepsze rozwiązania, aby zabezpieczyć infrastrukturę kopii zapasowych.
| Gotowe | Zadanie | Opis |
|---|---|---|
| Wykonaj kopię zapasową wszystkich krytycznych danych automatycznie zgodnie z harmonogramem. | Umożliwia odzyskiwanie danych do ostatniej kopii zapasowej. | |
| Regularnie wykonywać plan ciągłości działania/odzyskiwania po awarii (BC/DR). | Zapewnia szybkie odzyskiwanie operacji biznesowych przez traktowanie ataku wymuszającego okup lub wymuszenia o takim samym znaczeniu jak klęska żywiołowa. | |
| Ochrona kopii zapasowych przed celowym wymazywaniem i szyfrowaniem: - Silna ochrona — wymagaj kroków poza pasmem (MFA lub PIN) przed zmodyfikowaniem kopii zapasowych online (takich jak Azure Backup). — Najsilniejsza ochrona — przechowywanie kopii zapasowych w magazynie niezmiennym online (takim jak Azure Blob) i/lub w pełni offline lub poza witryną. |
Kopie zapasowe dostępne dla osób atakujących mogą być renderowane jako bezużyteczne dla odzyskiwania biznesowego. Zaimplementuj silniejsze zabezpieczenia w celu uzyskania dostępu do kopii zapasowych i braku możliwości zmiany danych przechowywanych w kopiach zapasowych. | |
| Ochrona dokumentów pomocniczych wymaganych do odzyskiwania, takich jak dokumenty procedury przywracania, baza danych zarządzania konfiguracją (CMDB) i diagramy sieciowe. | Osoby atakujące celowo dotyczą tych zasobów, ponieważ mają wpływ na możliwość odzyskania. Upewnij się, że przetrwają atak na oprogramowanie wymuszającego okup. |
Wyniki implementacji i osie czasu
W ciągu 30 dni upewnij się, że średni czas odzyskiwania (MTTR) spełnia cel BC/DR mierzony podczas symulacji i operacji rzeczywistych.
Ochrona danych
Należy zaimplementować ochronę danych, aby zapewnić szybkie i niezawodne odzyskiwanie przed atakiem wymuszającym okup oraz zablokować niektóre techniki ataków.
Wymuszanie oprogramowania wymuszającego okup i destrukcyjne ataki działają tylko wtedy, gdy cały uzasadniony dostęp do danych i systemów zostanie utracony. Zapewnienie, że osoby atakujące nie mogą usunąć możliwości wznowienia operacji bez płatności, chronią Twoją firmę i podważają zachętę pieniężną do ataku na organizację.
Konta członków programu i projektu
W tej tabeli opisano ogólną ochronę danych organizacji przed oprogramowaniem wymuszającym okup w zakresie dostępu sponsorowanego/zarządzania programem/hierarchii zarządzania projektami w celu określenia i podsyłania wyników.
| Potencjalny klient | Implementator | Odpowiedzialność |
|---|---|---|
| Centralna it Operacje lub CIO | Sponsorowanie kadry kierowniczej | |
| Potencjalnego klienta programu z poziomu zabezpieczeń danych | Wyniki i współpraca między zespołami | |
| Centralna it Produktywność/użytkownik końcowy | Implementowanie zmian w dzierżawie usługi Microsoft 365 dla usługi OneDrive i folderów chronionych | |
| Centralna it Infrastruktura/kopia zapasowa | Włączanie tworzenia kopii zapasowej infrastruktury | |
| Firma/aplikacja | Identyfikowanie krytycznych zasobów biznesowych | |
| Architektura zabezpieczeń | Porady dotyczące konfiguracji i standardów | |
| Zasady i standardy zabezpieczeń | Aktualizowanie standardów i dokumentów zasad | |
| Zarządzanie zgodnością z zabezpieczeniami | Monitorowanie w celu zapewnienia zgodności | |
| Zespół ds. edukacji użytkowników | Zapewnianie wskazówek dla użytkowników odzwierciedla aktualizacje zasad | |
Lista kontrolna wdrażania
Zastosuj te najlepsze rozwiązania, aby chronić dane organizacji.
| Gotowe | Zadanie | Opis |
|---|---|---|
| Migrowanie organizacji do chmury: — Przenieś dane użytkowników do rozwiązań w chmurze, takich jak OneDrive/SharePoint, aby korzystać z możliwości przechowywania wersji i kosza. - Edukuj użytkowników, jak odzyskać swoje pliki samodzielnie, aby zmniejszyć opóźnienia i koszty odzyskiwania. |
Dane użytkowników w chmurze firmy Microsoft mogą być chronione za pomocą wbudowanych funkcji zabezpieczeń i zarządzania danymi. | |
| Wyznaczanie chronionych folderów. | Utrudnia nieautoryzowanym aplikacjom modyfikowanie danych w tych folderach. | |
| Przejrzyj swoje uprawnienia: — Odnajdywanie szerokich uprawnień do zapisu/usuwania udziałów plików, programu SharePoint i innych rozwiązań. Wartość Broad jest definiowana tak, jak wielu użytkowników z uprawnieniami do zapisu/usuwania dla danych krytycznych dla działania firmy. — Zmniejszenie szerokich uprawnień do krytycznych lokalizacji danych przy jednoczesnym spełnieniu wymagań dotyczących współpracy biznesowej. — Przeprowadź inspekcję i monitorowanie krytycznych lokalizacji danych, aby upewnić się, że szerokie uprawnienia nie pojawiają się ponownie. |
Zmniejsza ryzyko działań związanych z oprogramowaniem wymuszającym okup, które polegają na szerokim dostępie. | |
Następny krok
Kontynuuj pracę z fazą 2 , aby ograniczyć zakres uszkodzenia ataku przez ochronę ról uprzywilejowanych.
Dodatkowe zasoby oprogramowania wymuszającego okup
Kluczowe informacje od firmy Microsoft:
- Rosnące zagrożenie oprogramowaniem wymuszającym okup, wpis w blogu Microsoft On the Issues w dniu 20 lipca 2021 r.
- Oprogramowanie wymuszającego okup obsługiwane przez człowieka
- Szybka ochrona przed oprogramowaniem wymuszającym okup i wymuszeniem
- 2021 Microsoft Digital Defense Report (zobacz strony 10–19)
- Oprogramowanie wymuszające okup: wszechobecny i ciągły raport analizy zagrożeń zagrożeń w portalu usługi Microsoft 365 Defender
- Podejście i analiza przypadku zespołu ds. wykrywania i reagowania firmy Microsoft (DART)
Microsoft 365:
- Wdrażanie ochrony przed oprogramowaniem wymuszającym okup dla dzierżawy platformy Microsoft 365
- Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
- Odzyskiwanie po ataku wymuszającym okup
- Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
- Ochrona komputera z systemem Windows 10 przed oprogramowaniem wymuszającym okup
- Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
- Raporty analizy zagrożeń dotyczące oprogramowania wymuszającego okup w portalu usługi Microsoft 365 Defender
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
- Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
- Ochrona przed oprogramowaniem wymuszającym okup dzięki usłudze Microsoft Azure Backup (26 minut wideo)
- Odzyskiwanie po naruszeniu tożsamości systemowej
- Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel
- Wykrywanie łączenia oprogramowania wymuszającego okup w usłudze Microsoft Sentinel
Microsoft Defender for Cloud Apps:
Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft:
-
Kluczowe kroki dotyczące sposobu, w jaki zespół ds. wykrywania i reagowania firmy Microsoft (DART) przeprowadza badania zdarzeń oprogramowania wymuszającego okup.
-
Zalecenia i najlepsze rozwiązania.
-
Zobacz sekcję Wymuszanie oprogramowania wymuszającego okup .
-
Obejmuje analizę łańcucha ataków rzeczywistych ataków.
Odpowiedź na oprogramowanie wymuszającego okup — aby zapłacić, czy nie zapłacić? (grudzień 2019)