Utrudnianie atakom wymuszającym okup w celu uzyskania dostępu do organizacji
W tej fazie osoby atakujące będą pracować ciężej , aby dostać się do systemów lokalnych lub w chmurze, stopniowo usuwając zagrożenia w punktach wejścia.
Chociaż wiele z tych zmian będzie znanych i łatwych do zrobienia, niezwykle ważne jest, aby twoja praca nad tą częścią strategii nie spowalniała postępów w innych do niezwykle ważnych części!
Poniżej przedstawiono linki do zapoznania się z trzema częściami planu bezpieczeństwa cybernetycznego:
Dostęp zdalny
Uzyskiwanie dostępu do intranetu organizacji za pośrednictwem połączenia dostępu zdalnego jest wektorem ataku dla atakujących oprogramowania wymuszającego okup.
Po naruszeniu zabezpieczeń lokalnego konta użytkownika osoba atakująca może swobodnie poruszać się w intranecie w celu zbierania informacji wywiadowczych, podniesienia uprawnień i zainstalowania oprogramowania wymuszającego okup. Cyberatak Colonial Pipeline w 2021 roku jest przykładem.
Konta członków programu i projektu na potrzeby dostępu zdalnego
W tej tabeli opisano ogólną ochronę rozwiązania dostępu zdalnego z oprogramowania wymuszającego okup pod względem hierarchii zarządzania dostępem sponsorowanym/programu/zarządzania projektami w celu określenia i uzyskania wyników.
| Lead | Implementator | Odpowiedzialności |
|---|---|---|
| CISO lub CIO | Sponsorowanie przez kierownictwo | |
| Lider programu w zespole ds. centralnej infrastruktury IT /sieci | Podsyć wyniki i współpracę między zespołami | |
| Architekci it i zabezpieczeń | Określanie priorytetów integracji składników z architekturami | |
| Centralny zespół ds. tożsamości IT | Konfigurowanie zasad dostępu warunkowego i identyfikatora entra firmy Microsoft | |
| Centralne operacje IT | Implementowanie zmian w środowisku | |
| Właściciele obciążeń | Pomoc dotycząca uprawnień RBAC do publikowania aplikacji | |
| Zasady zabezpieczeń i standardy | Aktualizowanie standardów i dokumentów zasad | |
| Zarządzanie zgodnością z zabezpieczeniami | Monitorowanie w celu zapewnienia zgodności | |
| Zespół ds. edukacji użytkowników | Aktualizowanie wszelkich wskazówek dotyczących zmian przepływu pracy i przeprowadzania edukacji i zarządzania zmianami |
Lista kontrolna implementacji dostępu zdalnego
Zastosuj te najlepsze rozwiązania, aby chronić infrastrukturę dostępu zdalnego przed atakami wymuszającym okup.
| Gotowe | Zadanie | Opis |
|---|---|---|
| Obsługa aktualizacji oprogramowania i urządzenia. Unikaj braku lub zaniedbania ochrony producenta (aktualizacje zabezpieczeń, obsługiwany stan). | Osoby atakujące używają dobrze znanych luk w zabezpieczeniach, które nie zostały jeszcze poprawione jako wektory ataków. | |
| Skonfiguruj identyfikator entra firmy Microsoft dla istniejącego dostępu zdalnego, w tym wymuszanie weryfikacji użytkownika i urządzenia Zero Trust przy użyciu dostępu warunkowego. | Zero Trust zapewnia wiele poziomów zabezpieczania dostępu do organizacji. | |
| Skonfiguruj zabezpieczenia dla istniejących rozwiązań sieci VPN innych firm (Cisco Any Połączenie, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) i nie tylko. | Skorzystaj z wbudowanych zabezpieczeń rozwiązania dostępu zdalnego. | |
| Wdróż sieć VPN typu punkt-lokacja (P2S) platformy Azure w celu zapewnienia dostępu zdalnego. | Skorzystaj z integracji z identyfikatorem Entra firmy Microsoft i istniejącymi subskrypcjami platformy Azure. | |
| Publikowanie lokalnych aplikacji internetowych za pomocą serwera proxy aplikacji Firmy Microsoft Entra. | Aplikacje opublikowane za pomocą serwera proxy aplikacji Microsoft Entra nie wymagają połączenia dostępu zdalnego. | |
| Zabezpieczanie dostępu do zasobów platformy Azure za pomocą usługi Azure Bastion. | Bezpieczne i bezproblemowe łączenie się z maszynami wirtualnymi platformy Azure za pośrednictwem protokołu SSL. | |
| Przeprowadź inspekcję i monitorowanie w celu znalezienia i naprawienia odchyleń od punktu odniesienia i potencjalnych ataków (zobacz Wykrywanie i reagowanie). | Zmniejszenie ryzyka związanego z działaniami oprogramowania wymuszającego okup, które sondują podstawowe funkcje zabezpieczeń i ustawienia. |
Poczta e-mail i współpraca
Zaimplementuj najlepsze rozwiązania dotyczące poczty e-mail i współpracy, aby utrudnić osobom atakującym ich wykorzystywanie, umożliwiając pracownikom łatwe i bezpieczne uzyskiwanie dostępu do zawartości zewnętrznej.
Osoby atakujące często wchodzą do środowiska, przesyłając złośliwą zawartość za pomocą autoryzowanych narzędzi do współpracy, takich jak poczta e-mail i udostępnianie plików oraz przekonujące użytkowników, aby je uruchamiali. Firma Microsoft zainwestowała w ulepszone środki zaradcze, które znacznie zwiększają ochronę przed tymi wektorami ataków.
Konta członków programu i projektu na potrzeby poczty e-mail i współpracy
W tej tabeli opisano ogólną ochronę rozwiązań do współpracy i poczty e-mail z oprogramowania wymuszającego okup w zakresie sponsorowania/zarządzania programem/hierarchii zarządzania projektami w celu określenia i uzyskania wyników.
| Lead | Implementator | Odpowiedzialności |
|---|---|---|
| CISO, CIO lub Identity Director | Sponsorowanie przez kierownictwo | |
| Lider programu od zespołu ds. architektury zabezpieczeń | Podsyć wyniki i współpracę między zespołami | |
| Architekci IT | Określanie priorytetów integracji składników z architekturami | |
| Produktywność w chmurze lub zespół użytkowników końcowych | Włączanie Ochrona usługi Office 365 w usłudze Defender, usług ASR i AMSI | |
| Infrastruktura architektury / zabezpieczeń i punkt końcowy | Pomoc dotycząca konfiguracji | |
| Zespół ds. edukacji użytkowników | Wskazówki dotyczące aktualizacji zmian przepływu pracy | |
| Zasady zabezpieczeń i standardy | Aktualizowanie standardów i dokumentów zasad | |
| Zarządzanie zgodnością z zabezpieczeniami | Monitorowanie w celu zapewnienia zgodności |
Lista kontrolna implementacji dotycząca poczty e-mail i współpracy
Zastosuj te najlepsze rozwiązania, aby chronić rozwiązania do współpracy i poczty e-mail przed atakami wymuszającym okup.
| Gotowe | Zadanie | Opis |
|---|---|---|
| Włącz interfejs AMSI dla pakietu Office VBA. | Wykrywanie ataków makr pakietu Office za pomocą narzędzi punktów końcowych, takich jak defender for Endpoint. | |
| Zaimplementuj zaawansowane zabezpieczenia poczty e-mail przy użyciu Ochrona usługi Office 365 w usłudze Defender lub podobnego rozwiązania. | Adres e-mail jest typowym punktem wejścia dla osób atakujących. | |
| Wdróż reguły zmniejszania obszaru ataków (ASR), aby zablokować typowe techniki ataków, w tym: — Nadużycie punktu końcowego, takie jak kradzież poświadczeń, działanie oprogramowania wymuszającego okup i podejrzane użycie programu PsExec i WMI. - Działanie dokumentu pakietu Office z bronią, takie jak zaawansowane działanie makr, zawartość wykonywalna, tworzenie procesów i iniekcja procesów inicjowane przez aplikacja pakietu Office lications. Uwaga: najpierw wdróż te reguły w trybie inspekcji, a następnie oceń negatywny wpływ, a następnie wdróż je w trybie bloku. |
Usługa ASR zapewnia dodatkowe warstwy ochrony przeznaczone specjalnie do ograniczania typowych metod ataku. | |
| Przeprowadź inspekcję i monitorowanie w celu znalezienia i naprawienia odchyleń od punktu odniesienia i potencjalnych ataków (zobacz Wykrywanie i reagowanie). | Zmniejsza ryzyko działań związanych z oprogramowaniem wymuszającym okup, które sonduje podstawowe funkcje zabezpieczeń i ustawienia. |
Punkty końcowe
Zaimplementuj odpowiednie funkcje zabezpieczeń i rygorystycznie przestrzegaj najlepszych rozwiązań dotyczących konserwacji oprogramowania dla punktów końcowych (urządzeń) i aplikacji, priorytetyzacji aplikacji i systemów operacyjnych serwera/klienta bezpośrednio narażonych na ruch internetowy i zawartość.
Punkty końcowe uwidocznione przez Internet są typowym wektorem wejścia, który zapewnia osobom atakującym dostęp do zasobów organizacji. Określanie priorytetów blokujących typowe luki w zabezpieczeniach systemu operacyjnego i aplikacji przy użyciu mechanizmów kontroli prewencyjnej w celu spowolnienia lub powstrzymania ich od wykonywania następnego etapu.
Konta członków programu i projektu dla punktów końcowych
W tej tabeli opisano ogólną ochronę punktów końcowych przed oprogramowaniem wymuszającym okup pod względem hierarchii zarządzania dostępem sponsorowanym/programem/zarządzania projektami w celu określenia i uzyskania wyników.
| Lead | Implementator | Odpowiedzialności |
|---|---|---|
| Kierownictwo firmy jest odpowiedzialny za wpływ zarówno przestoju, jak i szkody w ataku | Sponsoring wykonawczy (konserwacja) | |
| Centralne operacje IT lub dyrektor ds. systemów informatycznych | Dostęp sponsorowany przez kierownictwo (inne) | |
| Lider programu od centralnego zespołu ds. infrastruktury IT | Podsyć wyniki i współpracę między zespołami | |
| Architekci it i zabezpieczeń | Określanie priorytetów integracji składników z architekturami | |
| Centralne operacje IT | Implementowanie zmian w środowisku | |
| Produktywność w chmurze lub zespół użytkowników końcowych | Włączanie zmniejszania obszaru ataków | |
| Obciążenia/Właściciele aplikacji | Identyfikowanie okien obsługi pod kątem zmian | |
| Zasady zabezpieczeń i standardy | Aktualizowanie standardów i dokumentów zasad | |
| Zarządzanie zgodnością z zabezpieczeniami | Monitorowanie w celu zapewnienia zgodności |
Lista kontrolna implementacji punktów końcowych
Zastosuj te najlepsze rozwiązania do wszystkich punktów końcowych systemów Windows, Linux, MacOS, Android, iOS i innych.
| Gotowe | Zadanie | Opis |
|---|---|---|
| Blokuj znane zagrożenia za pomocą reguł zmniejszania obszaru ataków, ochrony przed naruszeniami i blokowania w pierwszej lokacji. | Nie pozwól, aby brak używania tych wbudowanych funkcji zabezpieczeń był powodem, dla którego osoba atakująca weszła do organizacji. | |
| Stosowanie punktów odniesienia zabezpieczeń w celu wzmacniania zabezpieczeń serwerów i klientów systemu Windows oraz aplikacja pakietu Office licacji. | Chroń organizację przy użyciu minimalnego poziomu zabezpieczeń i kompilacji. | |
| Obsługa oprogramowania w taki sposób, aby: - Zaktualizowano: Szybkie wdrażanie krytycznych aktualizacji zabezpieczeń dla systemów operacyjnych, przeglądarek i klientów poczty e-mail — Obsługiwane: uaktualnij systemy operacyjne i oprogramowanie dla wersji obsługiwanych przez dostawców. |
Osoby atakujące oczekują na brak lub zaniedbanie aktualizacji i uaktualnień producenta. | |
| Izolowanie, wyłączanie lub wycofywanie niezabezpieczonych systemów i protokołów, w tym nieobsługiwanych systemów operacyjnych i starszych protokołów. | Osoby atakujące używają znanych luk w zabezpieczeniach starszych urządzeń, systemów i protokołów jako punktów wejścia do organizacji. | |
| Blokuj nieoczekiwany ruch z zaporą opartą na hoście i zabezpieczeniami sieci. | Niektóre ataki złośliwego oprogramowania polegają na niepożądanym ruchu przychodzącym do hostów w celu nawiązania połączenia z atakiem. | |
| Przeprowadź inspekcję i monitorowanie w celu znalezienia i naprawienia odchyleń od punktu odniesienia i potencjalnych ataków (zobacz Wykrywanie i reagowanie). | Zmniejsza ryzyko działań związanych z oprogramowaniem wymuszającym okup, które sonduje podstawowe funkcje zabezpieczeń i ustawienia. |
Klienci
Podobnie jak zabytkowe klucze szkieletowe nie chronią domu przed współczesnym włamaniem, hasła nie mogą chronić kont przed typowymi atakami, które widzimy dzisiaj. Chociaż uwierzytelnianie wieloskładnikowe (MFA) było kiedyś uciążliwym dodatkowym krokiem, uwierzytelnianie bez hasła poprawia środowisko logowania przy użyciu metod biometrycznych, które nie wymagają od użytkowników zapamiętania ani wpisania hasła. Ponadto infrastruktura Zero Trust przechowuje informacje o zaufanych urządzeniach, co zmniejsza monit o irytujące akcje uwierzytelniania wieloskładnikowego poza pasmem.
Począwszy od kont administratorów o wysokim poziomie uprawnień, rygorystycznie przestrzegaj tych najlepszych rozwiązań dotyczących zabezpieczeń kont, w tym korzystania z usługi bez hasła lub uwierzytelniania wieloskładnikowego.
Konta członków programu i projektu
W tej tabeli opisano ogólną ochronę kont przed oprogramowaniem wymuszającym okup pod względem hierarchii zarządzania dostępem sponsorowanym/programem/zarządzania projektami w celu określenia i uzyskania wyników.
| Lead | Implementator | Odpowiedzialności |
|---|---|---|
| CISO, CIO lub Identity Director | Sponsorowanie przez kierownictwo | |
| Lider programu od zespołów ds. zarządzania tożsamościami i kluczami lub architektury zabezpieczeń | Podsyć wyniki i współpracę między zespołami | |
| Architekci it i zabezpieczeń | Określanie priorytetów integracji składników z architekturami | |
| Zarządzanie tożsamościami i kluczami lub centralne operacje IT | Implementowanie zmian konfiguracji | |
| Zasady zabezpieczeń i standardy | Aktualizowanie standardów i dokumentów zasad | |
| Zarządzanie zgodnością z zabezpieczeniami | Monitorowanie w celu zapewnienia zgodności | |
| Zespół ds. edukacji użytkowników | Aktualizowanie haseł lub wskazówek dotyczących logowania oraz przeprowadzanie edukacji i zarządzania zmianami |
Lista kontrolna implementacji dla kont
Zastosuj te najlepsze rozwiązania, aby chronić konta przed atakami wymuszającym okup.
| Gotowe | Zadanie | Opis |
|---|---|---|
| Wymuszanie silnego logowania wieloskładnikowego lub bez hasła dla wszystkich użytkowników. Zacznij od kont administratora i priorytetu przy użyciu co najmniej jednego konta: — Uwierzytelnianie bez hasła za pomocą usługi Windows Hello lub aplikacji Microsoft Authenticator. - Azure Multi-Factor Authentication. — Rozwiązanie uwierzytelniania wieloskładnikowego innej firmy. |
Utrudnić atakującemu przeprowadzenie naruszenia poświadczeń przez określenie hasła do konta użytkownika. | |
| Zwiększ bezpieczeństwo haseł: — W przypadku kont Microsoft Entra użyj usługi Microsoft Entra Password Protection , aby wykrywać i blokować znane słabe hasła oraz dodatkowe słabe terminy specyficzne dla twojej organizacji. — W przypadku kont usług lokalna usługa Active Directory Domain Services (AD DS) rozszerz ochronę haseł firmy Microsoft na konta usług AD DS. |
Upewnij się, że osoby atakujące nie mogą określić typowych haseł ani haseł na podstawie nazwy organizacji. | |
| Przeprowadź inspekcję i monitorowanie w celu znalezienia i naprawienia odchyleń od punktu odniesienia i potencjalnych ataków (zobacz Wykrywanie i reagowanie). | Zmniejsza ryzyko działań związanych z oprogramowaniem wymuszającym okup, które sonduje podstawowe funkcje zabezpieczeń i ustawienia. |
Wyniki i osie czasu implementacji
Spróbuj osiągnąć te wyniki w ciągu 30 dni:
- 100% pracowników aktywnie korzysta z uwierzytelniania wieloskładnikowego
- 100% wdrożenia wyższego poziomu zabezpieczeń haseł
Dodatkowe zasoby oprogramowania wymuszającego okup
Kluczowe informacje od firmy Microsoft:
- Rosnące zagrożenie ransomware, Microsoft On the Issues blog post on the July 20, 2021
- Oprogramowanie wymuszane przez człowieka
- Szybka ochrona przed oprogramowaniem wymuszającym okup i wymuszeniem
- 2021 Raport firmy Microsoft na temat ochrony zasobów cyfrowych (patrz strony 10–19)
- Oprogramowanie wymuszające okup: wszechobecny i ciągły raport analizy zagrożeń zagrożeń w portalu usługi Microsoft Defender
- Podejściei analiza przypadku zespołu ds. wykrywania i reagowania firmy Microsoft (DART)
Microsoft 365:
- Wdrażanie ochrony oprogramowania wymuszającego okup dla dzierżawy platformy Microsoft 365
- Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
- Odzyskiwanie po ataku wymuszającym okup
- Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
- Ochrona komputera z systemem Windows 10 przed oprogramowaniem wymuszającym okup
- Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
- Raporty analizy zagrożeń dotyczące oprogramowania wymuszającego okup w portalu usługi Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
- Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
- Pomoc w ochronie przed oprogramowaniem wymuszającym okup dzięki usłudze Microsoft Azure Backup (26 minut wideo)
- Odzyskiwanie po naruszeniu bezpieczeństwa tożsamości systemowej
- Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel
- Wykrywanie łączenia oprogramowania wymuszającego okup w usłudze Microsoft Sentinel
aplikacje Microsoft Defender dla Chmury:
Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft:
3 kroki, aby zapobiec i odzyskać oprogramowanie wymuszającego okup (wrzesień 2021 r.)
Przewodnik po walce z oprogramowaniem wymuszającym okup przez człowieka: część 1 (wrzesień 2021 r.)
Kluczowe kroki dotyczące sposobu, w jaki zespół ds. wykrywania i reagowania firmy Microsoft (DART) przeprowadza badania zdarzeń oprogramowania wymuszającego okup.
Przewodnik po walce z oprogramowaniem wymuszającym okup przez człowieka: część 2 (wrzesień 2021 r.)
Rekomendacje i najlepsze rozwiązania.
-
Zobacz sekcję Wymuszanie oprogramowania wymuszającego okup .
-
Obejmuje analizy łańcuchów ataków rzeczywistych ataków.
Odpowiedź na oprogramowanie wymuszającego okup — aby zapłacić, czy nie zapłacić? (grudzień 2019 r.)
Norsk Hydro reaguje na atak ransomware z przejrzystością (grudzień 2019 r.)
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla