防範勒索軟體攻擊
在這個階段中,您會逐步移除進入點的風險,讓威脅執行者 更努力 地存取內部部署或雲端系統。
雖然許多這些變更會很熟悉且易於實作, 但您在這個策略中的工作不會減緩其他重要部分的進度非常重要!
以下是檢閱三部分勒索軟體預防計劃的連結:
遠端存取
透過遠端訪問連線存取組織的內部網路,是勒索軟體威脅執行者的攻擊媒介。
一旦內部部署用戶帳戶遭到入侵,威脅執行者就可以利用內部網路來收集情報、提高許可權,以及安裝勒索軟體。 2021 年的錯誤管線網路攻擊便是一個範例。
遠端訪問的程式和項目成員責任
下表就贊助/計畫管理/專案管理階層,說明對您的遠端存取解決方案的整體保護,使之免於勒索軟體攻擊,以判斷並推動結果。
| Lead | 實作器 | 當責 |
|---|---|---|
| CISO 或 CIO | 高階主管贊助 | |
| 中央 IT 基礎結構/網路小組的計畫負責人 | 推動結果和跨小組共同作業 | |
| IT 和 安全性 架構設計人員 | 設定元件整合至架構的優先順序 | |
| 中央 IT 身分識別小組 | 設定Microsoft項目標識符和條件式存取原則 | |
| 中央 IT 作業 | 將變更實作到環境 | |
| 工作負載擁有者 | 協助處理應用程式發行的 RBAC 權限 | |
| 安全性原則和標準 | 更新標準和原則文件 | |
| 安全性合規性管理 | 監視以確保合規性 | |
| 使用者教育小組 | 更新工作流程變更並執行教育與變更管理的任何指引 |
遠端訪問的實作檢查清單
套用這些最佳做法來保護遠端訪問基礎結構免於勒索軟體威脅執行者。
| 完成 | Task | 描述 |
|---|---|---|
| 維護軟體和設備更新。 避免對製造商保護 (安全性更新、支援的狀態) 的遺漏和疏失。 | 威脅執行者會使用尚未修補為攻擊媒介的已知弱點。 | |
| 設定現有遠端訪問Microsoft Entra識別碼,包括使用條件式存取強制執行 零信任 用戶和裝置驗證。 | 零信任提供多個層級的安全性,以保護貴組織的存取權。 | |
| 設定現有第三方 VPN 解決方案的安全性(Cisco AnyConnect、Palo Alto Networks GlobalProtect & Captive Portal、Fortinet FortiGate SSL VPN、Citrix NetScaler、Zscaler Private Access (ZPA)等等。 | 利用遠端存取解決方案的內建安全性。 | |
| 部署 Azure 點對站 (P2S) VPN 以提供遠端存取。 | 利用與 Microsoft Entra 識別碼和現有 Azure 訂用帳戶的整合。 | |
| 使用 Microsoft Entra 應用程式 Proxy 發佈內部部署 Web 應用程式。 | 以 Microsoft Entra 應用程式 Proxy 發佈的應用程式不需要遠端訪問連線。 | |
| 使用 Azure Bastion 保護對 Azure 資源的存取權。 | 透過 SSL 安全且順暢地連結到您的 Azure 虛擬機器。 | |
| 稽核和監視,以尋找和修正基準和潛在攻擊的偏差 (請參閱 偵測和回應)。 | 降低探查基準安全性功能和設定之勒索軟體活動的風險。 |
電子郵件與共同作業
實作電子郵件和共同作業解決方案的最佳做法,讓威脅執行者更難濫用它們,同時讓您的背景工作人員輕鬆且安全地存取外部內容。
威脅執行者經常進入環境,方法是在授權的共同作業工具內引入偽裝的惡意內容,例如電子郵件和檔案共用,並說服使用者執行內容。 Microsoft 已投資增強的防護功能,大幅提升對這些攻擊媒介的保護。
電子郵件和共同作業的程式和專案成員責任
下表就贊助/計畫管理/專案管理階層,說明對您的電子郵件和共同作業解決方案的整體保護,使之免於勒索軟體攻擊,以判斷並推動結果。
| Lead | 實作器 | 當責 |
|---|---|---|
| CISO、CIO 或 Identity Director | 高階主管贊助 | |
| 安全性架構 小組的程式負責人 | 推動結果和跨小組共同作業 | |
| IT 結構設計師 | 設定元件整合至架構的優先順序 | |
| 雲端生產力或終端使用者小組 | 啟用 適用於 Office 365 的 Defender、Azure Site Recovery 和AMSI | |
| 安全性架構 / 基礎結構 + 端點 | 設定協助 | |
| 使用者教育小組 | 工作流程變更的更新指引 | |
| 安全性原則和標準 | 更新標準和原則文件 | |
| 安全性合規性管理 | 監視以確保合規性 |
電子郵件和共同作業的實作檢查清單
套用這些最佳做法來保護電子郵件和共同作業解決方案免於勒索軟體威脅執行者
| 完成 | Task | 描述 |
|---|---|---|
| 啟用 適用于 Office VBA 的 AMSI。 | 使用 適用于端點的 Defender 等端點工具偵測 Office 巨集攻擊。 | |
| 使用 適用於 Office 365 的 Defender 或類似的解決方案實作進階電子郵件安全性。 | 電子郵件是威脅執行者常見的進入點。 | |
| 部署受攻擊面縮小 (Azure Site Recovery) 規則 來封鎖常見的攻擊技術,包括: - 端點濫用,例如認證竊取、勒索軟體活動,以及可疑的 PsExec 和 WMI 使用。 - 分散式 Office 文件活動,例如進階巨集活動、可執行內容、流程建立,以及 Office 應用程式所起始的流程插入。 注意: 先在稽核模式中部署這些規則,然後評估任何負面影響,然後將其部署為區塊模式。 |
Azure Site Recovery 提供特別針對降低常見攻擊方法之目標的額外保護層級。 | |
| 稽核和監視,以尋找和修正基準和潛在攻擊的偏差 (請參閱 偵測和回應)。 | 降低探查基準安全性功能和設定之勒索軟體活動的風險。 |
端點
實作相關的安全性功能,並嚴格遵循端點 (裝置) 和應用程式的軟體維護最佳做法,將應用程式和伺服器/用戶端作業系統直接公開給網際網路流量和內容。
因特網公開的端點是常見的進入向量,可讓威脅執行者存取組織的資產。 使用預防性控制來排定封鎖常見OS和應用程式弱點的優先順序,以減緩或阻止它們執行下一個階段。
端點的程式和項目成員責任
下表就贊助/計畫管理/專案管理階層,說明對您的端點的整體保護,使之免於勒索軟體攻擊,以判斷並推動結果。
| Lead | 實作器 | 當責 |
|---|---|---|
| 業務領導階層負責停機和攻擊損害的業務影響 | 執行贊助 (維護) | |
| 中央 IT 作業或 CIO | 執行發起人 (其他) | |
| 中央 IT 基礎結構小組的計劃負責人 | 推動結果和跨小組共同作業 | |
| IT 和 安全性 架構設計人員 | 設定元件整合至架構的優先順序 | |
| 中央 IT 作業 | 將變更實作到環境 | |
| 雲端生產力或終端使用者小組 | 啟用受攻擊面縮小 | |
| 工作負載/應用程式擁有者 | 識別變更的維護視窗 | |
| 安全性原則和標準 | 更新標準和原則文件 | |
| 安全性合規性管理 | 監視以確保合規性 |
端點的實作檢查清單
將這些最佳做法套用至所有 Windows、Linux、macOS、Android、iOS 和其他端點。
| 完成 | Task | 描述 |
|---|---|---|
| 使用 受攻擊面縮小 規則、 竄改防護和 第一次看見封鎖來封鎖已知的威脅。 | 請勿讓缺乏使用這些內建安全性功能,成為攻擊者進入組織的原因。 | |
| 套用 安全性基準 以強化網際網路面向的 Windows 伺服器和用戶端和 Office 應用程式。 | 使用最低層級的安全性,並從該處建置內容,以保護組織。 | |
| 維護您的軟體,使其如下: - 已更新:快速部署作業系統、瀏覽器和電子郵件客戶程式的重要安全性更新 - 支援: 升級您廠商所支援版本的作業系統和軟體。 |
攻擊者正在計算您對製造商更新和升級的遺漏和疏失。 | |
| 隔離、停用或淘汰不安全的系統與通訊協定,包括 不支援的作業系統 和 舊版通訊協定。 | 攻擊者會使用舊版裝置、系統和通訊協定的已知弱點作為貴組織的進入點。 | |
| 使用主機型防火牆和網路防禦封鎖非預期的流量。 | 某些惡意程式碼攻擊依賴對主機的未經要求輸入流量,作為建立攻擊連線的方式。 | |
| 稽核和監視,以尋找和修正基準和潛在攻擊的偏差 (請參閱 偵測和回應)。 | 降低探查基準安全性功能和設定之勒索軟體活動的風險。 |
帳戶
就像古老的萬用鑰匙無法保護房子避免現代化的竊賊入內行竊,密碼也無法讓帳戶避免遭受現今的常見攻擊。 雖然多重要素驗證 (MFA) 曾經是繁重的額外步驟,但無密碼驗證會使用不需要使用者記住或輸入密碼的生物特徵辨識方法來改善登入體驗。 此外,零信任 基礎結構會儲存受信任裝置的相關資訊,以減少提示發出頻外 MFA 動作的提示。
從高權限系統管理員帳戶開始,請嚴格遵循這些帳戶安全性的最佳做法,包括使用無密碼或 MFA。
帳戶的程式和項目成員責任
下表就贊助/計畫管理/專案管理階層,說明對您帳戶的整體保護,使之免於勒索軟體攻擊,以判斷並推動結果。
| Lead | 實作器 | 當責 |
|---|---|---|
| CISO、CIO 或 Identity Director | 高階主管贊助 | |
| 身分識別與金鑰管理 或 安全性架構小組的程式負責人 | 推動結果和跨小組共同作業 | |
| IT 和 安全性 架構設計人員 | 設定元件整合至架構的優先順序 | |
| 身分識別和金鑰管理 或 中央 IT 作業 | 實作設定變更 | |
| 安全性原則和標準 | 更新標準和原則文件 | |
| 安全性合規性管理 | 監視以確保合規性 | |
| 使用者教育小組 | 更新密碼或登入指引,並執行教育與變更管理 |
帳戶的實作檢查清單
套用這些最佳做法來保護您的帳戶,使之免于勒索軟體攻擊者攻擊。
| 完成 | Task | 描述 |
|---|---|---|
| 強制所有使用者使用強式 MFA 或無密碼登入。 使用一或多個下列專案,從系統管理員和 優先順序 帳戶開始: - 使用 Windows Hello 或 Microsoft Authenticator 應用程式 的無密碼驗證。 - 多重要素驗證。 - 協力廠商 MFA 解決方案。 |
藉由判斷使用者帳戶密碼,讓攻擊者更難執行認證入侵。 | |
| 增加密碼安全性: - 針對 Microsoft Entra 帳戶,請使用 Microsoft Entra Password Protection 來偵測並封鎖已知的弱式密碼,以及貴組織特有的其他弱式字詞。 - 針對 內部部署的 Active Directory Domain Services (AD DS) 帳戶,請將 Microsoft Entra Password Protection 擴充至 AD DS 帳戶。 |
請確定攻擊者無法根據您的組織名稱來判斷常見密碼或密碼。 | |
| 稽核和監視,以尋找和修正基準和潛在攻擊的偏差 (請參閱 偵測和回應)。 | 降低探查基準安全性功能和設定之勒索軟體活動的風險。 |
實作結果和時間表
嘗試在 30 天內達成這些結果:
100% 的員工正積極使用 MFA
100% 部署更高的密碼安全性
其他勒索軟體資源
來自Microsoft的重要資訊:
2023 年 Microsoft 數位防禦報告 (請參閱第 17 至 26 頁)
Microsoft 365:
- 為您的 Microsoft 365 租使用者部署勒索軟體防護
- 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
- 從勒索軟體攻擊中復原
- 惡意程式碼和勒索軟體防護
- 保護您的 Windows 10 電腦免受勒索軟體攻擊
- 在 SharePoint Online 中處理勒索軟體
- Microsoft Defender 入口網站中勒索軟體 的威脅分析報告
Microsoft Defender 全面偵測回應:
Microsoft Azure:
- 適用於勒索軟體攻擊的 Azure 防禦
- 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
- 備份和還原計劃以防範勒索軟體
- 利用 Microsoft Azure 備份來防止勒索軟體 (26 分鐘的影片)
- 從系統性身分識別入侵中復原
- Microsoft Sentinel 中的進階多階段攻擊偵測
- Microsoft Sentinel 中勒索軟體的融合偵測
適用於雲端的 Microsoft Defender 應用程式:
Microsoft 安全性小組部落格文章:
-
Microsoft偵測和回應小組(DART)如何進行勒索軟體事件調查的重要步驟。
對抗人類操作勒索軟體的指南:第 2 部分 (2021 年 9 月)
建議和最佳做法。
了解網路安全風險來變得具有彈性:第 4 部分— 流覽目前的威脅 (2021 年 5 月)
請參閱勒索軟體一節。
人為操作的勒索軟體攻擊:可預防的災難(2020 年 3 月)
包含實際攻擊的攻擊鏈結分析。