Microsoft 365 中的恶意软件和勒索软件防护

  • 项目

保护客户数据免受恶意软件的侵害

恶意软件包括病毒、间谍软件和其他恶意软件。 Microsoft 365 包括保护机制,以防止客户端或 Microsoft 365 服务器将恶意软件引入 Microsoft 365。 使用反恶意软件是保护 Microsoft 365 资产免受恶意软件攻击的主要机制。 反恶意软件检测并防止计算机病毒、恶意软件、rootkit、蠕虫和其他恶意软件引入任何服务系统。 反恶意软件提供针对恶意软件的预防性和检测控制。

每个反恶意软件解决方案都跟踪软件的版本以及正在运行的签名。 每个服务团队的适当反恶意软件工具集中管理至少每天从供应商的病毒定义站点自动下载和应用签名更新。 以下功能由每个服务团队在每个终结点上的相应反恶意软件工具集中管理:

  • 环境的自动扫描
  • 文件系统的定期扫描至少每周 ()
  • 下载、打开或执行文件时实时扫描文件
  • 至少每天从供应商的病毒定义站点自动下载和应用签名更新
  • 检测到的恶意软件的警报、清理和缓解

当反恶意软件工具检测到恶意软件时,它们会阻止恶意软件,并向 Microsoft 365 服务团队人员、Microsoft 365 安全人员和/或运营数据中心的 Microsoft 组织的安全和合规性团队发出警报。 接收人员启动事件响应过程。 跟踪和解决事件,并执行事后分析。

针对恶意软件Exchange Online Protection

Exchange Online的所有电子邮件都通过Exchange Online Protection (EOP) ,实时隔离和扫描进入和离开系统的所有电子邮件和电子邮件附件,以发现病毒和其他恶意软件。 管理员无需设置或维护筛选技术;默认启用它们。 但是,管理员可以使用 Exchange 管理中心进行特定于公司的筛选自定义。

使用多个反恶意软件引擎,EOP 将提供设计用于捕获所有已知恶意软件的多层保护。 通过服务传输的消息将扫描恶意软件 (包括病毒和间谍软件) 。 如果检测到恶意软件,邮件将被删除。 当受感染的邮件被删除且无法送达时,还会向发件人或管理员发送通知。 您也可以选择使用通知收件人恶意软件检测结果的默认或自定义邮件取代受感染的附件。

以下方法有助于提供反恶意软件保护:

  • 针对恶意软件的分层防御 - EOP 中使用的多个反恶意软件扫描引擎有助于防范已知和未知威胁。 这些引擎包括强大的启发式检测,即使在恶意软件发作的早期,该检测也可提供保护。 这种多引擎方法已经显示出可以提供明显多于单一防恶意软件引擎的保护。
  • 实时威胁响应 - 在某些爆发期间,反恶意软件团队可能拥有有关病毒或其他形式的恶意软件的足够信息,以编写复杂的策略规则,甚至在服务使用的任何引擎提供定义之前就检测威胁。 这些规则每两个小时就向全球网络发布一次,以向组织提供防止攻击的额外保护层。
  • 快速反恶意软件定义部署 - 反恶意软件团队与开发反恶意软件引擎的合作伙伴保持密切关系。 所以,该服务在恶意软件定义与修补程序公开发布之前就可以接收和集成这些信息。 我们与这些合作伙伴的联系通常也使我们能够开发自己的补救措施。 该服务每小时为所有的反恶意软件引擎检查一次是否有更新的定义。

Microsoft Defender for Office 365

Microsoft Defender for Office 365是一种电子邮件筛选服务,可针对特定类型的高级威胁(包括恶意软件和病毒)提供额外的保护。 Exchange Online Protection当前对已知恶意软件和病毒使用由多个引擎提供支持的可靠分层防病毒保护。 Microsoft Defender for Office 365通过一项称为“安全附件”的功能来扩展此保护,该功能可防范未知恶意软件和病毒,并提供更好的零日保护来保护邮件系统。 所有没有已知病毒/恶意软件签名的邮件和附件都路由到特殊的虚拟机监控程序环境,在该环境中,使用各种机器学习和分析技术执行行为分析,以检测恶意意图。 如果没有检测到可疑的活动,会发布邮件并传递到邮箱中。

Exchange Online Protection还会扫描 Microsoft 365 中传输的每封邮件,并提供传递保护时间,从而阻止邮件中的任何恶意超链接。 攻击者有时尝试隐藏恶意 URL,其中包含看似安全的链接,这些链接在收到消息后由转发服务重定向到不安全站点。 如果用户选择此类链接,安全链接会主动保护用户。 每当他们选择链接时,都会保留这种保护,恶意链接会被动态阻止,同时可以访问良好的链接。

Microsoft Defender for Office 365还提供了丰富的报告和跟踪功能,因此你可以深入了解组织中哪些人成为攻击目标,以及你面临的攻击类别。 报告和消息跟踪允许调查因未知病毒或恶意软件而被阻止的邮件,而 URL 跟踪功能允许跟踪已单击的邮件中的单个恶意链接。

有关Microsoft Defender for Office 365的详细信息,请参阅Exchange Online ProtectionMicrosoft Defender for Office 365

SharePoint Online 和 OneDrive for Business 勒索软件防护

勒索软件攻击有多种形式,但最常见的形式之一是恶意个人加密用户的重要文件,然后要求用户提供某些内容(如金钱或信息),以换取密钥来解密它们。 勒索软件攻击呈上升趋势,尤其是那些加密存储在用户云存储中的文件的攻击。 有关勒索软件的详细信息,请参阅Microsoft Defender安全智能站点。

版本控制有助于保护 SharePoint Online 列表和 SharePoint Online,OneDrive for Business库免受某些(但不是全部)此类勒索软件攻击。 OneDrive for Business 和 SharePoint Online 中默认启用版本控制。 由于在 SharePoint Online 网站列表中启用了版本控制,因此可以根据需要查看早期版本并恢复它们。 这样,就可以恢复通过勒索软件提前加密的项目版本。 出于法律原因或审核目的,某些组织还会在其列表中保留多个版本的项目。

SharePoint Online 和 OneDrive for Business 回收站

SharePoint Online 管理员可以使用 SharePoint Online 管理中心还原已删除的网站集。 SharePoint Online 用户有一个回收站,其中存储了已删除的内容。 如果需要,他们可以访问回收站以恢复已删除的文档和列表。 回收站中的项将保留 93 天。 回收站捕获下列数据类型:

  • 网站集
  • 站点
  • 列表
  • 文件夹
  • 列表项目
  • 文档
  • Web 部件页面

回收站不会捕获通过 SharePoint Designer进行的网站自定义。 有关详细信息,请参阅 从网站集回收站还原已删除的项目。 另请参阅 还原已删除的网站集

版本控制无法防范复制、加密文件,然后删除原始文件的勒索软件攻击。 但是,在发生勒索软件攻击后,最终用户可以利用回收站来恢复OneDrive for Business文件。

以下部分更详细地介绍了 Microsoft 用于降低针对组织及其资产的网络攻击风险的防御和控制措施。

Microsoft 如何缓解勒索软件攻击的风险

Microsoft 内置了防御和控制措施,用于降低针对组织及其资产的勒索软件攻击的风险。 资产可以按域进行组织,每个域都有自己的一组风险缓解措施。

域 1:租户级控件

第一个域是组成组织的人员,以及组织拥有和控制的基础结构和服务。 Microsoft 365 中的以下功能默认处于打开状态,也可以进行配置,以帮助降低风险并从此域中资产的成功泄露中恢复。

Exchange Online

  • 使用单个项目恢复和邮箱保留,客户可以在无意或恶意提前删除时恢复邮箱中的项目。 默认情况下,客户可以回滚在 14 天内删除的邮件,最多可以配置 30 天。

  • Exchange Online 服务中这些保留策略的其他客户配置允许:

    • 要 (1 年/10 年+) 应用的可配置保留期
    • 要应用的写入保护时复制
    • 锁定保留策略的功能,以便实现不可变性

  • Exchange Online Protection在进入和退出系统时实时扫描传入的电子邮件和附件。 默认情况下启用此功能,并具有可用的筛选自定义项。 包含勒索软件或其他已知或可疑恶意软件的邮件将被删除。 可以将管理员配置为在发生这种情况时接收通知。

SharePoint Online 和 OneDrive for Business 保护

SharePoint Online 和 OneDrive for Business Protection 具有内置功能,可帮助防范勒索软件攻击。

版本控制:由于版本控制默认至少保留文件 500 个版本,并且可以配置为保留更多版本,如果勒索软件编辑和加密文件,则可以恢复文件的以前版本。

回收站:如果勒索软件创建文件的新加密副本并删除旧文件,则客户有 93 天的时间从回收站还原该文件。

保留保留库:可以通过应用保留设置来保留存储在 SharePoint 或 OneDrive 网站中的文件。 当具有版本的文档受保留设置约束时,版本将复制到保留库,并作为单独的项存在。 如果用户怀疑其文件已泄露,他们可以通过查看保留的副本来调查文件更改。 然后,可以使用文件还原在过去 30 天内恢复文件。

Teams

Teams 聊天存储在Exchange Online用户邮箱中,文件存储在 SharePoint Online 或 OneDrive for Business 中。 Microsoft Teams 数据受这些服务中可用的控制和恢复机制的保护。

域 2:服务级别控制

第二个域是组成 Microsoft 组织的人员,以及由 Microsoft 拥有和控制的公司基础结构,以执行企业的组织职能。

Microsoft 保护其公司资产的方法零信任,使用我们自己的产品和服务实现,并在整个数字资产中提供防御。 可在此处找到有关零信任原则的更多详细信息:零信任体系结构

Microsoft 365 中的其他功能扩展了域 1 中提供的风险缓解措施,以进一步保护此域中的资产。

SharePoint Online 和 OneDrive for Business 保护

版本控制:如果勒索软件将文件加密到位,作为编辑,可以使用 Microsoft 管理的版本历史记录功能将文件恢复到初始文件创建日期。

回收站:如果勒索软件创建了文件的新加密副本并删除了旧文件,则客户有 93 天的时间从回收站还原它。 93 天后,Microsoft 仍可在 14 天内恢复数据。 在此窗口之后,数据将永久删除。

Teams

域 1 中概述的 Teams 风险缓解措施也适用于域 2。

域 3:开发人员 & 服务基础结构

第三个域是开发和操作 Microsoft 365 服务的人员、提供服务的代码和基础结构,以及数据的存储和处理。

保护 Microsoft 365 平台并缓解此领域风险的 Microsoft 投资侧重于以下领域:

  • 持续评估和验证服务的安全状况
  • 构建保护服务免受入侵的工具和体系结构
  • 构建在发生攻击时检测和响应威胁的能力

持续评估和验证安全状况

  • Microsoft 使用 最低特权原则缓解与开发和操作 Microsoft 365 服务的人员相关的风险。 这意味着对资源的访问和权限仅限于执行所需任务所需的资源。
    • 实时 (JIT) Just-Enough-Access (JEA) 模型用于为 Microsoft 工程师提供临时权限。
    • 工程师必须提交特定任务请求才能获取提升的权限。
    • 请求通过密码箱进行管理,密码箱使用 Azure 基于角色的访问控制 (RBAC) 来限制工程师可以发出的 JIT 提升请求的类型。
  • 除上述情况外,所有 Microsoft 候选人在开始在 Microsoft 就业之前都进行了预先筛选。 在美国中维护 Microsoft 联机服务的员工必须接受 Microsoft 云背景检查,作为访问联机服务系统的先决条件。
  • 所有 Microsoft 员工都必须完成基本的安全意识培训以及业务行为标准培训。

用于保护服务的工具和体系结构

  • Microsoft 的安全开发生命周期 (SDL) 侧重于开发安全软件,以提高应用程序安全性并减少漏洞。 有关详细信息,请参阅 安全性开发和操作概述
  • Microsoft 365 将服务基础结构的不同部分之间的通信限制为仅操作所需的通信。
  • 使用边界点的额外网络防火墙来保护网络流量,以帮助检测、防止和缓解网络攻击。
  • Microsoft 365 服务设计为无需工程师访问客户数据即可运行,除非客户明确请求和批准。 有关详细信息,请参阅 Microsoft 如何收集和处理客户数据

检测和响应功能

  • Microsoft 365 对其系统进行持续安全监视,以检测和响应对 Microsoft 365 服务的威胁。
  • 集中式日志记录可收集和分析可能指示安全事件的活动的日志事件。 日志数据在上传到警报系统时进行分析,并近乎实时地生成警报。
  • 基于云的工具使我们能够快速响应检测到的威胁。 这些工具使用自动触发的操作启用修正。
  • 如果无法自动修正,则会向相应的待命工程师发送警报,这些工程师配备了一组工具,使他们能够实时采取行动来缓解检测到的威胁。

从勒索软件攻击中恢复

有关在 Microsoft 365 中从勒索软件攻击中恢复的步骤,请参阅 从 Microsoft 365 中的勒索软件攻击中恢复

其他勒索软件资源

来自 Microsoft 的密钥信息

Microsoft 365

Microsoft Defender XDR

Microsoft Azure

Microsoft Defender for Cloud Apps

Microsoft 安全团队博客文章