Aşama 3: Yer almak zor hale geldi
Bu aşamada, girdi noktalarında riskleri artımlı olarak kaldırarak saldırganların şirket içi veya bulut altyapınıza giriş yapmak için çok daha zor çalışmalarını sağlarsınız.
Önemli
Bunların birçoğu bildik olmak ve/veya hızlı bir şekilde yapmak kolay olacak ama Aşama 3'te çalışmanız 1. ve 2.aşamalarda ilerlemenizi yavaşlatmamak kritik öneme sahip!
Bu bölümlere bakın:
Uzaktan erişim
Uzaktan erişim bağlantısı üzerinden kuruluş intranet'ine erişim elde etmek fidye yazılımı saldırganları için saldırı vektörüdür. Şirket içi kullanıcı hesabının güvenliği ihlal edildikten sonra, güvenlik toplamak, ayrıcalıkları yükseltmek ve fidye yazılımı yüklemek için bir saldırgan intranette serbestçe dolaşabilir. Son Pipeline siber saldırıları bir örnektir.
Program ve proje üyesi hesapabiliteleri
Bu tabloda, sonuçların belirlenmesi ve yol belirlemesi için bir sponsorluk/program yönetimi/proje yönetimi hiyerarşisi açısından uzaktan erişim çözümünün fidye yazılımlarına karşı genel koruması açıklandı.
| Müşteri Adayı | Implementor | Sorumluluk |
|---|---|---|
| CISO veya CIO | Yönetici sponsorluğu | |
| Merkezi IT Altyapısı/Ağ Ekibi'nde program müşteri adayı | Sonuçları ve ekipler arası işbirliğini kullanma | |
| IT ve Security Architects | Bileşen tümleştirmesine mimarilerde öncelikleri belirleme | |
| Merkezi IT Kimlik Ekibi | Azure AD'yi ve koşullu erişim ilkelerini yapılandırma | |
| Merkezi IT İşlemler | Ortamda değişiklik uygulama | |
| İş Yükü Sahipleri | Uygulama yayımlama için RBAC izinleriyle ilgili yardım | |
| Güvenlik İlkesi ve Standartları | Standartları ve ilke belgelerini güncelleştirme | |
| Güvenlik Uyumluluğu Yönetimi | Uyumluluğu sağlamak için izleme | |
| Kullanıcı Eğitim Ekibi | İş akışı değişiklikleri konusunda yol gösterici bilgileri güncelleştirme, eğitim ve değişiklik yönetimi gerçekleştirme | |
Uygulama denetim listesi
Uzaktan erişim altyapınızı fidye yazılımı yazılımlarına karşı korumak için bu en iyi yöntemleri uygulayabilirsiniz.
| Bitti | Görev | Açıklama |
|---|---|---|
| Yazılım ve cihaz güncelleştirmelerini sürdürün. Üretici korumalarını (güvenlik güncelleştirmeleri, desteklenen durum) kaçırarak veya araklamamak. | Saldırganlar, henüz saldırı vektörleri olarak yamaları olmayan iyi bilinen güvenlik açıkları kullanıyor. | |
| Koşullu Erişim ile Sıfır Güven kullanıcı ve cihaz doğrulamasını zorlayarak mevcut uzaktan erişim için Azure AD'yi yapılandırabilirsiniz. | Sıfır Güveni, kuruma erişimin güvenliğini sağlamanın birden çok düzeyi sağlar. | |
| Mevcut üçüncü taraf VPN çözümleri için güvenliği yapılandırın (Cisco AnyConnect, Palo Alto Networks GlobalProtectAst Portalı, Fortinet FortiGate SSLVPN , Citrix NetScaler, Zscaler Özel Erişim (ZPA)ve daha fazlası). | Uzaktan erişim çözümünüz için yerleşik güvenliklerden faydalanın. | |
| Uzak erişim sağlamak için Azure Noktadan Siteye (P2S) VPN dağıtın. | Azure AD ve mevcut Azure abonelikleri ile tümleştirmeden faydalanın. | |
| Şirket içi web uygulamalarını Azure AD Uygulama Ara Sunucusu ile yayımlayın. | Azure AD Uygulama Ara Sunucusu ile yayımlanan uygulamaların uzaktan erişim bağlantısına gerek olmaz. | |
| Azure Bastion ile Azure kaynaklarına güvenli erişim. | SSL üzerinden Azure sanal makinenize güvenli ve sorunsuz bir şekilde bağlanın. | |
| Temel ve olası saldırılardan sapmaları bulmak ve düzeltmek için denetleme ve izleme (bkz. Algılama ve Yanıt). | Temel güvenlik özellikleri ve ayarları olan fidye yazılımı etkinliklerinden riski azaltır. | |
E-posta ve işbirliği
Saldırganların bunları kötüye kullanmalarını daha zor hale uygulamak için e-posta ve işbirliği çözümlerine yönelik en iyi uygulamaları uygulama ve çalışanlarının dış içeriğe kolay ve güvenli bir şekilde erişmelerine izin verme.
E-posta ve dosya paylaşımı gibi yetkili işbirliği araçlarıyla kötü amaçlı içerikleri aktararak ve kullanıcıları bu içerik çalıştıracak şekilde ikna ederek, saldırganlar sık sık ortama girer. Microsoft, bu saldırı vektörlerine karşı korumayı büyük ölçüde artıran gelişmiş risk azaltmalar yatırdı.
Program ve proje üyesi hesapabiliteleri
Bu tabloda, sonuçları belirleyecek ve belirleyecek bir sponsorluğun/program yönetimi/proje yönetimi hiyerarşisi açısından e-postanıza ve işbirliği çözümlerine yönelik genel koruma açık bir şekilde açıklandı.
| Müşteri Adayı | Implementor | Sorumluluk |
|---|---|---|
| CISO, CIO veya Identity Director | Yönetici sponsorluğu | |
| Güvenlik Mimarisi ekibinden program müşteri adayı | Sonuçları ve ekipler arası işbirliğini kullanma | |
| IT Architects | Bileşen tümleştirmesine mimarilerde öncelikleri belirleme | |
| Bulut Üretkenliği veya Son Kullanıcı Ekibi | Defender'ı Office 365, ASR ve AMSI için etkinleştirme | |
| Güvenlik MimarisiInfrastructure + Endpoint | Yapılandırma yardımı | |
| Kullanıcı Eğitim Ekibi | İş akışı değişiklikleriyle ilgili güncelleştirme kılavuzu | |
| Güvenlik İlkesi ve Standartları | Standartları ve ilke belgelerini güncelleştirme | |
| Güvenlik Uyumluluğu Yönetimi | Uyumluluğu sağlamak için izleme | |
Uygulama denetim listesi
E-postanızı ve işbirliği çözümlerini fidye yazılımı yazılımlarından korumak için bu en iyi yöntemleri uygulayabilirsiniz.
| Bitti | Görev | Açıklama |
|---|---|---|
| OFFICE IÇIN AMSI'yi VBA için etkinleştirin. | Uç Office Defender gibi uç nokta araçlarıyla makro saldırılarını algıla. | |
| Gelişmiş E-posta güvenliği için Defender'ı kullanarak Office 365 veya benzer bir çözüm kullanın. | E-posta, saldırganlar için yaygın bir giriş noktasıdır. | |
| Şu yaygın saldırı tekniklerini engellemek için saldırı yüzeyini azaltma (ASR) kurallarını etkinleştirin: - Kimlik bilgileri hırsızlığı, fidye yazılımı etkinliği ve PsExec ile WMI'nın şüpheli kullanımı gibi uç nokta kullanımı. - Office uygulamaları tarafından başlatılan gelişmiş makro etkinliği, yürütülebilir içerik, süreç oluşturma ve süreç ekleme gibi belge Office vardır. Not: Önce denetim modunda bu kuralları dağıtın, ardından olumsuz etkiyi değerlendirin ve sonra bunları engelleme modunda dağıtın. |
ASR, özellikle yaygın saldırı yöntemlerini azaltmayı hedef alan ek koruma katmanları sağlar. | |
| Temel ve olası saldırılardan sapmaları bulmak ve düzeltmek için denetleme ve izleme (bkz. Algılama ve Yanıt). | Temel güvenlik özellikleri ve ayarları olan fidye yazılımı etkinliklerinden riski azaltır. | |
Uç noktalar
İnternet trafiğine ve içeriğe doğrudan açık olan uygulamalara ve sunucu/istemci işletim sistemlerine öncelik verir, ilgili güvenlik özelliklerini uygulama ve yazılım bakımı için en iyi yöntemleri sıkı bir şekilde izleyin.
İnternet'e açık uç noktalar, saldırganların kuruluşun varlıklarına erişmesini sağlayan yaygın bir giriş vektörüdür. Yaygın işletim sistemi ve uygulamayı engelleme önceliklerini, sonraki aşamaları yürütmelerini yavaşlatmak veya durdurmak için engelleyici denetimlerle gerçekleştirin.
Program ve proje üyesi hesapabiliteleri
Bu tabloda, sonuçları belirlemek ve sürücüsüne almak için uç noktalarınıza bir sponsorluk/program yönetimi/proje yönetimi hiyerarşisi açısından fidye yazılımlarından genel olarak koruma açıkmektedir.
| Müşteri Adayı | Implementor | Sorumluluk |
|---|---|---|
| İş liderlik yönetimi, iş üzerindeki etkinin hem kapalı kalma süresinin hem de saldırı hasarlarının iş üzerindeki etkisiyle sorumlu | Yönetici sponsorluğu (bakım) | |
| Merkezi IT Operations or CIO | Yönetici sponsorluğu (diğerleri) | |
| Merkezi IT Altyapısı Ekibinden program müşteri adayı | Sonuçları ve ekipler arası işbirliğini kullanma | |
| IT ve Security Architects | Bileşen tümleştirmesine mimarilerde öncelikleri belirleme | |
| Merkezi IT İşlemler | Ortamda değişiklik uygulama | |
| Bulut Üretkenliği veya Son Kullanıcı Ekibi | Saldırı yüzeyini azaltmayı etkinleştirme | |
| İş Yükü/Uygulama Sahipleri | Değişiklikle ilgili bakım pencerelerini belirleme | |
| Güvenlik İlkesi ve Standartları | Standartları ve ilke belgelerini güncelleştirme | |
| Güvenlik Uyumluluğu Yönetimi | Uyumluluğu sağlamak için izleme | |
Uygulama denetim listesi
Bu en iyi yöntemleri tüm Windows Linux, MacOS, Android, iOS ve diğer uç noktalara uygulayabilirsiniz.
| Bitti | Görev | Açıklama |
|---|---|---|
| Saldırı yüzeyini azaltma kuralları, izinsiz alan korumasıve ilk sitedeengelleme ile bilinen tehditleri engelin. | Bu yerleşik güvenlik özelliklerinin, bir saldırganın organizasyona giriş nedeni olmamasına izin verme. | |
| İnternet'e yönelik sunucu ve istemciler ile Windows uygulamalarına güvenlik taban Office uygulayabilirsiniz. | Organizasyonlarınızı en düşük güvenlik düzeyi ve güvenlik düzeyiyle buradan koruyun. | |
| Yazılımınızı şu şekilde koruyabilirsiniz: - Güncelleştirme: İşletim sistemleri, tarayıcılar, e-posta istemcileri için kritik güvenlik güncelleştirmelerini hızlı & bir şekilde dağıtın - Desteklenen: Satıcınız tarafından desteklenen sürümler için işletim sistemlerini ve yazılımı yükseltin. |
Saldırganlar, eksik veya eksik üretici güncelleştirmelerini ve yükseltmelerini kaçırmış olduğunu sayıyor. | |
| Desteklenmeyen işletim sistemleri ve eski protokoller dahil olmak üzere güvenli olmayan sistemleri ve protokolleri yalıtmak, devre dışı bırakmak veya devre dışı bırakmak. | Saldırganlar, eski cihazların, sistemlerin ve protokollerin bilinen güvenlik açıklarını kuruluşa giriş noktaları olarak kullanır. | |
| Ana bilgisayar tabanlı güvenlik duvarı ve ağ savunmaları ile beklenmeyen trafiği engelin. | Bazı kötü amaçlı yazılım saldırıları bir saldırıya bağlantı vermenin bir yolu olarak ana bilgisayarlara istenmeyen gelen trafiği yanıtlar. | |
| Temel ve olası saldırılardan sapmaları bulmak ve düzeltmek için denetleme ve izleme (bkz. Algılama ve Yanıt). | Temel güvenlik özellikleri ve ayarları olan fidye yazılımı etkinliklerinden riski azaltır. | |
Hesaplar
Bir evin yeni günlere karşı korunmasına neden olmayacak olan parolalar, bugün gördüğünüz ortak saldırılara karşı hesapları koruyamaz. Çok faktörlü kimlik doğrulaması (MFA) bir zamanlar ağır bir adımken, parolasız kimlik doğrulama kullanıcılarınızı hatırlamalarını veya parola yazmalarını gerektirmeyen biyometrik yaklaşımlar kullanarak oturum açma deneyimini iyiler. Buna ek olarak, Sıfır Güven altyapısı güvenilen cihazlarla ilgili bilgileri depolar ve bu da bant dışında MFA eylemlerini can sıkıcı işlemlere neden olur.
Yüksek ayrıcalık yönetici hesaplarından başlayarak, parolasız veya MFA kullanma gibi hesap güvenliği için bu en iyi yöntemleri sıkı bir şekilde izleyin.
Program ve proje üyesi hesapabiliteleri
Bu tabloda, sonuçları belirlemek ve sürücüsüne almak için hesaplarınızı bir sponsorlar/program yönetimi/proje yönetimi hiyerarşisi açısından fidye yazılımlarından genel olarak koruma açıkmektedir.
| Müşteri Adayı | Implementor | Sorumluluk |
|---|---|---|
| CISO, CIO veya Identity Director | Yönetici sponsorluğu | |
| Kimlik ve Anahtar Yönetimi veya Güvenlik Mimarisi ekiplerinden program müşteri adayı | Sonuçları ve ekipler arası işbirliğini kullanma | |
| IT ve Security Architects | Bileşen tümleştirmesine mimarilerde öncelikleri belirleme | |
| Kimlik ve Anahtar Yönetimi veya Merkezi IT İşlemleri | Yapılandırma değişiklikleri uygulama | |
| Güvenlik İlkesi ve Standartları | Standartları ve ilke belgelerini güncelleştirme | |
| Güvenlik Uyumluluğu Yönetimi | Uyumluluğu sağlamak için izleme | |
| Kullanıcı Eğitim Ekibi | Parolayı güncelleştirme veya oturum açma kılavuzu, eğitim ve değişiklik yönetimi gerçekleştirme | |
Uygulama denetim listesi
Hesaplarınızı fidye yazılımı yazılımlarından korumak için bu en iyi yöntemleri uygulayabilirsiniz.
| Bitti | Görev | Açıklama |
|---|---|---|
| Tüm kullanıcılar için güçlü MFA veya parolasız oturum açma zorunlu kılın. Yönetici ve öncelik hesaplarından birini veya birden fazlasını kullanarak başlangıç: - Windows Hello veya Microsoft Authenticatorile parolasız kimlik doğrulaması. - - . - Üçüncü taraf MFA çözümü. |
Bir saldırgan için kimlik bilgilerinin güvenliğinin tehlikeye atnabilmesini zorlaştır. | |
| Parola güvenliğini artırma: - Azure AD hesaplarında, bilinen zayıf parolaları ve organizasyonunıza özgü diğer zayıf terimleri tespit etmek ve engellemek için Azure AD Parola Koruması'nın kullanın. - Şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) hesapları için Azure AD Parola Koruması'nın süresini AD DS hesaplarına genişletme. |
Saldırganların ortak parolaları veya parolaları kuruluş adınıza bağlı olarak belirleyenene kadar emin olun. | |
| Temel ve olası saldırılardan sapmaları bulmak ve düzeltmek için denetleme ve izleme (bkz. Algılama ve Yanıt). | Temel güvenlik özellikleri ve ayarları olan fidye yazılımı etkinliklerinden riski azaltır. | |
Uygulama sonuçları ve zaman çizelgeleri
Bu sonuçları 30 gün içinde elde etmeye çalış:
- Çalışanların %100'ül etkin bir şekilde MFA kullanıyor
- Daha yüksek parola güvenliği için %100 dağıtım
Ek fidye yazılımı kaynakları
Microsoft'tan önemli bilgiler:
- Fidye yazılımıyla ilgili giderek büyüyen birtehdit olan Microsoft 20 Temmuz 2021'de Sorunlar blog gönderisinde
- İnsan tarafından işletilen fidye yazılımı
- Fidye yazılımlarına ve ekstörlere karşı hızlı bir şekilde koruma
- 2021 Microsoft Dijital Savunma Raporu (sayfa 10-19'a bakın)
- Fidye yazılımı: Microsoft 365 Defender portalında kötü amaçlı ve sürekli tehdit Microsoft 365 Defender raporu
- Microsoft'un RANSOMWARE fidye yazılımı yaklaşımı ve en iyi yöntemler
Microsoft 365:
- Yazılım kiracınız için fidye yazılımı Microsoft 365 dağıtın
- Azure ve Microsoft 365 ile Fidye Yazılımı Performansını En Üst Düzeye Microsoft 365
- Fidye yazılımı saldırılarından kurtar
- Kötü amaçlı yazılım ve fidye yazılımına karşı koruma
- Bilgisayarınızı fidye Windows 10 yazılımlarından koruyun
- SharePoint Online'da fidye yazılımlarını işleme
- Yazılım portalında fidye yazılımı için tehdit Microsoft 365 Defender raporları
Microsoft 365 Defender:
Microsoft Azure:
- Fidye Yazılımı Saldırısını Azure Savunma
- Azure ve Microsoft 365 ile Fidye Yazılımı Performansını En Üst Düzeye Microsoft 365
- Fidye yazılımlarına karşı korunmak için planı yedekleme ve geri yükleme
- Yedekleme ile fidye yazılımlarından korunmaya Microsoft Azure (26 dakikalık video)
- Sistemsel kimlik güvenliğinden ödün verme
- Microsoft Sentinel'de gelişmiş çok amaçlı saldırı algılama
- Microsoft Sentinel'de Fidye Yazılımı için Fidye Yazılımı Algılama
Bulut Uygulamaları için Microsoft Defender:
Microsoft Güvenlik ekibi blog gönderileri:
Fidye yazılımlarını önlemeye ve fidye yazılımlarından korunmaya yönelik 3 adım (Eylül 2021)
İnsan tarafından işletilen fidye yazılımlarla mücadeleye yardımcı bir kılavuz: Bölüm 1 (Eylül 2021)
Microsoft'un Algılama ve Yanıt Ekibi'nin (YERMİ) fidye yazılımı olayı soruşturmalarını nasıl yönetecekleri ile ilgili önemli adımlar.
İnsan tarafından işletilen fidye yazılımıyla mücadeleye kılavuz: Bölüm 2 (Eylül 2021)
Öneriler ve en iyi yöntemler.
-
Fidye yazılımı bölümüne bakın.
İnsan tarafından işletilen fidye yazılımı saldırıları: Önlenebilir bir olağanüstü durum (Mart 2020)
Gerçek saldırılar için saldırı zinciri çözümlemeleri içerir.
Fidye yazılımına yanıt— ödeme yapmak veya ödeme yapmak değil mi? (Aralık 2019)
Norsk 365 Fidye yazılımı saldırılarına saydamlık saldırısıyla yanıt verdi (Aralık 2019)