Этап 2. Ограничение области ущерба

На этом этапе вы защищаете привилегированные роли, чтобы предотвратить получение злоумышленниками большого объема доступа к потенциальным повреждениям данных и систем.

Стратегия привилегированного доступа

Необходимо реализовать комплексную стратегию для снижения риска компрометации привилегированного доступа.

Злоумышленник с правами привилегированного доступа к вашей среде может без труда свести к нулю действие всех остальных элементов управления безопасностью. Злоумышленники программы-шантажисты используют привилегированный доступ в качестве быстрого пути для управления всеми критически важными ресурсами в организации для атаки и последующего вымогательства.

Области ответственности участников программ и проектов

В этой таблице описана защита привилегированного доступа от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.

Lead Ответственный за реализацию Ответственность
Начальник управления информационной безопасностью или директор по информационным технологиям Представительская спонсорская деятельность
Руководитель программы Достижение результатов и совместная работа между командами
ИТ-специалисты и архитекторы системы безопасности Назначение приоритета компонентам, интегрированным в архитектуры
Управление удостоверениями и ключами Реализация изменений удостоверений
Команда по повышению производительности или взаимодействию с пользователями из центрального ИТ-отдела Реализация изменений на устройствах и в клиенте Office 365
Политика и стандарты безопасности Обновление стандартов и документов политики
Ответственные за управление соответствием требованиям безопасности Мониторинг для обеспечения соответствия
Команда по обучению пользователей Обновление любых инструкций по использованию паролей

Контрольный список для реализации

Создайте многоэтапную стратегию, используя руководство с контрольным списком, размещенное по адресу https://aka.ms/SPA.

Готово Задача Описание
Обеспечение комплексной безопасности сеанса. Явным образом проверяет доверие пользователей и устройств, прежде чем разрешать доступ к административным интерфейсам (с помощью условного доступа Azure Active Directory).
Защищайте и отслеживайте системы идентификации. Предотвращает атаки с повышением привилегий, включая атаки на каталоги, систему управления удостоверениями, учетные записи администраторов и группы, а также конфигурацию предоставления согласия.
Устранение вероятности обхода с перемещением внутри периметра. Гарантирует, что компрометация одного устройства не сразу же приводит к получению контроля над многими или всеми другими устройствами. Для этого используются пароли локальных учетных записей, пароли учетных записей служб или другие секреты.
Обеспечение быстрого реагирования на угрозы. Ограничивает доступ злоумышленника и время, проводимое им в вашей среде. Дополнительные сведения см. в разделе Обнаружение и реагирование.

Результаты и временная шкала реализации

Попробуйте достичь этих результатов в течение 30–90 дней:

  • 100 % администраторов требуются для использования защищенных рабочих станций
  • 100 % локальных рабочих станций или паролей сервера рандомизированы
  • Развертываются 100 % рисков эскалации привилегий.

Обнаружение и ответные меры

В вашей организации следует реализовать средства обнаружения распространенных атак на конечные точки, электронную почту и удостоверения с возможностью реагирования на такие атаки и исправления их последствий. На счету каждая минута. Вам следует быстро исправить распространенные точки входа атак, ограничив время пребывания злоумышленника в среде вашей организации, чтобы он не успел выполнить обход с перемещением внутри периметра.

Области ответственности участников программ и проектов

В этой таблице описано улучшение возможностей обнаружения программ-шантажистов и реагирования на их действия в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.

Lead Ответственный за реализацию Ответственность
Начальник управления информационной безопасностью или директор по информационным технологиям Представительская спонсорская деятельность
Руководитель программы из команды по обеспечению безопасности Достижение результатов и совместная работа между командами
Команда по работе с инфраструктурой из центрального ИТ-отдела Реализация клиентских и серверных агентов или функций
Операции безопасности Интеграция новых средств в операции обеспечения безопасности
Команда по повышению производительности или взаимодействию с пользователями из центрального ИТ-отдела Включение функций Defender для конечной точки, Defender для Office 365, Defender для удостоверений и Defender для облачных приложений
Команда по идентификации из центрального ИТ-отдела Реализация средств безопасности Azure AD и Defender для удостоверений
Архитекторы системы безопасности Рекомендации по настройке, стандартам и инструментарию
Политика и стандарты безопасности Обновление стандартов и документов политики
Ответственные за управление соответствием требованиям безопасности Мониторинг для обеспечения соответствия

Контрольный список для реализации

Применяйте эти рекомендации для улучшения процесса обнаружения и реагирования.

Готово Задача Описание
Назначьте приоритеты распространенным точкам входа:

— используйте интегрированные средства расширенного обнаружения и реагирования (XDR), такие как Microsoft 365 Defender, чтобы обеспечить высокое качество оповещений, а также свести к минимуму вероятность возникновения проблем и выполняемые вручную операции при реагировании;

— выполняйте мониторинг на предмет попыток атак методом перебора, таких как Распыление пароля.
В качестве точек входа операторы программ-шантажистов (и других программ) предпочитают использовать конечные точки, электронную почту, удостоверения и RDP.
Выполняйте мониторинг на предмет действий злоумышленника, направленных на отключение средств безопасности (это часто является этапом цепочки атак), например:

— очистка журнала событий, особенно журнала событий безопасности и рабочих журналов PowerShell;

— отключение средств и элементов управления безопасностью.
Злоумышленники нацелены на средства обнаружения безопасности, чтобы продолжить атаку более безопасно.
Не игнорируйте стандартные вредоносные программы. Злоумышленники, использующие программы-шантажисты, регулярно покупают права доступа к целевым организациям на черных рынках.
Привлеките к процессам внешних специалистов, чтобы обеспечить экспертные знания, например Microsoft Detection and Response Team (DART). Для обнаружения и восстановления опыт имеет огромное значение.
Оперативно изолируйте скомпрометированные компьютеры с помощью Defender для конечной точки. Интеграция с Windows 11 и 10 упрощает эту интеграцию.

Следующий шаг

Phase 3. Make it hard to get in

Перейдите к этапу 3, чтобы усложнить злоумышленнику получение доступа к вашей среде, постепенно удалив риски.

Дополнительные ресурсы о программах-шантажистах

Основная информация от корпорации Майкрософт:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender для облачных приложений:

Записи блога службы безопасности Майкрософт: