Faza 1. Przygotowanie planu odzyskiwania

Pierwszą rzeczą, jaką należy wykonać w przypadku tych ataków, jest przygotowanie organizacji tak, aby była to opłacalna alternatywa dla płacenia okupu. Podczas gdy osoby atakujące kontrolujące organizację mają różne sposoby wywierania nacisku na płacenie, żądania koncentrują się przede wszystkim na dwóch kategoriach:

  • Płatność, aby odzyskać dostęp

    Osoby atakujące żądają płatności pod groźbą, że nie zapewnią ci dostępu do systemów i danych. Jest to najczęściej wykonywane przez szyfrowanie systemów i danych oraz wymaganie płatności za klucz odszyfrowywania.

    Ważne

    Płacenie okupu nie jest tak proste i czyste rozwiązanie, jak może się wydawać. Ponieważ masz do czynienia z przestępcami, którzy są tylko motywowani płatnością (i często stosunkowo amatorzy operatorzy, którzy korzystają z zestawu narzędzi dostarczonego przez kogoś innego), istnieje wiele niepewności co do tego, jak dobrze zapłaci okup rzeczywiście zadziała. Nie ma żadnej gwarancji prawnej, że zapewni ona klucz, który odszyfruje 100% systemów i danych, a nawet zapewni klucz w ogóle. Proces odszyfrowywania tych systemów korzysta z narzędzi atakujących homegrown, które często są niezręcze i procesem ręcznym.

  • Płatność, aby uniknąć ujawnienia

    Atakujący domagają się płatności w zamian za to, że nie zwalniają poufnych lub żenujących danych do ciemnej sieci (innych przestępców) lub ogółu społeczeństwa.

Aby uniknąć wymuszonej płatności (opłacalnej sytuacji dla osób atakujących), najbardziej natychmiastowe i skuteczne działania, które można podjąć, jest zapewnienie, że organizacja może przywrócić całe przedsiębiorstwo z niezmiennego magazynu, który nie może modyfikować ani atakujący.

Identyfikowanie najbardziej poufnych zasobów i ochrona ich na wyższym poziomie zapewniania jest również niezwykle ważne, ale jest to dłuższy i bardziej trudny proces do wykonania. Nie chcemy, aby utrzymać inne obszary w fazach 1 lub 2, ale zalecamy rozpoczęcie procesu, łącząc zainteresowanych stronami biznesowymi, IT i zabezpieczeń, aby zadawać i odpowiadać na pytania, takie jak:

  • Jakie zasoby biznesowe byłyby najbardziej szkodliwe w przypadku naruszenia zabezpieczeń? Na przykład jakie aktywa byłyby skłonne zapłacić żądanie wymuszenia, jeśli atakujący je kontrolowali?
  • Jak te zasoby biznesowe tłumaczą się na zasoby IT (takie jak pliki, aplikacje, bazy danych, serwery i systemy sterowania)?
  • Jak możemy chronić lub odizolować te zasoby, aby osoby atakujące z dostępem do ogólnego środowiska IT nie mogły uzyskać do nich dostępu?

Zabezpieczanie kopii zapasowych

Należy upewnić się, że krytyczne systemy i ich dane są kopiami zapasowymi, a kopie zapasowe są chronione przed celowym wymazywaniem lub szyfrowaniem przez osobę atakującą.

Ataki na kopie zapasowe koncentrują się na paraliżowaniu zdolności organizacji do reagowania bez płacenia, często przeznaczonych dla kopii zapasowych i dokumentacji klucza wymaganej do odzyskania, aby wymusić na płacenie żądań wymuszenia.

Większość organizacji nie chroni procedur tworzenia kopii zapasowych i przywracania przed tym poziomem celowego określania celu.

Uwaga

To przygotowanie zwiększa również odporność na klęski żywiołowe i szybkie ataki, takie jak WannaCry i (Nie)Petya.

Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed atakiem przed atakiem w celu ochrony krytycznych systemów biznesowych i podczas ataku w celu zapewnienia szybkiego odzyskiwania operacji biznesowych.

Konta członków programu i projektu

W tej tabeli opisano ogólną ochronę danych przed oprogramowaniem wymuszającym okup pod względem hierarchii zarządzania sponsorem/programu/zarządzania projektami w celu określenia i podsyłania wyników.

Potencjalny klient Implementator Odpowiedzialność
Centralna it Operacje lub CIO Sponsorowanie kadry kierowniczej
Główny lider programu z centralnej infrastruktury IT Wyniki i współpraca między zespołami
Centralna it Infrastruktura/kopia zapasowa Włączanie tworzenia kopii zapasowej infrastruktury
Centralna it Produktywność/użytkownik końcowy Włączanie kopii zapasowej usługi OneDrive
Architektura zabezpieczeń Porady dotyczące konfiguracji i standardów
Zasady i standardy zabezpieczeń Aktualizowanie standardów i dokumentów zasad
Zarządzanie zgodnością z zabezpieczeniami Monitorowanie w celu zapewnienia zgodności

Lista kontrolna wdrażania

Zastosuj te najlepsze rozwiązania, aby zabezpieczyć infrastrukturę kopii zapasowych.

Gotowe Zadanie Opis
Wykonaj kopię zapasową wszystkich krytycznych danych automatycznie zgodnie z harmonogramem. Umożliwia odzyskiwanie danych do ostatniej kopii zapasowej.
Regularnie wykonywać plan ciągłości działania/odzyskiwania po awarii (BC/DR). Zapewnia szybkie odzyskiwanie operacji biznesowych przez traktowanie ataku wymuszającego okup lub wymuszenia o takim samym znaczeniu jak klęska żywiołowa.
Ochrona kopii zapasowych przed celowym wymazywaniem i szyfrowaniem:

- Silna ochrona — wymagaj kroków poza pasmem (MFA lub PIN) przed zmodyfikowaniem kopii zapasowych online (takich jak Azure Backup).

— Najsilniejsza ochrona — przechowywanie kopii zapasowych w magazynie niezmiennym online (takim jak Azure Blob) i/lub w pełni offline lub poza witryną.
Kopie zapasowe dostępne dla osób atakujących mogą być renderowane jako bezużyteczne dla odzyskiwania biznesowego. Zaimplementuj silniejsze zabezpieczenia w celu uzyskania dostępu do kopii zapasowych i braku możliwości zmiany danych przechowywanych w kopiach zapasowych.
Ochrona dokumentów pomocniczych wymaganych do odzyskiwania, takich jak dokumenty procedury przywracania, baza danych zarządzania konfiguracją (CMDB) i diagramy sieciowe. Osoby atakujące celowo dotyczą tych zasobów, ponieważ mają wpływ na możliwość odzyskania. Upewnij się, że przetrwają atak na oprogramowanie wymuszającego okup.

Wyniki implementacji i osie czasu

W ciągu 30 dni upewnij się, że średni czas odzyskiwania (MTTR) spełnia cel BC/DR mierzony podczas symulacji i operacji rzeczywistych.

Ochrona danych

Należy zaimplementować ochronę danych, aby zapewnić szybkie i niezawodne odzyskiwanie przed atakiem wymuszającym okup oraz zablokować niektóre techniki ataków.

Wymuszanie oprogramowania wymuszającego okup i destrukcyjne ataki działają tylko wtedy, gdy cały uzasadniony dostęp do danych i systemów zostanie utracony. Zapewnienie, że osoby atakujące nie mogą usunąć możliwości wznowienia operacji bez płatności, chronią Twoją firmę i podważają zachętę pieniężną do ataku na organizację.

Konta członków programu i projektu

W tej tabeli opisano ogólną ochronę danych organizacji przed oprogramowaniem wymuszającym okup w zakresie dostępu sponsorowanego/zarządzania programem/hierarchii zarządzania projektami w celu określenia i podsyłania wyników.

Potencjalny klient Implementator Odpowiedzialność
Centralna it Operacje lub CIO Sponsorowanie kadry kierowniczej
Potencjalnego klienta programu z poziomu zabezpieczeń danych Wyniki i współpraca między zespołami
Centralna it Produktywność/użytkownik końcowy Implementowanie zmian w dzierżawie usługi Microsoft 365 dla usługi OneDrive i folderów chronionych
Centralna it Infrastruktura/kopia zapasowa Włączanie tworzenia kopii zapasowej infrastruktury
Firma/aplikacja Identyfikowanie krytycznych zasobów biznesowych
Architektura zabezpieczeń Porady dotyczące konfiguracji i standardów
Zasady i standardy zabezpieczeń Aktualizowanie standardów i dokumentów zasad
Zarządzanie zgodnością z zabezpieczeniami Monitorowanie w celu zapewnienia zgodności
Zespół ds. edukacji użytkowników Zapewnianie wskazówek dla użytkowników odzwierciedla aktualizacje zasad

Lista kontrolna wdrażania

Zastosuj te najlepsze rozwiązania, aby chronić dane organizacji.

Gotowe Zadanie Opis
Migrowanie organizacji do chmury:

— Przenieś dane użytkowników do rozwiązań w chmurze, takich jak OneDrive/SharePoint, aby korzystać z możliwości przechowywania wersji i kosza.

- Edukuj użytkowników, jak odzyskać swoje pliki samodzielnie, aby zmniejszyć opóźnienia i koszty odzyskiwania.
Dane użytkowników w chmurze firmy Microsoft mogą być chronione za pomocą wbudowanych funkcji zabezpieczeń i zarządzania danymi.
Wyznaczanie chronionych folderów. Utrudnia nieautoryzowanym aplikacjom modyfikowanie danych w tych folderach.
Przejrzyj swoje uprawnienia:

— Odnajdywanie szerokich uprawnień do zapisu/usuwania udziałów plików, programu SharePoint i innych rozwiązań. Wartość Broad jest definiowana tak, jak wielu użytkowników z uprawnieniami do zapisu/usuwania dla danych krytycznych dla działania firmy.

— Zmniejszenie szerokich uprawnień do krytycznych lokalizacji danych przy jednoczesnym spełnieniu wymagań dotyczących współpracy biznesowej.

— Przeprowadź inspekcję i monitorowanie krytycznych lokalizacji danych, aby upewnić się, że szerokie uprawnienia nie pojawiają się ponownie.
Zmniejsza ryzyko działań związanych z oprogramowaniem wymuszającym okup, które polegają na szerokim dostępie.

Następny krok

Phase 2. Limit the scope of damage

Kontynuuj pracę z fazą 2 , aby ograniczyć zakres uszkodzenia ataku przez ochronę ról uprzywilejowanych.

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft: