Steg 5: Skydda information

Eftersom utpressningstrojansattackerare även kommer att titta på lokala data i filer, databaser och andra typer av servrar är ett av de bästa sätten att skydda dessa data att migrera dem till din Microsoft 365 klientorganisation. När den väl finns kan den skyddas av inbyggda funktioner för riskreducering och återställningar, till exempel versionshantering, papperskorgen och filåterställning.

För att ge ytterligare skydd av känslig information i din Microsoft 365-klientorganisation:

  • Leta reda på känslig information.
  • Implementera strikta behörigheter och ta bort bred åtkomst (till exempel för många användare som har skriv-, redigerings- och borttagningsrättigheter).
  • Skydda känslig information.

Anteckning

Detaljerade distributionsvägledning för informationsskydd i en Microsoft 365 finns i Distribuera informationsskydd för bestämmelser om datasekretess. Även om den är avsedd för datasekretessregler gäller mycket av vägledningen även för skydd mot utpressningstrojan.

Hitta känslig information

Den första uppgiften är att identifiera typer och platser för känslig information i klientorganisationen, vilket kan omfatta följande typer:

  • Känslig
  • Äganderätt eller immateriell egendom
  • Reglerade, sådana regionala bestämmelser som specificerar skydd för personlig information (PII)
  • IT-återställningsplaner

Bestäm följande för varje typ av känslig information:

  • Hur informationen används i organisationen

  • Ett relativ mått på det monetära värdet om den hålls kvar som en utpressning (t.ex. hög, medium, låg)

  • Dess aktuella plats, till exempel en mapp OneDrive en SharePoint eller en samarbetslokal som en Microsoft Teams-grupp

  • De aktuella behörigheterna, som består av:

    • Användarkonton som har åtkomst till det

    • De åtgärder som är tillåtna för varje konto som har åtkomst till det

Implementera strikta behörigheter för platser med känslig information

Att använda strikta behörigheter i Microsoft 365-klientorganisationen är principen om minsta behörighet för platser och kommunikationslokaler, som i Microsoft 365 vanligtvis OneDrive-mappar, SharePoint-webbplatser, -mappar och -team.

Det är enklare att skapa lagringsplatser för filer eller grupper med bred åtkomst (t.ex. standard för alla i organisationen) för känslig information, men de användarkonton som är tillåtna och de åtgärder som tillåts måste begränsas till den lägsta mängd som krävs för att uppfylla kraven på samarbete och företag.

När en utpressningstrojaner har infiltrerat din klientorganisation försöker de eskalera sina behörigheter genom att kompromettera autentiseringsuppgifter för användarkonton med en större omfattning i hela klientorganisationen, till exempel administratörsrollkonton eller användarkonton som har åtkomst till känslig information.

Baserat på det här vanliga attackbeteendet finns det två nivåer av svårigheter för attackeraren:

  • Låg: En attackerare kan använda ett konto med låg behörighet och upptäcka känslig information på grund av bred åtkomst i hela klientorganisationen.
  • <Högre: En angripare kan inte använda ett konto med låg behörighet och identifiera dina känsliga information på grund av strikta behörigheter. De måste eskalera sina behörigheter genom att fastställa och sedan kompromettera autentiseringsuppgifterna för ett konto som har åtkomst till en plats med känslig information, men då kanske bara kan utföra en begränsad uppsättning åtgärder.

När det gäller känslig information måste du göra så svårt som möjligt.

Du kan säkerställa strikta behörigheter i din klientorganisation genom att följa de här stegen:

  1. Från ansträngningen att hitta känslig information, granska behörigheter för platserna för känslig information.
  2. Implementera strikta behörigheter för känslig information när de uppfyller kraven på samarbete och företag och informera de användare som påverkas.
  3. Utför ändringshantering för dina användare så att framtida platser för känslig information skapas och underhålls med strikta behörigheter.
  4. Granska och övervaka platserna för känslig information för att säkerställa att breda behörigheter inte beviljas.

I Konfigurera säkert samarbete med Microsoft 365 och Microsoft Teams få detaljerad vägledning. Ett exempel på en kommunikations- och samarbetslokal med strikta behörigheter för känslig information är en grupp med säkerhetsisolering.

Skydda känslig information

Skydda känslig information om en utpressningstrojaner kan komma åt den:

  • Använd kontrollerad mappåtkomst för att göra det svårare för obehöriga program att ändra data i styrda mappar.

  • Använd Microsoft Information Protection etiketter och använd dem på känslig information. Känslighetsetiketter kan konfigureras för ytterligare kryptering och behörigheter med definierade användarkonton och tillåtna åtgärder. En fil som är märkt med den här typen av känslighetsetikett som är exfiltrerad från klientorganisationen kan bara användas på ett användarkonto som definierats i etiketten.

  • Använd Microsoft 365 dataförlustskydd (DLP) för att upptäcka, varna och blockera riskabel, oavsiktlig eller olämplig delning av data som innehåller personlig eller konfidentiell information baserat på känslighetsetiketter, både internt och externt.

  • Använd Microsoft Defender for Cloud Apps för att blockera nerladdningar av känslig information, till exempel filer. Du kan också använda Defender for Cloud Apps avvikelseidentifieringsprinciper för att identifiera en hög grad av filuppladdningar eller filborttagningsaktiviteter.

Påverkan på användare och ändringshantering

Administrativa ändringar av breda behörigheter kan leda till att användare nekas åtkomst eller inte kan utföra vissa åtgärder.

För att skydda känslig information i din klientorganisation Microsoft 365 dessutom dina användare att:

  • Skapa kommunikations- och samarbetsplatser med strikta behörigheter (den minsta uppsättningen användarkonton för åtkomst och minsta tillåtna åtgärder för varje).
  • Använd rätt känslighetsetiketter för känslig information.
  • Reglerad mappåtkomst.

Resulterande konfiguration

Här är utpressningstrojanskyddet för din klientorganisation för steg 1–5.

Skydd mot utpressningstrojan för Microsoft 365 klientorganisation efter Steg 5

Ytterligare resurser för utpressningstrojaner

Viktig information från Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Blogginlägg för Microsoft Security-teamet: