Fas 3: Gör det svårt att komma in
I den här fasen får attackerarna att arbeta mycket svårare att komma in i din lokala infrastruktur eller molninfrastruktur genom att stegvis ta bort riskerna vid inkommande trafik.
Viktigt
Även om många av dem är välbekanta och/eller enkla att snabbt utföra är det viktigt att arbetet med fas 3 inte ska sakta ned förloppet i fas 1 och 2!
Se följande avsnitt:
Fjärråtkomst
Att få åtkomst till organisationens intranät via en anslutning för fjärråtkomst är en attackvektor för utpressningstrojaner. När ett lokalt användarkonto har komprometterats kan en attack röra sig på ett intranät för att samla in information, förhöjda behörigheter och installera utpressningstrojankod. Den senaste cyberattacken med pipeline för pipeline är ett exempel.
Konto för program- och projektmedlem
I den här tabellen beskrivs det övergripande skyddet för din lösning för fjärråtkomst från utpressningstrojaner när det gäller sponsring/programhantering/projekthanteringshierarki för att fastställa och driva resultat.
| Lead | Implementor | Ansvarighet |
|---|---|---|
| CISO eller CIO | Sponsring från ledningen | |
| Program lead on the Central IT Infrastructure/Network Team | Driva resultat och samarbeta i olika team | |
| IT- och säkerhetsarkitekter | Prioritera komponentintegrering i arkitekturer | |
| Central IT Identity Team | Konfigurera Azure AD- och villkorsstyrda åtkomstprinciper | |
| Central IT Drift | Implementera ändringar i miljön | |
| Arbetsbelastningsägare | Hjälp med behörigheter för RBAC för apppublicering | |
| Säkerhetspolicy och säkerhetsstandarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
| User Education Team | Uppdatera eventuell vägledning om arbetsflödesändringar och utföra utbildning och ändringshantering | |
Implementeringschecklista
Använd de här metodtipsen för att skydda infrastrukturen för fjärråtkomst från utpressningstrojaner.
| Klar | Uppgift | Beskrivning |
|---|---|---|
| Underhålla uppdateringar av programvara och program. Undvik att tillverkarskydd saknas eller inte visas (säkerhetsuppdateringar, status som stöds). | Attacker använder välkända säkerhetsproblem som ännu inte har korrigerats som attackvektorer. | |
| Konfigurera Azure AD för befintlig fjärråtkomst genom att inkludera tvingande nollförtroende för användare och enhetsverifiering med villkorsstyrd åtkomst. | Med Zero Trust får du flera nivåer av att skydda åtkomsten till organisationen. | |
| Konfigurera säkerhet för befintliga VPN-lösningar från tredje part (Cisco AnyConnect, Palo Mobil Networks GlobalProtectContainer Portal, Fortinet FortiGate SSL VPN,Citrix NetScaler,Zscaler Private Access (ZPA)och mycket mer). | Dra nytta av den inbyggda säkerheten för din lösning för fjärråtkomst. | |
| Distribuera Azure Point-to-Site (P2S) VPN för att ge fjärråtkomst. | Dra nytta av integreringen med Azure AD och dina befintliga Azure-prenumerationer. | |
| Publicera lokala webbappar med Azure AD-programproxy. | Appar som publiceras med Azure AD-programproxy behöver inte en fjärråtkomstanslutning. | |
| Skydda åtkomst till Azure-resurser med Azure Bastion. | Anslut säkert och smidigt till dina virtuella Azure-datorer via SSL. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinje- och potentiella attacker (se Identifiering och svar). | Minskar risken för utpressningstrojaner som kan vara säkerhetsfunktioner och inställningar i en baslinje. | |
E-post och samarbete
Implementera metodtips för e-post- och samarbetslösningar för att göra det svårare för attackerare att använda dem, samtidigt som dina medarbetare enkelt och säkert kan komma åt externt innehåll.
Attacker kommer ofta in i miljön genom att överföra skadligt innehåll med behöriga samarbetsverktyg som e-post och fildelning och övertygande användare för att köra det. Microsoft har investerat i förbättrade minskningar som kraftigt ökar skyddet mot dessa attackvektorer.
Konto för program- och projektmedlem
I den här tabellen beskrivs det övergripande skyddet av e-post- och samarbetslösningar från utpressningstrojaner när det gäller sponsring/programhantering/projekthanteringshierarki för att fastställa och driva resultat.
| Lead | Implementor | Ansvarighet |
|---|---|---|
| CISO, CIO eller Identity Director | Sponsring från ledningen | |
| Program lead från teamet för säkerhetsarkitektur | Driva resultat och samarbeta i olika team | |
| IT-arkitekter | Prioritera komponentintegrering i arkitekturer | |
| Produktivitet i molnet eller slutanvändarteam | Aktivera Defender för Office 365, ASR och AMSI | |
| SäkerhetsarkitekturInfrastruktur + Slutpunkt | Konfigurationshjälp | |
| User Education Team | Uppdatera vägledning om arbetsflödesändringar | |
| Säkerhetspolicy och säkerhetsstandarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
Implementeringschecklista
Använd de här metodtipsen för att skydda din e-post och dina samarbetslösningar från utpressningstrojaner.
| Klar | Uppgift | Beskrivning |
|---|---|---|
| Aktivera AMSI för Office VBA. | Identifiera Office av makroattacker med slutpunktsverktyg som Defender för Slutpunkt. | |
| Implementera avancerad e-postsäkerhet med Defender för Office 365 eller en liknande lösning. | E-post är en vanlig startpunkt för attackerare. | |
| Aktivera ASR-regler (Attack Surface Reduction) för att blockera vanliga attacktekniker, till exempel: – Missbruk av slutpunkter, till exempel autentiseringsstöld, utpressningstrojaner och misstänkt användning av PsExec och WMI. - Tillåtna Office dokumentaktivitet som avancerad makroaktivitet, körbart innehåll, processskapande och processinitiering initierat av Office program. Obs! Distribuera först dessa regler i granskningsläge, utvärdera sedan eventuella negativa effekter och distribuera dem i blockläge. |
ASR tillhandahåller ytterligare lager av skydd som specifikt är avsedda för att minska vanliga attackmetoder. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinje- och potentiella attacker (se Identifiering och svar). | Minskar risken för utpressningstrojaner som kan vara säkerhetsfunktioner och inställningar i en baslinje. | |
Slutpunkter
Implementera relevanta säkerhetsfunktioner och noggrant följa metodtips för programunderhåll för datorer och program, prioritera program och server-/klient operativsystem som direkt exponeras för Internettrafik och -innehåll.
Internet-exponerade slutpunkter är en vanlig inmatningsvektor som ger attacker åtkomst till organisationens tillgångar. Prioritera blockering av vanliga operativsystem och program med förebyggande kontroller för att långsamt eller stoppa dem från att köra nästa steg.
Konto för program- och projektmedlem
I den här tabellen beskrivs det övergripande skyddet för slutpunkterna mot utpressningstrojaner när det gäller sponsring/programhantering/projekthanteringshierarki för att fastställa och driva resultat.
| Lead | Implementor | Ansvarighet |
|---|---|---|
| Företagsledare som ansvarar för affärseffekter av både driftstopp och attackskador | Sponsring från ledningen (underhåll) | |
| Central IT Åtgärder eller CIO | Sponsring från ledningen (andra) | |
| Program lead från teamet för central IT-infrastruktur | Driva resultat och samarbeta i olika team | |
| IT- och säkerhetsarkitekter | Prioritera komponentintegrering i arkitekturer | |
| Central IT Drift | Implementera ändringar i miljön | |
| Produktivitet i molnet eller slutanvändarteam | Aktivera minskning av attackytan | |
| Arbetsbelastnings-/appägare | Identifiera underhållsfönster för ändringar | |
| Säkerhetspolicy och säkerhetsstandarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
Implementeringschecklista
Använd de här metodtipsen för Windows, Linux, MacOS, Android, iOS och andra slutpunkter.
| Klar | Uppgift | Beskrivning |
|---|---|---|
| Blockera kända hot med minskningsregler för attackytan,skydd mot manipuleringoch blockering på första webbplatsen. | Låt inte brist på användning av dessa inbyggda säkerhetsfunktioner vara orsaken till att en attackerare har registrerats för din organisation. | |
| Använd säkerhetsbaslinjer på hård Internet-motstående Windows och klienter och Office program. | Skydda din organisation med den lägsta säkerhetsnivån och bygga därifrån. | |
| Underhålla programvaran så att den är: - Uppdaterades: Distribuera snabbt kritiska säkerhetsuppdateringar för operativsystem, webbläsare, & e-postklienter - Stöds: Uppgradera operativsystem och programvara för versioner som stöds av dina leverantörer. |
Attacker räknas av om du saknar eller inte tillverkar uppdateringar och uppgraderingar. | |
| Isolera, inaktivera eller dra tillbaka osäkra system och protokoll, inklusive operativsystem som inte stöds och äldre protokoll. | Attacker använder kända säkerhetsproblem hos äldre enheter, system och protokoll som instegspunkter i organisationen. | |
| Blockera oväntad trafik med värdbaserad brandvägg och nätverksback. | Vissa attacker mot skadlig programvara svarar på oombedd inkommande trafik till värdar som ett sätt att upprätta en anslutning för en attack. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinje- och potentiella attacker (se Identifiering och svar). | Minskar risken för utpressningstrojaner som kan vara säkerhetsfunktioner och inställningar i en baslinje. | |
Konton
Lösenord kan inte skydda konton mot vanliga attacker som vi ser i dag, på samma sätt som vanliga nycklar inte skyddar ett hus mot ett modernt hus. Även om multifaktorautentisering (MFA) en gång var ett besvärande extra steg, förbättrar lösenordslös autentisering inloggningen med biometriska metoder som inte kräver att användarna kommer ihåg eller skriver ett lösenord. I en infrastruktur med nollförtroende lagras dessutom information om betrodda enheter, vilket minskar störande MFA-åtgärder som kan vara irriterande.
Från och med högprivilegier som administratörskonton följer du här metodtipsen för kontosäkerhet, bland annat att använda lösenordslös eller MFA.
Konto för program- och projektmedlem
I den här tabellen beskrivs det övergripande skyddet för dina konton mot utpressningstrojaner när det gäller sponsring/programhantering/projekthanteringshierarki för att fastställa och driva resultat.
| Lead | Implementor | Ansvarighet |
|---|---|---|
| CISO, CIO eller Identity Director | Sponsring från ledningen | |
| Program lead från teamen för identitets- ochnyckelhantering eller säkerhetsarkitektur | Driva resultat och samarbeta i olika team | |
| IT- och säkerhetsarkitekter | Prioritera komponentintegrering i arkitekturer | |
| Identitets- och nyckelhantering eller centrala IT-åtgärder | Implementera konfigurationsändringar | |
| Säkerhetspolicy och säkerhetsstandarder | Uppdatera standarder och principdokument | |
| Hantering av säkerhetsefterlevnad | Övervaka för att säkerställa efterlevnad | |
| User Education Team | Uppdatera vägledning för lösenord eller inloggning och utföra utbildning och ändringshantering | |
Implementeringschecklista
Använd de här metodtipsen för att skydda dina konton mot utpressningstrojaner.
| Klar | Uppgift | Beskrivning |
|---|---|---|
| Framtvinga en stark MFA-inloggning eller lösenordslös inloggning för alla användare. Börja med administratörs- och prioritetskonton genom att använda ett eller flera av: - Lösenordslös autentisering med Windows Hello eller Microsoft Authenticator appen. - - . - MFA-lösning från tredje part. |
Gör det svårare för en attackerare att utföra en autentiseringspromett. | |
| Öka lösenordssäkerheten: – För Azure AD-konton använder du Azure AD-lösenordsskydd för att identifiera och blockera kända svaga lösenord och ytterligare svaga termer som är specifika för din organisation. - För lokala AD DS-konton (Active Directory Domain Services) utökar du Azure AD-lösenordsskydd till AD DS-konton. |
Se till att attacker inte kan fastställa vanliga lösenord eller lösenord baserat på ditt organisationsnamn. | |
| Granska och övervaka för att hitta och åtgärda avvikelser från baslinje- och potentiella attacker (se Identifiering och svar). | Minskar risken för utpressningstrojaner som kan vara säkerhetsfunktioner och inställningar i en baslinje. | |
Implementeringsresultat och tidslinjer
Försök att uppnå följande resultat inom 30 dagar:
- 100 % av anställda använder aktivt MFA
- 100 % distribution av högre lösenordssäkerhet
Ytterligare resurser för utpressningstrojaner
Viktig information från Microsoft:
- Det växande hotet om utpressningstrojaner– Microsoft On the Issues-blogginlägget den 20 juli 2021
- Utpressningstrojaner som drivs av människor
- Skydda snabbt mot utpressningstrojaner och utpressning
- 2021 Microsoft Digital Defense Report (se sidorna 10–19)
- Utpressningstrojan: En rapport om pågående hotanalyser i Microsoft 365 Defender portalen
- Microsofts RANSOM-metod för utpressningstrojaner och metodtips
Microsoft 365:
- Distribuera utpressningstrojanskydd för Microsoft 365 klientorganisation
- Maximera motståndskraften hos utpressningstrojaner med Azure och Microsoft 365
- Återställ från en utpressningstrojanattack
- Skydd mot skadlig programvara och utpressningstrojaner
- Skydda din Windows 10 dator från utpressningstrojaner
- Hantera utpressningstrojaner i SharePoint Online
- Hotanalysrapporter för utpressningstrojaner på Microsoft 365 Defender portalen
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses för utpressningstrojanattack
- Maximera motståndskraften hos utpressningstrojaner med Azure och Microsoft 365
- Plan för säkerhetskopiering och återställning för att skydda mot utpressningstrojaner
- Skydda mot utpressningstrojaner med Microsoft Azure (26-minutersvideo)
- Återställa från identitetskompromettering
- Avancerad identifiering av multistage-attack i Microsoft Sentinel
- Identifiering av identifiering av utpressningstrojaner i Microsoft Sentinel
Microsoft Defender för molnappar:
Blogginlägg för Microsoft Security-teamet:
3 steg för att förhindra och återställa utpressningstrojaner (september 2021)
En guide för att bekämpa utpressningstrojaner: Del 1 (september 2021)
Viktiga steg för hur Microsofts team för identifiering och svar (TIDELAG) genomför utpressningstrojaner vid incidentundersökningar.
En guide för att bekämpa utpressningstrojaner: Del 2 (september 2021)
Rekommendationer metodtips och metodtips.
-
Se avsnittet Utpressningstrojaner.
Human-operated ransomware attacks: A preventable disaster (March 2020)
Innehåller analyser av de faktiska attackerna i attackerna i attackerna.
Svar på utpressningstrojaner – för att betala eller inte betala? (december 2019)
NorskSon svarar på utpressningstrojaner med transparens (december 2019)