Steg 5: Skydda information
Eftersom utpressningstrojansattackerare även kommer att titta på lokala data i filer, databaser och andra typer av servrar är ett av de bästa sätten att skydda dessa data att migrera dem till din Microsoft 365 klientorganisation. När den väl finns kan den skyddas av inbyggda funktioner för riskreducering och återställningar, till exempel versionshantering, papperskorgen och filåterställning.
För att ge ytterligare skydd av känslig information i din Microsoft 365-klientorganisation:
- Leta reda på känslig information.
- Implementera strikta behörigheter och ta bort bred åtkomst (till exempel för många användare som har skriv-, redigerings- och borttagningsrättigheter).
- Skydda känslig information.
Anteckning
Detaljerade distributionsvägledning för informationsskydd i en Microsoft 365 finns i Distribuera informationsskydd för bestämmelser om datasekretess. Även om den är avsedd för datasekretessregler gäller mycket av vägledningen även för skydd mot utpressningstrojan.
Hitta känslig information
Den första uppgiften är att identifiera typer och platser för känslig information i klientorganisationen, vilket kan omfatta följande typer:
- Känslig
- Äganderätt eller immateriell egendom
- Reglerade, sådana regionala bestämmelser som specificerar skydd för personlig information (PII)
- IT-återställningsplaner
Bestäm följande för varje typ av känslig information:
Hur informationen används i organisationen
Ett relativ mått på det monetära värdet om den hålls kvar som en utpressning (t.ex. hög, medium, låg)
Dess aktuella plats, till exempel en mapp OneDrive en SharePoint eller en samarbetslokal som en Microsoft Teams-grupp
De aktuella behörigheterna, som består av:
Användarkonton som har åtkomst till det
De åtgärder som är tillåtna för varje konto som har åtkomst till det
Implementera strikta behörigheter för platser med känslig information
Att använda strikta behörigheter i Microsoft 365-klientorganisationen är principen om minsta behörighet för platser och kommunikationslokaler, som i Microsoft 365 vanligtvis OneDrive-mappar, SharePoint-webbplatser, -mappar och -team.
Det är enklare att skapa lagringsplatser för filer eller grupper med bred åtkomst (t.ex. standard för alla i organisationen) för känslig information, men de användarkonton som är tillåtna och de åtgärder som tillåts måste begränsas till den lägsta mängd som krävs för att uppfylla kraven på samarbete och företag.
När en utpressningstrojaner har infiltrerat din klientorganisation försöker de eskalera sina behörigheter genom att kompromettera autentiseringsuppgifter för användarkonton med en större omfattning i hela klientorganisationen, till exempel administratörsrollkonton eller användarkonton som har åtkomst till känslig information.
Baserat på det här vanliga attackbeteendet finns det två nivåer av svårigheter för attackeraren:
- Låg: En attackerare kan använda ett konto med låg behörighet och upptäcka känslig information på grund av bred åtkomst i hela klientorganisationen.
- <Högre: En angripare kan inte använda ett konto med låg behörighet och identifiera dina känsliga information på grund av strikta behörigheter. De måste eskalera sina behörigheter genom att fastställa och sedan kompromettera autentiseringsuppgifterna för ett konto som har åtkomst till en plats med känslig information, men då kanske bara kan utföra en begränsad uppsättning åtgärder.
När det gäller känslig information måste du göra så svårt som möjligt.
Du kan säkerställa strikta behörigheter i din klientorganisation genom att följa de här stegen:
- Från ansträngningen att hitta känslig information, granska behörigheter för platserna för känslig information.
- Implementera strikta behörigheter för känslig information när de uppfyller kraven på samarbete och företag och informera de användare som påverkas.
- Utför ändringshantering för dina användare så att framtida platser för känslig information skapas och underhålls med strikta behörigheter.
- Granska och övervaka platserna för känslig information för att säkerställa att breda behörigheter inte beviljas.
I Konfigurera säkert samarbete med Microsoft 365 och Microsoft Teams få detaljerad vägledning. Ett exempel på en kommunikations- och samarbetslokal med strikta behörigheter för känslig information är en grupp med säkerhetsisolering.
Skydda känslig information
Skydda känslig information om en utpressningstrojaner kan komma åt den:
Använd kontrollerad mappåtkomst för att göra det svårare för obehöriga program att ändra data i styrda mappar.
Använd Microsoft Information Protection etiketter och använd dem på känslig information. Känslighetsetiketter kan konfigureras för ytterligare kryptering och behörigheter med definierade användarkonton och tillåtna åtgärder. En fil som är märkt med den här typen av känslighetsetikett som är exfiltrerad från klientorganisationen kan bara användas på ett användarkonto som definierats i etiketten.
Använd Microsoft 365 dataförlustskydd (DLP) för att upptäcka, varna och blockera riskabel, oavsiktlig eller olämplig delning av data som innehåller personlig eller konfidentiell information baserat på känslighetsetiketter, både internt och externt.
Använd Microsoft Defender for Cloud Apps för att blockera nerladdningar av känslig information, till exempel filer. Du kan också använda Defender for Cloud Apps avvikelseidentifieringsprinciper för att identifiera en hög grad av filuppladdningar eller filborttagningsaktiviteter.
Påverkan på användare och ändringshantering
Administrativa ändringar av breda behörigheter kan leda till att användare nekas åtkomst eller inte kan utföra vissa åtgärder.
För att skydda känslig information i din klientorganisation Microsoft 365 dessutom dina användare att:
- Skapa kommunikations- och samarbetsplatser med strikta behörigheter (den minsta uppsättningen användarkonton för åtkomst och minsta tillåtna åtgärder för varje).
- Använd rätt känslighetsetiketter för känslig information.
- Reglerad mappåtkomst.
Resulterande konfiguration
Här är utpressningstrojanskyddet för din klientorganisation för steg 1–5.

Ytterligare resurser för utpressningstrojaner
Viktig information från Microsoft:
- Det växande hotet om utpressningstrojaner– Microsoft On the Issues-blogginlägget den 20 juli 2021
- Utpressningstrojaner som drivs av människor
- Skydda snabbt mot utpressningstrojaner och utpressning
- 2021 Microsoft Digital Defense Report (se sidorna 10–19)
- Utpressningstrojan: Ett genomgripande och pågående hot hotanalysrapport i Microsoft 365 Defender-portalen
Microsoft 365:
- Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
- Återställa efter en attack med utpressningstrojan
- Skydd mot skadlig kod och utpressningstrojan
- Skydda din Windows 10-dator från utpressningstrojaner
- Hantera utpressningstrojaner i SharePoint Online
- Hotanalysrapporter för utpressningstrojaner i Microsoft 365 Defender-portalen
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses för attacker med utpressningstrojan
- Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
- Plan för säkerhetskopiering och återställning för att skydda mot utpressningstrojaner
- Skydda mot utpressningstrojaner med Microsoft Azure Backup (26-minuters video)
- Återställa från identitetskompromettering
- Avancerad identifiering av flerstegsattack i Microsoft Sentinel
- Fusionidentifiering för utpressningstrojaner i Microsoft Sentinel
Microsoft Defender for Cloud Apps:
Blogginlägg för Microsoft Security-teamet:
3 steg för att förhindra och återhämta från utpressningstrojaner (september 2021)
En guide för att bekämpa mänskligt drivna utpressningstrojaner: Del 1 (september 2021)
Viktiga steg för hur Microsofts DART-team (Detection and Response Team) genomför undersökningar av utpressningstrojaner.
En guide för att bekämpa mänskligt drivna utpressningstrojaner: Del 2 (september 2021)
Rekommendationer och metodtips.
-
Se avsnittet Utpressningstrojaner.
Attacker med utpressningstrojan som drivs av människor: En katastrof som kan förhindras (mars 2020)
Innehåller attack kedjeanalyser av de faktiska attackerna.
Svar på utpressningstrojaner – att betala eller inte betala? (december 2019)
Norsk Hydro svarar på utpressningstrojaner med transparens (december 2019)