Поделиться через


План резервного копирования и восстановления для защиты от атак программой-шантажистом

Атаки программой-шантажистом намеренно шифруют или стирают данные и системы, чтобы вынудить вашу организацию заплатить выкуп злоумышленникам. Целью таких атак являются ваши данные, резервные копии, а также ключевая документация, необходимая для восстановления без уплаты требуемой вымогателями суммы (как средство повышения шансов, что ваша организация заплатит).

В этой статье описываются действия, выполняемые до и во время атаки, для защиты критически важных бизнес-систем и обеспечения быстрого восстановления бизнес-операций.

Что такое программа-шантажист?

Программа-шантажист — это средство вымогательства, которое шифрует файлы и папки для блокирования доступа к важным файлам и системам. Злоумышленники используют программы-шантажисты для вымогательства денег у жертв, требуя оплату, обычно в виде криптовалюты, в обмен на ключ дешифрования или неразглашение конфиденциальных данных в теневом или общедоступном Интернете.

Если раньше программы-шантажисты обычно использовали вредоносные программы, распространяющиеся с помощью фишинга или между устройствами, сейчас появились программы-шантажисты, управляемые человеком, когда группа активных злоумышленников, управляемая операторами атак, нацелена на все системы в организации (а не на одно устройство или набор устройств). Результатом действия атаки может быть:

  • Шифрование данных
  • Кража данных
  • Повреждение резервных копий

Программы-шантажисты используют знания злоумышленником общих ошибок в настройке систем и средств безопасности для проникновения в организацию, навигации по корпоративной сети, а также адаптации к среде и ее слабым местам по мере перехода.

Программа-шантажист может быть организована таким образом, чтобы сначала в течение нескольких недель или месяцев собирать ваши данные, прежде чем она будет фактически запущена в определенный день.

Кроме того, она может также медленно шифровать ваши данные, сохраняя ключ в системе. Поскольку ваш ключ все еще доступен, вы можете пользоваться данными, а программа-шантажист остается незамеченной. Резервные копии, однако, содержат зашифрованные данные. После того как все данные будут зашифрованы и последние резервные копии также будут содержать зашифрованные данные, ключ удаляется, поэтому вы больше не сможете считывать данные.

Реальный ущерб часто наносится, когда в результате атаки файлы исчезают, оставляя в сети "черные ходы" для будущих вредоносных действий, и эти риски сохраняются независимо от того, заплачен выкуп или нет. Эти атаки могут быть катастрофическими для бизнес-операций. Их последствия сложно устранить, а для защиты от будущих атак может потребоваться полное вытеснение злоумышленника. В отличие от прежних форм программ-шантажистов, которые требуют только исправления вредоносных программ, программы-шантажисты, управляемые человеком, будут продолжать угрожать вашей бизнес-деятельности после первой атаки.

Влияние атаки

Влияние атаки программы-шантажиста на организацию трудно поддается количественной оценке. В зависимости от области действия атаки ее влияние может быть следующим:

  • потеря доступа к данным;
  • прерывание бизнес-операций;
  • финансовые убытки;
  • кража интеллектуальной собственности;
  • подрыв доверия клиентов или испорченная репутация;
  • юридические расходы.

Как можно защититься?

Лучшим способом снизить вероятность стать жертвой атаки программой-шантажистом является реализация профилактических мер и применение средств для защиты организации от каждого шага злоумышленников, направленного на проникновение в ваши системы.

Вы можете уменьшить риск воздействия в локальной среде, переместив организацию в облачную службу. Корпорация Майкрософт инвестировала средства в собственные возможности обеспечения безопасности, которые делают платформу Microsoft Azure устойчивой к атакам с использованием программ-шантажистов и помогают организациям противостоять таким атакам. Чтобы получить исчерпывающее представление об атаках с использованием программ-шантажистов и вымогательстве, и о том, как защитить свою организацию, ознакомьтесь с презентацией PowerPoint План проекта по устранению рисков использования программ-шантажистов, управляемых человеком.

Вы должны предположить, что в какой-то момент времени вы падаете жертвой атаки программы-шантажистов. Одним из наиболее важных действий, которые можно предпринять для защиты данных и отказа от уплаты выкупа, является наличие надежного плана резервного копирования и восстановления критически важной для бизнеса информации. Так как злоумышленники-шантажисты в значительной степени инвестировали в нейтрализацию приложений резервного копирования и операционных систем, таких как теневая копия тома, крайне важно иметь резервные копии, недоступные злоумышленнику.

Azure Backup

Azure Backup обеспечивает безопасность для среды резервного копирования — как при передаче, так и при хранении данных. С помощью Azure Backup можно создавать резервные копии:

  • локальные файлы, папки и состояние системы;
  • все виртуальные машины Windows или Linux;
  • управляемые диски Azure.
  • общие папки Azure в учетной записи хранения;
  • базы данных SQL Server, работающие на виртуальных машинах Azure.

Данные резервных копий хранятся в хранилище Azure, поэтому у гостя или злоумышленника нет прямого доступа к самому хранилищу резервных копий или его содержимому. Для резервного копирования виртуальных машин за создание и хранение моментального снимка резервной копии отвечает структура Azure, и гость или злоумышленник не принимает в этом никакого участия, кроме "замораживания" рабочей нагрузки для создания резервных копий с согласованностью на уровне приложений. Для SQL и SAP HANA расширение резервного копирования получает временный доступ для записи в определенные большие двоичные объекты. Это означает, что даже в случае компрометации среды злоумышленник не сможет изменить или удалить существующие резервные копии.

Azure Backup предоставляет встроенные средства мониторинга и создания оповещений для просмотра и настройки действий для событий, имеющим отношение к Azure Backup. Отчеты о резервном копировании предоставляют единое представление для отслеживания потребления, аудита резервных копий и восстановления, а также выявления ключевых тенденций с разной степенью детализации. Использование средств мониторинга и создания отчетов в Azure Backup предоставляет важные сведения о несанкционированных, подозрительных или вредоносных действиях сразу же после их появления.

Дополнительные проверки гарантируют выполнение некоторых операций только допустимыми пользователями. Сюда относится дополнительный этап проверки подлинности. В ходе добавления дополнительного этапа проверки подлинности для критических операций предлагается ввести ПИН-код безопасности перед изменением оперативных резервных копий.

Узнайте больше о функциях безопасности, встроенных в Azure Backup.

Проверка резервных копий

Перед восстановлением убедитесь, что резервная копия создана правильно и не заражена. Рекомендуется использовать хранилище Служб восстановления, которое представляет собой сущность хранилища в Azure, содержащую данные. Этими данными обычно являются копии данных или сведений о конфигурации для виртуальных машин, рабочих нагрузок, серверов или рабочих станций. Хранилища Служб восстановления можно использовать для хранения архивных данных для различных служб Azure, в том числе виртуальных машин IaaS (Windows или Linux) и баз данных SQL Azure, а также локальных ресурсов. Хранилища Служб восстановления упрощают организацию архивных данных и предоставляют следующие функции:

  • Улучшенные возможности, которые гарантируют защиту резервных копий и безопасное восстановление данных даже при компрометации рабочих и резервных серверов. Подробнее.
  • Мониторинг гибридной ИТ-среды (виртуальных машин IaaS Azure и локальных ресурсов) с центрального портала. Подробнее.
  • Совместимость с управлением доступа на основе ролей (RBAC) Azure, что позволяет ограничить доступ для резервного копирования и восстановления определенным набором пользовательских ролей. Azure RBAC предоставляет различные встроенные роли, а в службе Azure Backup доступны три встроенные роли для управления точками восстановления. Подробнее.
  • Защита от обратимого удаления, даже если вредоносный субъект удаляет резервную копию (или при случайном удалении данных резервной копии). Данные резервной копии хранятся в течение 14 дополнительных дней. Благодаря этому удаленный объект можно восстановить без потери данных. Подробнее.
  • Восстановление между регионами, которое позволяет восстанавливать виртуальные машины Azure в дополнительном регионе, являющемся парным регионом Azure. Реплицированные данные можно восстановить в дополнительном регионе в любое время. Так можно восстанавливать данные в дополнительном регионе для выполнения требований аудита и в случае возникновения перебоев; при этом нет необходимости дожидаться объявления аварийной ситуации в Azure (в отличие от параметров GRS хранилища). Подробнее.

Примечание.

В Azure Backup существует два типа хранилищ. Помимо хранилища Служб восстановления, доступны также резервные хранилища, в которых размещаются данные для более новых рабочих нагрузок, поддерживаемых Azure Backup.

Что делать перед атакой

Как упоминалось ранее, вы должны предположить, что в какой-то момент времени вы падаете жертвой атаки программы-шантажистов. Определение критически важных для бизнеса систем и применение рекомендаций до начала атаки позволит вам как можно быстрее восстановить работоспособность.

Определение наиболее важных систем

Программа-шантажисты могут атаковать во время планирования атаки, поэтому ваш первый приоритет должен быть для выявления критически важных для бизнеса систем, наиболее важных для вас и начала регулярного резервного копирования в этих системах.

Исходя из имеющегося опыта, можно выделить следующие категории пяти наиболее важных для клиентов приложений в указанном далее порядке приоритета.

  • Системы удостоверений — необходимы для доступа пользователей к любым системам (включая все остальные, описанные ниже), например Active Directory, Microsoft Entra Connect, контроллеры домена AD
  • Системы, связанные с жизнью человека, — любая система, которая поддерживает жизнь человека или может подвергать ее риску, например медицинские системы или системы жизнеобеспечения, системы обеспечения безопасности (скорая помощь, диспетчерские системы, управление светофорами), тяжелая техника, химические и биологические системы, производство продуктов питания или товаров личного потребления и т. д.
  • Финансовые системы — системы, которые обрабатывают денежные транзакции и обеспечивают функционирование бизнеса, такие как платежные системы и связанные базы данных, финансовая система для квартальной отчетности.
  • Реализация продуктов или услуг — любые системы, необходимые для предоставления бизнес-услуг или производства/доставки физических продуктов, за которые платят ваши клиенты, системы управления производством, системы доставки/отправки продукции и т. д.
  • Безопасность (минимум) — вы должны также определить приоритетные системы безопасности, необходимые для мониторинга атак и предоставления минимальных услуг безопасности. Это должно быть сосредоточено на обеспечении того, чтобы текущие атаки (или простые оппортунистические) не могли немедленно получить (или восстановить) доступ к восстановленным системам.

Приоритетный список резервного копирования также становится приоритетным списком восстановления. После определения критически важных систем и регулярного выполнения операций резервного копирования следует принять меры по сокращению уровня уязвимости.

Действия, выполняемые перед атакой

Придерживайтесь этих рекомендаций перед атакой.

Задача Подробный сведения
Определите важные системы, которые необходимо вернуть в оперативное состояние в первую очередь (используя пять вышеперечисленных категорий), и немедленно начните выполнять регулярное резервное копирование этих систем. Чтобы как можно быстрее восстановить работоспособность после атаки, определите самые значимые для вас системы уже сегодня.
Выполните миграцию организации в облако.

Рассмотрите возможность приобретения плана Единой поддержки Майкрософт или подумайте о работе с партнером Майкрософт, который поможет вам перейти в облако.
Сократите воздействие на локальные ресурсы, перенеся данные в облачные службы с автоматическим резервным копированием и самостоятельным откатом. В Microsoft Azure есть надежный набор средств, помогающий выполнять резервное копирование критически важных для бизнеса систем и быстрее восстанавливать резервные копии.

Единая поддержка Майкрософт — это модель поддержки облачных служб, которая поможет вам, когда это будет необходимо. Единая поддержка:

Предоставляет назначенную команду, которая доступна 24x7 с разрешением проблем по мере необходимости и критической эскалацией инцидентов

помогает отслеживать работоспособность ИТ-среды и работает в упреждающем режиме, чтобы предотвратить проблемы до их возникновения.
Переместите пользовательские данные в облачные решения, такие как OneDrive или SharePoint, чтобы воспользоваться возможностями управления версиями и корзины.

Научите пользователей самостоятельно восстанавливать свои файлы, чтобы сократить задержки при восстановлении и затраты на его выполнение. Например, если файлы OneDrive пользователя были заражены вредоносными программами, пользователь может восстановить все данные OneDrive на определенный момент времени в прошлом.

Рассмотрите стратегию защиты, например XDR в Microsoft Defender, прежде чем разрешить пользователям восстанавливать собственные файлы.
Данные пользователей в облаке Майкрософт могут быть защищены встроенными функциями для обеспечения безопасности и управления данными.

Хорошо научить пользователей восстанавливать собственные файлы, но вам нужно быть осторожным, чтобы пользователи не восстанавливали вредоносные программы, используемые для выполнения атаки. Вам нужно:

Убедитесь, что ваши пользователи не восстанавливают свои файлы, пока не уверены, что злоумышленник был вытеснено

Устранение рисков в случае, если пользователь восстанавливает некоторые вредоносные программы

XDR в Microsoft Defender использует автоматические действия и сборники схем СИ, чтобы исправить затронутые ресурсы обратно в безопасное состояние. XDR в Microsoft Defender использует возможности автоматического исправления продуктов набора, чтобы обеспечить автоматическое исправление всех затронутых ресурсов, связанных с инцидентом, по возможности.
Реализуйте тест безопасности microsoft cloud security. Microsoft Cloud Security Benchmark — это наша платформа управления безопасностью на основе отраслевых платформ управления безопасностью, таких как NIST SP800-53, CIS Controls версии 7.1. Она предоставляет организациям рекомендации по настройке Azure и служб Azure и реализации средств управления безопасностью. См. документ о резервном копировании и восстановлении.
Регулярно проверяйте план обеспечения непрерывности бизнес-процессов (BC) и аварийного восстановления (DR).

Моделируйте сценарии реагирования на инциденты. Проверки, выполняемые при подготовке к атакам, должны планироваться и проводиться с учетом приоритетных списков резервного копирования и восстановления.

Регулярно тестируйте сценарий "Восстановление с нуля", чтобы гарантировать, что ваши системы обеспечения непрерывности бизнеса и аварийного восстановления могут привести критически важные бизнес-операции в рабочее состояние с нуля (когда нарушена работа всех систем).
Обеспечивает быстрое восстановление бизнес-операций, поскольку защита от атак вымогателей и атак с помощью программ-шантажистов считается такой же важной, как и защита от стихийных бедствий.

Проводите тренировочные проверки процессов и технических процедур между командами, включая взаимодействие сотрудников и клиентов по внештатному каналу (предполагая, что системы электронной почты и чата не работают).
Рассмотрите возможность создания регистра риска, чтобы определить потенциальные риски и решить, как вы будете посредники с помощью профилактических элементов управления и действий. Добавьте программу-шантажиста в реестр атаки в качестве сценария с высокой вероятностью возникновения и высоким уровнем влияния. Реестр рисков может помочь вам определить приоритетность рисков на основе вероятности их возникновения и степени серьезности для вашего бизнеса в случае их появления.

Отслеживайте состояние устранения с помощью цикла оценки управления рисками предприятия (ERM).
Резервное копирование всех критически важных бизнес-систем автоматически в регулярном расписании (включая резервное копирование критически важных зависимостей, таких как Active Directory).

Убедитесь, что резервная копия создана правильно.
Позволяет восстанавливать данные до последней резервной копии.
Защитите (или распечатайте) вспомогательные документы, необходимые для восстановления, например документы по процедурам восстановления, CMDB, сетевые графики, а также экземпляры SolarWinds. Злоумышленники намеренно выбирают эти ресурсы в качестве цели, так как это влияет на возможность восстановления.
Убедитесь, что у вас есть хорошо документированные процедуры для привлечения сторонней поддержки, особенно поддержки со стороны поставщиков аналитики угроз, поставщиков решений для борьбы с вредоносным ПО и поставщиков услуг по анализу вредоносного ПО. Защитите (или распечатайте) документы с описанием этих процедур. Могут быть полезны сторонние контакты, если у данного варианта программы-шантажиста есть известные слабые места или доступны инструменты дешифровки.
Убедитесь, что стратегия резервного копирования и восстановления включает:

возможность резервного копирования данных на конкретный момент времени;

несколько копий архивов хранятся в изолированных автономных расположениях (отключенных от сети);

цели времени восстановления, которые определяют, как быстро архивированная информация может быть извлечена и введена в производственную среду;

быстрое восстановление из резервной копии в рабочую среду или песочницу.
Резервные копии необходимы для обеспечения устойчивости организации после взлома. Примените правило 3-2-1 для реализации максимальной защиты и доступности: 3 копии (1 исходная + 2 резервные копии), 2 типа хранилища и 1 автономная или холодная копия.
Защита резервных копий от преднамеренной стирки и шифрования:

Храните резервные копии в автономном или внешнем хранилище и (или) в неизменяемом хранилище.

Прежде чем разрешить изменение или удаление оперативной резервной копии, требуйте выполнения дополнительных действий (например, проведения MFA или ввода ПИН-кода безопасности).

Создайте частные конечные точки в виртуальной сети Azure, чтобы безопасно выполнять резервное копирование и восстановление данных из хранилища Служб восстановления.
Резервные копии, ставшие доступными злоумышленникам, могут быть преобразованы в непригодные для восстановления бизнес-процессов.

Автономное хранение гарантирует надежную пересылку данных резервных копий без нагрузки на пропускную способность сети. Azure Backup поддерживает автономное резервное копирование, при котором исходные данные передаются в автономном режиме без нагрузки на сеть. Такой механизм позволяет передать резервные копии данных на физические устройства хранения. Затем эти устройства доставляются в ближайший центр обработки данных Azure и передаются в хранилище Служб восстановления.

Оперативное неизменяемое хранилище (например, хранилище BLOB-объектов Azure) дает пользователям возможность хранить критически важные для бизнеса объекты данных в состоянии WORM. Это состояние делает их нестираемыми и неизменяемыми в течение определенного пользователем интервала времени.

Многофакторная проверка подлинности (MFA) должна быть обязательной для всех учетных записей администраторов и настоятельно рекомендуется для всех пользователей. Предпочтительным методом является использование приложения Authenticator вместо проверки по SMS или голосовой проверки, где это возможно. При настройке Azure Backup можно настроить службы восстановления для включения MFA с помощью ПИН-кода безопасности, создаваемого на портале Azure. В этом случае для выполнения критически важных операций, таких как обновление или удаление точки восстановления, генерируется ПИН-код безопасности.
Назначьте защищенные папки. Усложняет изменение данных в этих папках неавторизованными приложениями.
Просмотрите разрешения:

Выявите массовые разрешения на запись и удаление для общих папок, SharePoint и других решений. Под массовыми разрешениями подразумевается возможность записи и удаления критически важных для бизнеса данных множеством пользователей.

Сократите массовые разрешения, соблюдая при этом требования к совместной работе в компании.

Проводите аудит и мониторинг во избежание повторного предоставления массовых разрешений.
Снижается риск выполнения программой-шантажистом операций с использованием массового доступа.
Защита от фишинговой попытки:

Регулярно проводите обучение по вопросам безопасности, чтобы помочь пользователям распознавать попытки фишинга и не выполнять действия, которые могут привести к созданию точки входа для компрометации.

Применяйте средства фильтрации безопасности к электронной почте для обнаружения и минимизации вероятности успешной попытки фишинга.
Чаще всего для проникновения в организацию злоумышленники используют попытки фишинга через электронную почту. Exchange Online Protection (EOP) — это облачная служба фильтрации, которая защищает организацию от нежелательной почты, вредоносных программ и других угроз электронной почты. EOP включен во все организации Microsoft 365 с почтовыми ящиками Exchange Online.

Примером средства управления фильтрации безопасности для электронной почты являются Безопасные ссылки. Безопасные ссылки — это функция в Defender для Office 365, которая обеспечивает сканирование и перезапись URL-адресов и ссылок в сообщениях электронной почты во время входящего потока обработки почты, а также время проверки URL-адресов и ссылок в сообщениях электронной почты и других расположениях (документы Microsoft Teams и Office). Такая проверка выполняется дополнительно к обычной защите от нежелательной почты и защите от вредоносных программ во входящих сообщениях электронной почты в EOP. Сканирование с помощью "Безопасных ссылок" помогает защитить организацию от вредоносных ссылок, используемых при фишинге и других атаках.

Узнайте больше о защите от фишинга.

Что делать во время атаки

Если вы нападаете на атаку, ваш приоритетный список резервного копирования становится вашим приоритетным списком восстановления. Перед восстановлением убедитесь, что резервная копия создана правильно и не заражена. Возможно, вам удастся найти вредоносное ПО внутри резервной копии.

Действия, выполняемые во время атаки

Придерживайтесь этих рекомендаций во время атаки.

Задача Подробный сведения
На ранних этапах атаки привлекайте стороннюю поддержку, в частности, поддержку со стороны поставщиков аналитики угроз, поставщиков решений по защите от вредоносного ПО и поставщиков по анализу вредоносного ПО. Эти контакты могут быть полезны, если у данного варианта программы-шантажиста есть известные слабые места или доступны инструменты дешифровки.

Группа реагирования на инциденты Майкрософт может помочь защитить вас от атак. Реагирование на инциденты Майкрософт взаимодействует с клиентами по всему миру, помогая защищать и защищать от атак до их возникновения, а также исследовать и устранять ситуацию, когда произошла атака.

Корпорация Майкрософт также предоставляет услуги по быстрому восстановлению от атаки программой-шантажистом. Они являются эксклюзивным предложением глобальной команды экспертов Майкрософт Compromise Recovery Security Practice (CRSP). Основной целью этой команды во время действия атаки с использованием программы-шантажиста является восстановление службы проверки подлинности и ограничение влияния программы-шантажиста.

Реагирование на инциденты Майкрософт входит в состав службы безопасности доставки отраслевых решений Майкрософт.
Обратитесь в местные или федеральные правоохранительные органы. Если вы находитесь в США, обратитесь к ФБР, чтобы сообщить о нарушении программ-шантажистов с помощью формы реферал жалоб IC3.
Выполните действия по удалению полезных данных вредоносной программы или программы-шантажиста из своей среды и остановите распространение атак.

Выполните полную и актуальную антивирусную проверку на всех подозреваемых компьютерах и устройствах, чтобы обнаружить и удалить полезные данные, связанные с программой-шантажистом.

Проверьте устройства, которые синхронизируют данные, или целевые объекты сопоставленных сетевых дисков.
Можно использовать Windows Defender или (для более старых клиентов) Microsoft Security Essentials.

Удалить программу-шантажиста или вредоносное ПО можно также с помощью средства удаления вредоносных программ (MSRT).
Сначала восстановите критически важные для бизнеса системы. Перед восстановлением убедитесь, что резервная копия не заражена. На этом этапе не нужно восстанавливать все функции и компоненты. Сосредоточьтесь на пяти самых важных для бизнеса системах из списка восстановления.
Если у вас есть автономные резервные копии, вы, вероятно, сможете восстановить зашифрованные данные после удаления из среды полезных данных программы-шантажиста (вредоносной программы). Чтобы предотвратить будущие атаки, перед восстановлением убедитесь, что в вашей автономной резервной копии отсутствуют программы-шантажисты или вредоносные программы.
Определите безопасный на момент времени резервный образ, который заведомо не заражен.

Если вы используете хранилище Служб восстановления, внимательно изучите временную шкалу инцидента, чтобы понять, в какой момент времени целесообразно восстановить резервную копию.
Чтобы предотвратить атаки в будущем, проверьте резервную копию на наличие вредоносных программ до восстановления.
Используйте средство проверки безопасности и другие инструменты для полного восстановления операционной системы, а также сценарии восстановления данных. Средство проверки безопасности (Майкрософт) — это средство сканирования, предназначенное для поиска вредоносных программ и их удаления с компьютеров Windows. Просто скачайте это средство и запустите проверку, чтобы найти вредоносные программы и попытайтесь отменить изменения, внесенные выявленными угрозами.
Убедитесь, что антивирусная программа или решение обнаружения и нейтрализации атак на конечные точки (EDR) находятся в актуальном состоянии. Вам также необходимо иметь последние обновления. Предпочтительным является решение EDR, такое как Microsoft Defender для конечной точки.
После запуска критически важных для бизнеса систем следует восстановить другие системы.

После восстановления системы начните собирать данные телеметрии, чтобы вы могли принимать формивные решения о том, что вы восстанавливаете.
Данные телеметрии должны помочь вам определить, осталось ли вредоносное ПО в ваших системах.

Действия, выполняемые после атаки или моделирования

После атаки программой-шантажистом или имитации реагирования на инцидент выполните следующие действия, чтобы улучшить планы резервного копирования и восстановления, а также повысить уровень безопасности.

  1. Определение уроков, извлеченных, когда процесс не работал хорошо (и возможности для упрощения, ускорения или другого улучшения процесса)
  2. Проведите анализ первопричин самых серьезных проблем (достаточно подробно, чтобы решения были направлены на устранение соответствующей проблемы и в них учитывались люди, процессы и технологии).
  3. Изучите и исправьте исходное нарушение (чтобы помочь группе реагирования на инциденты Майкрософт (ранее DART)
  4. Обновите стратегию резервного копирования и восстановления на основе извлеченных уроков и возможностей, расставляя приоритеты с учетом в первую очередь тех действий, которые характеризуются максимальным влиянием и быстрой реализацией.

Следующие шаги

Рекомендации по развертыванию защиты от программ-шантажистов см. в статье Быстрая защита от программ-шантажистов и вымогательств.

Основные сведения об отрасли:

Microsoft Azure:

Microsoft 365:

XDR в Microsoft Defender: