Přístup a osvědčené postupy pro tým reakce na incidenty Od Microsoftu

Human-provoz ransomware není škodlivý softwarový problém - je to lidský zločinný problém. Řešení, která se používají k řešení komoditních problémů, nestačí k tomu, aby se zabránilo hrozbě, která se více podobá národnímu aktérovi hrozeb, který:

• Zakáže nebo odinstaluje antivirový software před šifrováním souborů.
• Zakáže služby zabezpečení a protokolování, aby se zabránilo detekci.
• Vyhledá a poškodí nebo odstraní zálohy před odesláním požadavku na výkupné.

Tyto akce se často provádějí pomocí legitimních programů, jako je Rychlý pomocník v květnu 2024, které už možná máte ve svém prostředí pro účely správy. V trestních rukou se tyto nástroje používají k provádění útoků.

Reakce na rostoucí hrozbu ransomwaru vyžaduje kombinaci moderní podnikové konfigurace, up-to-date bezpečnostních produktů a vyškolených bezpečnostních pracovníků, aby před ztrátou dat detekovali hrozby a reagovali na ně.

Tým Microsoftu pro reakce na incidenty (dříve DART/CRSP) reaguje na ohrožení zabezpečení, které zákazníkům pomůžou stát se kyberneticky odolnými. Reakce na incidenty Microsoftu poskytuje reakce na reaktivní incidenty na místě a vzdálené proaktivní vyšetřování. Reakce na incidenty microsoftu využívá strategická partnerství Microsoftu s bezpečnostními organizacemi po celém světě a interními produktovými skupinami Microsoftu k zajištění nejúplnějšího a důkladného vyšetřování.

Tento článek popisuje, jak reakce na incidenty Microsoftu zpracovává útoky ransomwaru, aby zákazníkům Microsoftu pomohla s osvědčenými postupy pro váš vlastní playbook operací zabezpečení. Informace o tom, jak Microsoft využívá nejnovější technologii AI pro zmírňování rizik spojených s ransomwarem, naleznete v našem článku o Microsoft Security Copilot a jeho obraně proti útokům ransomware.

Jak reakce na incidenty Microsoftu využívá služby zabezpečení Microsoftu

Reakce na incidenty Microsoftu spoléhá na data pro všechna šetření a využívá služby zabezpečení Microsoftu, jako je Microsoft Defender for Office 365, Microsoft Defender for Endpoint, Microsoft Defender for Identitya Microsoft Defender for Cloud Apps.

Nejnovější aktualizace bezpečnostních opatření týmu Microsoft Incident Response si prohlédněteNinja Hubu.

Microsoft Defender for Endpoint

Defender for Endpoint je platforma zabezpečení podnikového koncového bodu od Microsoftu navržená tak, aby pomohla podnikovým analytikům zabezpečení sítě předcházet, zjišťovat, zkoumat a reagovat na pokročilé hrozby. Defender for Endpoint dokáže detekovat útoky pomocí pokročilé analýzy chování a strojového učení. Vaši analytici můžou použít Defender for Endpoint k vyhodnocení behaviorální analýzy aktérů hrozeb.

Vaši analytici můžou také provádět pokročilé proaktivní dotazy k identifikaci indikátorů ohrožení (IOC) nebo hledání známého chování aktéra hrozeb.

Defender for Endpoint poskytuje přístup k odbornému monitorování a analýze v reálném čase odborníky v programu Microsoft Defender pro probíhající podezřelou aktivitu aktéra. Můžete také spolupracovat s odborníky na vyžádání a získat další přehledy o výstrahách a incidentech.

Microsoft Defender for Identity

Defender for Identity prošetřuje známé ohrožené účty a identifikuje další potenciálně ohrožené účty ve vaší organizaci. Defender for Identity odesílá výstrahy pro známou škodlivou aktivitu, jako jsou útoky DCSync, pokusy o vzdálené spuštění kódu a útoky pass-the-hash.

Microsoft Defender for Cloud Apps

Defender for Cloud Apps (dříve označovaný jako Microsoft Cloud App Security) umožňuje analytikům detekovat neobvyklé chování napříč cloudovými aplikacemi k identifikaci ransomwaru, ohrožených uživatelů nebo podvodných aplikací. Defender for Cloud Apps je řešení Microsoftu pro cloudový zprostředkovatel zabezpečení přístupu (CASB), které umožňuje monitorování cloudových služeb a dat, ke kterým uživatelé přistupují v cloudových službách.

Bezpečnostní skóre Microsoftu

Služby XDR v programu Microsoft Defender poskytují doporučení k nápravě za provozu, která snižují prostor pro útoky. Microsoft Secure Score je měření stavu zabezpečení organizace s vyšším číslem, které označuje, že byly provedeny další akce zlepšení. Přečtěte si dokumentaci k bezpečnostnímu skóre, abyste zjistili více o tom, jak vaše organizace může tuto funkci využít pro stanovení priorit nápravných opatření pro své prostředí.

Přístup Microsoft Incident Response k provádění vyšetřování incidentů ransomwaru

Určení způsobu, jakým aktér hrozeb získal přístup k vašemu prostředí, je zásadní pro identifikaci ohrožení zabezpečení, zmírnění útoků a zabránění budoucím útokům. V některých případech podnikne útočník kroky, aby zakryl své stopy a zničil důkazy, takže je možné, že celý řetězec událostí nemusí být zřejmý.

Toto jsou tři klíčové kroky při vyšetřování ransomwaru reakce na incidenty Microsoftu:

Krok	Goal	Úvodní otázky
1. Posouzení současné situace	Vysvětlení oboru	Co vás na začátku upozornilo na útok ransomwarem? Jaký čas/datum jste se poprvé dozvěděli o incidentu? Jaké protokoly jsou k dispozici a že objekt actor aktuálně přistupuje k systémům?
2. Identifikace ovlivněných obchodních aplikací	Získání systémů zpět online	Vyžaduje aplikace identitu? Jsou k dispozici zálohy aplikace, konfigurace a dat? Ověřuje se obsah a integrita záloh pravidelně pomocí cvičení obnovení?
3. Určení procesu ohrožení obnovení (CR)	Odebrat aktéra hrozby z prostředí	–

Krok 1: Posouzení aktuální situace

Posouzení aktuální situace je důležité pro pochopení rozsahu incidentu a pro určení nejlepších lidí, kteří mají pomáhat a plánovat a vymezit rozsah úkolů vyšetřování a nápravy. Kladení následujících počátečních otázek je zásadní při určování zdroje a rozsahu situace.

Jak jste identifikovali útok ransomwarem?

Pokud vaši pracovníci IT identifikovali počáteční hrozbu, jako jsou odstraněné zálohy, antivirové výstrahy, výstrahy detekce koncových bodů a reakce (EDR) nebo podezřelé změny systému, je často možné provést rychlá rozhodující opatření k omezování útoku. Tyto míry obvykle zahrnují zakázání veškeré příchozí a odchozí internetové komunikace. I když tato míra může dočasně ovlivnit obchodní operace, které by obvykle byly mnohem méně ovlivněné než úspěšné nasazení ransomwaru.

Pokud uživatel na helpdesk IT identifikoval hrozbu, může být k dispozici dostatek předběžného upozornění, aby se zabránilo nebo minimalizovalo účinky útoku. Pokud externí subjekt, jako je vymáhání práva nebo finanční instituce, zjistila hrozbu, je pravděpodobné, že poškození již bylo provedeno. V tomto okamžiku by mohl mít útočník administrativní kontrolu nad vaší sítí. Tento důkaz může být v rozsahu od poznámek ransomwaru až po uzamčené obrazovky až po požadavky výkupného.

Jaké datum a čas jste se poprvé dozvěděli o incidentu?

Stanovení počátečního data a času aktivity je důležité, aby bylo nutné zúžit rozsah počátečního třídění aktivity aktéra hrozeb. Mezi další otázky můžou patřit:

• Jaké aktualizace v tomto datu chyběly? Je důležité identifikovat všechna zneužitá ohrožení zabezpečení.
• Jaké účty se použily k tomuto datu?
• Jaké nové účty se od tohoto data vytvořily?

Jaké protokoly jsou k dispozici a existují nějaké informace o tom, že aktér aktuálně přistupuje k systémům?

Protokoly, jako je antivirus, EDR a virtuální privátní síť (VPN), můžou ukázat důkazy o podezřelých zásazích. K následným otázkám může patřit:

• Agregují se protokoly v řešení siEM (Security Information and Event Management), jako je Microsoft Sentinel, Splunk, ArcSight a další– a aktuální? Jaká je doba uchovávání těchto dat?
• Existují nějaké podezřelé ohrožené systémy, u kterých dochází k neobvyklé aktivitě?
• Existují nějaké podezřelé ohrožené účty, které se zdá být pod kontrolou aktivního aktéra hrozeb?
• Existují nějaké důkazy o aktivním příkazu a ovládacích prvcích (C2s) v EDR, bráně firewall, síti VPN, webovém proxy serveru a dalších protokolech?

K posouzení situace může být potřeba řadič domény služby Active Directory Domain Services (AD DS), který nebyl ohrožen, nedávné zálohování řadiče domény nebo nedávný řadič domény, který byl pro údržbu nebo upgrady offline. Také určete, jestli se pro všechny uživatele ve společnosti vyžadovalo vícefaktorové ověřování (MFA) a jestli se použilo ID Microsoft Entra.

Krok 2: Identifikace obchodních aplikací, které nejsou k dispozici kvůli incidentu

Tento krok je kritický při zjišťování nejrychlejšího způsobu, jak získat systémy zpět online a získat potřebné důkazy.

Vyžaduje aplikace identitu?

• Jak se provádí ověřování?
• Jak se ukládají a spravují přihlašovací údaje, jako jsou certifikáty nebo tajné kódy?

Jsou k dispozici zálohy aplikace, konfigurace a dat?

• Ověřuje se obsah a integrita záloh pravidelně pomocí cvičení obnovení? Tato kontrola je důležitá po změnách správy konfigurace nebo upgradech verzí.

Krok 3: Určení procesu obnovení ohrožení zabezpečení

Tento krok může být nezbytný, pokud byla ohrožena řídicí rovina, kterou obvykle tvoří AD DS.

Vaše šetření by vždy mělo poskytovat výstup, který se přímo zapojuje do procesu CR. CR je proces, který odebere kontrolu útočníkům z prostředí a takticky zvýší úroveň zabezpečení v daném časovém období. CR probíhá po porušení zabezpečení. Další informace o CR najdete v týmu CRSP týmu CRSP týmu Microsoft Compromise Recovery Security Practice: Tým tísňového volání bojující proti kybernetickým útokům vedle článku blogu zákazníků .

Po shromáždění odpovědí na otázky v krocích 1 a 2 můžete vytvořit seznam úkolů a přiřadit vlastníky. Úspěšné zapojení do reakce na incidenty vyžaduje důkladnou podrobnou dokumentaci každé pracovní položky (například vlastníka, stav, zjištění, datum a čas) pro sestavení zjištění.

Doporučení a osvědčené postupy pro reakce na incidenty Microsoftu

Tady jsou doporučení a osvědčené postupy reakce na incidenty Od Microsoftu pro aktivity zahrnutí a po incidentu.

Omezení

K omezení může dojít jen tehdy, když určíte, co je potřeba obsahovat. V případě ransomwaru se útočník snaží získat přihlašovací údaje pro správu nad vysoce dostupným serverem a poté nasadit ransomware. V některých případech aktér hrozeb identifikuje citlivá data a exfiltruje je do umístění, které řídí.

Taktická obnova je jedinečná pro prostředí, odvětví a úroveň IT odborných znalostí a zkušeností vaší organizace. Níže uvedené kroky se doporučují pro krátkodobé a taktické uzavření. Další informace o dlouhodobých pokynech najdete v tématu zabezpečení privilegovaného přístupu. Pro komplexní pohled na to, jak se bránit proti ransomwaru a vydírání, viz ransomware řízený lidským operátorem.

Při zjištění nových vektorů hrozeb je možné provést následující kroky zahrnutí.

Krok 1: Posouzení rozsahu situace

• Které uživatelské účty byly ohroženy?
• Která zařízení jsou ovlivněná?
• Které aplikace jsou ovlivněné?

Krok 2: Zachování existujících systémů

• Zakažte všechny privilegované uživatelské účty s výjimkou malého počtu účtů, které správci používají k resetování integrity infrastruktury služby AD DS. Pokud se domníváte, že dojde k ohrožení zabezpečení uživatelského účtu, zakažte ho okamžitě.
• Izolujte ohrožené systémy od sítě, ale nevypínejte je.
• Izolujte alespoň jeden (a ideálně dva) známý dobrý řadič domény v každé doméně. Buď je odpojte od sítě, nebo je vypněte, abyste zabránili šíření ransomwaru do kritických systémů a upřednostňovali identitu jako nejvíce ohrožený vektor útoku. Pokud jsou všechny řadiče domény virtuální, ujistěte se, že systém a datové jednotky virtualizační platformy se zálohují na offline externí média, která nejsou připojená k síti.
• Izolujte důležité známé dobré aplikační servery, jako jsou SAP, databáze pro správu konfigurace (CMDB), fakturace a účetní systémy.

Tyto dva kroky je možné provést souběžně při zjištění nových vektorů hrozeb. Pokud chcete hrozbu od sítě izolovat, zakažte tyto vektory hrozeb a vyhledejte známý nekompromisní systém.

Mezi další taktické akce zamezování patří:

• resetovat heslo krbtgt dvakrát po sobě. Zvažte použití skriptu, opakovatelného procesu. Tento skript umožňuje resetovat heslo účtu krbtgt a související klíče a zároveň minimalizovat pravděpodobnost problémů s ověřováním Kerberos. Aby se minimalizovaly problémy, životnost krbtgtu se dá zkrátit jednou nebo vícekrát před prvním resetováním hesla, aby bylo možné tyto kroky rychle dokončit. Všechny řadiče domény, které chcete zachovat ve svém prostředí, musí být online.

• Nasaďte zásady skupiny na všechny domény, které brání privilegovanému přihlášení (Domain Admins) na cokoli jiného než na řadiče domény a privilegované pracovní stanice určené pouze pro správu (pokud existují).

• Nainstalujte všechny chybějící aktualizace zabezpečení pro operační systémy a aplikace. Každá chybějící aktualizace je potenciální vektor hrozeb, který můžou aktéři ransomwaru rychle identifikovat a používat. Microsoft Defender for Endpoint Threat and Vulnerability Management poskytuje snadný způsob, jak přesně zjistit, co chybí, a také dopad chybějících aktualizací.

  • U zařízení s Windows 10 (nebo novějších) ověřte, že na každém zařízení běží aktuální verze (nebo n-1).

  • Nasaďte pravidla omezení prostoru pro útoky (ASR), abyste zabránili napadení malwarem.

  • Povolte všechny funkce zabezpečení Windows 10.

• Zkontrolujte, jestli je každá externí aplikace, včetně přístupu k síti VPN, chráněná vícefaktorovým ověřováním (MFA), nejlépe pomocí ověřovací aplikace spuštěné na zabezpečeném zařízení.

• U zařízení, která jako primární antivirový software nepoužívají Defender for Endpoint, proveďte úplnou kontrolu pomocí Microsoft Safety Scanner v izolovaných bezpečných systémech, než je znovu připojíte k síti.

• V případě všech starších operačních systémů upgradujte na podporovaný operační systém nebo vyřazení těchto zařízení z provozu. Pokud tyto možnosti nejsou dostupné, proveďte všechna možná opatření k izolaci těchto zařízení, včetně izolace sítě nebo sítě VLAN, pravidel IPsec (Internet Protocol Security) a omezení přihlašování. Tyto kroky pomáhají zajistit, aby tyto systémy byly přístupné jenom uživatelům nebo zařízením, aby zajistily kontinuitu podnikových procesů.

Nejrizivější konfigurace se skládají z provozu důležitých systémů na starších operačních systémech, jako jsou systém Windows NT 4.0 a aplikace, a to vše na starším hardwaru. Nejen tyto operační systémy a aplikace jsou nezabezpečené a zranitelné, ale pokud tento hardware selže, zálohy se obvykle nedají obnovit na moderním hardwaru. Tyto aplikace nemůžou fungovat bez staršího hardwaru. Důrazně zvažte převod těchto aplikací tak, aby běžely na aktuálních operačních systémech a hardwaru.

Aktivity po incidentu

Reakce na incidenty Společnosti Microsoft doporučuje po každém incidentu implementovat následující doporučení zabezpečení a osvědčené postupy.

• Ujistěte se, že jsou zavedené osvědčené postupy pro řešení pro e-maily a spolupráci,, která pomáhají zabránit tomu, aby je aktéři hrozeb používali, a zároveň umožnit interním uživatelům snadný a bezpečný přístup k externímu obsahu.

• Postupujte podle nulová důvěra (Zero Trust) osvědčených postupů zabezpečení pro řešení vzdáleného přístupu k interním prostředkům organizace.

• Pro správce s kritickým dopadem se držte osvědčených postupů pro zabezpečení účtu, včetně použití autentizace bez hesla nebo vícefaktorového ověřování.

• Implementujte komplexní strategii pro snížení rizika ohrožení privilegovaného přístupu.

  • Pro přístup pro správu cloudu a doménové struktury nebo domény použijte privilegovaný model přístupu Microsoftu (PAM).

  • Pro správu koncových bodů použijte řešení pro hesla místního správce (LAPS).

• Implementujte ochranu dat a zablokujte techniky ransomwaru a potvrďte rychlé a spolehlivé obnovení proti útoku.

• Zkontrolujte důležité systémy. Zkontrolujte ochranu a zálohy proti odstranění nebo šifrování útočníkem. Zkontrolujte a pravidelně testujte a ověřte tyto zálohy.

• Zajistěte rychlou detekci a nápravu běžných útoků na koncový bod, e-mail a identitu.

• Aktivně zjišťovat a průběžně zlepšovat stav zabezpečení vašeho prostředí.

• Aktualizujte organizační procesy pro správu hlavních událostí ransomwaru a zefektivněte outsourcing, abyste se vyhnuli tření.

PAM

Použití PAM (dříve označovaného jako model vrstvené správy) vylepšuje stav zabezpečení Microsoft Entra ID, což zahrnuje:

• Rozdělení administrativních účtů v plánovaném prostředí, to znamená jeden účet pro každou úroveň (obvykle čtyři úrovně):

• Řídicí rovina (dříve vrstva 0): Správa řadičů domény a dalších důležitých služeb identit, jako je Active Directory Federation Services (ADFS) nebo Microsoft Entra Connect. Patří sem také serverové aplikace, které vyžadují oprávnění správce ke službě AD DS, například Exchange Server.

• Další dvě roviny byly dříve vrstvy 1:

  • Rovina správy: Správa prostředků, monitorování a zabezpečení.

  • Data/rovina úloh: Aplikace a aplikační servery.

• Další dvě roviny byly dříve vrstvy 2:

  • Přístup uživatele: Přístupová práva pro uživatele (například účty).

  • Přístup k aplikacím: Přístupová práva pro aplikace.

• Každá z těchto rovin má samostatnou pracovní stanici pro správu pro každou rovinu a má přístup pouze k systémům v této rovině. Účty z jiných úrovní mají zakázán přístup k pracovním stanicím a serverům na různých úrovních prostřednictvím přiřazení uživatelských práv, která jsou nastavena pro tato zařízení.

PAM zajišťuje:

• Ohrožený uživatelský účet má přístup pouze k vlastnímu prostoru.

• Citlivější uživatelské účty nemají přístup k pracovním stanicím a serverům s úrovní zabezpečení nižší roviny. Tím zabráníte laterálnímu pohybu herce hrozeb.

KLÍNY

Ve výchozím nastavení nemají Microsoft Windows a AD DS centralizovanou správu účtů místního správce na pracovních stanicích a členských serverech. Tato absence správy může vést ke společnému heslu pro všechny tyto místní účty nebo alespoň pro skupiny zařízení. Tato situace umožňuje subjektům hrozeb ohrozit jeden účet místního správce, aby pak získal přístup k jiným pracovním stanicím nebo serverům v organizaci.

Microsoft LAPS tuto hrozbu snižuje pomocí rozšíření na straně klienta zásad skupiny, které mění heslo místního správce v pravidelných intervalech na pracovních stanicích a serverech podle nastavené zásady. Každé z těchto hesel se liší a ukládá jako atribut v objektu počítače služby AD DS. Tento atribut lze načíst z jednoduché klientské aplikace v závislosti na oprávněních přiřazených k tomuto atributu.

LAPS vyžaduje, aby bylo schéma služby AD DS rozšířeno, aby bylo možné nainstalovat další atributy, šablony zásad skupiny LAPS a nainstalovat malé rozšíření na straně klienta na každé pracovní stanici a členský server, aby poskytovaly funkce na straně klienta.

Můžete si stáhnout LAPS z webu Microsoft Download Center.

Další zdroje informací o ransomwaru

Následující zdroje informací společnosti Microsoft pomáhají zjišťovat útoky ransomwaru a chránit prostředky organizace:

• Ransomwar provozovaný člověkem

• Rychlá ochrana před ransomwarem a vydíráním

• 2023 Microsoft Digital Defense Report (viz stránky 17–26)

• Ransomware: Sestava analýzy hrozeb pro trvalou a průběžnou hrozbu na portálu Microsoft Defender

• Případová studie reakce na incidenty Microsoftu

Microsoft 365:

• Nasazení ochrany ransomwaru pro vašeho tenanta Microsoftu 365
• Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
• Zotavení z útoku ransomwarem
• Ochrana proti malwaru a ransomwaru
• Ochrana počítače s Windows 10 před ransomwarem
• Zpracování ransomwaru v SharePointu Online
• Sestavy analýzy hrozeb pro ransomware na portálu Microsoft Defenderu
• Využijte AI s Microsoft Security Copilot k obraně před ransomwarem

XDR v programu Microsoft Defender:

• Vyhledání ransomwaru s pokročilým vyhledáváním

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maximalizace odolnosti ransomwaru pomocí Azure a Microsoftu 365
• Plán zálohování a obnovení pro ochranu před ransomwarem
• Pomoc s ochranou před ransomwarem pomocí služby Microsoft Azure Backup (26minutové video)
• Zotavení z ohrožení systémové identity
• Pokročilá detekce útoků s více fázemi ve službě Microsoft Sentinel
• Fúzní detekce ransomwaru v Microsoft Sentinelu

Microsoft Defender for Cloud Apps:

• Vytváření zásad detekce anomálií v Defenderu pro Cloud Apps