Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Всегда составляйте план восстановления после атаки программ-вымогателей, начиная с альтернативы выплате выкупа, чтобы не потерять доступ к вашим данным.
Внимание
Ознакомьтесь со всей серией предотвращения программ-вымогателей и сделайте вашу организацию труднодоступной для атак программ-вымогателей.
Субъекты программ-шантажистов, имеющие контроль над вашей организацией, имеют множество способов для давления на вас с целью оплаты. Требования в основном сосредоточены на двух категориях:
Оплата выкупа для восстановления доступа
Субъекты угроз требуют оплату под угрозой, что они не будут предоставлять вам доступ к системам и данным. Обычно это делается путем шифрования систем и данных и требуя оплаты ключа расшифровки.
Внимание
Оплата выкупа не гарантирует восстановленный доступ к вашим данным.
Финансово мотивированные киберпреступники (и часто неквалифицированные операторы, которые используют набор средств, предоставленный кем-то другим) могут удерживать как оплату, так и заблокированные файлы. Нет никаких законных гарантий, что предоставленный ими ключ полностью расшифрует всю систему и данных или что они предоставят такой ключ вообще. Для расшифровки этих систем используются самодельные средства атаки, что часто представляет собой трудоемкий и ручной процесс.
Оплата за неразглашение
Злоумышленники требуют оплаты в обмен на то, чтобы не раскрывать конфиденциальные или опозоривающие данные в даркнете (другим преступникам) или общей общественности.
Чтобы избежать принудительной оплаты (прибыльная ситуация для субъектов угроз), наиболее немедленные и эффективные меры, которые можно предпринять, — убедиться, что ваша организация может восстановить все предприятие из неизменяемого хранилища, которое ни киберкриминал, ни вы не можете изменить.
Также критически важно определить наиболее конфиденциальные активы и надежнее их защитить, однако этот процесс более длительный и сложный. Мы не хотим затрагивать другие области на этапах 1 или 2, но рекомендуем для начала собрать заинтересованных лиц из бизнес-подразделений, ИТ-службы и службы безопасности вместе и задать им вопросы наподобие следующих.
- Компрометация каких бизнес-активов наиболее опасна? Например, за какие активы наше бизнес-руководство будет готово заплатить требуемую сумму, если киберпреступники получат контроль над ними?
- Как эти бизнес-активы преобразуются в ИТ-ресурсы (например, файлы, приложения, базы данных, серверы и системы управления)?
- Как защитить или изолировать эти ресурсы, чтобы субъекты угроз с доступом к общей ИТ-среде не могли получить к ним доступ?
Защищенные резервные копии
Необходимо убедиться, что создаются резервные копии критически важных систем и их данных, и что эти копии защищены от преднамеренного удаления или шифрования злоумышленниками.
Цель атаки на резервные копии — лишить организацию возможности отреагировать на атаку, ничего не заплатив. Часто они нацелены на резервные копии и ключевую документацию, необходимую для восстановления, чтобы принудить заплатить требуемую вымогателями сумму.
Большинство организаций не защищают процедуры резервного копирования и восстановления от целенаправленного уничтожения на этом уровне.
В статье План резервного копирования и восстановления для защиты от атак программой-шантажистом описываются действия, выполняемые до атаки для защиты критически важных бизнес-систем и во время атаки для обеспечения быстрого восстановления бизнес-операций.
Узнайте, как восстановить файлы OneDrive в случае атаки программ-вымогателей.
Области ответственности участников программ и проектов
В этой таблице описан общий подход к защите данных от программ-шантажистов в контексте иерархии в области курирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| лидер | Исполнитель | Отчетность |
|---|---|---|
| Центральные ИТ-операции или директор по информационным технологиям (CIO) | Руководящая поддержка | |
| Руководитель программы инфраструктуры центрального ИТ-отдела | Достижение результатов и совместная работа между командами | |
| Инфраструктура/Резервное копирование Центрального ИТ | Включение резервного копирования инфраструктуры | |
| Продуктивность Central IT / конечный пользователь | Включение резервного копирования OneDrive | |
| Архитектура безопасности | Рекомендации по конфигурации и стандартам | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия | |
Контрольный список для реализации
Следуйте этим рекомендациям для защиты инфраструктуры резервного копирования.
| Выполнено | Задача | Описание |
|---|---|---|
| Автоматически выполняйте резервное копирование всех критически важных данных по регулярному расписанию. | Позволяет восстанавливать данные до последней резервной копии. | |
| Регулярно проверяйте план обеспечения непрерывности бизнес-процессов (BC) и аварийного восстановления (DR). | Обеспечивает быстрое восстановление бизнес-операций, поскольку защита от атак вымогателей и атак с помощью программ-шантажистов считается такой же важной, как и защита от стихийных бедствий. | |
| Защита резервных копий от преднамеренной стирки и шифрования: — Сильная защита — требуются дополнительные шаги (MFA или PIN-код) перед изменением онлайн-резервных копий (например, Azure Backup). — "Надежная защита" — хранение резервных копий в неизменяемом хранилище (например, в Azure Blob) и/или полностью автономно или вне сайта. |
Резервные копии, доступные злоумышленникам, могут быть приведены в непригодное состояние для восстановления работы бизнеса. Реализуйте более надежную безопасность для доступа к резервным копиям и невозможности изменять данные, хранящиеся в резервных копиях. | |
| Защитите вспомогательные документы, необходимые для восстановления, например документы по процедурам восстановления, базу данных управления конфигурацией (CMDB) и сетевые схемы. | Субъекты угроз намеренно нацелены на эти ресурсы, так как это влияет на возможность восстановления. Убедитесь, что они защищены от атаки вымогательского ПО. |
Результаты и временная шкала реализации
В течение 30 дней убедитесь, что среднее время восстановления (MTTR) соответствует целевым показателям BC и DR. Измеряйте его во время симуляций и при выполнении операций в реальных условиях.
Защита данных
Необходимо реализовать защиту данных, чтобы обеспечить быстрое и надежное восстановление от атаки программы-шантажистов и заблокировать некоторые методы атаки.
Атаки вымогателей с помощью программ-шантажистов и разрушающие атаки срабатывают только в случае полной утраты законного доступа к данным и системам. Обеспечение того, чтобы субъекты угроз не могут удалить возможность возобновить операции без оплаты, защитит ваш бизнес и подорвет денежный стимул для атак вашей организации.
Области ответственности участников программ и проектов
В этой таблице описан общий подход к защите данных организации от программ-шантажистов в контексте иерархии в области курирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| лидер | Исполнитель | Отчетность |
|---|---|---|
| Центральные ИТ-операции или директор по информационным технологиям (CIO) | Руководящая поддержка | |
| Руководитель программы из отдела безопасности данных | Достижение результатов и совместная работа между командами | |
| Продуктивность Central IT / конечный пользователь | Реализация изменений в клиенте Microsoft 365 для OneDrive и защищенных папок | |
| Инфраструктура/Резервное копирование Центрального ИТ | Включение резервного копирования инфраструктуры | |
| Бизнес / Приложение | Определение критически важных активов | |
| Архитектура безопасности | Рекомендации по конфигурации и стандартам | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Обеспечьте, чтобы рекомендации для пользователей отражали обновления политики. | |
Контрольный список для реализации
Следуйте этим рекомендациям для защиты данных организации.
| Выполнено | Задача | Описание |
|---|---|---|
| Перенос организации в облако: — Переместите данные пользователей в облачные решения, такие как OneDrive/SharePoint, чтобы использовать возможности управления версиями и корзины. — Научите пользователей самостоятельно восстанавливать свои файлы, чтобы сократить задержки при восстановлении и затраты на его выполнение. |
Пользовательские данные в облаке Майкрософт могут быть защищены встроенными функциями безопасности и управления данными. | |
| Назначьте защищенные папки. | Усложняет изменение данных в этих папках неавторизованными приложениями. | |
| Просмотрите разрешения: — Откройте для себя обширные разрешения на запись и удаление в файловых ресурсах, SharePoint и других решениях. Под массовыми разрешениями подразумевается возможность записи и удаления критически важных для бизнеса данных множеством пользователей. — Уменьшите широкие разрешения для критически важных расположений данных при выполнении требований к бизнес-совместной работе. — Проводите аудит и мониторинг критически важных расположений данных, чтобы предотвратить повторное появление широких разрешений. |
Снижает риск от действий вымогательских программ, использующих широкий доступ. | |
Следующий шаг
Перейдите к этапу 2, чтобы ограничить область ущерба от атак, защитив привилегированные роли.
Дополнительные ресурсы о вымогательском ПО
Ключевые сведения из Майкрософт:
- блог Майкрософт — программы-вымогатели, последние угрозы — программы-вымогатели
- Вымогательское ПО, управляемое человеком
- Быстрая защита от программ-шантажистов и вымогательства
- Программное обеспечение-вымогатель: всепроникающая и постоянная угроза отчет об аналитике угроз на портале Microsoft Defender
- команда реагирования на инциденты Майкрософт (ранее DART/CRSP) подход и кейсовое исследование
Microsoft 365:
- Развернуть защиту от программ-вымогателей для арендатора Microsoft 365
- Максимизируйте устойчивость к атакам программ-вымогателей с Azure и Microsoft 365
- Восстановление после атаки программами-вымогателями
- Защита от вредоносных программ и программ-шантажистов
- Защитите свой ПК с Windows 10 от вымогательского ПО
- Работа с программами-вымогателями в SharePoint Online
- Отчеты Threat analytics для вымогательского ПО на портале Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Защита Azure от атак вымогателей
- Максимальная защита от программ-вымогателей с помощью Azure и Microsoft 365
- План резервного копирования и восстановления для защиты от программ-шантажистов
- Помогите защититься от программ-вымогателей с помощью Microsoft Azure Backup (видео на 26 минут)
- Восстановление после системной компрометации идентичности
- Продвинутое обнаружение многоэтапных атак в Microsoft Sentinel
- Обнаружение Fusion для вымогательского ПО в Microsoft Sentinel
Microsoft Defender for Cloud Apps:
записи блога команды Microsoft Security:
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 1 (сентябрь 2021 г.)
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 2 (сентябрь 2021 г.)
Рекомендации и лучшие практики.
Три шага для предотвращения атак программ-шантажистов и восстановления после них (сентябрь 2021 г.)
-
См. раздел Программы-шантажисты.
Атаки программ-шантажистов, управляемые человеком: предотвратимая катастрофа (март 2020 г.)
Включает анализ цепочки реальных атак.
Ответ программы-шантажистов— платить или не платить? (декабря 2019 г.)
Norsk Hydro прозрачно отреагировала на атаку с использованием вымогательского ПО (декабрь 2019 г.)