Udostępnij za pośrednictwem


Obrona przed atakami wymuszającym okup

W tej fazie sprawiasz, że podmioty zagrożeń pracują trudniej , aby uzyskiwać dostęp do systemów lokalnych lub w chmurze, stopniowo usuwając zagrożenia w punktach wejścia.

Chociaż wiele z tych zmian będzie znanych i łatwych do wdrożenia, niezwykle ważne jest, aby praca nad tą częścią strategii nie spowalniała postępów w innych niezwykle ważnych częściach!

Poniżej przedstawiono linki do przeglądu trzyczęściowego planu zapobiegania przed oprogramowaniem wymuszającym okup:

Dostęp zdalny

Uzyskiwanie dostępu do intranetu organizacji za pośrednictwem połączenia dostępu zdalnego jest wektorem ataku dla podmiotów zagrożeń oprogramowania wymuszającego okup.

Po naruszeniu zabezpieczeń lokalnego konta użytkownika aktor zagrożenia może korzystać z intranetu w celu zbierania informacji wywiadowczych, podniesienia uprawnień i instalowania oprogramowania wymuszającego okup. Cyberatak Colonial Pipeline w 2021 roku jest przykładem.

Konta członków programu i projektu na potrzeby dostępu zdalnego

W tej tabeli opisano ogólną ochronę rozwiązania dostępu zdalnego z oprogramowania wymuszającego okup pod względem hierarchii zarządzania dostępem sponsorowanym/programu/zarządzania projektami w celu określenia i uzyskania wyników.

Lead Implementator Odpowiedzialności
CISO lub CIO Sponsorowanie przez kierownictwo
Lider programu w zespole ds. centralnej infrastruktury IT /sieci Podsyć wyniki i współpracę między zespołami
Architekci it i zabezpieczeń Określanie priorytetów integracji składników z architekturami
Centralny zespół ds. tożsamości IT Konfigurowanie zasad dostępu warunkowego i identyfikatora entra firmy Microsoft
Centralne operacje IT Implementowanie zmian w środowisku
Właściciele obciążeń Pomoc dotycząca uprawnień RBAC do publikowania aplikacji
Zasady zabezpieczeń i standardy Aktualizowanie standardów i dokumentów zasad
Zarządzanie zgodnością z zabezpieczeniami Monitorowanie w celu zapewnienia zgodności
Zespół ds. edukacji użytkowników Aktualizowanie wszelkich wskazówek dotyczących zmian przepływu pracy i przeprowadzania edukacji i zarządzania zmianami

Lista kontrolna implementacji dostępu zdalnego

Zastosuj te najlepsze rozwiązania, aby chronić infrastrukturę dostępu zdalnego przed zagrożeniami oprogramowania wymuszającego okup.

Gotowe Zadanie Opis
Obsługa aktualizacji oprogramowania i urządzenia. Unikaj braku lub zaniedbania ochrony producenta (aktualizacje zabezpieczeń, obsługiwany stan). Aktorzy zagrożeń używają dobrze znanych luk w zabezpieczeniach, które nie zostały jeszcze poprawione jako wektory ataków.
Skonfiguruj identyfikator entra firmy Microsoft dla istniejącego dostępu zdalnego, w tym wymuszanie weryfikacji użytkownika i urządzenia Zero Trust przy użyciu dostępu warunkowego. Zero Trust zapewnia wiele poziomów zabezpieczania dostępu do organizacji.
Skonfiguruj zabezpieczenia dla istniejących rozwiązań sieci VPN innych firm (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) i nie tylko). Skorzystaj z wbudowanych zabezpieczeń rozwiązania dostępu zdalnego.
Wdróż sieć VPN typu punkt-lokacja (P2S) platformy Azure w celu zapewnienia dostępu zdalnego. Skorzystaj z integracji z identyfikatorem Entra firmy Microsoft i istniejącymi subskrypcjami platformy Azure.
Publikowanie lokalnych aplikacji internetowych za pomocą serwera proxy aplikacji Firmy Microsoft Entra. Aplikacje opublikowane za pomocą serwera proxy aplikacji Microsoft Entra nie wymagają połączenia dostępu zdalnego.
Zabezpieczanie dostępu do zasobów platformy Azure za pomocą usługi Azure Bastion. Bezpieczne i bezproblemowe łączenie się z maszynami wirtualnymi platformy Azure za pośrednictwem protokołu SSL.
Przeprowadź inspekcję i monitorowanie w celu znalezienia i naprawienia odchyleń od punktu odniesienia i potencjalnych ataków (zobacz Wykrywanie i reagowanie). Zmniejszenie ryzyka związanego z działaniami oprogramowania wymuszającego okup, które sondują podstawowe funkcje zabezpieczeń i ustawienia.

Poczta e-mail i współpraca

Zaimplementuj najlepsze rozwiązania w zakresie obsługi poczty e-mail i współpracy, aby utrudnić im wykorzystywanie przez podmioty zagrożeń, umożliwiając pracownikom łatwe i bezpieczne uzyskiwanie dostępu do zawartości zewnętrznej.

Aktorzy zagrożeń często wchodzą do środowiska, wprowadzając złośliwą zawartość zamaskowaną w autoryzowanych narzędziach do współpracy, takich jak poczta e-mail i udostępnianie plików oraz przekonujące użytkowników do uruchamiania zawartości. Firma Microsoft zainwestowała w ulepszone środki zaradcze, które znacznie zwiększają ochronę przed tymi wektorami ataków.

Konta członków programu i projektu na potrzeby poczty e-mail i współpracy

W tej tabeli opisano ogólną ochronę rozwiązań do współpracy i poczty e-mail z oprogramowania wymuszającego okup w zakresie sponsorowania/zarządzania programem/hierarchii zarządzania projektami w celu określenia i uzyskania wyników.

Lead Implementator Odpowiedzialności
CISO, CIO lub Identity Director Sponsorowanie przez kierownictwo
Lider programu od zespołu ds. architektury zabezpieczeń Podsyć wyniki i współpracę między zespołami
Architekci IT Określanie priorytetów integracji składników z architekturami
Produktywność w chmurze lub zespół użytkowników końcowych Włączanie Ochrona usługi Office 365 w usłudze Defender, usług Azure Site Recovery i AMSI
Infrastruktura architektury / zabezpieczeń i punkt końcowy Pomoc dotycząca konfiguracji
Zespół ds. edukacji użytkowników Wskazówki dotyczące aktualizacji zmian przepływu pracy
Zasady zabezpieczeń i standardy Aktualizowanie standardów i dokumentów zasad
Zarządzanie zgodnością z zabezpieczeniami Monitorowanie w celu zapewnienia zgodności

Lista kontrolna implementacji dotycząca poczty e-mail i współpracy

Zastosuj te najlepsze rozwiązania, aby chronić rozwiązania do współpracy i poczty e-mail przed aktorami zagrożeń oprogramowania wymuszającego okup

Gotowe Zadanie Opis
Włącz interfejs AMSI dla pakietu Office VBA. Wykrywanie ataków makr pakietu Office za pomocą narzędzi punktów końcowych, takich jak defender for Endpoint.
Zaimplementuj zaawansowane zabezpieczenia poczty e-mail przy użyciu Ochrona usługi Office 365 w usłudze Defender lub podobnego rozwiązania. Poczta e-mail jest typowym punktem wejścia dla podmiotów zagrożeń.
Wdrażanie reguł zmniejszania obszaru ataków (Azure Site Recovery) w celu blokowania typowych technik ataku, takich jak:

— Nadużycie punktu końcowego, takie jak kradzież poświadczeń, działanie oprogramowania wymuszającego okup i podejrzane użycie programu PsExec i WMI.

- Działanie dokumentu pakietu Office z bronią, takie jak zaawansowane działanie makr, zawartość wykonywalna, tworzenie procesów i iniekcja procesów inicjowane przez aplikacja pakietu Office lications.

Uwaga: najpierw wdróż te reguły w trybie inspekcji, a następnie oceń negatywny wpływ, a następnie wdróż je w trybie bloku.
Usługa Azure Site Recovery udostępnia dodatkowe warstwy ochrony przeznaczone specjalnie do ograniczania typowych metod ataku.
Przeprowadź inspekcję i monitorowanie w celu znalezienia i naprawienia odchyleń od punktu odniesienia i potencjalnych ataków (zobacz Wykrywanie i reagowanie). Zmniejsza ryzyko działań związanych z oprogramowaniem wymuszającym okup, które sonduje podstawowe funkcje zabezpieczeń i ustawienia.

Punkty końcowe

Zaimplementuj odpowiednie funkcje zabezpieczeń i rygorystycznie przestrzegaj najlepszych rozwiązań dotyczących konserwacji oprogramowania dla punktów końcowych (urządzeń) i aplikacji, priorytetyzacji aplikacji i systemów operacyjnych serwera/klienta bezpośrednio narażonych na ruch internetowy i zawartość.

Punkty końcowe uwidocznione w Internecie są typowym wektorem wejścia, który zapewnia aktorom zagrożeń dostęp do zasobów organizacji. Określanie priorytetów blokujących typowe luki w zabezpieczeniach systemu operacyjnego i aplikacji za pomocą mechanizmów kontroli prewencyjnej w celu spowolnienia lub zatrzymania ich przed wykonaniem następnego etapu.

Konta członków programu i projektu dla punktów końcowych

W tej tabeli opisano ogólną ochronę punktów końcowych przed oprogramowaniem wymuszającym okup pod względem hierarchii zarządzania dostępem sponsorowanym/programem/zarządzania projektami w celu określenia i uzyskania wyników.

Lead Implementator Odpowiedzialności
Kierownictwo firmy jest odpowiedzialny za wpływ zarówno przestoju, jak i szkody w ataku Sponsoring wykonawczy (konserwacja)
Centralne operacje IT lub dyrektor ds. systemów informatycznych Dostęp sponsorowany przez kierownictwo (inne)
Lider programu od centralnego zespołu ds. infrastruktury IT Podsyć wyniki i współpracę między zespołami
Architekci it i zabezpieczeń Określanie priorytetów integracji składników z architekturami
Centralne operacje IT Implementowanie zmian w środowisku
Produktywność w chmurze lub zespół użytkowników końcowych Włączanie zmniejszania obszaru ataków
Obciążenia/Właściciele aplikacji Identyfikowanie okien obsługi pod kątem zmian
Zasady zabezpieczeń i standardy Aktualizowanie standardów i dokumentów zasad
Zarządzanie zgodnością z zabezpieczeniami Monitorowanie w celu zapewnienia zgodności

Lista kontrolna implementacji punktów końcowych

Zastosuj te najlepsze rozwiązania do wszystkich punktów końcowych systemów Windows, Linux, macOS, Android, iOS i innych.

Gotowe Zadanie Opis
Blokuj znane zagrożenia za pomocą reguł zmniejszania obszaru podatnego na ataki, ochrony przed naruszeniami i blokuj na pierwszy rzut oka. Nie pozwól, aby brak używania tych wbudowanych funkcji zabezpieczeń był powodem, dla którego osoba atakująca weszła do organizacji.
Stosowanie punktów odniesienia zabezpieczeń w celu wzmacniania zabezpieczeń serwerów i klientów systemu Windows oraz aplikacja pakietu Office licacji. Chroń organizację przy użyciu minimalnego poziomu zabezpieczeń i kompilacji.
Obsługa oprogramowania w taki sposób, aby:

- Zaktualizowano: Szybkie wdrażanie krytycznych aktualizacji zabezpieczeń dla systemów operacyjnych, przeglądarek i klientów poczty e-mail

— Obsługiwane: uaktualnij systemy operacyjne i oprogramowanie dla wersji obsługiwanych przez dostawców.
Osoby atakujące oczekują na brak lub zaniedbanie aktualizacji i uaktualnień producenta.
Izolowanie, wyłączanie lub wycofywanie niezabezpieczonych systemów i protokołów, w tym nieobsługiwanych systemów operacyjnych i starszych protokołów. Osoby atakujące używają znanych luk w zabezpieczeniach starszych urządzeń, systemów i protokołów jako punktów wejścia do organizacji.
Blokuj nieoczekiwany ruch z zaporą opartą na hoście i zabezpieczeniami sieci. Niektóre ataki złośliwego oprogramowania polegają na niepożądanym ruchu przychodzącym do hostów w celu nawiązania połączenia z atakiem.
Przeprowadź inspekcję i monitorowanie w celu znalezienia i naprawienia odchyleń od punktu odniesienia i potencjalnych ataków (zobacz Wykrywanie i reagowanie). Zmniejsza ryzyko działań związanych z oprogramowaniem wymuszającym okup, które sonduje podstawowe funkcje zabezpieczeń i ustawienia.

Klienci

Podobnie jak zabytkowe klucze szkieletowe nie chronią domu przed współczesnym włamaniem, hasła nie mogą chronić kont przed typowymi atakami, które widzimy dzisiaj. Chociaż uwierzytelnianie wieloskładnikowe (MFA) było kiedyś uciążliwym dodatkowym krokiem, uwierzytelnianie bez hasła poprawia środowisko logowania przy użyciu metod biometrycznych, które nie wymagają od użytkowników zapamiętania ani wpisania hasła. Ponadto infrastruktura Zero Trust przechowuje informacje o zaufanych urządzeniach, co zmniejsza monit o irytujące akcje uwierzytelniania wieloskładnikowego poza pasmem.

Począwszy od kont administratorów o wysokim poziomie uprawnień, rygorystycznie przestrzegaj tych najlepszych rozwiązań dotyczących zabezpieczeń kont, w tym korzystania z usługi bez hasła lub uwierzytelniania wieloskładnikowego.

Konta członków programu i projektu

W tej tabeli opisano ogólną ochronę kont przed oprogramowaniem wymuszającym okup pod względem hierarchii zarządzania dostępem sponsorowanym/programem/zarządzania projektami w celu określenia i uzyskania wyników.

Lead Implementator Odpowiedzialności
CISO, CIO lub Identity Director Sponsorowanie przez kierownictwo
Lider programu od zespołów ds. zarządzania tożsamościami i kluczami lub architektury zabezpieczeń Podsyć wyniki i współpracę między zespołami
Architekci it i zabezpieczeń Określanie priorytetów integracji składników z architekturami
Zarządzanie tożsamościami i kluczami lub centralne operacje IT Implementowanie zmian konfiguracji
Zasady zabezpieczeń i standardy Aktualizowanie standardów i dokumentów zasad
Zarządzanie zgodnością z zabezpieczeniami Monitorowanie w celu zapewnienia zgodności
Zespół ds. edukacji użytkowników Aktualizowanie haseł lub wskazówek dotyczących logowania oraz przeprowadzanie edukacji i zarządzania zmianami

Lista kontrolna implementacji dla kont

Zastosuj te najlepsze rozwiązania, aby chronić konta przed atakami wymuszającym okup.

Gotowe Zadanie Opis
Wymuszanie silnego logowania wieloskładnikowego lub bez hasła dla wszystkich użytkowników. Zacznij od kont administratora i priorytetu przy użyciu co najmniej jednego konta:

— Uwierzytelnianie bez hasła za pomocą usługi Windows Hello lub aplikacji Microsoft Authenticator.

- Uwierzytelnianie wieloskładnikowe.

— Rozwiązanie uwierzytelniania wieloskładnikowego innej firmy.
Utrudnić atakującemu przeprowadzenie naruszenia poświadczeń przez określenie hasła do konta użytkownika.
Zwiększ bezpieczeństwo haseł:

— W przypadku kont Microsoft Entra użyj usługi Microsoft Entra Password Protection , aby wykrywać i blokować znane słabe hasła oraz dodatkowe słabe terminy specyficzne dla twojej organizacji.

— W przypadku kont usług lokalna usługa Active Directory Domain Services (AD DS) rozszerz ochronę haseł firmy Microsoft na konta usług AD DS.
Upewnij się, że osoby atakujące nie mogą określić typowych haseł ani haseł na podstawie nazwy organizacji.
Przeprowadź inspekcję i monitorowanie w celu znalezienia i naprawienia odchyleń od punktu odniesienia i potencjalnych ataków (zobacz Wykrywanie i reagowanie). Zmniejsza ryzyko działań związanych z oprogramowaniem wymuszającym okup, które sonduje podstawowe funkcje zabezpieczeń i ustawienia.

Wyniki i osie czasu implementacji

Spróbuj osiągnąć te wyniki w ciągu 30 dni:

  • 100% pracowników aktywnie korzysta z uwierzytelniania wieloskładnikowego

  • 100% wdrożenia wyższego poziomu zabezpieczeń haseł

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

aplikacje Microsoft Defender dla Chmury:

Wpisy w blogu zespołu ds. zabezpieczeń firmy Microsoft: