Szybko chroń swoją organizację przed atakami ransomware.

Ransomware to typ cyberataku, którego cyberprzestępcy używają do wymuszenia dużych i małych organizacji.

Zrozumienie sposobu ochrony przed atakami wymuszającym okup i zminimalizowaniem szkód jest ważną częścią ochrony firmy. Ten artykuł zawiera praktyczne wskazówki dotyczące szybkiego konfigurowania ochrony przed oprogramowaniem wymuszającym okup.

Wskazówki są zorganizowane w etapy, począwszy od najpilniejszych działań do podjęcia.

Oznacz tę stronę zakładką jako punkt początkowy dla kroków.

Ważny

Przeczytaj serię o zapobieganiu atakom typu ransomware i uodpornij swoją organizację na ataki cybernetyczne.

• Miej plan odbudowy
• Plan ograniczenia szkód wyrządzonych
• utrudnić wejście

Uwaga

Co to jest oprogramowanie wymuszającego okup? Zobacz definicję oprogramowania wymuszającego okup tutaj.

Ważne informacje na temat tego artykułu

Uwaga

Kolejność tych kroków została zaprojektowana tak, aby zmniejszyć ryzyko tak szybko, jak to możliwe,, i opiera się na założeniu o dużej pilności, która zastępuje normalne priorytety bezpieczeństwa i IT, aby uniknąć lub ograniczyć niszczycielskie ataki.

Należy pamiętać, że te wskazówki dotyczące zapobiegania ransomware są ustrukturyzowane jako kroki, które należy wykonać w podanej kolejności. Aby najlepiej dostosować te wskazówki do twojej sytuacji:

1. trzymać się zalecanych priorytetów

   Użyj kroków jako planu początkowego, aby najpierw wykonać to, co najważniejsze, następnie kolejne czynności, a na końcu późniejsze, dzięki czemu uzyskasz najważniejsze elementy. Te rekomendacje są priorytetowe zgodnie z zasadą Zero Trust zakładającą naruszenie. Wymusza to skoncentrowanie się na zminimalizowaniu ryzyka biznesowego przez założenie, że osoby atakujące mogą pomyślnie uzyskać dostęp do środowiska za pomocą jednej lub kilku metod.

2. być proaktywne i elastyczne (ale nie pomijają ważnych zadań)

   Przejrzyj listy kontrolne implementacji dla wszystkich sekcji wszystkich trzech kroków, aby sprawdzić, czy istnieją jakieś obszary i zadania, które można szybko wykonać wcześniej. Innymi słowy, można zrobić szybciej, ponieważ masz już dostęp do usługi w chmurze, która nie została użyta, ale może być szybko i łatwo skonfigurowana. Przeglądając cały plan, uważaj, aby te późniejsze obszary i zadania nie opóźniały ukończenia krytycznie ważnych obszarów, takich jak kopie zapasowe i uprzywilejowany dostęp!

3. Wykonaj niektóre elementy równolegle

   Próba zrobienia wszystkiego jednocześnie może być przytłaczająca, ale niektóre elementy mogą być naturalnie wykonywane równolegle. Pracownicy różnych zespołów mogą pracować nad zadaniami w tym samym czasie (na przykład zespół ds. kopii zapasowych, zespół punktu końcowego, zespół tożsamości), a jednocześnie pracować nad ukończeniem kroków w kolejności priorytetu.

Elementy na listach kontrolnych implementacji są w zalecanej kolejności priorytetyzacji, a nie w kolejności zależności technicznej.

Użyj list kontrolnych, aby potwierdzić i zmodyfikować istniejącą konfigurację zgodnie z potrzebami oraz w sposób, który działa w organizacji. Na przykład w najważniejszym elemencie tworzenia kopii zapasowej należy utworzyć kopie zapasowe niektórych systemów, ale mogą nie być one w trybie offline ani niezmienne, możesz nie testować pełnych procedur przywracania dla całego przedsiębiorstwa lub nie mieć kopii zapasowych krytycznych systemów biznesowych czy krytycznych systemów IT, takich jak kontrolery domen usług Active Directory Domain Services (AD DS).

Uwaga

Aby uzyskać dodatkowe podsumowanie tego procesu, zobacz 3 kroki zapobiegania i odzyskiwania danych po ataku ransomware (wrzesień 2021 r.) wpis na blogu o zabezpieczeniach firmy Microsoft.

Skonfiguruj system, aby zapobiec wymuszaniu okupu w tej chwili

Kroki są następujące:

Krok 1. Przygotowywanie planu odzyskiwania oprogramowania wymuszającego okup

Ten krok został zaprojektowany tak, aby zminimalizować zachętę pieniężną ze strony atakujących oprogramowania wymuszającego okup, wykonując następujące czynności:

• Znacznie trudniej uzyskać dostęp do systemów i zakłócić ich działanie lub zaszyfrować lub uszkodzić kluczowe dane organizacji.
• Łatwiejsze jest dla organizacji odzyskanie sił po ataku bez płacenia okupu.

Uwaga

Przywrócenie wielu lub wszystkich systemów przedsiębiorstwa jest trudnym przedsięwzięciem, ale alternatywą jest płacenie atakującemu za klucz odzyskiwania, który może nie dostarczyć, oraz użycie narzędzi napisanych przez osoby atakujące w celu odzyskania systemów i danych.

Krok 2. Ograniczanie zakresu uszkodzeń oprogramowania wymuszającego okup

Spraw, by atakujący musieli bardziej się natrudzić, aby uzyskać dostęp do wielu kluczowych systemów biznesowych za pomocą ról uprzywilejowanego dostępu. Ograniczenie możliwości uzyskania uprzywilejowanego dostępu przez osobę atakującą sprawia, że znacznie trudniej jest czerpać zyski z ataku na organizację, co sprawia, że bardziej prawdopodobne jest, że poddają się i pójdą gdzie indziej.

Krok 3. Utrudnij cyberprzestępcom dostęp

Ten najnowszy zestaw zadań jest ważny, aby podnieść poprzeczkę wstępu, ale zajmie trochę czasu w ramach szerszych działań związanych z bezpieczeństwem. Celem tego kroku jest uczynienie pracy atakujących znacznie trudniejszą, gdy próbują uzyskać dostęp do infrastruktury lokalnej lub chmurowej w różnych typowych punktach dostępu. Istnieje wiele zadań, dlatego ważne jest nadania priorytetowi pracy w tym miejscu w oparciu o szybkość wykonywania tych zadań przy użyciu bieżących zasobów.

Chociaż wiele z nich będzie znanych i łatwych do szybkiego zrealizowania, niezwykle ważne jest, aby wasza praca nad krokiem 3 nie spowalniała postępu w krokach 1 i 2.

Błyskawiczna ochrona przed oprogramowaniem wymuszającym okup

Możesz również zapoznać się z omówieniem kroków oraz ich list kontrolnych jako poziomów ochrony przed atakami ransomware dzięki plakatowi "Chroń swoją organizację przed ransomware" .

Określanie priorytetów ograniczania ryzyka oprogramowania wymuszającego okup na poziomie makra. Skonfiguruj środowisko organizacji w celu ochrony przed oprogramowaniem wymuszającym okup.

Następny krok

Zacznij od kroku 1, aby przygotować Twoją organizację do odzyskania się po ataku bez potrzeby płacenia okupu.

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

• Rosnące zagrożenie związane z oprogramowaniem wymuszającym okup, Microsoft On the Issues wpis na blogu 20 lipca 2021 r.
• Oprogramowanie wymuszające okup obsługiwane przez człowieka
• 2021 Microsoft Digital Defense Report (zobacz strony 10–19)
• Ransomware: wszechobecne i trwające zagrożenie raport analizy zagrożeń w portalu Microsoft Defender
• Zespół reagowania na zdarzenia firmy Microsoft (dawniej DART/CRSP) podejście do ransomware i analiza przypadku

Microsoft 365:

• Wdrażanie ochrony przed ransomware dla dzierżawcy platformy Microsoft 365
• maksymalizowanie odporności oprogramowania wymuszającego okup przy użyciu platformy Azure i platformy Microsoft 365
• Odzyskiwanie po ataku wymuszającym okup
• Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
• Ochrona komputera z systemem Windows 10 przed oprogramowaniem wymuszającym okup
• Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
• Raporty analizy zagrożeń dla oprogramowania wymuszającego okup w portalu usługi Microsoft Defender

Microsoft Defender XDR:

• Wbudowana ochrona przed oprogramowaniem wymuszającym okup
• Wyszukuj ransomware za pomocą zaawansowanego wyszukiwania zagrożeń

Microsoft Azure:

• Ochrona Azure przed atakiem ransomware
• maksymalizowanie odporności oprogramowania wymuszającego okup przy użyciu platformy Azure i platformy Microsoft 365
• plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
• Pomoc w ochronie przed oprogramowaniem wymuszającym okup za pomocą usługi Microsoft Azure Backup (26 minut wideo)
• Odzyskiwanie po kompromitacji tożsamości systemowej
• Zaawansowane wielostopniowe wykrywanie ataków w usłudze Microsoft Sentinel
• Wykrywanie fuzji dla oprogramowania wymuszającego okup w usłudze Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Tworzenie zasad wykrywania anomalii w usłudze Defender for Cloud Apps

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft:

• 3 kroki, aby zapobiec i odzyskać po ataku ransomware (wrzesień 2021)

• Przewodnik dotyczący zwalczania oprogramowania wymuszającego okup obsługiwanego przez człowieka: część 1 (wrzesień 2021)

  Kluczowe kroki w sposobie, w jaki Microsoft Incident Response przeprowadza dochodzenia w sprawie incydentów ransomware.

• Przewodnik dotyczący zwalczania oprogramowania wymuszającego okup obsługiwanego przez człowieka: część 2 (wrzesień 2021)

  Zalecenia i najlepsze rozwiązania.

• Staje się odporny, rozumiejąc zagrożenia cyberbezpieczeństwa: część 4 — nawigowanie po bieżących zagrożeniach (maj 2021 r.)

  Zobacz sekcję Ransomware.

• Ataki ransomware obsługiwane przez człowieka: możliwe do uniknięcia katastrofa (marzec 2020)

  Obejmuje analizy łańcuchów rzeczywistych ataków.

• Jak reagować na ransomware — płacić czy nie płacić? (grudzień 2019 r.)

• Norsk Hydro reaguje na atak oprogramowania wymuszającego okup z przejrzystością (grudzień 2019)