阶段 1:准备恢复计划

要应对这些攻击,首先要做的是让组织做好准备,使其有可行方法而不必支付赎金。 虽然控制你的组织的攻击者有各种方式来逼迫你支付赎金,但其要求主要集中在两个类别:

  • 支付费用来重新获得访问权限

    攻击者会威胁称他们将不返还系统和数据的访问权限,以此要求付款。 更常见的做法是加密你的系统和数据,要求你付费换取解密密钥。

    重要

    支付赎金这种解决方案并不像它看上去那样简单利落。 因为你要应对的是只想敲诈一笔的犯罪者(他们经常是相对业务的攻击者,使用由其他人提供的工具包),因此支付赎金实际上效果多大存在很大的不确定性。 没有法律保证他们提供的密钥能 100% 解密你的系统和数据,甚至没法保证他们会提供密钥。 在解密这些系统时,需要使用自行开发的攻击者工具,这一过程通常是手动的,而且不易操作。

  • 支付费用来避免信息泄露

    攻击者要求支付赎金来换取他们不会将敏感或尴尬数据发布给暗网(其他犯罪者)或公众的保证。

为了避免被迫付费(这种情况对攻击者有利),可采取的最直接且最有效的操作是确保你的组织可从不可变存储中恢复整个企业,而无论攻击者还是你自己都无法修改该存储。

确定最敏感的资产并对其进行更高保障级别的保护也至关重要,但执行起来更耗时且更具挑战性。 我们不希望你耽搁阶段 1 或阶段 2 中的其他方面,但建议在该过程中首先将业务、IT 和安全利益干系人聚在一起来询问和解答下述问题:

  • 如果遭到入侵,哪些业务资产会受到最大损害? 例如,如果攻击者控制了这些资产,我们的业务领导会愿意支付敲诈勒索需求?
  • 这些业务资产如何转换为 IT 资产 (,例如文件、应用程序、数据库、服务器和控制系统) ?
  • 可如何保护或隔离这些资产,使能访问常规 IT 环境的攻击者无法访问它们?

安全备份

必须确保关键系统及其数据已备份,并且备份可抵御攻击者的蓄意擦除或加密。

对备份的攻击侧重于削弱组织不付赎金进行应对的能力,通常会攻击需要恢复的备份和关键文档,迫使你支付勒索金额。

大多数组织不会针对这种级别的蓄意攻击来保护备份和还原过程。

注意

这样准备还可提高在遭受自然灾害和快速攻击(例如 WannaCry 和 (Not)Petya)后的复原能力。

旨在防范勒索软件的备份和还原计划介绍了攻击之前如何保护关键业务系统以及攻击期间如何确保业务操作快速恢复。

计划和项目成员责任

下表描述了数据在倡导/计划管理/项目管理层次结构方面针对勒索软件的整体防护情况,帮助确定和推动取得更佳成果。

Lead 实施者 问责
中央 IT 操作或 CIO 管理人员倡导
中央 IT 基础结构计划主管 推动取得更佳成果并促进跨团队协作
中央 IT 基础结构/备份 启用基础结构备份
中央 IT 生产力/最终用户 启用 OneDrive 备份
安全体系结构 有关配置和标准的建议
安全策略和标准 更新标准和策略文档
安全合规性管理 进行监视,确保合规性

实现清单

应用这些最佳做法来保护备份基础结构。

完成 任务 说明
定期自动备份所有关键数据。 可将数据恢复到最新备份。
定期演练业务连续性/灾难恢复 (BC/DR) 计划。 对勒索软件或敲诈勒索攻击与自然灾害同等重视,确保快速恢复业务操作。
保护备份以防蓄意擦除和加密:

- 强保护 - 要求执行带外步骤(MFA 或 PIN)才能修改联机备份(如 Azure 备份)。

- 最强保护 - 将备份存储在联机不可变存储(如 Azure Blob)和/或完全脱机或站点外的位置。
攻击者可访问的备份可显示没法用于业务恢复。 实现更强大的安全性来访问备份,并且无法更改存储在备份中的数据。
保护恢复所需的支持文档,例如还原过程文档、配置管理数据库 (CMDB) 和网络图。 攻击者会故意攻击这些资源,因为这会影响你的恢复能力。 确保他们在勒索软件攻击中幸存下来。

实施结果和时间线

在 30 天内,确保平均恢复时间 (MTTR) 满足在模拟和实际操作期间规定的 BC/DR 目标。

数据保护

必须实施数据保护,确保在遭到勒索软件攻击后快速可靠地恢复并阻截攻击者的某些攻击方法。

只有在对数据和系统的所有合法访问都失去时,勒索软件勒索攻击和破坏性攻击才起作用。 确保攻击者没法剥夺你不付赎金就恢复操作的能力,这会保护你的业务并破坏攻击你的组织的金钱动机。

计划和项目成员责任

下表描述了你的组织数据在倡导/计划管理/项目管理层次结构方面针对勒索软件的整体防护情况,帮助确定和推动取得更佳成果。

Lead 实施者 问责
中央 IT 操作或 CIO 管理人员倡导
数据安全性计划主管 推动取得更佳成果并促进跨团队协作
中央 IT 生产力/最终用户 针对 OneDrive 和受保护的文件夹实施对 Microsoft 365 租户的更改
中央 IT 基础结构/备份 启用基础结构备份
业务/应用程序 确定关键业务资产
安全体系结构 有关配置和标准的建议
安全策略和标准 更新标准和策略文档
安全合规性管理 进行监视,确保合规性
用户培训团队 确保用户指南反映策略更新

实现清单

应用这些最佳做法来保护组织数据。

完成 任务 说明
将组织迁移到云中:

- 将用户数据迁移到云解决方案(例如 OneDrive/SharePoint),来使用版本控制和回收站功能

- 指导用户如何自行恢复文件来减少恢复延迟和成本。
通过内置的安全性和数据管理功能来保护 Microsoft 云中的用户数据。
指定受保护的文件夹 使未经授权的应用程序更难修改这些文件夹中的数据。
评审你的权限:

- 发现对文件共享、SharePoint 和其他解决方案的宽泛写入/删除权限。 “宽泛”的定义是许多用户对业务关键数据都具有写入/删除权限。

- 减少关键数据位置的广泛权限,同时满足业务协作要求。

- 审核和监视关键数据位置,以确保广泛权限不会重新出现。
降低依赖于广泛访问的勒索软件活动的风险。

后续步骤

Phase 2. Limit the scope of damage

继续阶段 2,通过保护特权角色限制攻击者破坏的范围。

其他勒索软件资源

Microsoft 提供的重要信息:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Microsoft 安全团队博客文章: