Защита от вредоносных программ и программ-шантажистов в Microsoft 365

Защита данных клиентов от вредоносных программ

Вредоносная программа состоит из вирусов, шпионских и других вредоносных программ. Microsoft 365 включает механизмы защиты для предотвращения внедрения вредоносных программ в Microsoft 365 клиентом или сервером Microsoft 365. Использование программного обеспечения для защиты от вредоносных программ является основным механизмом защиты ресурсов Microsoft 365 от вредоносных программ. Антивредоносная программа обнаруживает и предотвращает появление компьютерных вирусов, вредоносных программ, программ rootkit, червей и других вредоносных программ в любых системах обслуживания. Антивредоносная программа обеспечивает как профилактический, так и детективный контроль над вредоносными программами.

Каждое решение для защиты от вредоносных программ отслеживает версию программного обеспечения и выполняемые сигнатуры. Автоматическое скачивание и применение обновлений сигнатур по крайней мере ежедневно с сайта определения вирусов поставщика централизованно управляется соответствующим средством защиты от вредоносных программ для каждой группы обслуживания. Следующие функции централизованно управляются соответствующим средством защиты от вредоносных программ в каждой конечной точке для каждой команды служб.

• Автоматическое сканирование среды
• Периодические проверки файловой системы (по крайней мере еженедельно)
• Сканирование файлов в режиме реального времени при их скачивании, открытии или выполнении
• Автоматическое скачивание и применение обновлений сигнатур по крайней мере ежедневно с сайта определения вирусов поставщика
• Оповещение, очистка и устранение обнаруженных вредоносных программ

Когда средства защиты от вредоносных программ обнаруживают вредоносные программы, они блокируют вредоносные программы и создают оповещение для сотрудников группы поддержки Microsoft 365, службы безопасности Microsoft 365 и (или) группы безопасности и соответствия требованиям организации Майкрософт, которая управляет нашими центрами обработки данных. Принимающий персонал инициирует процесс реагирования на инциденты. Инциденты отслеживаются и разрешаются, а также выполняется посмертный анализ.

Exchange Online Protection от вредоносных программ

Все сообщения электронной почты для Exchange Online проходят через Exchange Online Protection (EOP), который помещает в карантин и сканирует в режиме реального времени все сообщения электронной почты и вложения электронной почты, которые входят в систему и выходят из системы на наличие вирусов и других вредоносных программ. Администраторам не нужно настраивать или поддерживать технологии фильтрации; они включены по умолчанию. Однако администраторы могут вносить настройки фильтрации для конкретной компании с помощью Центра администрирования Exchange.

Использование нескольких антивирусных механизмов реализует в EOP многоуровневую защиту, перехватывающую все известные вредоносные программы. Сообщения, передаваемые через службу, проверяются на наличие вредоносных программ (включая вирусы и шпионские программы). При обнаружении вредоносных программ сообщение удаляется. Также отправителям или администраторам могут отправляться уведомления при наличии зараженных сообщений, которые удаляются и не доставляются. Можно также заменять зараженные вложения на сообщения по умолчанию или настраиваемые сообщения, позволяющие сообщить получателям об обнаружении вредоносного ПО.

Ниже описано, как обеспечить защиту от вредоносных программ.

• Многоуровневая защита от вредоносных программ . Несколько модулей проверки вредоносных программ, используемых в EOP, помогают защититься от известных и неизвестных угроз. В этих механизмах используются мощные эвристические методы обнаружения, которые обеспечивают защиту даже на ранних этапах эпидемий вредоносных программ. Было показано, что этот многокомпонентный подход обеспечивает большую защиту, чем использование только одного модуля защиты от вредоносных программ.
• Реагирование на угрозы в режиме реального времени . Во время некоторых вспышек команда по борьбе с вредоносными программами может иметь достаточно информации о вирусе или других вредоносных программах, чтобы написать сложные правила политики, которые обнаруживают угрозу еще до того, как будет доступно определение из любого из обработчиков, используемых службой. Эти правила публикуются в глобальной сети каждые 2 часа, чтобы предоставить организации дополнительный уровень защиты от атак.
• Быстрое развертывание определений вредоносных программ . Команда по борьбе с вредоносными программами поддерживает тесные отношения с партнерами, которые разрабатывают подсистемы защиты от вредоносных программ. Благодаря этому служба может получать и интегрировать сигнатуры вредоносных программ и исправления, прежде чем они станут общедоступны. Это партнерство также часто позволяет нам разрабатывать собственные решения. Служба ежечасно проверяет наличие обновлений определений для всех антивирусных механизмов.

Microsoft Defender для Office 365

Microsoft Defender для Office 365 — это служба фильтрации электронной почты, которая обеспечивает дополнительную защиту от определенных типов сложных угроз, включая вредоносные программы и вирусы. Exchange Online Protection в настоящее время использует надежную многоуровневую антивирусную защиту на базе нескольких ядр от известных вредоносных программ и вирусов. Microsoft Defender для Office 365 расширяет эту защиту с помощью функции под названием Безопасные вложения, которая защищает от неизвестных вредоносных программ и вирусов и обеспечивает лучшую защиту от нулевого дня для защиты системы обмена сообщениями. Все сообщения и вложения, не имеющие известной сигнатуры вирусов или вредоносных программ, направляются в специальную среду низкоуровневой оболочки, где анализ поведения выполняется с помощью различных методов машинного обучения и анализа для обнаружения вредоносных намерений. Если подозрительные действия не обнаружены, сообщение отправляется для доставки в почтовый ящик.

Exchange Online Protection также сканирует каждое сообщение при передаче в Microsoft 365 и обеспечивает защиту от доставки по времени, блокируя все вредоносные гиперссылки в сообщении. Злоумышленники иногда пытаются скрыть вредоносные URL-адреса с помощью, казалось бы, безопасных ссылок, которые перенаправляются на небезопасные сайты службой пересылки после получения сообщения. Безопасные ссылки заблаговременно защищают пользователей, если они выбирают такую ссылку. Эта защита сохраняется каждый раз, когда пользователь выбирает ссылку, а вредоносные ссылки динамически блокируются, а хорошие ссылки доступны.

Microsoft Defender для Office 365 также предлагает широкие возможности создания отчетов и отслеживания, поэтому вы можете получить важную информацию о том, кто является целевым в вашей организации, и категорию атак, с которыми вы сталкиваетесь. Отчеты и трассировка сообщений позволяют исследовать сообщения, которые были заблокированы из-за неизвестного вируса или вредоносного ПО, а возможность трассировки URL-адресов позволяет отслеживать отдельные вредоносные ссылки в сообщениях, которые были щелкнуны.

Дополнительные сведения о Microsoft Defender для Office 365 см. в разделе Exchange Online Protection и Microsoft Defender для Office 365.

Защита SharePoint и OneDrive от программ-шантажистов

Существует множество форм атак программ-шантажистов, но одна из наиболее распространенных форм заключается в том, что злоумышленник шифрует важные файлы пользователя, а затем требует от пользователя что-то, например деньги или информацию, в обмен на ключ для их расшифровки. Растет число атак программ-шантажистов, особенно атак, которые шифруют файлы, хранящиеся в облачном хранилище пользователя. Дополнительные сведения о программе-шантажистах см. на сайте Microsoft Defender Security Intelligence.

Управление версиями помогает защитить списки SharePoint и библиотеки SharePoint и OneDrive от некоторых, но не всех этих типов атак программ-шантажистов. Управление версиями включено по умолчанию в OneDrive и SharePoint. Так как управление версиями включено в списках сайтов SharePoint, вы можете просмотреть более ранние версии и при необходимости восстановить их. Это позволяет восстановить версии элементов, которые до даты их шифрования программой-шантажистом. Некоторые организации также хранят несколько версий элементов в своих списках по юридическим причинам или в целях аудита.

Корзины SharePoint и OneDrive

Администраторы SharePoint могут восстановить удаленное семейство веб-сайтов с помощью Центра администрирования SharePoint. У пользователей SharePoint есть корзина, где хранится удаленный контент. Они могут получить доступ к корзине для восстановления удаленных документов и списков, если это необходимо. Элементы в корзине хранятся в течение 93 дней. Следующие типы данных хранятся в корзине.

• Семейства веб-сайтов
• Сайты
• Списки
• Библиотеки
• Папки
• Элементы списка
• Документы
• Страницы веб-частей

Настройки сайта, внесенные с помощью SharePoint Designer, не записываются в корзину. Дополнительные сведения см. в статье Восстановление удаленных элементов из корзины семейства веб-сайтов. См. также статью Восстановление удаленного семейства веб-сайтов.

Управление версиями не защищает от атак программ-шантажистов, которые копируют файлы, шифруют их, а затем удаляют исходные файлы. Однако конечные пользователи могут использовать корзину для восстановления файлов OneDrive после атаки программы-шантажиста.

В следующем разделе более подробно рассматриваются средства защиты и средства управления, которые корпорация Майкрософт использует для снижения риска кибератаки на вашу организацию и ее ресурсы.

Как корпорация Майкрософт снижает риски, связанные с атакой программы-шантажиста

Корпорация Майкрософт создала средства защиты и средства управления, которые она использует для снижения рисков атаки программы-шантажиста на вашу организацию и ее ресурсы. Ресурсы можно упорядочить по доменам, каждый из которых имеет собственный набор мер по устранению рисков.

Домен 1. Элементы управления на уровне клиента

Первый домен — это люди, составляющие вашу организацию, а также инфраструктура и службы, принадлежащие и контролируемые вашей организацией. Следующие функции в Microsoft 365 включены по умолчанию или могут быть настроены для снижения риска и восстановления после успешного компрометации ресурсов в этом домене.

Exchange Online.

• Благодаря восстановлению отдельных элементов и хранению почтовых ящиков клиенты могут восстанавливать элементы в почтовом ящике после случайного или вредоносного преждевременного удаления. Клиенты могут откатывать почтовые сообщения, удаленные в течение 14 дней, по умолчанию, при этом можно настроить до 30 дней.

• Дополнительные конфигурации клиентов этих политик хранения в службе Exchange Online позволяют:

  • настраиваемое хранение для применения (1 год/10 год+)
  • Копирование при применении защиты от записи
  • возможность блокировки политики хранения таким образом, чтобы можно было достичь неизменяемости;

• Exchange Online Protection сканирует входящие сообщения электронной почты и вложения в режиме реального времени как при входе в систему, так и при выходе из нее. Этот параметр включен по умолчанию и имеет доступные настройки фильтрации. Сообщения, содержащие программы-шантажисты или другие известные или подозрительные вредоносные программы, удаляются. Вы можете настроить администраторов для получения уведомлений, когда это происходит.

Защита SharePoint и OneDrive

Защита SharePoint и OneDrive имеют встроенные функции, помогающие защититься от атак программ-шантажистов.

Управление версиями. Так как управление версиями сохраняет не менее 500 версий файла по умолчанию и может быть настроено для хранения большего количества. Если программа-шантажист изменяет и шифрует файл, можно восстановить предыдущую версию файла.

Корзина. Если программа-шантажист создает новую зашифрованную копию файла и удаляет старый файл, у клиентов есть 93 дня, чтобы восстановить его из корзины.

Сохранение библиотеки хранения. Файлы, хранящиеся на сайтах SharePoint или OneDrive, можно хранить, применяя параметры хранения. Если к документу с версиями применяются параметры хранения, версии копируются в библиотеку хранения и существуют как отдельный элемент. Если пользователь подозревает, что его файлы скомпрометированы, он может исследовать изменения файлов, просмотрив сохраненную копию. Затем восстановление файлов можно использовать для восстановления файлов в течение последних 30 дней.

Teams

Чаты Teams хранятся в Exchange Online почтовых ящиках пользователей и файлах в SharePoint или OneDrive. Данные Microsoft Teams защищены с помощью элементов управления и механизмов восстановления, доступных в этих службах.

Домен 2. Элементы управления уровнем обслуживания

Второй домен — это люди, составляющие организацию Майкрософт, а также корпоративная инфраструктура, принадлежающая и контролируемая корпорацией Майкрософт для выполнения организационных функций компании.

Подход корпорации Майкрософт к защите своих корпоративных активов — это "Никому не доверяй", реализованный с использованием наших собственных продуктов и служб с защитой от цифровых активов. Дополнительные сведения о принципах "Никому не доверяй" см. в статье Архитектура "Никому не доверяй".

Дополнительные функции Microsoft 365 расширяют возможности по устранению рисков, доступные в домене 1, чтобы дополнительно защитить ресурсы в этом домене.

Защита SharePoint и OneDrive

Управление версиями. Если программа-шантажист зашифровал файл в качестве изменения, файл можно восстановить до начальной даты создания файла с помощью возможностей журнала версий, управляемых корпорацией Майкрософт.

Корзина. Если программа-шантажист создала новую зашифрованную копию файла и удалила старый файл, у клиентов есть 93 дня, чтобы восстановить его из корзины. Через 93 дня появится 14-дневное окно, в котором корпорация Майкрософт сможет восстановить данные. После этого окна данные удаляются без возможности восстановления.

Teams

Меры по устранению рисков для Teams, описанные в домене 1, также применяются к домену 2.

Домен 3. Разработчики & инфраструктуры служб

Третий домен — это люди, которые разрабатывают и управляют службой Microsoft 365, кодом и инфраструктурой, которая предоставляет службу, а также хранением и обработкой ваших данных.

Инвестиции Майкрософт, которые защищают платформу Microsoft 365 и снижают риски в этой области, сосредоточены на следующих областях:

• Непрерывная оценка и проверка состояния безопасности службы
• Создание средств и архитектуры, защищающих службу от компрометации
• Создание возможности обнаружения угроз и реагирования на них в случае атаки

Непрерывная оценка и проверка состояния безопасности

• Корпорация Майкрософт снижает риски, связанные с людьми, которые разрабатывают и управляют службой Microsoft 365, используя принцип наименьших привилегий. Это означает, что доступ к ресурсам и разрешения на них ограничены только тем, что необходимо для выполнения необходимой задачи.
  • Модель JIT, JIT-just-enough-Access (JEA) используется для предоставления инженерам Майкрософт временных привилегий.
  • Инженеры должны отправить запрос для конкретной задачи, чтобы получить повышенные привилегии.
  • Запросы управляются через lockbox, который использует управление доступом на основе ролей Azure (RBAC) для ограничения типов запросов на повышение JIT-прав, которые могут выполнять инженеры.
• В дополнение к описанному выше все кандидаты От Майкрософт предварительно просматриваются перед началом работы в Корпорации Майкрософт. Сотрудники, которые поддерживают microsoft веб-службы в США, должны пройти проверку фона Microsoft Cloud в качестве необходимого условия для доступа к веб-службы системам.
• Все сотрудники Корпорации Майкрософт должны пройти базовое обучение по повышению осведомленности о безопасности, а также обучение по стандартам делового поведения.

Средства и архитектура, защищающие службу

• Жизненный цикл разработки безопасности (SDL) корпорации Майкрософт сосредоточен на разработке безопасного программного обеспечения для повышения безопасности приложений и снижения уязвимостей. Дополнительные сведения см. в статье Общие сведения о разработке и операциях в области безопасности и безопасности.
• Microsoft 365 ограничивает обмен данными между различными частями инфраструктуры служб только тем, что необходимо для работы.
• Сетевой трафик защищен с помощью дополнительных сетевых брандмауэров на пограничных точках, которые помогают обнаруживать, предотвращать и устранять сетевые атаки.
• Службы Microsoft 365 предназначены для работы без инженеров, которым требуется доступ к данным клиента, если клиент явно не запрашивает и не утверждает их. Дополнительные сведения см. в разделе Как корпорация Майкрософт собирает и обрабатывает данные клиентов.

Возможности обнаружения и реагирования

• Microsoft 365 выполняет непрерывный мониторинг безопасности своих систем для обнаружения угроз в службах Microsoft 365 и реагирования на них.
• Централизованное ведение журнала собирает и анализирует события журнала для действий, которые могут указывать на инцидент безопасности. Данные журнала анализируются по мере их отправки в нашу систему оповещений и создают оповещения практически в реальном времени.
• Облачные средства позволяют быстро реагировать на обнаруженные угрозы. Эти средства обеспечивают исправление с помощью автоматически активированных действий.
• Если автоматическое исправление невозможно, оповещения отправляются соответствующим инженерам по вызову, которые оснащены набором средств, позволяющих им действовать в режиме реального времени для устранения обнаруженных угроз.

Восстановление после атаки программы-шантажиста

Инструкции по восстановлению после атаки программы-шантажиста в Microsoft 365 см. в статье Восстановление после атаки с помощью программы-шантажиста в Microsoft 365.

Ресурсы для получения дополнительных сведений о программах-шантажистах

Ключевая информация от Корпорации Майкрософт

• Растущая угроза программ-шантажистов, запись блога Microsoft On the Issues от 20 июля 2021 г.
• Программы-шантажисты, управляемые человеком
• Быстрая защита от программ-шантажистов и вымогателей
• Последний аналитический отчет Майкрософт о безопасности (см. стр. 22–24)
• Программа-шантажист: широко распространенный и текущий отчет об угрозах в узле Аналитика угроз на портале Microsoft Defender (см. эти требования к лицензированию).

Microsoft 365

• Развертывание защиты от программ-шантажистов в клиенте Microsoft 365
• Восстановление после атаки программы-шантажиста
• Защита компьютеров с Windows 10 от программ-шантажистов
• Обработка программ-шантажистов в SharePoint

Microsoft Defender XDR

• Поиск программ-шантажистов с помощью расширенной охоты

Microsoft Azure

• Средства защиты Azure от атак программ-шантажистов
• Планирование резервного копирования и восстановления для защиты от программ-шантажистов
• Защита от программ-шантажистов с помощью Microsoft Azure Backup (26-минутное видео)
• Восстановление после компрометации системных удостоверений
• Обнаружение современных многоэтапных атак в Microsoft Sentinel
• Обнаружение программ-шантажистов Fusion в Microsoft Sentinel
• Защита от программ-шантажистов в Azure
• Подготовка к атаке программы-шантажиста
• Обнаружение атак программ-шантажистов и реагирование на них
• Функции Azure & ресурсы, которые помогают защищать, обнаруживать и реагировать на них
• План резервного копирования и восстановления Azure для защиты от программ-шантажистов

Microsoft Defender for Cloud Apps

• Создание политик обнаружения аномалий в Defender for Cloud Apps

Записи блога группы безопасности Майкрософт

• Три действия для предотвращения атак программ-шантажистов и восстановления после этих атак (сентябрь 2021 г.)

• Повышение устойчивости путем понимания рисков, связанных с нарушением кибербезопасности: часть 4 — навигация по текущим угрозам (май 2021 г.)

  См. раздел Программы-шантажисты.

• Атаки управляемых человеком программ-шантажистов: опасность, которую можно предотвратить (март 2020 г.)

  Включает анализ цепочки фактических атак.

• Ответ программы-шантажиста — платить или не платить? (декабрь 2019 г.)

• Norsk Hydro отвечает на атаку программы-шантажиста прозрачностью (декабрь 2019 г.)