Быстрая защита организации от атак программ-шантажистов

Вымогательское программное обеспечение — это кибератака, которую используют киберпреступники для вымогательства денег у организаций различных размеров.

Понимание того, как защитить от атак программ-шантажистов и свести к минимуму ущерб является важной частью защиты вашей компании. В этой статье приведены практические рекомендации по быстрой настройке защиты от программ-шантажистов.

Руководство организовано на шаги, начиная с наиболее срочных действий, которые необходимо предпринять.

Добавьте эту страницу в закладки как отправную точку для выполнения шагов.

Важные сведения об этой статье

Важно отметить , что это руководство по предотвращению программ-шантажистов структурировано как шаги, которые следует выполнить в указанном порядке. Чтобы лучше адаптировать это руководство к вашей ситуации:

1. Придерживаться рекомендуемых приоритетов

   Используйте шаги в качестве начального плана того, что делать сначала, затем и позже, чтобы сначала получить наиболее значимые элементы. Эти рекомендации приоритизируются по принципу нулевого доверия и предположению нарушения. Это заставляет вас сосредоточиться на минимизации бизнес-рисков, предполагая, что злоумышленники могут успешно получить доступ к вашей среде с помощью одного или нескольких методов.

2. Будьте упреждающим и гибким (но не пропускайте важные задачи)

   Проверьте контрольные списки реализации для всех разделов всех трех шагов, чтобы узнать, есть ли какие-либо области и задачи, которые можно быстро выполнить ранее. Другими словами, вы можете ускорить работу, так как у вас уже есть доступ к облачной службе, которая не использовалась, но может быть быстро и легко настроена. При просмотре всего плана будьте осторожны, чтобы эти последующие области и задачи не задерживали завершение критически важных областей, таких как резервные копии и привилегированный доступ!

3. Параллельное выполнение некоторых элементов

   Попытка сделать всё одновременно может быть подавляющей, но некоторые задачи могут быть естественным образом выполнены параллельно. Сотрудники разных команд могут одновременно работать над задачами (например, командой резервного копирования, командой конечных точек, группой удостоверений), а также управлять выполнением шагов в порядке приоритета.

Элементы в контрольных списках реализации находятся в рекомендуемом порядке приоритета, а не в техническом порядке зависимостей.

Используйте контрольные списки, чтобы подтвердить и изменить существующую конфигурацию по мере необходимости и таким образом, чтобы она работала в вашей организации. Например, в наиболее важном элементе резервного копирования выполняется резервное копирование некоторых систем, но они могут не быть автономными или неизменяемыми, вы можете не протестировать полные процедуры восстановления предприятия или не иметь резервных копий критически важных бизнес-систем или критически важных ИТ-систем, таких как контроллеры доменных служб Active Directory (AD DS).

Настройте свою систему для предотвращения программ-вымогателей прямо сейчас

Ниже приведены действия.

Шаг 1. Подготовьте план восстановления после атаки вымогательских программ

Этот шаг предназначен для минимизации денежного стимула от вымогателей путём следующих действий:

• Гораздо сложнее получить доступ к системам или зашифровать или повредить данные организации.
• упрощение восстановления организации после атаки без уплаты выкупа.

Шаг 2. Ограничение области ущерба программ-шантажистов

Сделать злоумышленников гораздо сложнее, чтобы получить доступ к нескольким критически важным системам для бизнеса с помощью ролей привилегированного доступа. Ограничение способности злоумышленника получить привилегированный доступ делает его гораздо труднее получить прибыль от атаки на вашу организацию, что делает его более вероятным, что они откажутся и идут в другом месте.

Шаг 3. Сделайте так, чтобы киберпреступникам было сложно проникнуть.

Этот последний набор задач важен для создания препятствий к проникновению, но для его реализации может потребоваться некоторое время в рамках более масштабных мер по обеспечению безопасности. Цель этого шага заключается в том, чтобы сделать работу злоумышленников гораздо сложнее, так как они пытаются получить доступ к локальной или облачной инфраструктуре в различных распространенных точках входа. Существует много задач, поэтому важно определить приоритеты работы здесь на основе того, насколько быстро вы можете выполнить эти задачи с помощью текущих ресурсов.

Хотя многие из них будут знакомы и легко достичь, очень важно, чтобы ваша работа над шагом 3 не должна замедлить свой прогресс на шагах 1 и 2.

Защита от программ-шантажистов на первый взгляд

Вы также можете просмотреть общие сведения о шагах и их контрольных списках реализации в качестве уровней защиты от злоумышленников-шантажистов с помощью плаката "Защита организации от программ-шантажистов".

Приоритет устранения рисков программ-шантажистов на уровне макроса. Настройте среду организации для защиты от программ-шантажистов.

Следующий шаг

Начните с шага 1 , чтобы подготовить вашу организацию к восстановлению после атаки без необходимости платить выкуп.

Дополнительные ресурсы о вымогательском ПО

Основная информация от корпорации Майкрософт:

• Растущая угроза атак программ-шантажистов, запись блога Microsoft On the Issues от 20 июля 2021 г.
• Управляемое человеком вымогательское ПО
• Отчет Майкрософт о цифровой защите за 2021 г. (см. стр. 10–19)
• Вымогательское ПО: всепроникающая и постоянная угроза - отчет аналитики угроз на портале Microsoft Defender
• Команда реагирования на инциденты Microsoft (ранее DART/CRSP): подход к программам-вымогателям и исследование случая

Microsoft 365:

• Разверните защиту от программ-вымогателей для клиента Microsoft 365
• Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
• Восстановление после атаки программами-вымогателями
• Защита от вредоносных программ и программ-шантажистов
• Защита компьютера Windows 10 от программ-шантажистов
• Противодействие программам-шантажистам в SharePoint Online
• Отчеты аналитики угроз для вымогательского ПО в портале Microsoft Defender

Microsoft Defender XDR:

• Встроенная защита от программ-шантажистов
• Найдите программы-вымогатели, используя расширенные функции поиска

Microsoft Azure:

• Защита Azure от атак программ-шантажистов
• Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
• План резервного копирования и восстановления для защиты от программ-шантажистов
• Защита от программа-шантажистов с помощью Microsoft Azure Backup (видео длительностью 26 минут)
• Восстановление после компрометации системной идентичности
• Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
• Обнаружение вымогательского ПО с использованием Fusion в Microsoft Sentinel

приложения Microsoft Defender для облака:

• Создание политик обнаружения аномалий в приложениях Defender для облака

Записи блога службы безопасности Майкрософт:

• Три шага для предотвращения атак программ-шантажистов и восстановления после них (сентябрь 2021 г.)

• Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 1 (сентябрь 2021 г.)

  Ключевые этапы расследования инцидентов программ-вымогателей, проводимые Microsoft Incident Response.

• Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 2 (сентябрь 2021 г.)

  Рекомендации и лучшие практики.

• Обеспечение устойчивости благодаря пониманию рисков кибербезопасности. Часть 4. Обзор текущих угроз (май 2021 г.)

  См. раздел Программы-шантажисты.

• Атака с использованием программ-шантажистов, управляемых человеком: катастрофа, которую можно предотвратить (март 2020 г.)

  Включает анализ цепочки реальных атак.

• Ответ программы-шантажистов— платить или не платить? (декабря 2019 г.)

• Norsk Hydro прозрачно отреагировала на атаку с использованием вымогательского ПО (декабрь 2019 г.)