Защита от атак программ-шантажистов
На этом этапе вы усложняете злоумышленникам доступ к вашим локальным или облачным системам, постепенно удаляя риски в точках доступа.
Хотя многие из этих изменений будут знакомы и легко реализовать, очень важно, что ваша работа над этой частью стратегии не замедляет ваш прогресс на других критически важных частях!
Ниже приведены ссылки на обзор трехчастного плана предотвращения вымогательских программ:
Удаленный доступ.
Получение доступа к интрасети вашей организации через подключение к удаленному доступу является возможностью атаки для вымогателей.
После компрометации локальной учетной записи пользователя субъект угроз может использовать интрасетю для сбора аналитики, повышения привилегий и установки программ-шантажистов. Кибератака на колониальном конвейере в 2021 году является примером.
Подотчетность участников программы и проекта для удаленного доступа
В этой таблице описана общая защита решения удаленного доступа от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Свинец | Реализатор | Отчетность |
|---|---|---|
| Начальник управления информационной безопасностью или директор по информационным технологиям | Спонсорство руководства | |
| Руководитель программы в команде по работе с инфраструктурой или сетями из центрального ИТ-отдела | Достижение результатов и совместная работа между командами | |
| ИТ-специалисты и архитекторы системы безопасности | Назначение приоритетов при интеграции компонентов в архитектуры | |
| Команда по идентификации из центрального ИТ-отдела | Настройка политик идентификатора и условного доступа Microsoft Entra | |
| Операции Центрального ИТ | Реализация изменений в среде | |
| Владельцы рабочих нагрузок | Помощь с разрешениями RBAC для публикации приложений | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Обновите любые инструкции по изменениям в рабочих процессах и проведите обучение, а также управление изменениями. |
Контрольный список реализации для удаленного доступа
Примените эти рекомендации для защиты инфраструктуры удаленного доступа от субъектов угроз-шантажистов.
| Выполнено | Задача | Описание |
|---|---|---|
| Поддерживайте программное обеспечение и устройство в актуальном состоянии, выполняя обновление. Не пренебрегайте защитой, предоставленной производителем, и не игнорируйте её (обновления безопасности, поддержка текущего состояния). | Субъекты угроз используют известные уязвимости, которые еще не исправлены в качестве векторов атак. | |
| Настройте Microsoft Entra ID для существующего удаленного доступа, добавив принудительную проверку пользователей и устройств на основе нулевого доверия с помощью условного доступа. | Принцип "Никому не доверяй" обеспечивает несколько уровней защиты доступа к вашей организации. | |
| Настройте безопасность для существующих сторонних решений VPN (Cisco AnyConnect, Palo Alto Networks GlobalProtect и Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) и т. д. | Воспользуйтесь преимуществами встроенных средств безопасности решения для удаленного доступа. | |
| Разверните VPN Azure "точка — сеть" (P2S) , чтобы обеспечить удаленный доступ. | Воспользуйтесь преимуществами интеграции с идентификатором Microsoft Entra и существующими подписками Azure. | |
| Публикация локальных веб-приложений, используя прокси-сервер приложения Microsoft Entra. | Приложения, опубликованные с помощью прокси приложения Microsoft Entra, не требуют подключения к удаленному доступу. | |
| Обеспечьте безопасный доступ к ресурсам Azure с помощью Бастиона Azure. | Обеспечьте безопасное и удобное подключение к виртуальным машинам Azure по протоколу SSL. | |
| Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). | Снижение риска от вредоносной деятельности программ-вымогателей, которые исследуют базовые функции безопасности и параметры. |
Электронная почта и совместная работа
Реализуйте рекомендации по использованию решений электронной почты и совместной работы, чтобы сделать их более сложными для субъектов угроз, позволяя сотрудникам легко и безопасно получать доступ к внешнему содержимому.
Злоумышленники часто проникают в среду, вводя вредоносное содержимое, замаскированное в авторизованных средствах для совместной работы, таких как электронная почта и общий доступ к файлам, и убеждая пользователей запускать это содержимое. Корпорация Майкрософт инвестировала средства в усовершенствованные решения устранения рисков, которые значительно усиливают защиту от этих векторов атак.
Учет ответственности участников программы и проекта в области электронной почты и совместной работы
В этой таблице описана общая защита решений для электронной почты и совместной работы от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Lead | Исполнитель | Отчетность |
|---|---|---|
| Начальник управления информационной безопасностью, директор по информационным технологиям или директор по идентификации | Спонсорство руководства | |
| Руководитель программы из команды по архитектуре безопасности | Достижение результатов и совместная работа между командами | |
| ИТ-архитекторы | Назначение приоритетов при интеграции компонентов в архитектуры | |
| Производительность облака и команда по работе с пользователями | Включение Defender для Office 365, Azure Site Recovery и AMSI | |
| Архитектура безопасности / Инфраструктура + конечная точка | Помощь в настройке | |
| Команда по обучению пользователей | Обновление инструкций при изменении рабочих процессов | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия |
Контрольный список реализации для электронной почты и совместной работы
Применение этих рекомендаций для защиты решений электронной почты и совместной работы от субъектов угроз-шантажистов
| Выполнено | Задача | Описание |
|---|---|---|
| Включите AMSI для Office VBA. | Обнаружение атак с использованием макросов Office с помощью инструментов для конечных точек, таких как Defender для Endpoint. | |
| Реализуйте расширенные средства безопасности электронной почты с помощью Defender для Office 365 или аналогичного решения. | Электронная почта — это общая точка входа для субъектов угроз. | |
|
Развертывание правил сокращения поверхностей атак (Azure Site Recovery) для блокировки распространенных методов атак, включая: — неправомочное использование конечной точки (например, для кражи учетных данных), действия программ-шантажистов, а также подозрительное использование PsExec и WMI; — действия с документами Office, превращенными в оружие, такие как расширенные действия с макросами, использование исполняемого содержимого, создание и внедрение процессов, инициируемое приложениями Office. Примечание. Сначала разверните эти правила в режиме аудита, оцените любое отрицательное воздействие, а затем разверните их в режиме блокировки. |
Azure Site Recovery предоставляет дополнительные уровни защиты, предназначенные специально для устранения распространенных методов атаки. | |
| Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). | Снижает риск атак программ-вымогателей, которые исследуют базовые функции и параметры безопасности. |
Конечные точки
Реализуйте соответствующие функции безопасности и строго следуйте лучшим практикам по обслуживанию программного обеспечения для конечных точек (устройств) и приложений, уделяя приоритетное внимание приложениям и серверным/клиентским операционным системам, которые непосредственно подвергаются воздействию интернет-трафика и контента.
Конечные точки, открытые для Интернета, являются распространенным способом проникновения, позволяющим злоумышленникам получить доступ к активам организации. Приоритет - блокировать распространенные уязвимости ОС и приложений с помощью профилактических средств управления, чтобы замедлить или остановить их дальнейшее развитие.
Подотчетность участников программы и проекта для конечных точек
В этой таблице описана общая защита конечных точек от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Lead | Реализатор | Отчетность |
|---|---|---|
| Руководители предприятия, ответственные за воздействие на бизнес, оказанное как простоем, так и повреждениями, которые нанесла атака | Исполнительное спонсорство (поддержка) | |
| Операции центрального ИТ-отдела или CIO (директор по информационным технологиям) | Исполнительное спонсорство (другие) | |
| Руководитель программы из команды по инфраструктуре из центрального ИТ-отдела | Достижение результатов и совместная работа между командами | |
| ИТ-специалисты и архитекторы системы безопасности | Назначение приоритетов при интеграции компонентов в архитектуры | |
| Операции центрального ИТ-отдела | Реализация изменений в среде | |
| Производительность облака и команда по работе с пользователями | Включение сокращения направлений атак | |
| Владельцы рабочих нагрузок или приложений | Определение периодов обслуживания для внесения изменений | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия |
Контрольный список реализации конечных точек
Применяйте эти рекомендации ко всем конечным точкам Windows, Linux, macOS, Android, iOS и другим конечным точкам.
| Выполнено | Задача | Описание |
|---|---|---|
| Блокировать известные угрозы с правилами сокращения поверхности атаки, защитой от вмешательства и блокировкой при первом обнаружении. | Не пренебрегайте этими встроенными функциями обеспечения безопасности. Это может стать причиной, по которой злоумышленнику удалось проникнуть в вашу организацию. | |
| Примените базовые средства безопасности для защиты серверов и клиентов Windows, а также приложений Office с выходом в Интернет. | Начните строить защиту своей организации с минимального уровня безопасности, который станет отправной точкой. | |
| Поддерживайте программное обеспечение в следующем состоянии: — Обновлено: быстрое развертывание критически важных обновлений безопасности для операционных систем, браузеров и клиентов электронной почты — поддерживаемое: обновляйте операционные системы и программное обеспечение для версий, поддерживаемых поставщиками. |
Злоумышленники рассчитывают на то, что вы станете пренебрегать обновлениями от производителя или не будете относиться к ним с должным вниманием. | |
| Изолируйте, отключите или выведите из эксплуатации незащищенные системы и протоколы, включая неподдерживаемые операционные системы и устаревшие протоколы. | Злоумышленники используют известные уязвимости устаревших устройств, систем и протоколов в качестве точек входа в вашу организацию. | |
| Блокируйте незапрошенный трафик с помощью брандмауэра на базе хоста и сетевой защиты. | Некоторые атаки вредоносных программ зависят от незапрошенного входящего трафика к узлам в качестве способа подключения к атаке. | |
| Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). | Снижает риск от действий программ-вымогателей, проверяющих базовые функции и параметры безопасности. |
Аккаунты
Точно так же, как антикварный сувальдный замок не защитит ваш дом от современного взломщика, пароли не могут защитить учетные записи от распространенных атак, которые мы сегодня наблюдаем. Хотя многофакторная проверка подлинности (MFA) когда-то была обременительным дополнительным шагом, проверка подлинности без пароля улучшает возможности входа с использованием биометрических подходов, которые не требуют от пользователей запоминать или вводить пароль. Кроме того, инфраструктура Нулевого Доверия сохраняет сведения о доверенных устройствах, что сокращает число запросов на утомительные и отвлекающие действия многофакторной аутентификации.
Начиная с учетных записей администратора с высоким уровнем привилегий, четко следуйте этим рекомендациям по обеспечению безопасности учетных записей, включая использование без пароля или MFA.
Обязанности участников программы и проекта, касающиеся учетных записей
В этой таблице описана общая защита учетных записей от программ-шантажистов в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Lead | Исполнитель | Отчетность |
|---|---|---|
| Начальник управления информационной безопасностью, директор по информационным технологиям или директор по идентификации | Спонсорство со стороны руководства | |
| Руководитель программы из групп идентификации и управления ключами или архитектуры безопасности | Достижение результатов и совместная работа между командами | |
| ИТ-специалисты и архитекторы системы безопасности | Назначение приоритетов при интеграции компонентов в архитектуры | |
| Отдел управления удостоверениями и ключами или центральный ИТ-отдел | Реализация изменений конфигурации | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Обновление пароля или инструкций по входу, проведение обучения и управление изменениями |
Контрольный список реализации для учетных записей
Применяйте эти рекомендации для защиты учетных записей от злоумышленников.
| Выполнено | Задача | Описание |
|---|---|---|
| Для всех пользователей следует применять надежные процедуры MFA или входа без пароля. Начните с учетных записей администратора и приоритета , используя одну или несколько учетных записей: — проверка подлинности без пароля с помощью Windows Hello или приложения Microsoft Authenticator. - Многофакторная проверка подлинности. — стороннее решение для многофакторной аутентификации. |
Усложните злоумышленнику компрометацию учетных данных, просто определив пароль учетной записи пользователя. | |
| Увеличьте безопасность паролей: — Для учетных записей Microsoft Entra используйте microsoft Entra Password Protection для обнаружения и блокировки известных слабых паролей и дополнительных слабых терминов, относящихся к вашей организации. — Для учетных записей службы доменных Active Directory (AD DS) на предприятии расширьте защиту паролей Microsoft Entra на учетные записи AD DS. |
Убедитесь, что в вашей организации не используются распространенные пароли или пароли на основе названия организации, которые могут определить злоумышленники. | |
| Выполните аудит и мониторинг для поиска и исправления отклонений от базовых показателей, а также обнаружения потенциальных атак и реагирования на них (см. раздел Обнаружение и реагирование). | Снижает риск от действий вымогательских программ, которые исследуют базовые функции безопасности и параметры. |
Результаты и временная шкала реализации
Попробуйте достичь этих результатов в течение 30 дней:
100% сотрудников активно используют MFA
100% развертывание более высокого уровня безопасности паролей
Дополнительные ресурсы о вымогательском ПО
Основная информация от корпорации Майкрософт:
Moonstone Sleet появляется как новый северокорейский субъект угрозы с новым арсеналом приемов, Блог Майкрософт, май 2024 г.
2023 Отчет о цифровой защите Microsoft (см. страницы 17-26)
Вымогательское ПО: постоянная угроза отчет по аналитике угроз в портале Microsoft Defender
Подход группы реагирования на инциденты Microsoft (ранее DART) к программам-вымогателям и пример из практики.
Microsoft 365:
- Разверните защиту от программ-вымогателей для клиента Microsoft 365
- Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
- Восстановление после вымогательской атаки
- Защита от вредоносных программ и программ-шантажистов
- Защита компьютера Windows 10 от программ-шантажистов
- Противодействие программам-шантажистам в SharePoint Online
- Отчеты аналитики угроз для вымогательского ПО в портале Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Защита Azure от атак программ-шантажистов
- Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
- План резервного копирования и восстановления для защиты от программ-шантажистов
- Защита от программа-шантажистов с помощью Microsoft Azure Backup (видео длительностью 26 минут)
- Восстановление после компрометации системной идентификации
- Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
- Комплексное обнаружение программ-вымогателей в Microsoft Sentinel
приложения Microsoft Defender для облака:
Записи блога службы безопасности Майкрософт:
Три шага для предотвращения атак программ-шантажистов и восстановления после них (сентябрь 2021 г.)
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 1 (сентябрь 2021 г.)
Основные шаги о том, как команда Microsoft по обнаружению и реагированию (DART) проводит расследования инцидентов программ-вымогателей.
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 2 (сентябрь 2021 г.)
Рекомендации и лучшие практики.
-
См. раздел Программы-шантажисты.
-
Включает анализ цепочки реальных атак.
Ответ программы-шантажистов— платить или не платить? (декабря 2019 г.)
Norsk Hydro прозрачно реагирует на атаку с использованием программ-шантажистов (декабрь 2019 г.)