防御勒索软件攻击
在此阶段,你将通过逐渐消除入口点的风险来增加威胁行动者访问本地或云系统的难度。
虽然这些更改有很多已经耳熟能详,也很容易做到,但处理策略的这一部分时绝不能拖慢其他关键部分的进度,这一点非常重要!
下面是查看三部分勒索软件防护计划的链接:
远程访问
勒索软件威胁行动者的一种攻击途径是通过远程访问连接获得对你组织的 Intranet 的访问权限。
一旦本地用户帐户遭到入侵,威胁行动者就可以利用 Intranet 来收集情报、提升权限和安装勒索软件。 2021 年的 Colonial Pipeline 网络攻击就是这样。
远程访问的计划和项目成员责任
下表描述了远程访问解决方案在倡导/计划管理/项目管理层次结构方面针对勒索软件的整体防护情况,帮助确定和推动取得更佳成果。
| Lead | 实施者 | 问责 |
|---|---|---|
| 首席信息安全官 (CISO) 或首席信息官 (CIO) | 管理人员倡导 | |
| 中央 IT 基础结构/网络团队计划主管 | 推动取得更佳成果并促进跨团队协作 | |
| IT 和安全架构师 | 优先考虑组件到体系结构的集成 | |
| 中央 IT 标识团队 | 配置 Microsoft Entra ID 和条件访问策略 | |
| 中央 IT 操作 | 实施对环境的更改 | |
| 工作负载所有者 | 拥有 RBAC 权限协助应用发布 | |
| 安全策略和标准 | 更新标准和策略文档 | |
| 安全合规性管理 | 进行监视,确保合规性 | |
| 用户培训团队 | 更新有关工作流更改的任何指南,实施培训和变更管理 |
远程访问的实施清单
请应用以下最佳做法,保护远程访问基础结构免受勒索软件威胁行动者的攻击。
| 完成 | 任务 | 说明 |
|---|---|---|
| 维护软件和设备更新。 避免遗漏或忽略制造商防护(安全更新、支持的状态)。 | 威胁行动者将尚未进行修补的已知漏洞用作攻击载体。 | |
| 通过包括使用条件访问强制实施零信任用户和设备验证,为现有远程访问配置 Microsoft Entra ID。 | 针对到组织的访问,零信任提供多个级别的保护。 | |
| 为现有第三方 VPN 解决方案配置安全性,这些解决方案包括 Cisco AnyConnect、Palo Alto Networks GlobalProtect 和 Captive Portal、Fortinet FortiGate SSL VPN、Citrix NetScaler、Zscaler Private Access (ZPA) 等。 | 利用内置的远程访问解决方案安全性。 | |
| 部署 Azure 点到站点 (P2S) VPN 来提供远程访问权限。 | 利用与 Microsoft Entra ID 和现有 Azure 订阅的集成。 | |
| 使用 Microsoft Entra 应用程序代理发布本地 Web 应用。 | 通过 Microsoft Entra 应用程序代理发布的应用不需要远程访问连接。 | |
| 使用 Azure Bastion 保护对 Azure 资源的访问。 | 通过 SSL 安全、无缝地连接到 Azure 虚拟机。 | |
| 进行审核和监视,查找与基线的偏差和潜在攻击并进行修复(请查看检测和响应)。 | 降低旨在探测基线安全功能和设置的勒索软件活动带来的风险。 |
电子邮件和协作
实施电子邮件和协作解决方案的最佳做法,使威胁行动者更难滥用它们,同时使你的员工能够轻松、安全地访问外部内容。
威胁行动者经常在经授权协作工具(例如电子邮件和文件共享)中引入伪装的恶意内容并诱使用户运行这些内容,从而入侵环境。 Microsoft 在增强缓解措施方面大力投入,这些措施可大大提高对这些攻击载体的防范。
电子邮件和协作的计划和项目成员责任
下表描述了电子邮件和协作解决方案在倡导/计划管理/项目管理层次结构方面针对勒索软件的整体防护情况,帮助确定和推动取得更佳成果。
| Lead | 实施者 | 问责 |
|---|---|---|
| CISO、CIO 或标识主管 | 管理人员倡导 | |
| 安全体系结构团队计划主管 | 推动取得更佳成果并促进跨团队协作 | |
| IT 架构师 | 优先考虑组件到体系结构的集成 | |
| 云生产力或最终用户团队 | 启用 Defender for Office 365、Azure Site Recovery 和 AMSI | |
| 安全体系结构 / 基础结构 + 终结点 | 配置协助 | |
| 用户培训团队 | 更新工作流变更指南 | |
| 安全策略和标准 | 更新标准和策略文档 | |
| 安全合规性管理 | 进行监视,确保合规性 |
电子邮件和协作的实施清单
请应用以下最佳做法,保护电子邮件和协作解决方案免受勒索软件威胁行动者的攻击。
| 完成 | 任务 | 说明 |
|---|---|---|
| 启用 AMSI for Office VBA。 | 通过 Defender for Endpoint 等终结点工具检测 Office 宏攻击。 | |
| 使用 Defender for Office 365 或类似解决方案实现高级电子邮件安全性。 | 威胁行动者经常通过电子邮件发起攻击。 | |
| 部署攻击面减少 (Azure Site Recovery) 规则来阻止常见的攻击方式,包括: - 终结点滥用,例如凭据被盗、勒索软件活动、对 PsExec 和 WMI 的可疑使用。 - 武器化的 Office 文档活动,例如高级宏活动、可执行文件内容、进程创建、Office 应用程序发起的进程注入。 注意: 请先在审核模式中部署这些规则,然后对任何负面影响进行评估,再部署到阻止模式中。 |
Azure Site Recovery 提供了额外的保护层,专门用于缓解常见的攻击方法。 | |
| 进行审核和监视,查找与基线的偏差和潜在攻击并进行修复(请查看检测和响应)。 | 降低会探测基线安全功能和设置的勒索软件活动造成的风险。 |
终结点
请实施相关安全功能,并严格遵守终结点(设备)和应用程序的软件维护最佳做法,从而优先处理直接公开给 Internet 流量和内容的应用程序和服务器/客户端操作系统。
在 Internet 公开的终结点是一种常见的入口载体,威胁行动者通过它们访问组织的资产。 优先考虑通过预防控制措施来阻止常见的 OS 和应用程序漏洞,拖慢或遏止它们执行后续阶段。
终结点的计划和项目成员责任
下表描述了终结点在倡导/计划管理/项目管理层次结构方面针对勒索软件的整体防护情况,帮助确定和推动取得更佳成果。
| Lead | 实施者 | 问责 |
|---|---|---|
| 负责停机和攻击损害造成的业务影响的业务负责人 | 管理人员倡导(维护) | |
| 中央 IT 操作或 CIO | 管理人员倡导(其他) | |
| 中央 IT 基础结构团队计划主管 | 推动取得更佳成果并促进跨团队协作 | |
| IT 和安全架构师 | 优先考虑组件到体系结构的集成 | |
| 中央 IT 操作 | 实施对环境的更改 | |
| 云生产力或最终用户团队 | 启用攻击面减少 | |
| 工作负载/应用所有者 | 确定要实施更改的维护时段 | |
| 安全策略和标准 | 更新标准和策略文档 | |
| 安全合规性管理 | 进行监视,确保合规性 |
终结点的实施清单
请对所有 Windows、Linux、macOS、Android、iOS 和其他终结点应用这些最佳做法。
| 完成 | 任务 | 说明 |
|---|---|---|
| 通过攻击面减少规则、篡改防护和首次发现时阻止来阻止已知威胁。 | 不要让缺少这些内置安全功能成为攻击者入侵你的组织的理由。 | |
| 应用安全基线来强化面向 Internet 的 Windows 服务器和客户端及 Office 应用程序。 | 使用最低级别的安全保护组织,并在此基础上进行构建。 | |
| 维护软件,使其: - 已更新:快速部署操作系统、浏览器和电子邮件客户端的关键安全更新 - 受到支持:升级操作系统和软件,获得供应商支持的版本。 |
攻击者指望着你漏掉或忽略制造商更新和升级。 | |
| 隔离、禁用或禁用不安全的系统和协议,包括不受支持的操作系统和旧协议。 | 攻击者利用旧设备、系统和协议的已知漏洞作为入口点来入侵你的组织。 | |
| 使用基于主机的防火墙和网络防御来阻止意外流量。 | 一些恶意软件攻击会依赖到主机的未经请求的入站流量,以此建立连接来发动攻击。 | |
| 进行审核和监视,查找与基线的偏差和潜在攻击并进行修复(请查看检测和响应)。 | 降低会探测基线安全功能和设置的勒索软件活动造成的风险。 |
帐户
就像老旧的万能钥匙没法防止现代小偷侵入屋子一样,密码也没法保护帐户免遭我们今天看到的常见攻击。 尽管多重身份验证 (MFA) 曾经是一个繁琐的额外步骤,但无密码身份验证使用生物识别方法改进了登录体验,用户无需记住或键入密码。 此外,零信任基础结构会存储有关受信任的设备的信息,这就减少了提示执行恼人的带外 MFA 操作的次数。
从高特权管理员帐户开始,请严格遵循这些帐户安全性最佳做法,包括无密码方法或 MFA。
帐户的计划和项目成员责任
下表描述了帐户在倡导/计划管理/项目管理层次结构方面针对勒索软件的整体防护情况,帮助确定和推动取得更佳成果。
| Lead | 实施者 | 问责 |
|---|---|---|
| CISO、CIO 或标识主管 | 管理人员倡导 | |
| 标识和密钥管理或安全体系结构团队计划主管 | 推动取得更佳成果并促进跨团队协作 | |
| IT 和安全架构师 | 优先考虑组件到体系结构的集成 | |
| 标识和密钥管理或中央 IT 操作 | 实施配置更改 | |
| 安全策略和标准 | 更新标准和策略文档 | |
| 安全合规性管理 | 进行监视,确保合规性 | |
| 用户培训团队 | 更新密码或登录指南,执行培训和变更管理 |
帐户的实施清单
请运用以下最佳做法,保护帐户免受勒索软件攻击者的攻击。
| 完成 | 任务 | 说明 |
|---|---|---|
| 对所有用户强制实施强 MFA 或无密码登录。 从管理员和优先级帐户开始,使用一个或多个: - 无密码身份验证(通过 Windows Hello 或 Microsoft Authenticator 应用)。 多重身份验证。 - 第三方 MFA 解决方案。 |
确定用户帐户密码增加了攻击者窃取凭据的难度。 | |
| 提高密码安全性: - 对于 Microsoft Entra 帐户,使用 Microsoft Entra 密码保护来检测和阻止已知的弱密码和特定于你的组织的其他薄弱项。 - 对于本地 Active Directory 域服务 (AD DS) 帐户,将 Microsoft Entra 密码保护扩展到 AD DS 帐户。 |
确保攻击者没法确定出常见密码,也没法根据你的组织名称确定密码。 | |
| 进行审核和监视,查找与基线的偏差和潜在攻击并进行修复(请查看检测和响应)。 | 降低会探测基线安全功能和设置的勒索软件活动造成的风险。 |
实施结果和时间线
尽量在 30 天内实现以下结果:
员工全都在主动使用 MFA
全面部署更高的密码安全性
其他勒索软件资源
Microsoft 提供的重要信息:
Moonstone Sleet 以新伎俩成为朝鲜的新威胁行动者,Microsoft 博客,2024 年 5 月
人为操作的勒索软件
2023 Microsoft 数字防御报告(请参阅第 17-26 页)
Microsoft Defender 门户中的“勒索软件:普遍和持续的威胁”威胁分析报告
Microsoft 365:
- 为 Microsoft 365 租户部署勒索软件防护
- 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
- 从勒索软件攻击中恢复
- 恶意软件和勒索软件防护
- 保护 Windows 10 电脑,使其免受勒索软件侵害
- SharePoint Online 中的勒索软件
- Microsoft Defender 门户中的“勒索软件的威胁分析报告”
Microsoft Defender XDR:
Microsoft Azure:
- Azure 针对勒索软件攻击的防御措施
- 使用 Azure 和 Microsoft 365 最大限度地提高勒索软件的复原能力
- 旨在防范勒索软件的备份和还原计划
- 使用 Microsoft Azure 备份帮助防范勒索软件(26 分钟的视频)
- 从系统标识泄露中恢复
- Microsoft Sentinel 中的高级多阶段攻击检测
- Microsoft Sentinel 中对勒索软件的融合检测
Microsoft Defender for Cloud Apps:
Microsoft 安全团队博客文章:
打击人为操作的勒索软件指南:第 1 部分(2021 年 9 月)
Microsoft 检测和响应团队 (DART) 进行勒索软件事件调查的关键步骤。
打击人为操作的勒索软件指南:第 2 部分(2021 年 9 月)
建议和最佳做法。
通过了解网络安全风险实现复原:第 4 部分 - 浏览当前威胁(2021 年 5 月)
请参阅“勒索软件”部分。
人为操作的勒索软件攻击:可预防的灾难(2020 年 3 月)
包括对实际攻击的攻击链分析。