Fas 2: Begränsa omfattningen av skadan
I den här fasen förhindrar du attacker från att få en stor omfattning av åtkomst för potentiella skador på data och system genom att skydda behörighetsroller.
Behörighetsstrategi
Du måste implementera en omfattande strategi för att minska risken för privilegierad åtkomstkompromettering.
Alla andra säkerhetskontroller kan enkelt bli ogiltiga av en attackerare med behörighet i din miljö. Utpressningstrojaner använder privilegierad åtkomst som en snabb väg för att styra alla kritiska tillgångar i organisationen för sin extortion.
Konto för program- och projektmedlem
I den här tabellen beskrivs en behörighetsstrategi mot utpressningstrojaner när det gäller sponsring/programhantering/projekthanteringshierarki för att fastställa och driva resultat.
| Lead | Implementor | Ansvarighet |
|---|---|---|
| CISO eller CIO | Sponsring från ledningen | |
| Program lead | Driva resultat och samarbeta i olika team | |
| IT- och säkerhetsarkitekter | Prioritera komponenter som är integrerade i arkitekturer | |
| Identitets- och nyckelhantering | Implementera identitetsändringar | |
| Central IT Produktivitet/slutanvändargrupp | Implementera ändringar på enheter Office 365 klientorganisation | |
| Säkerhetspolicy och säkerhetsstandarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
| User Education Team | Uppdatera lösenordsvägledning | |
Implementeringschecklista
Skapa en strategi med flera delar med hjälp av de riktlinjer som https://aka.ms/SPA inkluderar den här checklistan.
| Klar | Uppgift | Beskrivning |
|---|---|---|
| Tillämpa end-to-end-sessionssäkerhet. | Verifierar uttryckligen förtroende för användare och enheter innan du tillåter åtkomst till administrativa gränssnitt (med hjälp av villkorsstyrd åtkomst i Azure AD). | |
| Skydda och övervaka identitetssystem. | Förhindrar eskalering av behörigheter, inklusive kataloger, identitetshantering, administratörskonton och grupper, samt medgivande för att bevilja konfiguration. | |
| Minimera traversal. | En komprometterande enstaka enhet leder inte omedelbart till att kontroll över många eller alla andra enheter med hjälp av lokala kontolösenord, tjänstkontolösenord eller andra hemligheter. | |
| Se till att det går snabbt att svara på hot. | Begränsar en adversarys åtkomst och tid i miljön. Mer information finns i Identifiering och svar. | |
Implementeringsresultat och tidslinjer
Försök att uppnå följande resultat om 30–90 dagar:
- 100 % av administratörerna som krävs för att använda säkra arbetsstationer
- 100 % lokal arbetsstation/serverlösenord slumpmässigt
- 100 % distribution av åtgärder för eskalering av behörigheter
Identifiering och svar
Din organisation behöver dynamisk identifiering och åtgärd av vanliga attacker mot slutpunkter, e-post och identiteter. Minuter spelar ingen roll. Du måste snabbt åtgärda vanliga attackinmatningar för att begränsa attackens tid till att förflytta dig genom organisationen.
Konto för program- och projektmedlem
I den här tabellen beskrivs en förbättring av funktionerna för identifiering och svar mot utpressningstrojaner när det gäller sponsring/programhantering/projekthanteringshierarki för att fastställa och driva resultat.
| Lead | Implementor | Ansvarighet |
|---|---|---|
| CISO eller CIO | Sponsring från ledningen | |
| Program lead from Security Operations | Driva resultat och samarbeta i olika team | |
| Central IT Infrastrukturteam | Implementera klient- och serveragenter/funktioner | |
| Säkerhetsåtgärder | Integrera nya verktyg i processer för säkerhetsåtgärder | |
| Central IT Produktivitet/slutanvändargrupp | Aktivera funktioner för Defender för slutpunkt, Defender för Office 365, Defender för identitet och Defender för molnappar | |
| Central IT Identity Team | Implementera Azure AD-säkerhet och Defender för identitet | |
| Säkerhetsarkitekter | Råd om konfiguration, standarder och verktyg | |
| Säkerhetspolicy och säkerhetsstandarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
Implementeringschecklista
Använd de här metodtipsen för att förbättra identifiering och svar.
| Klar | Uppgift | Beskrivning |
|---|---|---|
| Prioritera vanliga ininmatningspunkter: - Använd integrerade XDR-verktyg (Extended Detection and Response), som Microsoft 365 Defender för att få aviseringar av hög kvalitet och minimera friktion och manuella steg under svar. - Övervaka för råstyrt försök som lösenord. |
Utpressningstrojanoperatorer (och andra) tjänstslutpunkter, e-post, identitet och RDP som instickspunkter. | |
| Övervaka för att avaktivera säkerhet (detta är ofta en del av en attackkedja), till exempel: - Rensa händelseloggar, särskilt säkerhetshändelseloggar och PowerShell-driftloggar. - Inaktivera säkerhetsverktyg och kontroller (som associeras med vissa grupper). |
Attacker är målplatser för säkerhetsidentifiering för att på ett säkrare sätt fortsätta sin attack. | |
| Ignorera inte varor som skadlig programvara. | Utpressningstrojaner köper regelbundet åtkomst till organisationer från mörka marknader. | |
| Integrera externa experter i processer för att komplettera expertkunskaper, t.ex. Microsoft Detection and Response Team (GENS). | Det antal upplevelser som kan upptäckas och återställas. | |
| Snabbt isolerar komprometterade datorer med Defender för Endpoint. | Windows 10 här integreringen är det enkelt. | |
Nästa steg
Fortsätt med fas 3 för att göra det svårt för en attackerare att komma in i din miljö genom att stegvis ta bort risker.
Ytterligare resurser för utpressningstrojaner
Viktig information från Microsoft:
- Det växande hotet om utpressningstrojaner– Microsoft On the Issues-blogginlägget den 20 juli 2021
- Utpressningstrojaner som drivs av människor
- Skydda snabbt mot utpressningstrojaner och utpressning
- 2021 Microsoft Digital Defense Report (se sidorna 10–19)
- Utpressningstrojan: En rapport om pågående hotanalyser i Microsoft 365 Defender portalen
- Microsofts RANSOM-metod för utpressningstrojaner och metodtips
Microsoft 365:
- Distribuera utpressningstrojanskydd för Microsoft 365 klientorganisation
- Maximera motståndskraften hos utpressningstrojaner med Azure och Microsoft 365
- Återställ från en utpressningstrojanattack
- Skydd mot skadlig programvara och utpressningstrojaner
- Skydda din Windows 10 dator från utpressningstrojaner
- Hantera utpressningstrojaner i SharePoint Online
- Hotanalysrapporter för utpressningstrojaner på Microsoft 365 Defender portalen
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses för utpressningstrojanattack
- Maximera motståndskraften hos utpressningstrojaner med Azure och Microsoft 365
- Plan för säkerhetskopiering och återställning för att skydda mot utpressningstrojaner
- Skydda mot utpressningstrojaner med Microsoft Azure (26-minutersvideo)
- Återställa från identitetskompromettering
- Avancerad identifiering av multistage-attack i Microsoft Sentinel
- Identifiering av identifiering av utpressningstrojaner i Microsoft Sentinel
Microsoft Defender för molnappar:
Blogginlägg för Microsoft Security-teamet:
3 steg för att förhindra och återställa utpressningstrojaner (september 2021)
En guide för att bekämpa utpressningstrojaner: Del 1 (september 2021)
Viktiga steg för hur Microsofts team för identifiering och svar (TIDELAG) genomför utpressningstrojaner vid incidentundersökningar.
En guide för att bekämpa utpressningstrojaner: Del 2 (september 2021)
Rekommendationer metodtips och metodtips.
-
Se avsnittet Utpressningstrojaner.
Human-operated ransomware attacks: A preventable disaster (March 2020)
Innehåller analyser av de faktiska attackerna i attackerna i attackerna.
Svar på utpressningstrojaner – för att betala eller inte betala? (december 2019)
NorskSon svarar på utpressningstrojaner med transparens (december 2019)