Fas 1: Förbereda din återställningsplan
Det första du bör göra för dessa attacker är att förbereda organisationen så att den har ett bra alternativ till att betala utpressningstrojanen. Även om attackerare som har kontroll över din organisation har flera olika sätt att hindra dig från att betala, så ställs kraven främst på två kategorier:
Betala för att återfå åtkomsten
Attackerarna begär betalning under hot om att de inte ger dig tillbaka åtkomst till dina system och data. Det görs oftast genom att kryptera dina system och data och betalning av dekrypteringsnyckeln.
Viktigt
Att betala utpressningstrojanen är inte så enkelt och rent av en lösning som den kanske verkar. Eftersom du hanterar brottslingar som bara motiveras av betalning (och ofta är det ganska stora företag som använder verktyg som tillhandahålls av någon annan) finns det många osäkra på hur bra betalningsuppgifter faktiskt fungerar. Det finns ingen juridisk garanti för att de ska ge en nyckel som dekrypterar 100 % av dina system och data, eller ens ger en nyckel alls. Processen för att dekryptera dessa system använder bebyggda attackersverktyg, som ofta är en lumnig och manuell process.
Betala för att undvika avslöjande
Attackerare begär betalning i utbyte för att inte släppa känsliga eller generande data till mörka webben (andra brottslingar) eller allmänheten.
För att undvika att tvingas betala (den lönsamma situationen för attackerare) är det mest effektiva du kan vidta för att säkerställa att organisationen kan återställa hela företaget från oföränderligt lagringsutrymme, som varken attackeraren eller du kan ändra.
Att identifiera de mest känsliga tillgångarna och skydda dem på en högre säkerhetsnivå är också viktigt, men det är en längre och svårare process att genomföra. Vi vill inte att du ska hantera andra områden i fas 1 eller 2, men vi rekommenderar att du kommer igång genom att sammanföra företag, IT och intressenter för att ställa och besvara frågor som:
- Vilka företagstillgångar skulle vara mest skadliga om de komprometteras? Vilka tillgångar skulle företagsledare exempelvis vara beredd att betala en extortionssida om attacker kontrollerade dem?
- Hur översätter dessa affärstillgångar till IT-tillgångar (filer, program, databaser, servrar osv.)?
- Hur kan vi skydda eller isolera de här tillgångarna så att attacker med åtkomst till den allmänna IT-miljön inte kan komma åt dem?
Säkra säkerhetskopior
Du måste se till att kritiska system och deras data säkerhetskopieras och säkerhetskopiering skyddas mot avsiktlig radering eller kryptering av en attackerare.
Attacker på dina säkerhetskopior fokuserar på att förbättra organisationens möjlighet att svara utan att betala, ofta rikta säkerhetskopior och viktig dokumentation som krävs för återställning för att tvinga dig att betala utpressningskrav.
De flesta organisationer skyddar inte säkerhetskopiering och återställning mot den här nivån av avsiktlig målgrupp.
Obs!
Förberedelsen förbättrar också motståndskraften för naturliga konflikter och snabba attacker som WannaCry och (Not)Petya.
Säkerhetskopierings- och återställningsplan som skyddar mot utpressningstrojaner handlar om vad du kan göra före en attack för att skydda dina kritiska affärssystem och under en attack för att säkerställa en snabb återställning av affärsåtgärder.
Konto för program- och projektmedlem
I den här tabellen beskrivs det övergripande skyddet av data från utpressningstrojaner när det gäller sponsring/programhantering/projekthanteringshierarki för att fastställa och driva resultat.
| Lead | Implementor | Ansvarighet |
|---|---|---|
| Central IT Åtgärder eller CIO | Sponsring från ledningen | |
| Program lead from Central IT infrastructure | Driva resultat och samarbeta i olika team | |
| Central IT Infrastruktur/säkerhetskopiering | Aktivera säkerhetskopiering av infrastrukturen | |
| Central IT Produktivitet/slutanvändare | Aktivera OneDrive säkerhetskopiering | |
| Säkerhetsarkitektur | Råd om konfiguration och standarder | |
| Säkerhetspolicy och säkerhetsstandarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
Implementeringschecklista
Använd de här metodtipsen för att skydda din säkerhetskopieringsinfrastruktur.
| Klar | Uppgift | Beskrivning |
|---|---|---|
| Säkerhetskopiera alla kritiska system automatiskt med jämna mellanrum. | Med det här alternativet kan du återställa data upp till den senaste säkerhetskopian. | |
| Regelbundet använda planen för affärskontinui- och katastrofåterställning (BC/DR). | Säkerställer snabb återställning av affärsåtgärder genom att behandla en utpressningstrojan eller extortionsattack med samma betydelse som en naturåterställning. | |
| Skydda säkerhetskopior mot avsiktlig radering och kryptering: - Starkt skydd – Kräv att du använder standardsteg (MFA eller PIN) innan du ändrar onlinesäkerhetskopior (t.ex. Azure Backup). - Starkast skydd – Lagra säkerhetskopior i oföränderlig lagring online (t.ex. Azure Blob)och/eller helt offline eller offline. |
Säkerhetskopior som kan nås av attacker kan renderas som oanvändbara för företagsåterställning. | |
| Skydda stöddokument som krävs för återställning, till exempel återställningsprocedurdokument, din konfigurationshanteringsdatabas (CMDB) och nätverksdiagram. | Attacker riktar avsiktligt dessa resurser eftersom det påverkar din förmåga att återställa. |
Implementeringsresultat och tidslinjer
Inom 30 dagar ska du säkerställa att Medeltid för återställning (MTTR) uppfyller ditt BC/DR-mål, enligt beräkningarna och verkliga åtgärder.
Dataskydd
Du måste implementera dataskydd för att säkerställa snabb och tillförlitlig återställning från en utpressningstrojanattack och blockera vissa tekniker för attacker.
Utpressningstrojaner och skadliga attacker fungerar bara när all legitim åtkomst till data och system går förlorad. Att se till att attacker inte kan ta bort din förmåga att återuppta operationer utan betalning skyddar ditt företag och underminerar det monetära incitamentet för att skada organisationen.
Konto för program- och projektmedlem
I den här tabellen beskrivs det övergripande skyddet av organisationens data från utpressningstrojaner när det gäller sponsring/programhantering/projekthanteringshierarki för att fastställa och driva resultat.
| Lead | Implementor | Ansvarighet |
|---|---|---|
| Central IT Åtgärder eller CIO | Sponsring från ledningen | |
| Program lead from Data Security | Driva resultat och samarbeta i olika team | |
| Central IT Produktivitet/slutanvändare | Implementera ändringar för Microsoft 365 klientorganisation för OneDrive och skyddade mappar | |
| Central IT Infrastruktur/säkerhetskopiering | Aktivera säkerhetskopiering av infrastrukturen | |
| Företag/program | Identifiera viktiga affärstillgångar | |
| Säkerhetsarkitektur | Råd om konfiguration och standarder | |
| Säkerhetspolicy och säkerhetsstandarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
| User Education Team | Se till att vägledningen för användarna återspeglar principuppdateringar | |
Implementeringschecklista
Använd de här metodtipsen för att skydda dina organisationsdata.
| Klar | Uppgift | Beskrivning |
|---|---|---|
| Migrera din organisation till molnet: – Flytta användardata till molnlösningar som OneDrive/SharePoint för att dra nytta av versionshantering och papperskorgens funktioner. - Utbilda användare om hur de kan återställa sina filer själva för att minska fördröjningar och kostnader för återställning. |
Användardata i Microsoft-molnet kan skyddas av inbyggda funktioner för säkerhet och datahantering. | |
| Ange skyddade mappar. | Gör det svårare för obehöriga program att ändra data i dessa mappar. | |
| Granska dina behörigheter: - Upptäck breda skriv-/borttagningsbehörigheter för filresurser, SharePoint och andra lösningar. Bred definieras som många användare som har skriv-/ta bort-behörigheter för affärskritiska data. – minska breda behörigheter samtidigt som du uppfyller kraven på samarbete i företag. - Granska och övervaka för att säkerställa att breda behörigheter inte visas igen. |
Minskar risken från omfattande åtkomstaktiverade utpressningstrojaner. | |
Nästa steg
Fortsätt med Fas 2 för att begränsa omfattningen av skador för en attack genom att skydda privilegierade roller.
Ytterligare resurser för utpressningstrojaner
Viktig information från Microsoft:
- Det växande hotet om utpressningstrojaner– Microsoft On the Issues-blogginlägget den 20 juli 2021
- Utpressningstrojaner som drivs av människor
- Skydda snabbt mot utpressningstrojaner och utpressning
- 2021 Microsoft Digital Defense Report (se sidorna 10–19)
- Utpressningstrojan: En rapport om pågående hotanalyser i Microsoft 365 Defender portalen
- Microsofts RANSOM-metod för utpressningstrojaner och metodtips
Microsoft 365:
- Distribuera utpressningstrojanskydd för Microsoft 365 klientorganisation
- Maximera motståndskraften hos utpressningstrojaner med Azure och Microsoft 365
- Återställ från en utpressningstrojanattack
- Skydd mot skadlig programvara och utpressningstrojaner
- Skydda din Windows 10 dator från utpressningstrojaner
- Hantera utpressningstrojaner i SharePoint Online
- Hotanalysrapporter för utpressningstrojaner på Microsoft 365 Defender portalen
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses för utpressningstrojanattack
- Maximera motståndskraften hos utpressningstrojaner med Azure och Microsoft 365
- Plan för säkerhetskopiering och återställning för att skydda mot utpressningstrojaner
- Skydda mot utpressningstrojaner med Microsoft Azure (26-minutersvideo)
- Återställa från identitetskompromettering
- Avancerad identifiering av multistage-attack i Microsoft Sentinel
- Identifiering av identifiering av utpressningstrojaner i Microsoft Sentinel
Microsoft Defender för molnappar:
Blogginlägg för Microsoft Security-teamet:
En guide för att bekämpa utpressningstrojaner: Del 1 (september 2021)
Viktiga steg för hur Microsofts team för identifiering och svar (TIDELAG) genomför utpressningstrojaner vid incidentundersökningar.
En guide för att bekämpa utpressningstrojaner: Del 2 (september 2021)
Rekommendationer metodtips och metodtips.
3 steg för att förhindra och återställa utpressningstrojaner (september 2021)
-
Se avsnittet Utpressningstrojaner.
Human-operated ransomware attacks: A preventable disaster (March 2020)
Innehåller analyser av de faktiska attackerna i attackerna i attackerna.
Svar på utpressningstrojaner – för att betala eller inte betala? (december 2019)
NorskSon svarar på utpressningstrojaner med transparens (december 2019)