Aşama 2: Hasar kapsamını sınırlandırma
Bu aşamada, ayrıcalıklı rolleri koruyarak saldırganların verilere ve sistemlere olası zararlar için büyük bir erişim kapsamı elde sini önlemektedir.
Ayrıcalıklı erişim stratejisi
Ayrıcalıklı erişimin güvenliğini tehlikeye atma riskini azaltmak için kapsamlı bir strateji uygulamalısınız.
Ortamınıza ayrıcalıklı erişime sahip bir saldırgan diğer tüm güvenlik denetimlerini kolayca geçersiz kılınabilir. Fidye yazılımı yazılımı yazılımı, kuruluşta yer alan tüm kritik varlıkları extortion için kontrol etmek için ayrıcalıklı erişimi hızlı bir yol olarak kullanır.
Program ve proje üyesi hesapabiliteleri
Bu tabloda, sonuçları belirleme ve yol belirlemeye yönelik bir sponsorluk/program yönetimi/proje yönetimi hiyerarşisi açısından fidye yazılımına karşı ayrıcalıklı bir erişim stratejisi açıklandı.
| Müşteri Adayı | Implementor | Sorumluluk |
|---|---|---|
| CISO veya CIO | Yönetici sponsorluğu | |
| Program müşteri adayı | Sonuçları ve ekipler arası işbirliğini kullanma | |
| IT ve Security Architects | Mimariyle tümleştirilmiş bileşenlerin önceliklerini belirleme | |
| Kimlik ve Anahtar Yönetimi | Kimlik değişikliklerini uygulama | |
| Merkezi IT Üretkenlik / Son Kullanıcı Ekibi | Cihazlara ve kiracıya Office 365 uygulama | |
| Güvenlik İlkesi ve Standartları | Standartları ve ilke belgelerini güncelleştirme | |
| Güvenlik Uyumluluğu Yönetimi | Uyumluluğu sağlamak için izleme | |
| Kullanıcı Eğitim Ekibi | Varsa parola kılavuzlarını güncelleştirin | |
Uygulama denetim listesi
Bu denetim listesini içeren kılavuzu kullanarak çok parçalı https://aka.ms/SPA bir strateji oluşturma.
| Bitti | Görev | Açıklama |
|---|---|---|
| Uç oturum güvenliğini zorunlu kılın. | Yönetim arabirimlerine erişime izin vermeden önce (Azure AD Koşullu Erişim kullanılarak), kullanıcıların ve cihazların güvenlerini açıkça doğrular. | |
| Kimlik sistemlerinin korunması ve izlenmesi. | Dizinler, kimlik yönetimi, yönetici hesapları ve gruplar ve izin izni yapılandırması gibi ayrıcalık yükseltme saldırılarını önler. | |
| Çapraz çapraz geçiş. | Tek bir cihazdan ödün vermenin, yerel hesap parolaları, hizmet hesabı parolaları veya başka sırlar kullanarak birçok veya tüm diğer cihazın denetimine hemen neden olmadığını garantiler. | |
| Hızlı bir tehdit yanıtı sağlamak. | Bir rakipin ortamına erişimini ve zamanlarını sınırlar. Daha fazla bilgi için Algılama ve Yanıt'a bakın. | |
Uygulama sonuçları ve zaman çizelgeleri
Bu sonuçlara 30-90 gün içinde ulaşmayı deneyin:
- Yöneticilerin %100'leri güvenli iş istasyonu kullanmak için gereklidir
- % 100 yerel iş istasyonu/sunucu parolaları rastgele
- %100 ayrıcalık yükseltme azaltma dağıtımı
Algılama ve yanıt
Uç noktalar, e-posta ve kimliklerle ilgili yaygın saldırılar için hızlı yanıt algılaması ve düzeltmesi gerekiyor. Dakikalar önemli. Saldırgan'ın zamanını organizasyondan çapraz geçişe sınırlamak için yaygın saldırı giriş noktalarını hızlı bir şekilde düzeltmeniz gerekir.
Program ve proje üyesi hesapabiliteleri
Bu tabloda, sonuçları saptamak ve sürücüsüne almak için bir sponsorluk/program yönetimi/proje yönetimi hiyerarşisi açısından fidye yazılımlarına karşı algılama ve yanıt kapasitesinin geliştirilmesi açıklandı.
| Müşteri Adayı | Implementor | Sorumluluk |
|---|---|---|
| CISO veya CIO | Yönetici sponsorluğu | |
| Güvenlik İşlemlerinden program müşteri adayı | Sonuçları ve ekipler arası işbirliğini kullanma | |
| Merkezi IT Altyapı Ekibi | İstemci ve sunucu aracılarını/özelliklerini uygulama | |
| Güvenlik İşlemleri | Tüm yeni araçları güvenlik işlemleri işlemleriyle tümleştirin | |
| Merkezi IT Üretkenlik / Son Kullanıcı Ekibi | Uç nokta için Defender, Office 365 Defender, Kimlik için Defender ve Bulut Uygulamaları için Defender özelliklerini etkinleştirme | |
| Merkezi IT Kimlik Ekibi | Azure AD güvenliği ve Kimlik için Defender'ı uygulama | |
| Security Architects | Yapılandırma, standartlar ve araç önerin | |
| Güvenlik İlkesi ve Standartları | Standartları ve ilke belgelerini güncelleştirme | |
| Güvenlik Uyumluluğu Yönetimi | Uyumluluğu sağlamak için izleme | |
Uygulama denetim listesi
Algılama ve yanıtlarınızı iyileştirmek için bu en iyi yöntemleri uygulayabilirsiniz.
| Bitti | Görev | Açıklama |
|---|---|---|
| Yaygın giriş noktalarının önceliklerini belirleme: - Yüksek kaliteli uyarılar sağlamak ve yanıt sırasında atılması gereken tüm hataları ve el ile adımları en aza indirmek için Microsoft 365 Defender gibi tümleşik Genişletilmiş Algılama ve Yanıt (XDR) araçlarını kullanın. - Parola parola parolaları gibi zorlanacak girişimlerini takip edin. |
Fidye yazılımı (ve diğer) işleçler giriş noktası olarak uç noktayı, e-postayı, kimliği ve RDP'yi tercih ediyor. | |
| Örneğin, bir saldırı zincirinin bir parçası olan, karşıtlık dışı güvenliği izleme. - Olay günlüğü temizleme, özellikle de Güvenlik Olay Günlüğü ve PowerShell İşlem günlükleri. - Güvenlik araçlarının ve denetimlerin (bazı gruplarla ilişkili) devre dışı bırakılması. |
Saldırganlar saldırılarına daha güvenli bir şekilde devam etmek için güvenlik algılama tesisleri hedefler. | |
| Ürünler için kötü amaçlı yazılım yok saymamak. | Fidye yazılımı saldırganları, koyu pazarlardan hedef kuruluşlara düzenli olarak erişim satın alıyor. | |
| Microsoft Algılama ve Yanıt Ekibi (ALİ) gibi ek uzmanlıklar için, dışarıdan uzmanları süreçlere tümleştirin. | Deneyim algılama ve kurtarma için sayılarını kullanır. | |
| Uç Nokta için Defender'ı kullanarak güvenliği aşılmış bilgisayarları hızlı bir şekilde yalıtabilirsiniz. | Windows 10 tümleştirme bunu kolaylaştırır. | |
Sonraki adım
Riskleri artımlı olarak kaldırarak bir saldırganı ortamınıza almak için Aşama 3 ile devam et.
Ek fidye yazılımı kaynakları
Microsoft'tan önemli bilgiler:
- Fidye yazılımıyla ilgili giderek büyüyen birtehdit olan Microsoft 20 Temmuz 2021'de Sorunlar blog gönderisinde
- İnsan tarafından işletilen fidye yazılımı
- Fidye yazılımlarına ve ekstörlere karşı hızlı bir şekilde koruma
- 2021 Microsoft Dijital Savunma Raporu (sayfa 10-19'a bakın)
- Fidye yazılımı: Microsoft 365 Defender portalında kötü amaçlı ve sürekli tehdit Microsoft 365 Defender raporu
- Microsoft'un RANSOMWARE fidye yazılımı yaklaşımı ve en iyi yöntemler
Microsoft 365:
- Yazılım kiracınız için fidye yazılımı Microsoft 365 dağıtın
- Azure ve Microsoft 365 ile Fidye Yazılımı Performansını En Üst Düzeye Microsoft 365
- Fidye yazılımı saldırılarından kurtar
- Kötü amaçlı yazılım ve fidye yazılımına karşı koruma
- Bilgisayarınızı fidye Windows 10 yazılımlarından koruyun
- SharePoint Online'da fidye yazılımlarını işleme
- Yazılım portalında fidye yazılımı için tehdit Microsoft 365 Defender raporları
Microsoft 365 Defender:
Microsoft Azure:
- Fidye Yazılımı Saldırısını Azure Savunma
- Azure ve Microsoft 365 ile Fidye Yazılımı Performansını En Üst Düzeye Microsoft 365
- Fidye yazılımlarına karşı korunmak için planı yedekleme ve geri yükleme
- Yedekleme ile fidye yazılımlarından korunmaya Microsoft Azure (26 dakikalık video)
- Sistemsel kimlik güvenliğinden ödün verme
- Microsoft Sentinel'de gelişmiş çok amaçlı saldırı algılama
- Microsoft Sentinel'de Fidye Yazılımı için Fidye Yazılımı Algılama
Bulut Uygulamaları için Microsoft Defender:
Microsoft Güvenlik ekibi blog gönderileri:
Fidye yazılımlarını önlemeye ve fidye yazılımlarından korunmaya yönelik 3 adım (Eylül 2021)
İnsan tarafından işletilen fidye yazılımlarla mücadeleye yardımcı bir kılavuz: Bölüm 1 (Eylül 2021)
Microsoft'un Algılama ve Yanıt Ekibi'nin (YERMİ) fidye yazılımı olayı soruşturmalarını nasıl yönetecekleri ile ilgili önemli adımlar.
İnsan tarafından işletilen fidye yazılımıyla mücadeleye kılavuz: Bölüm 2 (Eylül 2021)
Öneriler ve en iyi yöntemler.
-
Fidye yazılımı bölümüne bakın.
İnsan tarafından işletilen fidye yazılımı saldırıları: Önlenebilir bir olağanüstü durum (Mart 2020)
Gerçek saldırılar için saldırı zinciri çözümlemeleri içerir.
Fidye yazılımına yanıt— ödeme yapmak veya ödeme yapmak değil mi? (Aralık 2019)
Norsk 365 Fidye yazılımı saldırılarına saydamlık saldırısıyla yanıt verdi (Aralık 2019)