步骤 2. 勒索软件恢复就绪情况

你必须准备你的组织,以便它有一个可行的替代支付勒索软件攻击者要求的赎金。 虽然控制组织的攻击者可以通过多种方式向你施压以支付费用,但要求主要集中在两个类别上:

  • 为重新获得访问权限付费

    攻击者要求在威胁下付款,因为他们不会向你提供对系统和数据的访问权限。 最常通过加密系统和数据以及要求支付解密密钥费用来完成此操作。

    重要

    支付赎金并不像看上去那么简单和干净。 因为你正在对付那些只是出于支付 (和通常相对业余的经营者为动机的罪犯,他们使用其他人提供的工具包) ,所以支付赎金的实际效果还有很大的不确定性。 没有法律保证它们将提供密钥来解密 100% 的系统和数据,甚至提供密钥。 解密这些系统的过程使用自生攻击者工具,这通常是一个笨拙和手动的过程。

  • 支付以避免披露

    攻击者要求付款,以换取没有向黑暗网络发布敏感或令人尴尬的数据, (其他罪犯) 或一般公众。

为了避免 (攻击者) 有利可图的情况而被迫付款,你可以采取的最直接和有效的行动是确保组织能够将整个企业从尚未被勒索软件攻击感染或加密的不可变存储中还原,而勒索软件攻击既不是攻击者,也不能修改。

确定最敏感的资产并在更高级别的保证下保护它们也至关重要,但执行过程更长、更具挑战性。 我们不希望你坚持其他领域,但我们建议你通过将业务、IT 和安全利益干系人聚集在一起来提出和回答以下问题,从而开始此过程:

  • 如果遭到入侵,哪些业务资产将最具破坏性? 例如,如果攻击者控制了这些资产,业务领导会愿意支付哪些资产来支付敲诈勒索需求?
  • 这些业务资产如何转换为 IT 资产,例如文件、应用程序、数据库和服务器?
  • 如何保护或隔离这些资产,使有权访问常规 IT 环境的攻击者无法访问这些资产?

保护备份

必须确保关键系统及其数据已备份且不可变,以防止攻击者故意擦除或加密。 备份 必须尚未受到勒索软件攻击的感染或加密,否则将还原一组文件,这些文件可能包含攻击者在恢复后要利用的入口点。

对备份的攻击侧重于削弱组织在不付费的情况下做出响应的能力,经常针对恢复所需的备份和关键文档,以迫使你支付敲诈勒索要求。

大多数组织不保护备份和还原过程免受此级别的有意目标。

注意

这种准备还提高了抵御自然灾害和快速袭击的能力,如万纳克里和 (不是) 佩蒂亚。

备份和还原计划,以防止勒索软件解决攻击前要执行的操作,以保护关键业务系统,并在攻击期间确保使用 Azure 备份 和其他 Microsoft 云服务快速恢复业务运营。 如果使用第三方提供的异地备份解决方案,请参阅其文档。

程序和项目成员帐户

下表介绍从赞助/计划管理/项目管理层次结构来确定和推动结果的勒索软件对数据的总体保护。

导致 所有者 问 责
中央 IT 操作或 CIO 执行赞助
中央 IT 基础结构中的计划主管 推动结果和跨团队协作
基础结构/备份工程师 启用基础结构备份
Microsoft 365管理员 实现对OneDrive和受保护文件夹Microsoft 365租户的更改
安全工程师 有关配置和标准的建议
IT 管理员 更新标准和策略文档
安全治理和/或 IT 管理员 监视以确保符合性
用户教育团队 确保用户建议使用OneDrive和受保护文件夹的指南

部署目标

满足这些部署目标,以确保备份基础结构的安全。

部署目标 所有者
1. 保护恢复所需的支持文档,例如还原过程文档、配置管理数据库 (CMDB) 和网络图。 IT 架构师或实施者
2.建立按常规计划自动备份所有关键系统并监视遵守情况的过程。 IT 备份管理员
3. 建立流程和计划,定期执行业务连续性/灾难恢复 (BC/DR) 计划。 IT 架构师
4. 在备份计划中包括保护备份免受蓄意擦除和加密的侵害:

- 强保护 - 在修改联机备份 ((如Azure 备份) )之前,需要带外步骤 (,例如多重身份验证或 PIN) 。

- 最强保护 - 将备份存储在联机不可变存储 ((如 Azure Blob) 和/或完全脱机或离站点)中。
IT 备份管理员
5.让用户配置OneDrive备份受保护的文件夹 Microsoft 365生产力管理员

下一步

使用步骤 3 继续执行数据、合规性和治理计划 。数据