План восстановления программ-шантажистов
Всегда подготавливайте план восстановления программы-шантажистов, начиная с альтернативы выплате выкупа, чтобы избежать потери доступа к данным.
Внимание
Ознакомьтесь со всей серией защиты от программ-шантажистов и заставить вашу организацию трудно атаковать программ-шантажистов.
Субъекты программ-шантажистов в управлении вашей организацией имеют множество способов давления на оплату. Требования в основном сосредоточены на двух категориях:
Оплата выкупа для восстановления доступа
Субъекты угроз требуют оплату под угрозой, что они не будут предоставлять вам доступ к системам и данным. Обычно это делается путем шифрования систем и данных и требуя оплаты ключа расшифровки.
Внимание
Оплата выкупа не гарантирует восстановленный доступ к вашим данным.
Финансово мотивированные киберкриминалы (и часто относительно любительские операторы, которые используют набор средств, предоставленный кем-то другим), могут сохранить оба файла с блокировкой оплаты. Нет никаких законных гарантий, что предоставленный ими ключ полностью расшифрует всю систему и данных или что они предоставят такой ключ вообще. Процесс расшифровки этих систем использует средства атаки, часто неуклюжий и ручной.
Оплата за неразглашение
Субъекты угроз требуют оплаты в обмен на то, что не освобождают конфиденциальные или неловкие данные в темной интернете (другие преступники) или широкой общественности.
Чтобы избежать принудительной оплаты (прибыльная ситуация для субъектов угроз), наиболее немедленные и эффективные меры, которые можно предпринять, — убедиться, что ваша организация может восстановить все предприятие из неизменяемого хранилища, которое ни киберкриминал, ни вы не можете изменить.
Также критически важно определить наиболее конфиденциальные активы и надежнее их защитить, однако этот процесс более длительный и сложный. Мы не хотим затрагивать другие области на этапах 1 или 2, но рекомендуем для начала собрать заинтересованных лиц из бизнес-подразделений, ИТ-службы и службы безопасности вместе и задать им вопросы наподобие следующих.
- Компрометация каких бизнес-активов наиболее опасна? Например, для каких активов наша бизнес-руководство будет готова платить за вымогательство требование, если киберпреступники контролируют их?
- Как эти бизнес-ресурсы преобразуется в ИТ-ресурсы (например, файлы, приложения, базы данных, серверы и системы управления)?
- Как защитить или изолировать эти ресурсы, чтобы субъекты угроз с доступом к общей ИТ-среде не могли получить к ним доступ?
Защищенные резервные копии
Необходимо убедиться, что критически важные системы и их данные создают резервные копии и резервные копии защищены от преднамеренной стирки или шифрования субъектом угроз.
Цель атаки на резервные копии — лишить организацию возможности отреагировать на атаку, ничего не заплатив. Часто они нацелены на резервные копии и ключевую документацию, необходимую для восстановления, чтобы принудить заплатить требуемую вымогателями сумму.
Большинство организаций не защищают процедуры резервного копирования и восстановления от целенаправленного уничтожения на этом уровне.
В статье План резервного копирования и восстановления для защиты от атак программой-шантажистом описываются действия, выполняемые до атаки для защиты критически важных бизнес-систем и во время атаки для обеспечения быстрого восстановления бизнес-операций.
Узнайте, как восстановить файлы OneDrive в случае атаки программы-шантажистов.
Области ответственности участников программ и проектов
В этой таблице описан общий подход к защите данных от программ-шантажистов в контексте иерархии в области курирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Lead | Ответственный за реализацию | Отчетность |
|---|---|---|
| Команда по операциям или директор по информационным технологиям из центрального ИТ-отдела | Поддержка руководства | |
| Руководитель программы из инфраструктуры центрального ИТ-отдела | Достижение результатов и совместная работа между командами | |
| Ответственные за инфраструктуру и систему резервного копирования центрального ИТ-отдела | Включение резервного копирования инфраструктуры | |
| Ответственные за повышение производительности и взаимодействие с пользователями в центральном ИТ-отделе | Включение резервного копирования OneDrive | |
| Ответственные за архитектуру безопасности | Рекомендации по конфигурации и стандартам | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Ответственные за управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия | |
Контрольный список для реализации
Следуйте этим рекомендациям для защиты инфраструктуры резервного копирования.
| Выполнено | Задача | Description |
|---|---|---|
| Резервное копирование всех критически важных данных автоматически по регулярному расписанию. | Позволяет восстанавливать данные до последней резервной копии. | |
| Регулярно проверяйте план обеспечения непрерывности бизнес-процессов (BC) и аварийного восстановления (DR). | Обеспечивает быстрое восстановление бизнес-операций, поскольку защита от атак вымогателей и атак с помощью программ-шантажистов считается такой же важной, как и защита от стихийных бедствий. | |
| Защита резервных копий от преднамеренной стирки и шифрования: — Надежная защита. Требуйте выполнения дополнительных шагов (применения многофакторной проверки подлинности или ПИН-кода) для изменения резервных копий по сети (например, с помощью Azure Backup). — Максимально надежная защита. Храните резервные копии в неизменяемом оперативном хранилище (например, хранилище больших двоичных объектов Azure) и (или) полностью автономном либо удаленном хранилище. |
Резервные копии, доступные злоумышленниками, могут быть отрисованы неиспользуемыми для восстановления бизнеса. Реализуйте более надежную безопасность для доступа к резервным копиям и невозможности изменять данные, хранящиеся в резервных копиях. | |
| Защитите вспомогательные документы, необходимые для восстановления, например документы по процедурам восстановления, базу данных управления конфигурацией (CMDB) и сетевые схемы. | Субъекты угроз намеренно нацелены на эти ресурсы, так как это влияет на возможность восстановления. Убедитесь, что они выжили от атаки программы-шантажистов. |
Результаты и временная шкала реализации
В течение 30 дней убедитесь, что среднее время восстановления (MTTR) соответствует целевым показателям BC и DR. Измеряйте его во время симуляций и при выполнении операций в реальных условиях.
Защита данных
Необходимо реализовать защиту данных, чтобы обеспечить быстрое и надежное восстановление от атаки программы-шантажистов и заблокировать некоторые методы атаки.
Атаки вымогателей с помощью программ-шантажистов и разрушающие атаки срабатывают только в случае полной утраты законного доступа к данным и системам. Обеспечение того, чтобы субъекты угроз не могут удалить возможность возобновить операции без оплаты, защитит ваш бизнес и подорвет денежный стимул для атак вашей организации.
Области ответственности участников программ и проектов
В этой таблице описан общий подход к защите данных организации от программ-шантажистов в контексте иерархии в области курирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Lead | Ответственный за реализацию | Отчетность |
|---|---|---|
| Команда по операциям или директор по информационным технологиям из центрального ИТ-отдела | Поддержка руководства | |
| Руководитель программы из отдела безопасности данных | Достижение результатов и совместная работа между командами | |
| Ответственные за повышение производительности и взаимодействие с пользователями в центральном ИТ-отделе | Реализация изменений в клиенте Microsoft 365 для OneDrive и защищенных папок | |
| Ответственные за инфраструктуру и систему резервного копирования центрального ИТ-отдела | Включение резервного копирования инфраструктуры | |
| Бизнес-подразделение или ответственные за приложение | Определение критически важных активов | |
| Ответственные за архитектуру безопасности | Рекомендации по конфигурации и стандартам | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Ответственные за управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Контроль корректировки рекомендаций для пользователей с учетом обновлений политики | |
Контрольный список для реализации
Следуйте этим рекомендациям для защиты данных организации.
| Выполнено | Задача | Description |
|---|---|---|
| Перенос организации в облако: — Переместите пользовательские данные в облачные решения, такие как OneDrive или SharePoint, чтобы воспользоваться возможностями управления версиями и корзины. — Научите пользователей самостоятельно восстанавливать свои файлы, чтобы сократить задержки при восстановлении и затраты на его выполнение. |
Данные пользователей в облаке Майкрософт могут быть защищены встроенными функциями для обеспечения безопасности и управления данными. | |
| Назначьте защищенные папки. | Усложняет изменение данных в этих папках неавторизованными приложениями. | |
| Просмотрите разрешения: — Выявите массовые разрешения на запись и удаление для общих папок, SharePoint и других решений. Под массовыми разрешениями подразумевается возможность записи и удаления критически важных для бизнеса данных множеством пользователей. — Уменьшите широкие разрешения для критически важных расположений данных при выполнении требований к бизнес-совместной работе. — Аудит и мониторинг критически важных расположений данных, чтобы обеспечить широкое применение разрешений. |
Снижает риск от действий программ-шантажистов, использующих широкий доступ. | |
Следующий шаг
Перейдите к этапу 2, чтобы ограничить область ущерба от атак, защитив привилегированные роли.
Дополнительные ресурсы о программах-шантажистах
Основная информация от корпорации Майкрософт:
- [2023 Отчет о цифровой защите Microsoft](https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report- 2023) (см. страницы 17-26)
- Блог Майкрософт — программ-шантажистов, последние угрозы — программ-шантажистов
- Программ-шантажистов, управляемых человеком
- Быстрая защита от программ-шантажистов и вымогательства
- Программ-шантажистов: постоянный и постоянный отчет аналитики угроз на портале Microsoft Defender
- Группа реагирования на инциденты (ранее DART/CRSP) по программе-шантажистов и примеры
Microsoft 365:
- Развертывание средств защиты от программ-шантажистов для арендатора Microsoft 365
- Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
- Восстановление после атаки с использованием программ-шантажистов
- Защита от вредоносных программ и программ-шантажистов
- Защита компьютера Windows 10 от программ-шантажистов
- Противодействие программам-шантажистам в SharePoint Online
- Отчеты аналитики угроз для программ-шантажистов на портале Microsoft Defender
XDR в Microsoft Defender:
Microsoft Azure:
- Защита Azure от атак программ-шантажистов
- Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
- План резервного копирования и восстановления для защиты от программ-шантажистов
- Защита от программа-шантажистов с помощью Microsoft Azure Backup (видео длительностью 26 минут)
- Восстановление от системного компрометации удостоверений
- Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
- Обнаружение Fusion для программ-шантажистов в Microsoft Sentinel
приложения Microsoft Defender для облака:
Записи блога службы безопасности Майкрософт:
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 1 (сентябрь 2021 г.)
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 2 (сентябрь 2021 г.)
Рекомендации и рекомендации.
Три шага для предотвращения атак программ-шантажистов и восстановления после них (сентябрь 2021 г.)
-
См. раздел Программы-шантажисты.
-
Включает анализ цепочки реальных атак.
Ответ программы-шантажистов— платить или не платить? (декабря 2019 г.)
Norsk Hydro прозрачно реагирует на атаку с использованием программ-шантажистов (декабрь 2019 г.)