Bescherming tegen ransomware-aanvallen
In deze fase zorgt u ervoor dat de bedreigingsactoren moeilijker toegang hebben tot uw on-premises of cloudsystemen door de risico's op de toegangspunten geleidelijk te verwijderen.
Hoewel veel van deze wijzigingen bekend en gemakkelijk te implementeren zijn, is het uiterst belangrijk dat uw werk aan dit deel van de strategie uw voortgang op de andere essentiële onderdelen niet vertraagt.
Hier volgen de koppelingen om het driedelige ransomwarepreventieplan te bekijken:
Externe toegang
Toegang krijgen tot het intranet van uw organisatie via een externe toegangsverbinding is een aanvalsvector voor ransomware-bedreigingsactoren.
Zodra een on-premises gebruikersaccount is aangetast, kan een bedreigingsacteur gebruikmaken van een intranet om intelligentie te verzamelen, bevoegdheden te verhogen en ransomware te installeren. De koloniale pijplijn cyberaanval in 2021 is een voorbeeld.
Accountabiliteiten voor programma- en projectlidaccounts voor externe toegang
In deze tabel wordt de algehele beveiliging van uw externe toegangsoplossing tegen ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO of CIO | Ondersteuning door uitvoerende sponsor | |
| Programmaleider in het centrale IT-infrastructuur -/netwerkteam | Resultaten en samenwerking tussen teams stimuleren | |
| IT- en beveiligingsarchitecten | Integratie van onderdelen prioriteren in architecturen | |
| Centraal IT-identiteitsteam | Beleid voor Microsoft Entra-id en voorwaardelijke toegang configureren | |
| Centrale IT-activiteiten | Wijzigingen in de omgeving implementeren | |
| Eigenaren van workloads | Hulp bij RBAC-machtigingen voor het publiceren van apps | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligingsnalevingsbeheer | Controleren om naleving te garanderen | |
| Team voor gebruikersonderwijs | Werk eventuele richtlijnen voor werkstroomwijzigingen bij en voer onderwijs- en wijzigingsbeheer uit |
Controlelijst voor implementatie voor externe toegang
Pas deze aanbevolen procedures toe om uw infrastructuur voor externe toegang te beschermen tegen ransomware-bedreigingsactoren.
| Gereed | Opdracht | Beschrijving |
|---|---|---|
| Software- en apparaatupdates onderhouden. Vermijd ontbrekende of genegeerde beveiligingen van de fabrikant (beveiligingsupdates, ondersteunde status). | Bedreigingsactoren maken gebruik van bekende beveiligingsproblemen die nog niet zijn gepatcht als aanvalsvectoren. | |
| Configureer Microsoft Entra ID voor bestaande externe toegang door zero Trust-gebruikers- en apparaatvalidatie af te dwingen met voorwaardelijke toegang. | Zero Trust biedt meerdere niveaus voor het beveiligen van toegang tot uw organisatie. | |
| Configureer beveiliging voor bestaande VPN-oplossingen van derden (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) en meer. | Profiteer van de ingebouwde beveiliging van uw externe toegangsoplossing. | |
| Implementeer Azure Point-to-Site VPN (P2S) om externe toegang te bieden. | Profiteer van integratie met Microsoft Entra ID en uw bestaande Azure-abonnementen. | |
| On-premises web-apps publiceren met microsoft Entra-toepassingsproxy. | Apps die zijn gepubliceerd met de Microsoft Entra-toepassingsproxy hebben geen verbinding met externe toegang nodig. | |
| Beveiligde toegang tot Azure-resources met Azure Bastion. | Veilig en naadloos verbinding maken met uw virtuele Azure-machines via SSL. | |
| Controleer en bewaak om afwijkingen van de basislijn en mogelijke aanvallen te vinden en op te lossen (zie Detectie en reactie). | Verminder het risico van ransomware-activiteiten die de beveiligingsfuncties en -instellingen van de basislijn testen. |
E-mail en samenwerking
Implementeer best practices voor e-mail- en samenwerkingsoplossingen om het moeilijker te maken voor bedreigingsactoren om ze te misbruiken, terwijl uw werknemers eenvoudig en veilig toegang kunnen krijgen tot externe inhoud.
Bedreigingsactoren komen vaak in de omgeving door schadelijke inhoud te introduceren die is vermomd in geautoriseerde samenwerkingshulpprogramma's, zoals e-mail en het delen van bestanden en overtuigende gebruikers om de inhoud uit te voeren. Microsoft heeft geïnvesteerd in verbeterde oplossingen die de bescherming tegen deze aanvalsvectoren aanzienlijk verhogen.
Accountabiliteiten voor programma- en projectlidaccounts voor e-mail en samenwerking
In deze tabel wordt de algehele beveiliging van uw e-mail- en samenwerkingsoplossingen van ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO, CIO of Identity Director | Ondersteuning door uitvoerende sponsor | |
| Programmaleider van het beveiligingsarchitectuurteam | Resultaten en samenwerking tussen teams stimuleren | |
| IT-architecten | Integratie van onderdelen prioriteren in architecturen | |
| Cloudproductiviteit of eindgebruikersteam | Defender voor Office 365, Azure Site Recovery en AMSI inschakelen | |
| Infrastructuur en eindpunt van beveiligingsarchitectuur / | Hulp bij configuratie | |
| Team voor gebruikersonderwijs | Richtlijnen voor het bijwerken van werkstroomwijzigingen | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligingsnalevingsbeheer | Controleren om naleving te garanderen |
Controlelijst voor implementatie voor e-mail en samenwerking
Pas deze aanbevolen procedures toe om uw e-mail- en samenwerkingsoplossingen te beschermen tegen ransomware-bedreigingsactoren
| Gereed | Opdracht | Beschrijving |
|---|---|---|
| Schakel AMSI in voor Office VBA. | Office-macroaanvallen detecteren met eindpunthulpprogramma's zoals Defender voor Eindpunt. | |
| Implementeer Geavanceerde e-mailbeveiliging met behulp van Defender voor Office 365 of een vergelijkbare oplossing. | E-mail is een veelvoorkomend toegangspunt voor bedreigingsactoren. | |
| Implementeer regels voor het verminderen van kwetsbaarheid voor aanvallen (Azure Site Recovery) om veelvoorkomende aanvalstechnieken te blokkeren, waaronder: - Eindpuntmisbruik zoals referentiediefstal, ransomware-activiteit en verdacht gebruik van PsExec en WMI. - Bewapende Office-documentactiviteit zoals geavanceerde macroactiviteit, uitvoerbare inhoud, proces maken en procesinjectie geïnitieerd door Office-app licaties. Opmerking: Implementeer eerst deze regels in de controlemodus, beoordeel vervolgens eventuele negatieve gevolgen en implementeer deze vervolgens in de blokmodus. |
Azure Site Recovery biedt extra beveiligingslagen die specifiek zijn gericht op het beperken van algemene aanvalsmethoden. | |
| Controleer en bewaak om afwijkingen van de basislijn en mogelijke aanvallen te vinden en op te lossen (zie Detectie en reactie). | Vermindert het risico van ransomware-activiteiten die de beveiligingsfuncties en -instellingen van de basislijn testen. |
Eindpunten
Implementeer relevante beveiligingsfuncties en volg de aanbevolen procedures voor softwareonderhoud voor eindpunten (apparaten) en toepassingen, waarbij toepassingen en server-/clientbesturingssystemen rechtstreeks worden blootgesteld aan internetverkeer en inhoud prioriteit geven.
Eindpunten die via internet beschikbaar zijn, zijn een veelgebruikte invoervector die bedreigingsactoren toegang biedt tot de assets van de organisatie. Prioriteit geven aan het blokkeren van veelvoorkomende beveiligingsproblemen in het besturingssysteem en toepassingen met preventieve controles om ze te vertragen of te voorkomen dat ze de volgende fasen uitvoeren.
Accountabiliteiten voor programma- en projectlidaccounts voor eindpunten
In deze tabel wordt de algehele beveiliging van uw eindpunten tegen ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om de resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| Bedrijfsleiders die verantwoordelijk zijn voor de impact van zowel downtime als aanvalsschade | Executive sponsorship (onderhoud) | |
| Centrale IT-activiteiten of CIO | Executive sponsorship (anderen) | |
| Programmaleider van het centrale IT-infrastructuurteam | Resultaten en samenwerking tussen teams stimuleren | |
| IT- en beveiligingsarchitecten | Integratie van onderdelen prioriteren in architecturen | |
| Centrale IT-activiteiten | Wijzigingen in de omgeving implementeren | |
| Cloudproductiviteit of eindgebruikersteam | Kwetsbaarheid voor aanvallen verminderen inschakelen | |
| Workload/app-eigenaren | Onderhoudsvensters identificeren voor wijzigingen | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligingsnalevingsbeheer | Controleren om naleving te garanderen |
Controlelijst voor implementatie voor eindpunten
Pas deze aanbevolen procedures toe op alle Windows-, Linux-, macOS-, Android-, iOS- en andere eindpunten.
| Gereed | Opdracht | Beschrijving |
|---|---|---|
| Blokkeer bekende bedreigingen met regels voor het verminderen van kwetsbaarheid voor aanvallen, manipulatiebeveiliging en blokkeren bij eerste detectie. | Laat het gebrek aan gebruik van deze ingebouwde beveiligingsfuncties niet de reden zijn dat een aanvaller uw organisatie binnenkwam. | |
| Pas beveiligingsbasislijnen toe om internetgerichte Windows-servers en -clients en Office-app licenties te beperken. | Bescherm uw organisatie met het minimale beveiligingsniveau en bouw daar. | |
| Onderhoud uw software zodat dit het volgende is: - Bijgewerkt: Snel essentiële beveiligingsupdates implementeren voor besturingssystemen, browsers en e-mailclients - Ondersteund: Upgrade van besturingssystemen en software voor versies die door uw leveranciers worden ondersteund. |
Aanvallers rekenen erop dat u updates en upgrades van de fabrikant mist of negeert. | |
| Onveilige systemen en protocollen isoleren, uitschakelen of buiten gebruik stellen, inclusief niet-ondersteunde besturingssystemen en verouderde protocollen. | Aanvallers gebruiken bekende beveiligingsproblemen van verouderde apparaten, systemen en protocollen als toegangspunten in uw organisatie. | |
| Blokkeer onverwacht verkeer met firewalls en netwerkbeveiliging op basis van een host. | Sommige malwareaanvallen zijn afhankelijk van ongevraagd binnenkomend verkeer naar hosts als een manier om een verbinding te maken voor een aanval. | |
| Controleer en bewaak om afwijkingen van de basislijn en mogelijke aanvallen te vinden en op te lossen (zie Detectie en reactie). | Vermindert het risico van ransomware-activiteiten die de beveiligingsfuncties en -instellingen van de basislijn testen. |
Accounts
Net zoals antieke skeletsleutels een huis niet beschermen tegen een moderne inbreker, kunnen wachtwoorden accounts niet beschermen tegen veelvoorkomende aanvallen die we vandaag zien. Hoewel meervoudige verificatie (MFA) ooit een lastige extra stap was, verbetert verificatie zonder wachtwoord de aanmeldingservaring met behulp van biometrische benaderingen waarvoor uw gebruikers geen wachtwoord hoeven te onthouden of te typen. Bovendien slaat een Zero Trust-infrastructuur informatie op over vertrouwde apparaten, waardoor het vragen om vervelende out-of-band MFA-acties wordt verminderd.
Begin met beheerdersaccounts met hoge bevoegdheden en volg deze aanbevolen procedures voor accountbeveiliging, waaronder het gebruik van wachtwoordloos of MFA.
Accountabiliteiten voor programma- en projectlidaccounts voor accounts
In deze tabel wordt de algehele beveiliging van uw accounts tegen ransomware beschreven in termen van een sponsorship-/programmabeheer-/projectbeheerhiërarchie om de resultaten te bepalen en te stimuleren.
| Lead | Implementor | Verantwoordelijkheid |
|---|---|---|
| CISO, CIO of Identity Director | Ondersteuning door uitvoerende sponsor | |
| Programmaleider van identiteits- en sleutelbeheer- of beveiligingsarchitectuurteams | Resultaten en samenwerking tussen teams stimuleren | |
| IT- en beveiligingsarchitecten | Integratie van onderdelen prioriteren in architecturen | |
| Identiteits- en sleutelbeheer of centrale IT-bewerkingen | Configuratiewijzigingen implementeren | |
| Beveiligingsbeleid en -standaarden | Standaarden en beleidsdocumenten bijwerken | |
| Beveiligingsnalevingsbeheer | Controleren om naleving te garanderen | |
| Team voor gebruikersonderwijs | Wachtwoord- of aanmeldingsrichtlijnen bijwerken en onderwijs- en wijzigingsbeheer uitvoeren |
Controlelijst voor implementatie voor accounts
Pas deze aanbevolen procedures toe om uw accounts te beschermen tegen ransomware-aanvallers.
| Gereed | Opdracht | Beschrijving |
|---|---|---|
| Dwing sterke MFA- of wachtwoordloze aanmelding af voor alle gebruikers. Begin met beheerders- en prioriteitsaccounts met behulp van een of meer van: - Verificatie zonder wachtwoord met Windows Hello of de Microsoft Authenticator-app. - Meervoudige verificatie. - Een MFA-oplossing van derden. |
Maak het moeilijker voor een aanvaller om een inbreuk op referenties uit te voeren door alleen het wachtwoord van een gebruikersaccount te bepalen. | |
| Wachtwoordbeveiliging verhogen: - Voor Microsoft Entra-accounts gebruikt u Microsoft Entra-wachtwoordbeveiliging om bekende zwakke wachtwoorden en aanvullende zwakke termen te detecteren en te blokkeren die specifiek zijn voor uw organisatie. - Voor on-premises ad DS-accounts (Active Directory-domein Services) kunt u Microsoft Entra Password Protection uitbreiden naar AD DS-accounts. |
Zorg ervoor dat aanvallers geen algemene wachtwoorden of wachtwoorden kunnen bepalen op basis van de naam van uw organisatie. | |
| Controleer en bewaak om afwijkingen van de basislijn en mogelijke aanvallen te vinden en op te lossen (zie Detectie en reactie). | Vermindert het risico van ransomware-activiteiten die de beveiligingsfuncties en -instellingen van de basislijn testen. |
Implementatieresultaten en tijdlijnen
Probeer deze resultaten binnen 30 dagen te bereiken:
100% van de werknemers maakt actief gebruik van MFA
100% implementatie van hogere wachtwoordbeveiliging
Aanvullende ransomware-bronnen
Belangrijke informatie van Microsoft:
Moonstone Sleet komt voor als nieuwe Noord-Koreaanse bedreigingsacteur met nieuwe trucs, Microsoft Blog, mei 2024
2023 Microsoft Digital Defense-rapport (zie pagina's 17-26)
Ransomware: Een overzichts- en doorlopend bedreigingsanalyserapport in de Microsoft Defender-portal
Ransomwarebenadering en casestudy van het Microsoft Incident Response Team (voorheen DART)
Microsoft 365:
- Ransomware-beveiliging implementeren voor uw Microsoft 365-tenant
- Ransomware-tolerantie maximaliseren met Azure en Microsoft 365
- Herstellen van een ransomware-aanval
- Bescherming tegen malware en ransomware
- Uw Windows 10-pc beschermen tegen ransomware
- Ransomware verwerken in SharePoint Online
- Bedreigingsanalyserapporten voor ransomware in de Microsoft Defender-portal
Microsoft Defender XDR:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Ransomware-tolerantie maximaliseren met Azure en Microsoft 365
- Back-up- en herstelplan ter bescherming tegen ransomware
- Beschermen tegen ransomware met Microsoft Azure Backup (video van 26 minuten)
- Herstellen van systeemidentiteitscompromittatie
- Geavanceerde detectie van aanvallen in meerdere fasen in Microsoft Sentinel
- FusionDetectie voor ransomware in Microsoft Sentinel
Microsoft Defender voor Cloud Apps:
Blogberichten van het Microsoft Security-team:
3 stappen om ransomware te voorkomen en te herstellen (september 2021)
Een gids voor het bestrijden van door mensen bediende ransomware: Deel 1 (september 2021)
Belangrijke stappen voor het onderzoeken van ransomware-incidenten door Microsoft's Detection and Response Team (DART).
Een gids voor het bestrijden van door mensen bediende ransomware: Deel 2 (september 2021)
Aanbevelingen en best practices.
-
Zie de sectie Ransomware .
Door mensen geëxploiteerde ransomware-aanvallen: Een voorkombare ramp (maart 2020)
Bevat analyse van aanvalsketenanalyses van daadwerkelijke aanvallen.
Ransomware-reactie: betalen of niet betalen? (December 2019)
Norsk Hydro reageert op ransomware-aanval met transparantie (december 2019)