Поделиться через

Ограничение влияния атак программ-шантажистов

Следующий шаг, чтобы ограничить влияние атак программ-шантажистов, заключается в защите привилегированных ролей - тип заданий, в которых люди обрабатывают много привилегированных сведений в организации.

Этот этап предотвращения программ-вымогателей нацелен на недопущение значительного доступа субъектов угроз к вашим системам.

Чем больше доступа к киберпреступникам имеет ваша организация и устройства, тем выше потенциальный ущерб вашим данным и системам.

Внимание

Ознакомьтесь с серией мероприятий по защите от программ-шантажистов и сделайте вашу организацию менее уязвимой к кибератакам.

Разработайте стратегию привилегированного доступа для вымогательского ПО

Необходимо применить тщательную и комплексную стратегию, чтобы снизить риск компрометации привилегированного доступа.

Любой другой элемент управления безопасностью, который вы применяете, легко может быть недопустим субъектом угроз с привилегированным доступом в вашей среде. Злоумышленники могут получить доступ с помощью социальной инженерии и даже использовать ИИ для создания и отображения вредоносного кода и URL-адресов. Угрожающие акторы программ-вымогателей используют привилегированный доступ для быстрого получения контроля над всеми критически важными ресурсами в организации с целью проведения атаки и последующего вымогательства.

Кто отвечает в программе или проекте

В этой таблице описывается стратегия привилегированного доступа, чтобы предотвратить программ-шантажистов с точки зрения иерархии управления спонсорами, программами или проектами, чтобы обеспечить результаты.

Lead Исполнитель Отчетность
Начальник управления информационной безопасностью или директор по информационным технологиям Спонсорство руководства
Руководитель программы Достижение результатов и совместная работа между командами
ИТ-специалисты и архитекторы системы безопасности Назначение приоритета компонентам, интегрированным в архитектуры
Управление удостоверениями и ключами Внедрение изменений в систему идентификации
Команда по повышению производительности или взаимодействию с пользователями из центрального ИТ-отдела Реализация изменений на устройствах и в клиенте Office 365
Политика и стандарты безопасности Обновление стандартов и документов политики
Управление соответствием требованиям безопасности Мониторинг для обеспечения соответствия
Команда по обучению пользователей Обновление любых инструкций по использованию паролей

Контрольный список стратегии привилегированного доступа программ-шантажистов

Создайте многоэтапную стратегию, используя руководство с контрольным списком, размещенное по адресу https://aka.ms/SPA.

Выполнено Задача Описание
Обеспечьте сквозную безопасность сеанса. Явным образом проверяет доверие пользователей и устройств перед разрешением доступа к административным интерфейсам (с помощью условного доступа Microsoft Entra).
Защищайте и отслеживайте системы идентификации. Предотвращает атаки с повышением привилегий, включая атаки на каталоги, систему управления удостоверениями, учетные записи администраторов и группы, а также конфигурацию предоставления согласия.
Снижение бокового перемещения. Гарантирует, что компрометация одного устройства не сразу же приводит к получению контроля над многими или всеми другими устройствами. Для этого используются пароли локальных учетных записей, пароли учетных записей служб или другие секреты.
Обеспечение быстрого реагирования на угрозы. Ограничивает доступ злоумышленника и время, проводимое им в вашей среде. Дополнительные сведения см. в разделе Обнаружение и реагирование.

Результаты и временная шкала реализации

Попробуйте достичь этих результатов в течение 30–90 дней:

  • Для использования защищенных рабочих станций требуется 100 % администраторов.

  • 100 % локальных рабочих станций или паролей сервера случайные

  • Внедрены меры по 100% снижению эскалации привилегий.

Обнаружение и реагирование на вымогательское ПО

В вашей организации следует реализовать средства обнаружения распространенных атак на конечные точки, электронную почту и удостоверения с возможностью реагирования на такие атаки и исправления их последствий. На счету каждая минута.

Чтобы ограничить время злоумышленника на латеральное перемещение по вашей организации, необходимо быстро устранить распространенные точки входа атак.

Кто отвечает в программе или проекте

В этой таблице описано улучшение возможностей обнаружения программ-шантажистов и реагирования на их действия в контексте иерархии в области спонсирования, управления программой или управления проектом для определения требуемых результатов и их достижения.

свинец Исполнитель Отчетность
Начальник управления информационной безопасностью или директор по информационным технологиям Спонсорство руководства
Руководитель программы из команды по обеспечению безопасности Достижение результатов и совместная работа между командами
Команда по работе с инфраструктурой из центрального ИТ-отдела Реализация клиентских и серверных агентов или функций
Операции безопасности Интеграция новых средств в операции обеспечения безопасности
Команда по повышению производительности или взаимодействию с пользователями из центрального ИТ-отдела Включение функций Defender для конечных точек, Defender для Office 365, Defender для идентификаций и Defender для облачных приложений
Команда по идентификации из центрального ИТ-отдела Реализация безопасности Microsoft Entra и Defender для удостоверений
Архитекторы безопасности Рекомендации по настройке, стандартам и инструментарию
Политика и стандарты безопасности Обновление стандартов и документов политики
Управление соответствием требованиям безопасности Мониторинг для обеспечения соответствия

Контрольный список по обнаружению и реагированию на вымогательское ПО

Применяйте эти рекомендации для улучшения процесса обнаружения и реагирования.

Выполнено Задача Описание
Приоритет распространенных точек входа:

— Используйте интегрированные средства расширенного обнаружения и ответа (XDR), такие как XDR в Microsoft Defender, чтобы обеспечить высокое качество оповещений и свести к минимуму трение и вручную во время реагирования.

— выполняйте мониторинг на предмет попыток атак методом перебора, таких как Распыление пароля.		 Операторы программ-вымогателей (и других) предпочитают использовать в качестве точек входа конечные устройства, электронную почту, идентификацию и RDP.
Следите за действиями злоумышленника, отключающего безопасность (это часто является частью цепочки атак), например:

— очистка журнала событий, особенно журнала событий безопасности и рабочих журналов PowerShell;

— отключение средств безопасности и элементов управления.		 Субъекты угроз нацелены на средства обнаружения безопасности, чтобы продолжить атаку более безопасно.
Не игнорируйте стандартные вредоносные программы. Участники киберпреступной деятельности («вымогатели») регулярно покупают доступ к целевым организациям на теневых рынках.
Привлеките к процессам внешних специалистов, чтобы обеспечить экспертные знания, например Microsoft Detection and Response Team (DART). Для обнаружения и восстановления опыт имеет огромное значение.
Используйте Microsoft Defender для конечных точек, чтобы быстро изолировать затронутые устройства. Интеграция с Windows 11 и 10 упрощает эту задачу.

Следующий шаг

Этап 3. Сделайте вход затрудненным

Перейдите к этапу 3, чтобы затруднить действия субъекта угроз, пытающегося проникнуть в вашу среду, постепенно удаляя риски.

Дополнительные ресурсы о вымогательском ПО

Основная информация от корпорации Майкрософт:

Microsoft 365:

Microsoft Defender XDR

Microsoft Azure:

приложения Microsoft Defender для облака:

Блоговые записи команды безопасности Microsoft о рекомендациях по защите от вымогательского ПО: