Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье вы узнаете, как Брандмауэр Azure ценовой категории "Премиум" помогает защититься от атак с применением программ-шантажистов.
Подсказка
Полные рекомендации по защите от программ-шантажистов на всех платформах и службах Майкрософт см. в статье "Защита организации от программ-шантажистов и вымогательство". В этой статье рассматриваются специальные возможности брандмауэра Azure Premium для защиты от программ-шантажистов.
Что такое программа-шантажист?
Программа-шантажист — это тип вредоносного программного обеспечения, предназначенный для блокирования доступа к компьютерной системе до выплаты некоторой суммы денег. Злоумышленник обычно использует имеющуюся в системе уязвимость, чтобы проникнуть в сеть и запустить вредоносное ПО на целевом узле.
Программы-шантажисты часто распространяются через фишинговые сообщения электронной почты с вредоносными вложениями или путем скрытого скачивания. Скрытое скачивание происходит, когда пользователь, не зная того, посещает зараженный веб-сайт, с которого без его ведома скачивается и устанавливается вредоносная программа.
Защита от вредоносных сетевых действий
Система обнаружения и предотвращения сетевых вторжений (IDPS) позволяет отслеживать возможные вредоносные действия в сети, записывать в журнал сведения о таких действиях, сообщать о них и при необходимости пытаться блокировать их.
Брандмауэра Azure ценовой категории "Премиум" предоставляет функцию IDPS на основе сигнатур, тщательно проверяющую каждый пакет, включая все его заголовки и полезные данные, для обнаружения вредоносных действий и предотвращения проникновения в сеть.
Сигнатуры IDPS применимы к трафику как уровня приложения, так и уровня сети (уровни 4–7) и являются полностью управляемыми. В их число входят более 65 000 сигнатур, относящихся к более чем 50 разным категориям. Для поддержания сигнатур IDPS в актуальном состоянии в условиях постоянно меняющегося характера угроз, предпринимаются указанные ниже меры.
- Брандмауэр Azure имеет ранний доступ к сведениям об уязвимостях из Microsoft Active Protections Program (MAPP) и Microsoft Security Response Center (MSRC).
- Каждый день для брандмауэра Azure выпускает от 30 до 50 новых сигнатур.
Сегодня для защиты интернет-трафика повсеместно используется современное шифрование (SSL/TLS). Злоумышленники используют шифрование для внедрения вредоносных программ в сеть жертвы. Поэтому клиенты должны проверять зашифрованный трафик так же, как любой другой.
Функция IDPS в Брандмауэре Azure ценовой категории "Премиум" позволяет обнаруживать атаки на всех портах и протоколах для незашифрованного трафика. Однако при необходимости проверки трафика HTTPS Брандмауэр Azure может использовать свою возможность проверки TLS для расшифровки трафика и более точного обнаружения вредоносных действий.
После установки программы-шантажиста на целевом компьютере она может попытаться зашифровать имеющиеся на нем данные. Программе-шантажисту требуется ключ шифрования и может использоваться команда и управление (C&C), чтобы получить ключ шифрования с сервера C&C, размещенного злоумышленником. CryptoLocker, WannaCry, TeslaCrypt, Cerber и Locky являются некоторыми из программ-шантажистов с помощью C&C для получения необходимых ключей шифрования.
Брандмауэр Azure Premium имеет сотни подписей, предназначенных для обнаружения подключения C&C и блокировки его, чтобы предотвратить шифрование данных злоумышленником. На следующей схеме показана Брандмауэр Azure защита от атаки программы-шантажистов с помощью канала C&C.
Отражение атак с применением программ-шантажистов
Рекомендуется использовать комплексный подход к защите от атак с применением программ-шантажистов. Брандмауэр Azure по умолчанию работает в режиме запрета и блокирует доступ, если администратор явно не разрешил его. Включение функции аналитики угроз (TI) в режиме оповещения и запрета блокирует доступ к известным вредоносным IP-адресам и доменам. Веб-канал аналитики угроз Майкрософт непрерывно обновляется с учетом новых и перспективных угроз.
Для централизованной настройки брандмауэров можно использовать политику брандмауэра. Это помогает быстро реагировать на угрозы. Клиенты могут включить аналитику угроз и IDPS в нескольких брандмауэрах всего несколькими щелчками мыши. Веб-категории позволяют администраторам разрешать или запрещать доступ пользователей к веб-сайтам определенных категорий, таким как веб-сайты азартных игр, социальных сетей и др. Фильтрация URL-адресов ограничивает доступ к внешним сайтам и помогает еще более снизить риск. Иными словами, в Брандмауэре Azure есть все необходимое для надежной защиты компаний от вредоносных программ и программ-шантажистов.
Обнаружение не менее важно, чем предотвращение. Решение "Брандмауэр Azure" для Azure Sentinel обеспечивает как обнаружение, так и предотвращение атак и при этом легко развертывается. Сочетание функций предотвращения и обнаружения позволяет как предотвращать изощренные атаки, так и придерживаться подхода "презумпция нарушения", чтобы быстро обнаруживать угрозы и реагировать на них.
Следующие шаги
Полные рекомендации по защите от программ-шантажистов на всех платформах и службах Майкрософт см. в статье "Защита организации от программ-шантажистов и вымогательство".
Дополнительные сведения об обеспечении защиты от атак программ-шантажистов в Azure и указания по профилактической защите ресурсов см. в статье Защита от программ-шантажистов в Azure.
Другие статьи о вымогательском ПО Azure:
- Подготовьтесь к атаке вируса-вымогателя
- Обнаружение и реагирование на атаку программ-шантажистов
- Функции и ресурсы Azure, помогающие защищать, обнаруживать и реагировать на них
Дополнительные сведения о Брандмауэре Azure ценовой категории "Премиум":