Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Всегда составляйте план восстановления после атаки программ-вымогателей, начиная с альтернативы выплате выкупа, чтобы не потерять доступ к вашим данным.
Внимание
Ознакомьтесь со всей серией предотвращения программ-вымогателей и сделайте вашу организацию труднодоступной для атак программ-вымогателей.
Субъекты программ-шантажистов, имеющие контроль над вашей организацией, имеют множество способов для давления на вас с целью оплаты. Требования в основном сосредоточены на двух категориях:
Оплата выкупа для восстановления доступа
Субъекты угроз требуют оплату под угрозой, что они не будут предоставлять вам доступ к системам и данным. Обычно это делается путем шифрования систем и данных и требуя оплаты ключа расшифровки.
Внимание
Оплата выкупа не гарантирует восстановленный доступ к вашим данным.
Финансово мотивированные киберпреступники (и часто неквалифицированные операторы, которые используют набор средств, предоставленный кем-то другим) могут удерживать как оплату, так и заблокированные файлы. Нет никаких законных гарантий, что предоставленный ими ключ полностью расшифрует всю систему и данных или что они предоставят такой ключ вообще. Для расшифровки этих систем используются самодельные средства атаки, что часто представляет собой трудоемкий и ручной процесс.
Оплата за неразглашение
Злоумышленники требуют оплаты в обмен на то, чтобы не раскрывать конфиденциальные или опозоривающие данные в даркнете (другим преступникам) или общей общественности.
Чтобы избежать принудительной оплаты (прибыльная ситуация для субъектов угроз), наиболее немедленные и эффективные меры, которые можно предпринять, — убедиться, что ваша организация может восстановить все предприятие из неизменяемого хранилища, которое ни киберкриминал, ни вы не можете изменить.
Также критически важно определить наиболее конфиденциальные активы и надежнее их защитить, однако этот процесс более длительный и сложный. Мы не хотим затрагивать другие области на этапах 1 или 2, но рекомендуем для начала собрать заинтересованных лиц из бизнес-подразделений, ИТ-службы и службы безопасности вместе и задать им вопросы наподобие следующих.
- Компрометация каких бизнес-активов наиболее опасна? Например, за какие активы наше бизнес-руководство будет готово заплатить требуемую сумму, если киберпреступники получат контроль над ними?
- Как эти бизнес-активы преобразуются в ИТ-ресурсы (например, файлы, приложения, базы данных, серверы и системы управления)?
- Как защитить или изолировать эти ресурсы, чтобы субъекты угроз с доступом к общей ИТ-среде не могли получить к ним доступ?
Защищенные резервные копии
Необходимо убедиться, что создаются резервные копии критически важных систем и их данных, и что эти копии защищены от преднамеренного удаления или шифрования злоумышленниками.
Цель атаки на резервные копии — лишить организацию возможности отреагировать на атаку, ничего не заплатив. Часто они нацелены на резервные копии и ключевую документацию, необходимую для восстановления, чтобы принудить заплатить требуемую вымогателями сумму.
Большинство организаций не защищают процедуры резервного копирования и восстановления от целенаправленного уничтожения на этом уровне.
В статье План резервного копирования и восстановления для защиты от атак программой-шантажистом описываются действия, выполняемые до атаки для защиты критически важных бизнес-систем и во время атаки для обеспечения быстрого восстановления бизнес-операций.
Узнайте, как восстановить ваши файлы OneDrive в случае атаки вымогательского ПО.
Области ответственности участников программ и проектов
В этой таблице описан общий подход к защите данных от программ-шантажистов в контексте иерархии в области курирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| лидер | Исполнитель | Отчетность |
|---|---|---|
| Центральные ИТ-операции или директор по информационным технологиям (CIO) | Руководящая поддержка | |
| Руководитель программы инфраструктуры центрального ИТ-отдела | Достижение результатов и совместная работа между командами | |
| Инфраструктура/Резервное копирование Центрального ИТ | Включение резервного копирования инфраструктуры | |
| Продуктивность Central IT / конечный пользователь | Включение резервного копирования OneDrive | |
| Архитектура безопасности | Рекомендации по конфигурации и стандартам | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Управление соответствием безопасности | Мониторинг для обеспечения соответствия | |
Контрольный список для реализации
Следуйте этим рекомендациям для защиты инфраструктуры резервного копирования.
| Выполнено | Задача | Описание |
|---|---|---|
| Автоматически выполняйте резервное копирование всех критически важных данных по регулярному расписанию. | Позволяет восстанавливать данные до последней резервной копии. | |
| Регулярно проверяйте план обеспечения непрерывности бизнес-процессов (BC) и аварийного восстановления (DR). | Обеспечивает быстрое восстановление бизнес-операций, поскольку защита от атак вымогателей и атак с помощью программ-шантажистов считается такой же важной, как и защита от стихийных бедствий. | |
| Защита резервных копий от преднамеренной стирки и шифрования: — Надежная защита. Требуйте выполнения дополнительных шагов (применения многофакторной проверки подлинности или ПИН-кода) для изменения резервных копий по сети (например, с помощью Azure Backup). — Максимально надежная защита. Храните резервные копии в неизменяемом оперативном хранилище (например, хранилище больших двоичных объектов Azure) и (или) полностью автономном либо удаленном хранилище. |
Резервные копии, доступные злоумышленникам, могут быть приведены в непригодное состояние для восстановления работы бизнеса. Реализуйте более надежную безопасность для доступа к резервным копиям и невозможности изменять данные, хранящиеся в резервных копиях. | |
| Защитите вспомогательные документы, необходимые для восстановления, например документы по процедурам восстановления, базу данных управления конфигурацией (CMDB) и сетевые схемы. | Субъекты угроз намеренно нацелены на эти ресурсы, так как это влияет на возможность восстановления. Убедитесь, что они защищены от атаки вымогательского ПО. |
Результаты и временная шкала реализации
В течение 30 дней убедитесь, что среднее время восстановления (MTTR) соответствует целевым показателям BC и DR. Измеряйте его во время симуляций и при выполнении операций в реальных условиях.
Защита данных
Необходимо реализовать защиту данных, чтобы обеспечить быстрое и надежное восстановление от атаки программы-шантажистов и заблокировать некоторые методы атаки.
Атаки вымогателей с помощью программ-шантажистов и разрушающие атаки срабатывают только в случае полной утраты законного доступа к данным и системам. Обеспечение того, чтобы субъекты угроз не могут удалить возможность возобновить операции без оплаты, защитит ваш бизнес и подорвет денежный стимул для атак вашей организации.
Области ответственности участников программ и проектов
В этой таблице описан общий подход к защите данных организации от программ-шантажистов в контексте иерархии в области курирования, управления программой или управления проектом для определения требуемых результатов и их достижения.
| Lead | Исполнитель | Отчетность |
|---|---|---|
| Команда операций центрального ИТ-отдела или главный директор по информационным технологиям (CIO) | Поддержка руководства | |
| Руководитель программы из отдела безопасности данных | Достижение результатов и совместная работа между командами | |
| Производительность / Конечные пользователи в центральном ИТ-отделе | Реализация изменений в клиенте Microsoft 365 для OneDrive и защищенных папок | |
| Инфраструктура/Резервное копирование Центрального ИТ | Включение резервного копирования инфраструктуры | |
| Бизнес / Приложение | Определение критически важных активов | |
| Архитектура безопасности | Рекомендации по конфигурации и стандартам | |
| Политика и стандарты безопасности | Обновление стандартов и документов политики | |
| Управление соответствием требованиям безопасности | Мониторинг для обеспечения соответствия | |
| Команда по обучению пользователей | Обеспечьте, чтобы рекомендации для пользователей отражали обновления политики. | |
Контрольный список для реализации
Следуйте этим рекомендациям для защиты данных организации.
| Выполнено | Задача | Описание |
|---|---|---|
| Перенос организации в облако: — Переместите пользовательские данные в облачные решения, такие как OneDrive или SharePoint, чтобы воспользоваться возможностями управления версиями и корзины. — Научите пользователей самостоятельно восстанавливать свои файлы, чтобы сократить задержки при восстановлении и затраты на его выполнение. |
Данные пользователей в облаке Майкрософт могут быть защищены встроенными функциями для обеспечения безопасности и управления данными. | |
| Назначьте защищенные папки. | Усложняет изменение данных в этих папках неавторизованными приложениями. | |
| Просмотрите разрешения: — Выявите массовые разрешения на запись и удаление для общих папок, SharePoint и других решений. Под массовыми разрешениями подразумевается возможность записи и удаления критически важных для бизнеса данных множеством пользователей. — Уменьшите широкие разрешения для критически важных расположений данных при выполнении требований к бизнес-совместной работе. — Проводите аудит и мониторинг критически важных расположений данных, чтобы предотвратить повторное появление широких разрешений. |
Снижает риск от действий вымогательских программ, использующих широкий доступ. | |
Следующий шаг
Перейдите к этапу 2, чтобы ограничить область ущерба от атак, защитив привилегированные роли.
Дополнительные ресурсы о вымогательском ПО
Основная информация от корпорации Майкрософт:
- [2023 Отчет о цифровой защите Microsoft](https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report- 2023) (см. страницы 17-26)
- Блог Microsoft — вымогательское ПО, последние угрозы — вымогательское ПО
- Рансомварь, управляемая человеком
- Быстрая защита от программ-шантажистов и вымогательства
- Программы-вымогатели: распространенная и продолжающаяся угроза отчет аналитики угроз в портале Microsoft Defender
- Команда реагирования на инциденты Microsoft (ранее DART/CRSP): подход к программам-вымогателям и исследование случая
Microsoft 365:
- Развертывание защиты от программ-вымогателей для арендатора Microsoft 365
- Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
- Восстановление после атаки программами-вымогателями
- Защита от вредоносных программ и программ-шантажистов
- Защита компьютера Windows 10 от программ-шантажистов
- Противодействие программам-шантажистам в SharePoint Online
- Отчеты аналитики угроз для вымогательского ПО на портале Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Защита Azure от атак программ-шантажистов
- Максимальное повышение устойчивости к атакам программ-шантажистов с помощью Azure и Microsoft 365
- План резервного копирования и восстановления для защиты от программ-шантажистов
- Защита от программа-шантажистов с помощью Microsoft Azure Backup (видео длительностью 26 минут)
- Восстановление после компрометации системной идентичности
- Расширенное многоступенчатое обнаружение атак в Microsoft Sentinel
- Обнаружение вымогательского ПО с использованием Fusion в Microsoft Sentinel
приложения Microsoft Defender для облака:
Записи блога службы безопасности Майкрософт:
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 1 (сентябрь 2021 г.)
Руководство по борьбе с программ-шантажистов, управляемых человеком: часть 2 (сентябрь 2021 г.)
Рекомендации и лучшие практики.
Три шага для предотвращения атак программ-шантажистов и восстановления после них (сентябрь 2021 г.)
-
См. раздел Программы-шантажисты.
-
Включает анализ цепочки реальных атак.
Ответ программы-шантажистов— платить или не платить? (декабря 2019 г.)
Norsk Hydro отреагировала прозрачно на атаку вымогателей (декабрь 2019 г.)