RaMP 清单 - 勒索软件恢复准备
此快速现代化计划 (RaMP) 清单可帮助你做好组织准备,以便在面临勒索软件攻击者索要赎金时拥有可行的替代方案。 虽然控制你的组织的攻击者有各种方式来逼迫你支付赎金,但其要求主要集中在两个类别:
支付费用来重新获得访问权限
攻击者会威胁称他们将不返还系统和数据的访问权限,以此要求付款。 更常见的做法是加密你的系统和数据,要求你付费换取解密密钥。
重要
支付赎金这种解决方案并不像它看上去那样简单利落。 因为你要应对的是只想敲诈一笔的犯罪者(他们经常是相对业务的攻击者,使用由其他人提供的工具包),因此支付赎金实际上效果多大存在很大的不确定性。 没有法律保证他们提供的密钥能 100% 解密你的系统和数据,甚至没法保证他们会提供密钥。 在解密这些系统时,需要使用自行开发的攻击者工具,这一过程通常是手动的,而且不易操作。
支付费用来避免信息泄露
攻击者要求支付赎金来换取他们不会将敏感或尴尬数据发布给暗网(其他犯罪者)或公众的保证。
为了避免被迫支付赎金(这种情况对攻击者而言有利可图),可采取的最直接且最有效的操作是确保组织可以从尚未被勒索软件攻击感染或加密的不可变存储中恢复整个企业,而无论攻击者还是你自己都无法修改该存储。
确定最敏感的资产并对其进行更高保障级别的保护也至关重要,但执行起来更耗时且更具挑战性。 我们不希望你耽搁其他方面,但建议在该过程中首先将业务、IT 和安全利益干系人聚在一起来询问和解答下述问题:
- 如果遭到入侵,哪些业务资产会受到最大损害? 例如,当攻击者控制了哪些资产时,业务领导会愿意支付勒索金额?
- 这些业务资产如何转换为 IT 资产(例如文件、应用程序、数据库和服务器)?
- 可以如何保护或隔离这些资产,以使能访问常规 IT 环境的攻击者无法访问它们?
保护备份
必须确保关键系统及其数据已备份,并可永远抵御攻击者的蓄意擦除或加密。 备份必须尚未被勒索软件攻击感染或加密,否则将要还原的一组文件可能会包含攻击者在恢复后可以利用的入口点。
对备份的攻击侧重于削弱组织不付赎金进行应对的能力,通常会攻击需要恢复的备份和关键文档,迫使你支付勒索金额。
大多数组织不会针对这种级别的蓄意攻击来保护备份和还原过程。
注意
这样准备还可提高在遭受自然灾害和快速攻击(例如 WannaCry 和 (Not)Petya)后的复原能力。
旨在防范勒索软件的备份和还原计划介绍了攻击之前如何保护关键业务系统以及攻击期间如何使用 Azure 备份和其他 Microsoft 云服务确保业务操作快速恢复。 如果使用第三方提供的异地备份解决方案,请参阅其文档。
计划和项目成员责任
下表描述了数据在倡导/计划管理/项目管理层次结构方面针对勒索软件的整体防护情况,帮助确定和推动取得更佳成果。
Lead | 所有者 | 问责 |
---|---|---|
中央 IT 操作或 CIO | 管理人员倡导 | |
中央 IT 基础结构计划主管 | 推动取得更佳成果并促进跨团队协作 | |
基础结构/备份工程师 | 启用基础结构备份 | |
Microsoft 365 管理员 | 针对 OneDrive 和受保护的文件夹实施对 Microsoft 365 租户的更改 | |
安全工程师 | 有关配置和标准的建议 | |
IT 管理员 | 更新标准和策略文档 | |
安全治理和/或 IT 管理员 | 进行监视,确保合规性 | |
用户培训团队 | 确保针对用户的指导中建议使用 OneDrive 和受保护文件夹 |
部署目标
满足这些部署目标以保护备份基础结构。
已完成 | 部署目标 | 所有者 |
---|---|---|
1. 保护恢复所需的支持文档,例如还原过程文档、配置管理数据库 (CMDB) 和网络图。 | IT 架构师或实现者 | |
2.确定定期自动备份所有关键系统的过程并监视遵循情况。 | IT 备份管理员 | |
3.制定流程和计划,以定期执行业务连续性/灾难恢复 (BCDR) 计划。 | IT 架构师 | |
4. 在备份计划中包括保护备份,防止故意擦除和加密: - 强保护 - 要求先执行带外步骤(例如,多重身份验证或 PIN)才能修改联机备份(如 Azure 备份)。 - 最强保护 - 将备份存储在联机不可变存储(如 Azure Blob)和/或完全脱机或站点外的位置。 |
IT 备份管理员 | |
5. 让用户配置 OneDrive 备份和受保护的文件夹。 | Microsoft 365 生产力管理员 |
下一步
通过步骤 3. 数据继续执行数据、合规性和治理计划。