Microsoft 365 中的惡意程式碼和勒索軟體防護

保護客戶資料免受惡意程式碼攻擊

惡意軟體是由病毒、間諜軟體和其他惡意軟體所組成。 Microsoft 365 包含保護機制,可防止惡意程式碼被用戶端或 Microsoft 365 伺服器引入 Microsoft 365。 使用反惡意程式碼軟體是保護來自惡意軟體 Microsoft 365 資產的主體機制。 反惡意程式碼軟體會偵測並防止電腦病毒、惡意程式碼、rootkit、蠕蟲及其他惡意軟體引進任何服務系統。 反惡意程式碼軟體會同時提供預防和偵探對惡意軟體的控制。

每個反惡意程式碼解決方案都會追蹤軟體的版本以及執行的特徵碼。 從廠商的病毒定義網站中,至少每天從廠商的病毒定義網站進行簽章更新的自動下載及應用程式,都會由每個服務小組適當的反惡意程式碼工具進行集中管理。 下列功能是由每個服務小組之每個端點上適當的反惡意程式碼工具進行集中管理:

  • 自動掃描環境
  • 定期掃描檔案系統 (至少每週)
  • 下載、開啟或執行檔時的即時掃描
  • 自動從廠商的病毒定義網站下載並應用簽章更新(至少一天)
  • 偵測到的惡意程式碼的警示、清除及緩解

當反惡意程式碼工具偵測到惡意程式碼時,會封鎖惡意程式碼並產生警示,以 Microsoft 365 服務小組人員、Microsoft 365 安全性,以及(或) Microsoft 組織的安全性與合規性小組,以運作我們的資料中心。 接收人員會發起事件回應程式。 會追蹤和解決事件,並執行檢討後分析。

Exchange Online Protection 抵禦惡意程式碼

Exchange Online 透過 Exchange Online Protection (EOP) 的所有電子郵件,它會隔離及掃描即時的所有電子郵件和電子郵件附件輸入及離開系統中的病毒和其他惡意程式碼。 管理員不需要設定或維護篩選技術;預設會啟用這些功能。 不過,系統管理員可以使用 Exchange 系統管理中心,進行公司特有的篩選自訂。

EOP 藉由使用多重反惡意程式碼引擎提供專為捕捉所有已知惡意程式碼設計的多層次保護功能。 透過服務傳輸的郵件會進行惡意程式碼的掃描, (包括病毒和間諜軟體) 。 如果偵測到惡意程式碼,該郵件會被刪除。 當郵件因受感染而刪除或無法傳遞時,也會傳送通知給寄件者或系統管理員。 您也可以選擇將受感染的附件更換為預設或自訂郵件,以通知收件者該惡意程式碼偵測結果。

下列協助提供反惡意程式碼保護:

  • 針對惡意程式碼的分層防護 -用於 EOP 的多個反惡意程式碼掃描引擎可協助防護已知和未知威脅。 這些引擎包含強大的啟發式偵測,可在惡意程式碼爆發的早期階段提供保護。 這種多重引擎方式已經顯示,比只使用一個反惡意程式碼引擎提供更大的保護。
  • 即時威脅回應 -在某些病毒發作的情況下,反惡意程式碼小組可能會有足夠的病毒或其他形式的惡意程式碼的相關資訊,以撰寫偵測威脅的複雜原則規則,甚至是在服務所使用的任何引擎提供定義之前,都能偵測出威脅。 這些規則會每隔2小時發佈到全球網路,為您的組織提供額外的防範攻擊層級。
  • Fast Anti-Malware 定義部署 -反惡意程式碼小組會與開發反惡意程式碼引擎的合作夥伴保持密切的關係。 因此,服務可以在惡意程式碼定義和修補程式公開發行之前,先接收並整合惡意程式碼定義和修補程式。 我們與這些合作夥伴的連線通常可讓我們同時開發我們自己的賠償。 服務每小時會檢查所有反惡意程式碼引擎的更新定義。

適用於 Office 365 的 Microsoft Defender

Microsoft Defender for Office 365 是一種電子郵件篩選服務,可針對特定類型的高級威脅(包括惡意程式碼和病毒)提供額外的保護。 Exchange Online Protection 目前使用多個引擎為已知的惡意程式碼和病毒供電的健壯和分層防防毒保護。 Microsoft Defender for Office 365 會透過一種稱為「保管庫附件」的功能將此保護功能延伸,以防範未知的惡意程式碼和病毒,並提供更好的零一天保護來保護您的郵件系統。 所有不具備已知病毒/惡意程式碼簽章的郵件和附件,都會路由傳送至特殊的管理器環境,在此環境中,使用各種機器學習和分析技術來執行行為分析,以偵測惡意目的。 如果未偵測到可疑活動,即會釋出訊息傳遞到信箱。

Exchange Online Protection 也會掃描 Microsoft 365 中傳輸的每封郵件,並提供傳遞保護的時間,封鎖郵件中的任何惡意超連結。 攻擊者有時候會嘗試隱藏惡意的 URLs,其表面上的安全連結會在接收到郵件後透過轉寄服務重新導向至不安全的網站。 保管庫連結會在使用者按一下此連結時,主動保護您的使用者。 在每次按一下連結時,保護都會持續存在,而且在正確連結可供存取時,會動態封鎖惡意連結。

Microsoft Defender for Office 365 也提供豐富的報告和追蹤功能,讓您能夠深入瞭解組織中取得目標的人員,以及您面臨的攻擊類別。 報告和郵件追蹤功能可讓您調查由於未知病毒或惡意程式碼而封鎖的郵件,而 URL 追蹤功能可讓您追蹤已按一下的郵件中的個別惡意連結。

如需有關 Microsoft Defender for Office 365 的詳細資訊,請參閱Exchange Online ProtectionMicrosoft defender for Office 365

SharePoint線上及商務用 OneDrive 勒索軟體防護

有許多形式的勒索軟體攻擊,但其中一個最常見的表單是惡意個人加密使用者重要檔案的地方,然後在 exchange 中要求某些專案(例如金錢或資訊),以用於解密的金鑰。 勒索軟體攻擊是在增加,尤其是用來加密儲存在使用者雲端儲存中檔案的使用者。 如需勒索軟體的詳細資訊,請參閱 Microsoft Defender 安全性智慧 網站。

版本設定可協助您保護 SharePoint 線上清單,以及從部分(並非所有)這些類型的勒索軟體攻擊 SharePoint 線上和商務用 OneDrive 文件庫。 在商務用 OneDrive 和 SharePoint Online 中,預設會啟用版本設定。 由於已在 SharePoint Online 網站清單中啟用版本設定,因此您可以查看舊版,並視需要加以復原。 這可讓您復原內部版本為其加密之專案的版本。 有些組織也會出於法律原因或審計目的,保留其清單中的多個專案版本。

SharePoint線上和商務用 OneDrive 回收站

SharePoint線上系統管理員可以使用 SharePoint 線上系統管理中心還原已刪除的網站集合。 SharePoint線上使用者擁有儲存已刪除內容的回收站。 必要時,他們可以存取資源回收筒來還原已刪除的文件和清單。 回收站中的專案會保留93天。 資源回收筒會擷取下列資料類型:

  • 網站集合
  • 網站
  • 清單
  • 文件庫
  • 資料夾
  • 清單項目
  • 文件
  • 網頁組件網頁

資源回收筒不會擷取透過 SharePoint Designer 所做的網站自訂項目。 如需詳細資訊,請參閱 從網站集合回收站還原已刪除的郵件。 另請參閱 還原刪除的網站集合

版本設定不會抵禦會複製檔案、加密檔,然後刪除原始檔案的勒索軟體攻擊。 不過,使用者可以利用回收站,在勒索軟體攻擊發生後,利用回收站來復原商務用 OneDrive 檔案。

下一節將深入討論防禦和控制,以降低 cyberattack 組織及其資產的風險。

Microsoft 如何減少勒索軟體攻擊的風險

Microsoft 已內建防禦和控制,其用途是緩解對您的組織及其資產進行勒索軟體攻擊的風險。 資產可依網域組織,每個網域都有自己的風險遷移集。

網域1:租使用者層級控制項

第一個網域是組成您組織的人員,以及您的組織所擁有及控制的基礎結構和服務。 下列 Microsoft 365 中的功能預設為開啟或設定,以協助降低風險,並在此網域中的資產成功遭到損害時復原。

Exchange Online

  • 透過單一專案復原和信箱保留,客戶可以在意外或惡意刪除時,復原信箱中的專案。 客戶在預設會在14天內復原已刪除的郵件訊息,可設定為最多30天。

  • 在 Exchange Online 服務內,這些保留原則的其他客戶設定可供下列專案:

    • 套用的可設定保留 (1 年/10 年 +)
    • 要套用寫入保護的副本
    • 保留原則的能力鎖定,使其無法實現。
  • Exchange Online Protection 即時掃描內送的電子郵件和附件,同時進入和退出系統。 預設會啟用此功能,並提供可用的篩選自訂專案。 會刪除包含勒索軟體或其他已知或可疑惡意程式碼的郵件。 您可以設定系統管理員在發生這種情況時接收通知。

SharePoint線上和商務用 OneDrive 保護

SharePoint線上和商務用 OneDrive 保護都具有內建的功能,可協助防範勒索軟體攻擊。

版本 設定:由於版本設定預設會保留最少500版本的檔案,而且可以設定為保留更多,如果勒索軟體編輯並加密檔案,則可以復原舊版本的檔案。

回收站:如果勒索軟體會建立檔案的新加密複本,並刪除舊檔案,客戶有93天的時間可從回收站還原。

保留保留庫:儲存在 SharePoint 或 OneDrive 網站中的檔案可透過套用保留設定加以保留。 當含版本的檔服從保留設定時,版本會複製到保留的保留文件庫,並以個別專案的形式存在。 如果使用者懷疑其檔案遭到損害,可以透過審閱保留的副本來調查檔變更。 然後,檔案還原可用於在過去30天內復原檔案。

Teams

Teams 聊天是儲存在 Exchange Online 使用者信箱內,並儲存在 SharePoint 線上或商務用 OneDrive。 Microsoft Teams 資料是由這些服務中提供的控制項和復原機制所保護。

網域2:服務層級控制項

第二個網域是組成 Microsoft 組織的人員,而由 Microsoft 所擁有及控制的公司基礎結構,用來執行企業的組織職能。

Microsoft 的保護其公司房地產的方法是「完全信任」,其使用我們自己的產品和服務,並在我們的數位房地產範圍內加以防禦。 您可以在以下位置找到有關零信任原則的詳細資訊: 零信任架構

Microsoft 365 中的其他功能可擴充域1中提供的風險降低措施,以進一步保護此網域中的資產。

SharePoint線上和商務用 OneDrive 保護

版本 設定:如果勒索軟體是以編輯方式加密檔案,則可以使用 Microsoft 所管理的版本歷程記錄功能,將檔案復原至初始檔建立日期。

回收站:如果勒索軟體已建立新的加密副本,並刪除舊檔案,則客戶有93天的時間可從回收站還原。 93天之後,會有一個14天的視窗,讓 Microsoft 仍可在其中復原資料。 在此視窗之後,會永久刪除資料。

Exchange Online

資料庫可用性群組 (DAG) 協助可提供 Exchange Online 中信箱資料損毀的保護。 Exchange Online 有4個資料庫可用性群組、4個作用中和1個延遲乘以延遲交易歷史記錄檔的14天。

如果勒索軟體攻擊影響主控郵件交易之主動副本的信箱伺服器,則會對客戶透明的容錯移轉至其他主動 DAG。 使用中資料庫內的所有三個郵件交易副本都會受到勒索軟體攻擊的影響,以回退延遲 DAG。 失敗隔離機制減少勒索軟體攻擊的群發半徑。

Teams:域1中所述 Teams 的風險降低也適用于網域2。

域3:開發人員 & 服務基礎結構

第三個網域是開發及操作 Microsoft 365 服務、程式碼和基礎結構,以提供服務,以及儲存和處理資料的人員。

保護 Microsoft 365 平臺並減輕此網域中的風險的 Microsoft 投資可專注于下列方面:

  • 連續評估和驗證服務的安全性狀況
  • 建立保護服務免受威脅的工具和架構
  • 在發生攻擊時,建立偵測威脅並加以回應的功能

連續評估和驗證安全性狀況

  • Microsoft 使用 最低許可權 的原則來緩解使用 Microsoft 365 服務之人員的相關風險。 這表示對資源的存取權和許可權,只限于執行必要工作所需的任務。
    • 即時 (JIT) ,只需使用足夠的存取 (JEA) 模型,即可為 Microsoft 工程師提供暫時的許可權。
    • 工程師必須送出特定任務的要求,以取得更高的許可權。
    • 要求會透過密碼箱進行管理,該密碼箱使用 Azure 角色型存取控制 (RBAC) 來限制工程師可以進行的 JIT 提升要求類型。
  • 除了上述,所有的 Microsoft 候選人在開始雇用 Microsoft 之前都是預先篩選的。 維護美國 Microsoft online 服務的員工必須先進行 Microsoft Cloud 背景檢查,才能存取線上服務系統。
  • 所有 Microsoft 員工都需要完成基本的安全性意識訓練,以及商務執行訓練的標準。

保護服務的工具和架構

  • Microsoft 的安全性開發生命週期 (SDL) 重點在於開發安全的軟體,以提升應用程式安全性並減少弱點。 如需詳細資訊,請參閱 安全性與安全性的開發和作業概述
  • Microsoft 365 會限制服務基礎結構不同部分之間的通訊,只會限制運作的必要部分。
  • 網路流量在邊界點使用額外的網路防火牆進行安全保護,以協助偵測、防止及緩解網路攻擊。
  • Microsoft 365 服務的設計方式不需要存取客戶資料,除非客戶明確要求和核准。 如需詳細資訊,請參閱 Microsoft 如何收集及處理客戶資料

偵測和回應功能

  • Microsoft 365 會持續監視其系統的安全性,以偵測及回應對 Microsoft 365 服務的威脅。
  • 集中式記錄會收集和分析可能表示安全性事件之活動的記錄事件。 記錄檔會在上傳至提醒系統時進行分析,並在近乎即時產生提醒。
  • 雲端式工具可讓我們快速回應偵測到的威脅。 這些工具可讓使用自動觸發的動作進行修復。
  • 當無法進行自動修復時,會將警示傳送給適當的「致電工程師」,其提供一組工具,讓他們能夠即時採取行動,以降低偵測到的威脅。

從勒索軟體的攻擊中復原

如需從 Microsoft 365 中復原勒索軟體攻擊的步驟,請參閱在 Microsoft 365 中復原勒索軟體攻擊

其他勒索軟體資源

Microsoft 的重要資訊:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Cloud App Security:

Microsoft 安全性小組博客文章: