为 Microsoft 365 租户部署勒索软件保护
勒索软件是一种勒索攻击,可销毁或加密文件和文件夹,从而阻止访问关键数据。 商品勒索软件通常像病毒一样传播并感染设备,而且仅需要进行恶意软件修正。 人为操作的勒索软件是网络罪犯进行主动攻击的结果,其将侵入组织的本地或云 IT 基础结构、提升其特权,以及将勒索软件部署到关键数据。
攻击完成后,攻击者会从向受害者索取金钱,以交换已删除的文件、加密文件的解密密钥,或承诺不将敏感数据释放到暗网或公共 Internet。 人为操作的勒索软件还可用于关闭关键计算机或流程,如工业生产所需的计算机或流程,使正常的业务运营停止,直到支付勒索金额并修复损坏,或者由组织自行修复损害。
人为操作的勒索软件攻击对于各种规模的企业来说都可能是灾难性的,并且难以清理,需要彻底清除入侵者才能抵御未来攻击。 与商品勒索软件不同,人为操作的勒索软件可以在首次勒索请求后继续威胁企业运营。
注意
对 Microsoft 365 租户的勒索软件攻击假定攻击者具有租户的有效用户帐户凭据,并且有权访问用户帐户有权访问的所有文件和资源。 没有任何有效用户帐户凭据的攻击者必须对由 Microsoft 365 默认加密和增强加密的静态数据进行解密。 有关详细信息,请参阅 加密和密钥管理概述。
有关 Microsoft 产品的勒索软件保护详细信息,请参阅以下 其他勒索软件资源。
云安全是一项合作关系
Microsoft 云服务的安全性是你与 Microsoft 之间的合作关系:
- Microsoft 云服务以信任和安全为基础。 Microsoft 提供安全空间和功能,有助于保护数据和应用程序。
- 你的数据和身份为个人所有,并且你负责对这些数据和身份、本地资源安全性和所控制的云组件安全性进行保护。
通过结合这些功能和责任,我们可以提供针对勒索软件攻击的最佳保护。
与 Microsoft 365 一起提供的勒索软件缓解和恢复功能
一个侵入 Microsoft 365 租户的勒索软件攻击者可以通过以下行为对组织进行勒索:
- 删除文件或电子邮件
- 就地加密文件
- 将文件复制到租户外部(数据外泄)
但是,Microsoft 365 联机服务具有许多内置功能和控件,可保护客户数据免受勒索软件攻击。 以下各节提供了摘要。 有关 Microsoft 如何保护客户数据的详细信息,请参阅Microsoft 365 中的恶意软件和勒索软件保护。
注意
对 Microsoft 365 租户的勒索软件攻击假定攻击者具有租户的有效用户帐户凭据,并且有权访问用户帐户有权访问的所有文件和资源。 没有任何有效用户帐户凭据的攻击者必须对由 Microsoft 365 默认加密和增强加密的静态数据进行解密。 有关详细信息,请参阅 加密和密钥管理概述。
删除文件或电子邮件
SharePoint 和 OneDrive for Business 中的文件受到以下保护:
版本控制
Microsoft 365 默认保留文件的至少 500 个版本,并可以配置为保留更多版本。
若要最大程度地减轻安全和支持人员的负担,请培训用户如何还原以前版本的文件。
回收站
如果勒索软件创建文件的新加密副本并删除旧文件,则客户有 93 天的时间从回收站还原该文件。 93 天后,Microsoft 仍可在 14 天内恢复数据。
若要最大程度地减轻安全和支持人员的负担,请培训用户如何从回收站还原文件。
-
适用于 SharePoint 和 OneDrive 的完整自助式恢复解决方案,允许管理员和最终用户从过去 30 天内的任何时间点还原文件。
要最大程度地减轻安全和 IT 支持人员的负担,请对用户进行有关文件还原 的培训。
对于 OneDrive 和 SharePoint 文件,如果你受到大规模攻击,Microsoft 可以回退到最多 14 天内的上一时间点。
电子邮件受到以下保护:
单个项目恢复 和邮箱数据保留,可以在意外或恶意提前删除时恢复邮箱中的项目。 默认情况下,你可以回退 14 天内删除的邮件,并可配置为最多 30 天内的邮件。
数据保留策略 允许你在配置的保留期内保留电子邮件的不可变副本。
就地加密文件
如前文所述,SharePoint 和 OneDrive for Business 中的文件可以通过以下保护免受恶意加密:
- 版本控制
- 回收站
- 保存保留库
有关其他详细信息,请参阅处理 Microsoft 365 中的数据损坏。
将文件复制到租户外部
你可以通过以下方式阻止勒索软件攻击者将文件复制到租户外部:
Microsoft Purview 数据丢失防护 (DLP) 策略
检测、警告和阻止有风险的、无意的或不适当的对包含以下内容的数据的共享:
个人信息,例如个人标识信息 (PII),以符合区域隐私法规。
基于敏感度标签的机密组织信息。
Microsoft Defender for Cloud Apps
阻止下载敏感信息,如文件。
你还可以将会话策略用于 Defender for Cloud Apps 条件访问应用控制,以实时监视用户和应用程序之间的信息流。
此解决方案中的内容
此解决方案将分步部署 Microsoft 365 保护和缓解功能、配置和持续运行,以最大限度地降低勒索软件攻击者使用 Microsoft 365 租户中的关键数据和对组织进行勒索的能力。
此部署中的步骤如下所述:
下面是为 Microsoft 365 租户部署的解决方案的五个步骤。
此解决方案使用零信任的原则:
- 显式验证:始终根据所有可用数据点进行身份验证和授权。
- 使用最小特权访问:使用即时和恰好足够的访问 (JIT/JEA)、基于风险的自适应策略和数据保护来限制用户访问权限。
- 假设安全漏洞:尽量减少波及范围半径和线段访问。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。
与信任受组织防火墙保护的所有内容的传统 Intranet 访问不同,零信任将每次登录和访问都视为源自不受控制的网络,无论网络受组织防火墙保护还是来自 Internet。 零信任需要保护网络、基础结构、标识、终结点、应用和数据。
Microsoft 365 特性和功能
若要保护你的 Microsoft 365 租户免受勒索软件攻击,请使用这些 Microsoft 365 特性和功能,以执行解决方案中的这些步骤。
1. 安全基线
| 功能或特性 | 说明 | 帮助... | 颁发许可 |
|---|---|---|---|
| Microsoft 安全功能分数 | 度量 Microsoft 365 租户的安全状况。 | 评估安全配置并建议改进。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| 攻击面减少规则 | 使用各种配置设置减少组织面对网络攻击的漏洞。 | 阻止可疑活动和易受攻击的内容。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| Exchange 电子邮件设置 | 启用减少组织面对基于电子邮件攻击漏洞的服务。 | 阻止通过网络钓鱼和其他基于电子邮件的攻击对租户的初始访问。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| Microsoft Windows、Microsoft Edge 和 Microsoft 365 企业应用版设置 | 提供广为人知且经过充分测试的行业标准安全配置。 | 阻止通过 Windows、Edge 和 Microsoft 365 企业应用版进行的攻击。 | Microsoft 365 E3 或 Microsoft 365 E5 |
2. 检测和响应
| 功能或特性 | 说明 | 帮助检测和响应... | 颁发许可 |
|---|---|---|---|
| Microsoft Defender XDR | 合并信号并将功能整合到单个解决方案中。 支持安全专业人员汇集威胁信号,并确定威胁的完整范围和影响。 自动执行操作,以防止或停止攻击并自我修复受影响的邮箱、终结点和用户标识。 |
事件是组合起来的构成的攻击的警报和数据。 | Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3 |
| Microsoft Defender for Identity | 使用你的本地 Active Directory 域服务 (AD DS) 信号通过基于云的安全接口来识别、检测和调查针对组织的高级威胁、身份盗用和恶意内部行为。 | AD DS 帐户的凭据泄露。 | Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3 |
| Microsoft Defender for Office 365 | 保护你的组织免受电子邮件、链接 (URL) 和协作工具带来的恶意威胁。 防范恶意软件、网络钓鱼、欺骗和其他攻击类型。 |
网络钓鱼攻击。 | Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3 |
| Microsoft Defender for Endpoint | 支持跨终结点(设备)检测和响应高级威胁。 | 恶意软件安装和设备入侵。 | Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3 |
| Microsoft Entra ID 保护 | 自动检测和修正基于标识的风险并调查这些风险。 | Microsoft Entra帐户和特权提升的凭据泄露。 | Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3 |
| Defender for Cloud Apps | 用于发现、调查和治理跨所有 Microsoft 和第三方云服务的云访问安全代理。 | 横向移动和数据外泄。 | Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3 |
3. 身份
| 功能或特性 | 说明 | 有助于防止... | 颁发许可 |
|---|---|---|---|
| Microsoft Entra密码保护 | 阻止来自常用列表和自定义条目的密码。 | 云或本地用户帐户密码确定。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| 通过条件访问强制执行 MFA | 通过条件访问策略基于用户的登录属性要求使用 MFA。 | 凭据泄露和访问。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| 通过基于风险的条件访问强制执行 MFA | 要求基于用户使用 Microsoft Entra ID 保护 登录的风险进行 MFA。 | 凭据泄露和访问。 | Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3 |
4. 设备
对于设备和应用管理:
| 功能或特性 | 说明 | 有助于防止... | 颁发许可 |
|---|---|---|---|
| Microsoft Intune | 管理设备和在设备上运行的应用程序。 | 设备或应用泄露和访问。 | Microsoft 365 E3 或 E5 |
对于 Windows 11 或 10 设备:
| 功能或特性 | 说明 | 帮助... | 颁发许可 |
|---|---|---|---|
| Microsoft Defender 防火墙 | 提供基于主机的防火墙。 | 阻止来自入站且未经请求的网络流量的攻击。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| Microsoft Defender 防病毒 | 使用机器学习、大数据分析、深度威胁防御研究和 Microsoft 云基础结构为设备(终结点)提供反恶意软件保护。 | 阻止恶意软件的安装和运行。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| Microsoft Defender SmartScreen | 防范网络钓鱼或恶意软件网站和应用程序,以及下载潜在恶意文件。 | 在检查网站、下载、应用和文件时阻止或发出警告。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| Microsoft Defender for Endpoint | 有助于防止、检测、调查和响应跨设备(终结点)的高级威胁。 | 防止网络篡改。 | Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3 |
5. 信息
| 功能或特性 | 说明 | 帮助... | 颁发许可 |
|---|---|---|---|
| 文件夹限制访问 | 通过对照已知受信任应用列表检查应用来保护你的数据。 | 防止勒索软件更改或加密文件。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| Microsoft Purview 信息保护 | 允许将敏感度标签应用于可勒索的信息 | 阻止使用已外泄的信息。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| 数据丢失防护 (DLP) | 通过防止用户以不当方式共享敏感数据来保护敏感数据并降低风险。 | 防止数据外泄。 | Microsoft 365 E3 或 Microsoft 365 E5 |
| Defender for Cloud Apps | 用于发现、调查和治理的云访问安全代理。 | 检测横向移动并防止数据外泄。 | Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3 |
对用户和变更管理的影响
为 Microsoft 365 租户部署其他安全功能并实施要求和安全策略可能会影响用户。
例如,你可以实施一个新的安全策略,要求用户为特定用途创建新团队时使用列表中的用户帐户作为成员,而不是更轻松地为组织中所有用户创建团队。 这有助于防止勒索软件攻击者探索攻击者入侵的用户帐户不可用的团队,并在后续攻击中以该团队的资源为目标。
此基础解决方案将确定新配置或建议的安全策略何时会影响你的用户,以便你可以执行所需的变更管理。
后续步骤
使用以下步骤为 Microsoft 365 租户部署全面保护:
其他勒索软件资源
来自 Microsoft 的关键信息:
- 日趋严重的勒索软件威胁,2021 年 7 月 20 日 Microsoft 关于问题的博客文章
- 人工操作的勒索软件
- 快速部署勒索软件防护
- 2021 Microsoft 数字防御报告(请参阅第 10-19 页)
- 勒索软件:Microsoft Defender门户中的普遍且持续的威胁分析报告
- Microsoft 检测和响应团队 (DART) 勒索软件 方法和最佳做法 及 案例研究
Microsoft 365:
- 使用 Azure 和 Microsoft 365 最大化勒索软件复原能力
- 勒索软件事件响应 playbook
- 恶意软件和勒索软件防护
- 保护你的 Windows 10 电脑免受勒索软件攻击
- 在 SharePoint Online 中处理勒索软件
- Microsoft Defender门户中勒索软件的威胁分析报告
Microsoft Defender XDR:
Microsoft Azure:
- 针对勒索软件攻击的 Azure 防御
- 使用 Azure 和 Microsoft 365 最大化勒索软件复原能力
- 备份和还原计划以防范勒索软件
- 使用 Microsoft Azure 备份帮助防范勒索软件(26 分钟视频)
- 从系统性标识泄露中恢复
- Microsoft Sentinel 中的高级多阶段攻击检测
- Microsoft Sentinel 中的勒索软件融合检测
Microsoft Defender for Cloud Apps:
Microsoft 安全团队博客文章:
抵御人工操作勒索软件的指南:第 1 部分(2021 年 9 月)
有关 Microsoft 检测和响应团队 (DART) 执行勒索软件事件调查的关键步骤。
抵御人工操作勒索软件的指南:第 2 部分(2021 年 9 月)
建议和最佳做法。
通过了解网络安全风险以增强恢复能力:第 4 部分 - 浏览当前威胁(2021 年 5 月)
请参阅 勒索软件 部分。
人为操作的勒索软件攻击:可预防的灾难(2020 年 3 月)
包括对实际攻击的攻击链分析。