Dela via


Försvara dig mot utpressningstrojanattacker

I den här fasen får du hotaktörerna att arbeta hårdare för att få åtkomst till dina lokala system eller molnsystem genom att gradvis ta bort risker vid startpunkterna.

Även om många av dessa ändringar kommer att vara välbekanta och lätta att implementera, är det oerhört viktigt att ditt arbete med den här delen av strategin inte saktar ner dina framsteg på de andra kritiskt viktiga delarna!

Här är länkarna för att granska den tredelade planen för förebyggande av utpressningstrojaner:

Fjärråtkomst

Att få åtkomst till organisationens intranät via en fjärråtkomstanslutning är en attackvektor för utpressningstrojanhotaktörer.

När ett lokalt användarkonto har komprometterats kan en hotskådespelare använda ett intranät för att samla in intelligens, höja privilegier och installera utpressningstrojaner. Cyberattacken i Colonial Pipeline 2021 är ett exempel.

Program- och projektmedlemskonto för fjärråtkomst

Den här tabellen beskriver det övergripande skyddet av fjärråtkomstlösningen från utpressningstrojaner i form av en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.

Lead Implementor Ansvar
CISO eller CIO Chefssponsring
Programledare för den centrala IT-infrastrukturen /nätverksteamet Skapa resultat och samarbete mellan team
IT- och säkerhetsarkitekter Prioritera komponentintegrering i arkitekturer
Centralt IT-identitetsteam Konfigurera Microsoft Entra-ID och principer för villkorlig åtkomst
Centrala IT-åtgärder Implementera ändringar i miljön
Arbetsbelastningsägare Hjälp med RBAC-behörigheter för apppublicering
Säkerhetsprincip och standarder Uppdatera standarder och principdokument
Hantering av säkerhetsefterlevnad Övervaka för att säkerställa efterlevnad
Användarutbildningsteam Uppdatera eventuell vägledning om arbetsflödesändringar och utföra utbildnings- och ändringshantering

Checklista för implementering för fjärråtkomst

Använd dessa metodtips för att skydda din infrastruktur för fjärråtkomst från utpressningstrojanhotaktörer.

Klart Uppgift beskrivning
Underhåll program- och installationsuppdateringar. Undvik att sakna eller försumma tillverkarens skydd (säkerhetsuppdateringar, status som stöds). Hotaktörer använder välkända sårbarheter som ännu inte har korrigerats som attackvektorer.
Konfigurera Microsoft Entra-ID för befintlig fjärråtkomst genom att inkludera framtvinga Nolltillit användar- och enhetsvalidering med villkorsstyrd åtkomst. Nolltillit ger flera nivåer för att skydda åtkomsten till din organisation.
Konfigurera säkerhet för befintliga VPN-lösningar från tredje part (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) med mera). Dra nytta av den inbyggda säkerheten för fjärråtkomstlösningen.
Distribuera Azure Punkt-till-plats-VPN (P2S) för att ge fjärråtkomst. Dra nytta av integrering med Microsoft Entra-ID och dina befintliga Azure-prenumerationer.
Publicera lokala webbappar med Microsoft Entra-programproxy. Appar som publiceras med Microsoft Entra-programproxy behöver ingen fjärråtkomstanslutning.
Säker åtkomst till Azure-resurser med Azure Bastion. Anslut säkert och sömlöst till dina virtuella Azure-datorer via SSL.
Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). Minska risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen.

E-post och samarbete

Implementera metodtips för e-post- och samarbetslösningar för att göra det svårare för hotaktörer att missbruka dem, samtidigt som dina medarbetare enkelt och säkert får åtkomst till externt innehåll.

Hotaktörer kommer ofta in i miljön genom att introducera skadligt innehåll som döljs i auktoriserade samarbetsverktyg som e-post och fildelning och övertyga användare att köra innehållet. Microsoft har investerat i förbättrade åtgärder som avsevärt ökar skyddet mot dessa attackvektorer.

Program- och projektmedlemskonto för e-post och samarbete

Den här tabellen beskriver det övergripande skyddet av dina e-post- och samarbetslösningar från utpressningstrojaner när det gäller en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.

Lead Implementor Ansvar
CISO, CIO eller identitetsdirektör Chefssponsring
Programledare från teamet för säkerhetsarkitektur Skapa resultat och samarbete mellan team
IT-arkitekter Prioritera komponentintegrering i arkitekturer
Molnproduktivitet eller slutanvändarteam Aktivera Defender för Office 365, Azure Site Recovery och AMSI
Infrastruktur för säkerhetsarkitektur / + slutpunkt Konfigurationshjälp
Användarutbildningsteam Uppdatera vägledning om arbetsflödesändringar
Säkerhetsprincip och standarder Uppdatera standarder och principdokument
Hantering av säkerhetsefterlevnad Övervaka för att säkerställa efterlevnad

Checklista för implementering för e-post och samarbete

Använd dessa metodtips för att skydda dina e-post- och samarbetslösningar från utpressningstrojanhotaktörer

Klart Uppgift beskrivning
Aktivera AMSI för Office VBA. Identifiera Office-makroattacker med slutpunktsverktyg som Defender för Endpoint.
Implementera Avancerad e-postsäkerhet med hjälp av Defender för Office 365 eller en liknande lösning. E-post är en vanlig startpunkt för hotaktörer.
Distribuera regler för minskning av attackytan (Azure Site Recovery) för att blockera vanliga attacktekniker, inklusive:

– Slutpunktsmissbruk, till exempel stöld av autentiseringsuppgifter, utpressningstrojaner och misstänkt användning av PsExec och WMI.

– Vapeniserad Office-dokumentaktivitet som avancerad makroaktivitet, körbart innehåll, processskapande och processinmatning som initierats av Office-appen likeringar.

Obs! Distribuera först dessa regler i granskningsläge, utvärdera sedan eventuella negativa effekter och distribuera dem sedan i blockeringsläge.
Azure Site Recovery innehåller ytterligare skyddslager som är specifikt inriktade på att minimera vanliga angreppsmetoder.
Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). Minskar risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen.

Slutpunkter

Implementera relevanta säkerhetsfunktioner och noggrant följa metodtips för programvaruunderhåll för slutpunkter (enheter) och program, prioritera program och server-/klientoperativsystem som är direkt exponerade för Internettrafik och innehåll.

Internetexponerade slutpunkter är en vanlig inmatningsvektor som ger hotaktörer åtkomst till organisationens tillgångar. Prioritera blockering av vanliga säkerhetsproblem för operativsystem och program med förebyggande kontroller för att sakta ned eller hindra dem från att utföra nästa steg.

Program- och projektmedlemskonto för slutpunkter

Den här tabellen beskriver det övergripande skyddet av dina slutpunkter från utpressningstrojaner när det gäller en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.

Lead Implementor Ansvar
Företagsledarskap ansvarigt för affärspåverkan av både stilleståndstid och attackskador Sponsring av chefer (underhåll)
Centrala IT-åtgärder eller CIO Executive sponsring (andra)
Programledare från det centrala IT-infrastrukturteamet Skapa resultat och samarbete mellan team
IT- och säkerhetsarkitekter Prioritera komponentintegrering i arkitekturer
Centrala IT-åtgärder Implementera ändringar i miljön
Molnproduktivitet eller slutanvändarteam Aktivera minskning av attackytan
Arbetsbelastnings-/appägare Identifiera underhållsperioder för ändringar
Säkerhetsprincip och standarder Uppdatera standarder och principdokument
Hantering av säkerhetsefterlevnad Övervaka för att säkerställa efterlevnad

Checklista för implementering för slutpunkter

Använd dessa metodtips för alla Windows-, Linux-, macOS-, Android-, iOS- och andra slutpunkter.

Klart Uppgift beskrivning
Blockera kända hot med regler för minskning av attackytan, manipuleringsskydd och blockera vid första anblicken. Låt inte bristen på användning av dessa inbyggda säkerhetsfunktioner vara orsaken till att en angripare gick in i din organisation.
Använd säkerhetsbaslinjer för att förstärka Internetuppkopplade Windows-servrar och -klienter och Office-appen likeringar. Skydda din organisation med den lägsta säkerhetsnivån och bygg därifrån.
Underhåll programvaran så att den är:

– Uppdaterad: Distribuera snabbt kritiska säkerhetsuppdateringar för operativsystem, webbläsare och e-postklienter

– Stöds: Uppgradera operativsystem och programvara för versioner som stöds av dina leverantörer.
Angripare räknar med att du saknar eller försummar tillverkarens uppdateringar och uppgraderingar.
Isolera, inaktivera eller dra tillbaka osäkra system och protokoll, inklusive operativsystem som inte stöds och äldre protokoll. Angripare använder kända sårbarheter för äldre enheter, system och protokoll som startpunkter i din organisation.
Blockera oväntad trafik med värdbaserad brandvägg och nätverksskydd. Vissa attacker mot skadlig kod förlitar sig på oönskad inkommande trafik till värdar som ett sätt att upprätta en anslutning för en attack.
Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). Minskar risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen.

Accounts

Precis som antika skelettnycklar inte skyddar ett hus mot en modern inbrottstjuv, kan lösenord inte skydda konton mot vanliga attacker vi ser idag. Multifaktorautentisering (MFA) var en gång ett betungande extra steg, men lösenordslös autentisering förbättrar inloggningsupplevelsen med biometriska metoder som inte kräver att användarna kommer ihåg eller skriver ett lösenord. Dessutom lagrar en Nolltillit-infrastruktur information om betrodda enheter, vilket minskar antalet frågor om irriterande MFA-åtgärder utan band.

Börja med administratörskonton med hög behörighet och följ noggrant dessa metodtips för kontosäkerhet, inklusive användning av lösenordslös eller MFA.

Kontoskulder för program- och projektmedlem för konton

Den här tabellen beskriver det övergripande skyddet av dina konton mot utpressningstrojaner i form av en hierarki för sponsring/programhantering/projekthantering för att fastställa och driva resultat.

Lead Implementor Ansvar
CISO, CIO eller identitetsdirektör Chefssponsring
Programledare från team för identitets- och nyckelhantering eller säkerhetsarkitektur Skapa resultat och samarbete mellan team
IT- och säkerhetsarkitekter Prioritera komponentintegrering i arkitekturer
Identitets- och nyckelhantering eller centrala IT-åtgärder Implementera konfigurationsändringar
Säkerhetsprincip och standarder Uppdatera standarder och principdokument
Hantering av säkerhetsefterlevnad Övervaka för att säkerställa efterlevnad
Användarutbildningsteam Uppdatera lösenords- eller inloggningsvägledning och utföra utbildnings- och ändringshantering

Checklista för implementering för konton

Använd dessa metodtips för att skydda dina konton mot utpressningstrojaner.

Klart Uppgift beskrivning
Framtvinga stark MFA eller lösenordslös inloggning för alla användare. Börja med administratörs- och prioritetskonton med en eller flera av:

– Lösenordslös autentisering med Windows Hello eller Microsoft Authenticator-appen.

- Multifaktorautentisering.

– En MFA-lösning från tredje part.
Gör det svårare för en angripare att utföra en kompromiss av autentiseringsuppgifter genom att bara fastställa ett användarkontolösenord.
Öka lösenordssäkerheten:

– För Microsoft Entra-konton använder du Microsoft Entra Password Protection för att identifiera och blockera kända svaga lösenord och ytterligare svaga termer som är specifika för din organisation.

– Utöka Microsoft Entra Password Protection till AD DS-konton för lokal Active Directory Domain Services-konton (AD DS).
Se till att angripare inte kan fastställa vanliga lösenord eller lösenord baserat på organisationens namn.
Granska och övervaka för att hitta och åtgärda avvikelser från baslinjen och potentiella attacker (se Identifiering och svar). Minskar risken för utpressningstrojanaktiviteter som avsöker säkerhetsfunktioner och inställningar för baslinjen.

Implementeringsresultat och tidslinjer

Försök att uppnå dessa resultat inom 30 dagar:

  • 100 % av de anställda använder MFA aktivt

  • 100 % distribution av högre lösenordssäkerhet

Ytterligare resurser för utpressningstrojaner

Viktig information från Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender för molnet-appar:

Blogginlägg för Microsoft Security-teamet: