Поделиться через

Защита от программ-шантажистов в Microsoft 365

  • Статья

Корпорация Майкрософт создала средства защиты и средства управления, которые она использует для снижения рисков атаки программы-шантажиста на вашу организацию и ее ресурсы. Ресурсы можно упорядочить по доменам, каждый из которых имеет собственный набор мер по устранению рисков.

Домен 1. Элементы управления на уровне клиента

Первый домен — это люди, составляющие вашу организацию, а также инфраструктура и службы, принадлежащие и контролируемые вашей организацией. Следующие функции в Microsoft 365 включены по умолчанию или могут быть настроены для снижения риска и восстановления после успешного компрометации ресурсов в этом домене.

Exchange Online.

  • Благодаря восстановлению отдельных элементов и хранению почтовых ящиков клиенты могут восстанавливать элементы в почтовом ящике после случайного или вредоносного преждевременного удаления. Клиенты могут откатывать почтовые сообщения, удаленные в течение 14 дней, по умолчанию, при этом можно настроить до 30 дней.

  • Дополнительные конфигурации клиентов этих политик хранения в службе Exchange Online позволяют:

    • настраиваемое хранение для применения (1 год/10 год+)
    • Копирование при применении защиты от записи
    • возможность блокировки политики хранения таким образом, чтобы можно было достичь неизменяемости;

  • Exchange Online Protection сканирует входящие сообщения электронной почты и вложения в режиме реального времени как при входе в систему, так и при выходе из нее. Этот параметр включен по умолчанию и имеет доступные настройки фильтрации. Сообщения, содержащие программы-шантажисты или другие известные или подозрительные вредоносные программы, удаляются. Вы можете настроить администраторов для получения уведомлений, когда это происходит.

Защита SharePoint и OneDrive

Защита SharePoint и OneDrive имеют встроенные функции, помогающие защититься от атак программ-шантажистов.

Управление версиями. Так как управление версиями сохраняет не менее 500 версий файла по умолчанию и может быть настроено для хранения большего количества. Если программа-шантажист изменяет и шифрует файл, можно восстановить предыдущую версию файла.

Корзина. Если программа-шантажист создает новую зашифрованную копию файла и удаляет старый файл, у клиентов есть 93 дня, чтобы восстановить его из корзины.

Сохранение библиотеки хранения. Файлы, хранящиеся на сайтах SharePoint или OneDrive, можно хранить, применяя параметры хранения. Если к документу с версиями применяются параметры хранения, версии копируются в библиотеку хранения и существуют как отдельный элемент. Если пользователь подозревает, что его файлы скомпрометированы, он может исследовать изменения файлов, просмотрив сохраненную копию. Затем восстановление файлов можно использовать для восстановления файлов в течение последних 30 дней.

Teams

Чаты Teams хранятся в почтовых ящиках пользователей Exchange Online, а файлы — в SharePoint или OneDrive. Данные Microsoft Teams защищены с помощью элементов управления и механизмов восстановления, доступных в этих службах.

Домен 2. Элементы управления уровнем обслуживания

Второй домен — это люди, составляющие организацию Майкрософт, а также корпоративная инфраструктура, принадлежающая и контролируемая корпорацией Майкрософт для выполнения организационных функций компании.

Подход корпорации Майкрософт к защите своих корпоративных активов — это "Никому не доверяй", реализованный с использованием наших собственных продуктов и служб с защитой от цифровых активов. Дополнительные сведения о принципах "Никому не доверяй" см. в статье Архитектура "Никому не доверяй".

Дополнительные функции Microsoft 365 расширяют возможности по устранению рисков, доступные в домене 1, чтобы дополнительно защитить ресурсы в этом домене.

Защита SharePoint и OneDrive

Управление версиями. Если программа-шантажист зашифровал файл в качестве изменения, файл можно восстановить до начальной даты создания файла с помощью возможностей журнала версий, управляемых корпорацией Майкрософт.

Корзина. Если программа-шантажист создала новую зашифрованную копию файла и удалила старый файл, у клиентов есть 93 дня, чтобы восстановить его из корзины. Через 93 дня появится 14-дневное окно, в котором корпорация Майкрософт сможет восстановить данные. После этого окна данные удаляются без возможности восстановления.

Teams

Меры по устранению рисков для Teams, описанные в домене 1, также применяются к домену 2.

Домен 3. Разработчики & инфраструктуры служб

Третий домен — это люди, которые разрабатывают и управляют службой Microsoft 365, кодом и инфраструктурой, которая предоставляет службу, а также хранением и обработкой ваших данных.

Инвестиции Майкрософт, которые защищают платформу Microsoft 365 и снижают риски в этой области, сосредоточены на следующих областях:

  • Непрерывная оценка и проверка состояния безопасности службы
  • Создание средств и архитектуры, защищающих службу от компрометации
  • Создание возможности обнаружения угроз и реагирования на них в случае атаки

Непрерывная оценка и проверка состояния безопасности

  • Корпорация Майкрософт снижает риски, связанные с людьми, которые разрабатывают и управляют службой Microsoft 365, используя принцип наименьших привилегий. Это означает, что доступ к ресурсам и разрешения на них ограничены только тем, что необходимо для выполнения необходимой задачи.
    • Модель JIT, JIT-just-enough-Access (JEA) используется для предоставления инженерам Майкрософт временных привилегий.
    • Инженеры должны отправить запрос для конкретной задачи, чтобы получить повышенные привилегии.
    • Запросы управляются через lockbox, который использует управление доступом на основе ролей Azure (RBAC) для ограничения типов запросов на повышение JIT-прав, которые могут выполнять инженеры.
  • В дополнение к описанному выше все кандидаты От Майкрософт предварительно просматриваются перед началом работы в Корпорации Майкрософт. Сотрудники, которые поддерживают веб-службы Майкрософт в США, должны пройти проверку microsoft Cloud Background Check в качестве необходимого условия для доступа к системам веб-служб.
  • Все сотрудники Корпорации Майкрософт должны пройти базовое обучение по повышению осведомленности о безопасности, а также обучение по стандартам делового поведения.

Средства и архитектура, защищающие службу

  • Жизненный цикл разработки безопасности (SDL) корпорации Майкрософт сосредоточен на разработке безопасного программного обеспечения для повышения безопасности приложений и снижения уязвимостей. Дополнительные сведения см. в статье Общие сведения о разработке и операциях в области безопасности и безопасности.
  • Microsoft 365 ограничивает обмен данными между различными частями инфраструктуры служб только тем, что необходимо для работы.
  • Сетевой трафик защищен с помощью дополнительных сетевых брандмауэров на пограничных точках, которые помогают обнаруживать, предотвращать и устранять сетевые атаки.
  • Службы Microsoft 365 предназначены для работы без инженеров, которым требуется доступ к данным клиента, если клиент явно не запрашивает и не утверждает их. Дополнительные сведения см. в разделе Как корпорация Майкрософт собирает и обрабатывает данные клиентов.

Возможности обнаружения и реагирования

  • Microsoft 365 выполняет непрерывный мониторинг безопасности своих систем для обнаружения угроз в службах Microsoft 365 и реагирования на них.
  • Централизованное ведение журнала собирает и анализирует события журнала для действий, которые могут указывать на инцидент безопасности. Данные журнала анализируются по мере их отправки в нашу систему оповещений и создают оповещения практически в реальном времени.
  • Облачные средства позволяют быстро реагировать на обнаруженные угрозы. Эти средства обеспечивают исправление с помощью автоматически активированных действий.
  • Если автоматическое исправление невозможно, оповещения отправляются соответствующим инженерам по вызову, которые оснащены набором средств, позволяющих им действовать в режиме реального времени для устранения обнаруженных угроз.

Восстановление после атаки программы-шантажиста

Инструкции по восстановлению после атаки программы-шантажиста в Microsoft 365 см. в статье Восстановление после атаки с помощью программы-шантажиста в Microsoft 365.