Microsoft 365 中的惡意代碼和勒索軟體保護

  • 發行項

保護客戶數據不受惡意代碼攻擊

惡意代碼是由病毒、間諜軟體和其他惡意軟體所組成。 Microsoft 365 包含保護機制,可防止用戶端或 Microsoft 365 伺服器將惡意代碼引入 Microsoft 365。 使用反惡意代碼軟體是保護 Microsoft 365 資產免於惡意軟體的主要機制。 反惡意代碼軟體會偵測並防止將計算機病毒、惡意代碼、rootkit、Worm 和其他惡意軟體導入任何服務系統。 反惡意代碼軟體提供惡意軟體的預防和偵測控制。

每個已備妥的反惡意代碼解決方案都會追蹤軟體的版本,以及正在執行的簽章。 至少每天從廠商的病毒定義網站自動下載和套用簽章更新,是由每個服務小組的適當反惡意代碼工具集中管理。 下列函式是由每個服務小組的每個端點上適當的反惡意代碼工具集中管理:

  • 自動掃描環境
  • 檔系統定期掃描 (至少每周)
  • 檔案下載、開啟或執行時的實時掃描
  • 至少每天從廠商的病毒定義網站自動下載並套用簽章更新
  • 警示、清除及降低偵測到的惡意代碼

當反惡意代碼工具偵測到惡意代碼時,他們會封鎖惡意代碼,併產生警示給 Microsoft 365 服務小組人員、Microsoft 365 安全性,以及/或操作我們數據中心的 Microsoft 組織安全性與合規性小組。 接收人員會起始事件回應程式。 事件會進行追蹤和解決,並執行事後分析。

針對惡意代碼 Exchange Online Protection

Exchange Online 的所有電子郵件訊息都會通過 Exchange Online Protection (EOP) ,它會即時隔離和掃描所有進入和離開系統的電子郵件和電子郵件附件,以防病毒和其他惡意代碼。 系統管理員不需要設定或維護篩選技術;默認會啟用它們。 不過,系統管理員可以使用 Exchange 系統管理中心進行公司特定的篩選自定義。

EOP 藉由使用多重反惡意程式碼引擎提供專為捕捉所有已知惡意程式碼設計的多層次保護功能。 透過服務傳輸的訊息會掃描是否有惡意代碼 (包括病毒和間諜軟體) 。 如果偵測到惡意程式碼,該郵件將被刪除。 當郵件因受感染而刪除或無法傳遞時,也會傳送通知給寄件者或系統管理員。 您也可以選擇將受感染的附件更換為預設或自訂郵件,以通知收件者該惡意程式碼偵測結果。

下列項目有助於提供反惡意代碼保護:

  • 針對惡意代碼的分層防禦 - EOP 中使用的多個反惡意代碼掃描引擎可協助防範已知和未知的威脅。 這些引擎包括功能強大的啟發式偵測,即使是在惡意程式碼爆發初期也能提供保護。 此多重引擎方法已證明,相較於單一個反惡意程式碼引擎,多重引擎方法可以提供更多的保護。
  • 實時威脅回應 - 在某些爆發期間,反惡意代碼小組可能有足夠的病毒或其他形式惡意代碼相關信息,以撰寫複雜的原則規則,即使在服務所使用的任何引擎提供定義之前,也會偵測到威脅。 這些規則每隔 2 小時會發佈到全域網路,為您的組織提供額外的保護層以抵禦攻擊。
  • 快速的反惡意代碼定義部署 - 反惡意代碼小組與開發反惡意代碼引擎的合作夥伴保持密切關係。 因此,服務可以在惡意程式碼定義和修補程式公開發行之前,先接收和整合惡意程式碼定義和修補程式。 我們與這些合作夥伴的連線通常也可讓我們開發自己的補救措施。 服務會每小時一次檢查所有反惡意程式碼引擎是否有更新的定義。

適用於 Office 365 的 Microsoft Defender

適用於 Office 365 的 Microsoft Defender 是一種電子郵件篩選服務,可針對特定類型的進階威脅提供額外的保護,包括惡意代碼和病毒。 Exchange Online Protection 目前使用由多個引擎針對已知惡意代碼和病毒所提供的強固和分層防病毒防護。 適用於 Office 365 的 Microsoft Defender 透過稱為安全附件的功能來擴充此保護,以防範未知的惡意代碼和病毒,並提供更好的零時差保護來保護您的訊息系統。 所有沒有已知病毒/惡意代碼簽章的訊息和附件都會路由傳送至特殊的 Hypervisor 環境,其中的行為分析是使用各種機器學習和分析技術來偵測惡意意圖。 如果未偵測到可疑活動,即會釋出訊息傳遞到信箱。

Exchange Online Protection 也會掃描 Microsoft 365 中傳輸中的每個訊息,並提供傳遞保護時間,封鎖訊息中的任何惡意超連結。 攻擊者有時會嘗試隱藏具有看似安全連結的惡意 URL,這些連結會在收到訊息之後,由轉送服務重新導向至不安全的網站。 如果用戶選取這類連結,安全鏈接會主動保護使用者。 每次選取連結時都會保留該保護,惡意鏈接會動態封鎖,而良好的連結則可供存取。

適用於 Office 365 的 Microsoft Defender 也提供豐富的報告和追蹤功能,因此您可以深入瞭解在組織中成為目標的人員,以及您所面臨的攻擊類別。 報告和訊息追蹤可讓您調查因不明病毒或惡意代碼而封鎖的訊息,而URL追蹤功能可讓您追蹤已按下之訊息中的個別惡意連結。

如需 適用於 Office 365 的 Microsoft Defender 的詳細資訊,請參閱 Exchange Online Protection適用於 Office 365 的 Microsoft Defender

針對勒索軟體的 SharePoint 和 OneDrive 保護

勒索軟體攻擊有許多形式,但其中一種最常見的形式是惡意個人會加密使用者的重要檔案,然後向使用者要求某些內容,例如金錢或資訊,以交換密鑰來解密這些檔案。 勒索軟體攻擊正在增加,特別是加密儲存在使用者雲端記憶體中之檔案的攻擊。 如需勒索軟體的詳細資訊,請參閱 Microsoft Defender 資訊安全情報網站。

版本控制有助於保護 SharePoint 清單和 SharePoint 和 OneDrive 連結庫,避免遭受這些類型的勒索軟體攻擊,但並非全部。 預設會在 OneDrive 和 SharePoint 中啟用版本控制。 由於已在 SharePoint 網站清單中啟用版本設定,因此您可以視需要查看舊版並加以復原。 這可讓您復原勒索軟體預先加密專案的版本。 某些組織也會基於法律理由或稽核目的,在其清單中保留多個版本的專案。

SharePoint 和 OneDrive 回收站

SharePoint 系統管理員可以使用 SharePoint 系統管理中心來還原已刪除的網站集合。 SharePoint 使用者擁有資源回收筒,其中儲存已刪除的內容。 必要時,他們可以存取資源回收筒來還原已刪除的文件和清單。 回收站中的專案會保留93天。 資源回收筒會擷取下列資料類型:

  • 網站集合
  • 網站
  • 清單
  • 文件庫
  • 資料夾
  • 清單項目
  • 文件
  • 網頁組件網頁

回收站不會擷取透過 SharePoint Designer 進行的網站自定義。 如需詳細資訊,請參閱 從網站集合回收站還原已刪除的專案。 另請參閱 還原已刪除的網站集合

版本控制無法防範勒索軟體攻擊,這些攻擊會複製檔案、加密檔案,然後刪除原始檔案。 不過,用戶可以在勒索軟體攻擊之後,使用回收站來復原 OneDrive 檔案。

下一節將詳細說明 Microsoft 用來降低組織及其資產網路攻擊風險的防禦和控制。

Microsoft 如何降低勒索軟體攻擊的風險

Microsoft 已建置內建的防禦措施和控制措施,以降低針對組織及其資產的勒索軟體攻擊風險。 資產可以依網域組織,每個網域都有一組自己的風險降低措施。

網域 1:租用戶層級控件

第一個網域是組成您組織以及貴組織所擁有和控制之基礎結構和服務的人員。 Microsoft 365 中的下列功能預設為開啟或可設定,以協助降低風險,並從成功入侵此網域中的資產中復原。

Exchange Online

  • 透過單一項目復原和信箱保留,客戶可以在意外或惡意的提前刪除時復原信箱中的專案。 根據預設,客戶可以回復在14天內刪除的郵件訊息,最多可設定30天。

  • Exchange Online 服務內這些保留原則的其他客戶設定允許:

    • 要在 1 年 / 10 年 + (套用的可設定保留)
    • 要套用的寫入保護複本
    • 鎖定保留原則的能力,以便達到不變性

  • Exchange Online Protection 會即時掃描輸入和離開系統時的內送電子郵件和附件。 默認會啟用此功能,並提供篩選自定義。 包含勒索軟體或其他已知或可疑惡意代碼的訊息會遭到刪除。 您可以設定系統管理員在發生這種情況時接收通知。

SharePoint 和 OneDrive 保護

SharePoint 和 OneDrive 保護具有內建功能,可協助防範勒索軟體攻擊。

版本控制:由於版本設定預設會保留至少 500 個版本的檔案,而且可以設定為保留更多版本,如果勒索軟體編輯並加密檔案,則可以復原舊版的檔案。

回收站:如果勒索軟體建立檔案的新加密複本,並刪除舊檔案,客戶有93天的時間可從回收站還原它。

保留庫:套用保留設定可保留儲存在 SharePoint 或 OneDrive 網站中的檔案。 當具有版本的檔受限於保留設定時,版本會複製到檔保留庫,並以個別專案的形式存在。 如果使用者懷疑其檔案遭到入侵,他們可以藉由檢閱保留的複本來調查檔案變更。 然後,可以使用檔還原來復原過去 30 天內的檔案。

Teams

Teams 聊天會儲存在 Exchange Online 使用者信箱中,而檔案會儲存在 SharePoint 或 OneDrive 中。 Microsoft Teams 數據受到這些服務中可用的控制和復原機制所保護。

網域 2:服務等級控制件

第二個網域是組成 Microsoft 組織的人員,以及由 Microsoft 擁有及控制的公司基礎結構,以執行企業的組織功能。

Microsoft 保護公司資產的方法是 零信任,並使用我們自己的產品和服務來實作,並在整個數字資產中提供防禦。 您可以在這裡找到有關 零信任 原則的詳細數據:零信任 架構。

Microsoft 365 中的其他功能可擴充網域 1 中可用的風險降低措施,進一步保護此網域中的資產。

SharePoint 和 OneDrive 保護

版本控制:如果勒索軟體已就地加密檔案,則在編輯時,可以使用 Microsoft 所管理的版本歷程記錄功能,將檔案復原到初始檔案建立日期為止。

回收站:如果勒索軟體建立了檔案的新加密複本,並刪除舊檔案,客戶有93天的時間可從回收站還原它。 93 天后,有一個 14 天的時間範圍,Microsoft 仍然可以復原數據。 在此視窗之後,數據會永久刪除。

Teams

網域 1 中所述 Teams 的風險降低措施也適用於網域 2。

網域 3:開發人員 & 服務基礎結構

第三個網域是開發和操作 Microsoft 365 服務的人員、提供服務的程式代碼和基礎結構,以及數據的儲存和處理。

保護 Microsoft 365 平臺並降低此網域風險的 Microsoft 投資著重於下列領域:

  • 持續評估和驗證服務的安全性狀態
  • 建置可保護服務免遭入侵的工具和架構
  • 建置在發生攻擊時偵測和回應威脅的功能

持續評估和驗證安全性狀態

  • Microsoft 會使用 最低許可權原則來降低與開發及操作 Microsoft 365 服務的人員相關聯的風險。 這表示資源的存取和許可權僅限於執行所需工作所需的專案。
    • Just-In-Time (JIT) Just-Enough-Access (JEA) 模型可用來為 Microsoft 工程師提供暫時許可權。
    • 工程師必須提交特定工作的要求,才能取得更高的許可權。
    • 要求是透過Lockbox管理,其使用 Azure 角色型訪問控制 (RBAC) 來限制工程師可以提出的 JIT 提高許可權要求類型。
  • 除了上述專案之外,所有 Microsoft 候選專案都會在開始使用 Microsoft 之前進行預先篩選。 在 美國 中維護 Microsoft 線上服務 的員工必須進行 Microsoft 雲端背景檢查,作為存取 線上服務 系統的必要條件。
  • 所有 Microsoft 員工都必須完成基本的安全性認知訓練,以及商務行為標準訓練。

保護服務的工具和架構

  • Microsoft 的安全性開發生命週期 (SDL) 著重於開發安全軟體,以改善應用程式安全性並降低弱點。 如需詳細資訊,請參閱 安全性與安全性開發與作業概觀
  • Microsoft 365 會將服務基礎結構不同部分之間的通訊限制為僅限運作所需的專案。
  • 網路流量會在界限點使用額外的網路防火牆來保護,以協助偵測、預防和降低網路攻擊。
  • 除非客戶明確要求並核准,否則 Microsoft 365 服務會架構為在不需要工程師存取客戶數據的情況下運作。 如需詳細資訊,請 參閱 Microsoft 如何收集和處理客戶數據

偵測和回應功能

  • Microsoft 365 會持續監視其系統的安全性,以偵測及回應對 Microsoft 365 服務的威脅。
  • 集中式記錄會收集並分析可能表示安全性事件之活動的記錄事件。 記錄數據會在上傳至警示系統時進行分析,並以近乎即時的方式產生警示。
  • 雲端式工具可讓我們快速響應偵測到的威脅。 這些工具會使用自動觸發的動作來啟用補救。
  • 當無法自動補救時,警示會傳送給適當的待命工程師,這些工程師配備一組工具,可讓他們即時採取行動來降低偵測到的威脅。

從勒索軟體的攻擊中復原

如需從 Microsoft 365 中的勒索軟體攻擊復原的步驟,請參閱 從 Microsoft 365 中的勒索軟體攻擊中復原

其他勒索軟體資源

Microsoft 的重要資訊

Microsoft 365

Microsoft Defender XDR

Microsoft Azure

Microsoft 雲端 App 安全性

Microsoft 安全性小組部落格文章