為勒索軟體攻擊做好準備

採用網路安全性架構

採用 Microsoft 雲端安全性基準 (MCSB) 來保護 Azure 環境是個良好的起點。 Microsoft 雲端安全性基準是 Azure 安全性控制架構，其依據以產業為基礎的安全性控制架構 (例如 NIST SP800-53、CIS Controls v7.1)。

Microsoft 雲端安全性基準可為組織提供如何設定 Azure 和 Azure 服務，以及實作安全性控制項的指引。 組織可以使用適用於雲端的 Microsoft Defender，搭配所有 MCSB 控制項來監視其即時的 Azure 環境狀態。

此架構的最終目標是降低且更妥善地管理網路安全性風險。

Microsoft 雲端安全性基準堆疊
網路安全性 (NS)
身分識別管理 (IM)
特殊權限存取 (PA)
資料保護 (DP)
資產管理 (AM)
記錄和威脅偵測 (LT)
事件回應 (IR)
態勢與弱點管理 (PV)
端點安全性 (ES)
備份與復原 (BR)
DevOps 安全性 (DS)
治理與策略 (GS)

設定風險降低的優先順序

根據我們在勒索軟體攻擊方面的經驗，我們發現優先順序應該集中在：1) 準備、2) 限制、3) 預防。 這似乎有違直覺，因為大多數人們都想阻止攻擊並繼續進行。 可惜的是，我們必須假設缺口 (一個關鍵的零信任準則)，並先專注於如何可靠地減輕最大損害。 由於勒索軟體極有可能出現最糟的情況，因此，此優先順序至關重要。 儘管這是個可接受而非令人滿意的事實，但我們正面臨極具創意力且富有動機的人類攻擊者，他們善於找到一種方式來控制我們所處的複雜真實世界環境。 根據該事實，務必為最糟的情況做好準備，並建立架構來遏止並阻止攻擊者隨後能夠取得其所需的內容。

雖然這些優先順序應該先決定該怎麼做，但我們建議組織盡可能平行執行多個步驟，包括盡可能從步驟 1 快速取得成果。

讓登入更困難

阻止勒索軟體攻擊者進入您的環境，並快速回應事件，以在攻擊者竊取和加密資料之前移除其存取權。 這會導致攻擊者更早且更頻繁地失敗，從而削弱其因攻擊而獲得的利益。 儘管預防是首選結果，但其為一段持續旅程，而且可能無法在真實世界組織 (具有分散式 IT 責任的複雜多平台和多雲端資產) 中達到 100% 的防護和快速回應。

為了達成此目的，組織應該識別並執行速戰速決，以強化安全性控制措施來阻止進入，並快速偵測/驅逐攻擊者，同時實作可協助他們保持安全的持續性計畫。 Microsoft 建議組織遵循此處零信任策略中所概述的原則。 具體而言，針對勒索軟體，組織應該優先：

• 透過專注於努力縮小受攻擊面，並針對其不動產中的資產進行威脅與弱點管理來改善安全性檢疫。
• 針對可提供保護來抵禦商品和進階威脅的數位資產，實作保護、偵測與回應控制措施，以提供對攻擊者活動的可見度和警示，並回應作用中的威脅。

限制損害範圍

確定您對 IT 管理員之類的特殊權限帳戶及其他可控制商務關鍵性系統的角色具備強有力的控制 (預防、偵測、回應)。 這會減慢和/或封鎖攻擊者，使其無法取得資源的完整存取權來竊取及加密這些資源。 移除攻擊者使用 IT 管理員帳戶作為獲取資源之捷徑的能力，將大幅降低他們成功攻擊您並要求付款/獲利的機會。

組織應已提高特殊權限帳戶的安全性 (嚴格保護、密切監視及快速回應與這些角色相關的事件)。 請參閱 Microsoft 的安全性快速現代化方案，其中涵蓋：

• 端對端工作階段安全性 (包括適用於管理員的多重要素驗證 (MFA))
• 保護和監視身分識別系統
• 減輕橫向周遊
• 快速威脅回應

為最差狀況做好準備

為最糟的情況做好打算，並預期將會發生 (在組織的所有層級)。 這將協助組織以及您所仰賴的其他人：

• 限制在最遭情況下產生的損害：儘管從備份還原所有系統對企業而言具有高度干擾性，但相較於在付費取得金鑰之後嘗試使用 (低品質) 由攻擊者提供的解密工具來復原，這更有效率。 注意：付款是一條不確定的道路：您無法獲得正式或合法保證該金鑰適用於所有檔案、工具將有效運作，或攻擊者 (可能是使用專業工具組的業餘聯盟) 將會善意行事。
• 限制攻擊者的財務報酬：如果組織可在不支付攻擊者費用的情況下恢復商務營運，則攻擊即告失敗，致使攻擊者的投資報酬率 (ROI) 為零。 這使得他們未來不太可能以該組織為目標 (並剝奪他們用來攻擊其他人的更多資金)。

攻擊者可能仍會嘗試透過資料洩漏或濫用 / 銷售遭竊的資料來敲詐組織，但比起他們擁有您資料和系統的唯一存取路徑，這所造成的影響力較低。

為了實現這一點，組織應該確保他們：

• 註冊風險：將勒索軟體新增到風險註冊，以作為高可能性和高影響案例。 透過企業風險管理 (ERM) 評量週期追蹤風險降低狀態。
• 定義和備份商務關鍵性資產：定義商務關鍵性作業所需的系統，並定期排程以自動備份它們 (包括關鍵相依性的正確備份，例如 Active Directory) 保護備份，以避免使用離線儲存體、不可變儲存體和/或頻外步驟 (MFA 或 PIN) 蓄意消除和加密，然後再修改 / 消除線上備份。
• 測試「從零復原」案例：測試以確保您的商務持續性 / 災害復原 (BC/DR) 能夠使商務關鍵性作業從零功能 (所有系統均已關閉) 快速上線。 進行實作練習來驗證跨小組的程序 (Process) 和技術程序 (Procedure)，包括頻外員工和客戶通訊 (假設所有電子郵件/聊天/等等均已關閉)。
  務必保護 (或列印) 復原所需的支援文件和系統，包括還原程序文件、CMDB、網路圖表、SolarWinds 執行個體等。攻擊者會定期銷毀這些項目。
• 減少內部部署曝光：使用自動備份與自助復原，將資料移至雲端服務。

提高認知，並確保沒有任何知識差距

您或許能夠從事一些活動來為潛在的勒索軟體事件做好準備。

教育終端使用者有關勒索軟體的危險性

由於大多數勒索軟體變體都依賴終端使用者安裝勒索軟體或連線到遭入侵的網站，因此，應該對所有終端使用者進行有關這類危險性的教育。 這通常是年度安全性意識訓練的一部分，以及透過公司學習管理系統提供的臨機操作訓練。 意識訓練也應該透過公司的入口網站或其他適當管道延伸到公司的客戶。

教育安全性作業中心 (SOC) 分析師和其他人員如何回應勒索軟體事件

SOC 分析師和涉及勒索軟體事件的其他人應該特別了解惡意軟體和勒索軟體的基本概念。 他們應該注意勒索軟體的主要變體 / 系列，以及一些典型特性。 客服中心的員工也應該意識到如何處理來自公司終端使用者和客戶的勒索軟體報告。

確保您具備適當的技術控制措施

您應該採取各種不同的技術控制措施來保護、偵測及回應勒索軟體事件，並高度強調預防。 SOC 分析師至少應該能夠存取公司中反惡意程式碼系統所產生的遙測、了解哪些預防措施已就緒、了解勒索軟體的目標基礎結構，而且能夠協助公司小組採取適當動作。

這應該包含下列部分或所有基本工具：

• 偵測和防護工具

  • 企業伺服器反惡意程式碼產品套件 (例如，適用於雲端的 Microsoft Defender)
  • 網路反惡意程式碼解決方案 (例如，Azure 反惡意程式碼)
  • 安全性資料分析平台 (例如，Azure 監視器、Sentinel)
  • 新一代入侵偵測和防護系統
  • 新一代防火牆 (NGFW)

• 惡意程式碼分析和回應工具組

  • 自動化惡意程式碼分析系統，支援組織中大多數主要終端使用者和伺服器作業系統
  • 靜態和動態惡意程式碼分析工具
  • 數位鑑識軟體和硬體
  • 非組織網際網路存取 (例如 4G 硬體鎖)
  • 為了達到最大效益，SOC 分析師除了安全性資料分析平台內的統一遙測之外，還應透過其原生介面廣泛存取幾乎所有的反惡意程式碼平台。 適用於 Azure 雲端服務和虛擬機器的 Azure 原生反惡意程式碼軟體平台提供如何完成此作業的逐步指南。
  • 擴充和情報來源
  • 線上和離線威脅與惡意程式碼情報來源 (例如，Sentinel、Azure 網路監看員)
  • Active Directory 和其他驗證系統 (及相關記錄)
  • 包含端點裝置資訊的內部設定管理資料庫 (CMDB)

• 資料保護

  • 實作資料保護，以確保可從勒索軟體攻擊中進行快速且可靠的復原 + 封鎖某些技術。
  • 指定受保護的資料夾：讓未經授權的應用程式更難修改這些資料夾中的資料。
  • 檢閱權限：降低以非限制性的存取權啟用勒索軟體的風險
  • 探索檔案共用、SharePoint 及其他解決方案的非限制性寫入 / 刪除權限
  • 降低非限制性權限，同時符合商務共同作業需求
  • 稽核與監視，以確保非限制性權限不會重新出現
  • 保護備份
  • 確定關鍵系統已備份且備份受到保護，可防止攻擊者蓄意消除 / 加密。
  • 定期排程自動備份所有關鍵系統
  • 定期執行商務持續性 / 災害復原 (BC/DR) 方案，以確保能夠快速復原商務營運
  • 保護備份以防止蓄意消除和加密
  • 增強保護：修改線上備份 (例如 Azure 備份) 之前需要頻外步驟 (例如 MUA/MFA)
  • 最強的保護：隔離備份與線上 / 實際執行工作負載，以增強備份資料的保護。
  • 保護復原所需的支援文件，例如，還原程序文件、CMDB 及網路圖表

建立事件處理程序

確定貴組織大致遵循美國國家標準暨技術研究院 (NIST) 電腦安全事件處理指南 (特刊 800-61r2) 中所述的事件回應步驟和指引來從事一些活動，以為潛在的勒索軟體事件做好準備。 這些步驟包括：

1. 準備：此階段描述應在事件之前備妥的各種措施。 這可能包括技術準備 (例如，實作適當的安全性控制措施和其他技術) 及非技術準備 (例如，程序 (Process) 和程序 (Procedure) 的準備)。
2. 觸發程序 / 偵測：此階段描述如何偵測此類型的事件，以及應用來起始進一步調查或事件宣告的觸發程序。 這些通常分成高信賴度和低信賴度的觸發程序。
3. 調查/分析：此階段說明在不清楚是否發生事件時應從事來調查和分析可用資料的活動，目標是確認應該宣告某個事件，或得出事件尚未發生的結論。
4. 事件宣告：此階段涵蓋必須採取來宣告事件的步驟，通常是在企業事件管理 (票證) 系統內提出票證，並將該票證導向到適當的人員，以進行進一步評估並採取動作。
5. 遏止 / 風險降低：此階段涵蓋安全性作業中心 (SOC) 或其他人員可能採取的步驟，以包含或減輕 (停止) 事件持續發生或限制對使用可用工具、技術和程序之事件的影響。
6. 補救 / 復原：此階段涵蓋在事件受到控制並減緩之前可能採取來補救或從事件所導致之損害中復原的步驟。
7. 事件後的活動：此階段涵蓋應該在事件了結之後執行的活動。 這包括取得與事件相關聯的最終敘述，以及確認所學到的經驗。

為快速復原做好準備

確定您已備妥適當的程序 (Process) 和程序 (Procedure)。 幾乎所有勒索軟體事件都會導致需要還原遭入侵的系統。 因此，大多數系統都應備妥適當且經過測試的備份和還原程序 (Process) 及程序 (Procedure)。 此外，還應該備妥具有適當程序的適當遏止策略，以停止散佈勒索軟體，並從勒索軟體攻擊中復原。

確保您已妥善記載可獲得任何第三方支援的程序，特別是來自威脅情報提供者、反惡意程式碼解決方案提供者及惡意程式碼分析提供者的支援。 如果勒索軟體變體可能具有已知弱點或有可用的解密工具，這些連絡人可能非常實用。

Azure 平台會透過 Azure 備份來提供備份和復原選項，並內建於各種資料服務和工作負載中。

使用 Azure 備份隔離的備份

• Azure 虛擬機器
• Azure VM 中的資料庫：SQL、SAP HANA
• 適用於 PostgreSQL 的 Azure 資料庫
• 內部部署 Windows 伺服器 (使用 MARS 代理程式備份到雲端)

使用 Azure 備份的本機 (作業) 備份

• Azure 檔案
• Azure Blob
• Azure 磁碟

來自 Azure 服務的內建備份

• Azure 資料庫 (SQL、MySQL、MariaDB、PostgreSQL)、Azure Cosmos DB 和 ANF 等資料服務均提供內建備份功能

後續步驟

請參閱此白皮書：適用於勒索軟體攻擊的 Azure 防禦措施白皮書。

此系列的其他文章：

• Azure 中的勒索軟體防護
• 偵測並回應勒索軟體攻擊
• 可協助您保護、偵測及回應的 Azure 功能和資源