Detekce útoků ransomwaru a reakce na ně
Existuje několik potenciálních triggerů, které můžou značí incident ransomwaru. Na rozdíl od mnoha jiných typů malwaru bude většina aktivačních událostí s vyšší spolehlivostí (kdy by před deklaraci incidentu mělo být vyžadováno malé další šetření nebo analýza) místo triggerů s nižší spolehlivostí (kde by bylo pravděpodobně nutné provést další šetření nebo analýzu před deklarací incidentu).
Obecně platí, že takové infekce zřejmé ze základního systémového chování, absence klíčových systémových nebo uživatelských souborů a poptávka po výkupném. V tomto případě by analytik měl zvážit, jestli incident okamžitě deklarovat a eskalovat, včetně provedení jakýchkoli automatizovaných akcí pro zmírnění útoku.
Detekce útoků ransomwaru
Microsoft Defender pro cloud poskytuje vysoce kvalitní možnosti detekce hrozeb a reakce, označované také jako rozšířené zjišťování a reakce (XDR).
Zajistěte rychlou detekci a nápravu běžných útoků na virtuální počítače, SQL Servery, webové aplikace a identitu.
Určení priority společných vstupních bodů – ransomwaru (a další) operátory upřednostňují koncový bod/ e-mail/identitu + protokol RDP (Remote Desktop Protocol)
- Integrované XDR – Použití integrovaných nástrojů rozšířené detekce a odezvy (XDR), jako je Microsoft Defender for Cloud , k zajištění vysoce kvalitních výstrah a minimalizace tření a ručních kroků během reakce
- Hrubá síla – Monitorování pokusů o útok hrubou silou, jako je například password spray
Monitorování nežádoucího zákazu zabezpečení – protože je často součástí řetězu útoků HumOR (Human-Operated Ransomware)
Vymazání protokolů událostí – zejména protokol událostí zabezpečení a provozní protokoly PowerShellu
- Zakázání nástrojů/ovládacích prvků zabezpečení (přidružených k některým skupinám)
Neignorujte komoditní malware – Útočníci ransomware pravidelně nakupují přístup k cílovým organizacím z tmavých trhů.
Integrujte externí odborníky – do procesů pro doplnění odborných znalostí, jako je tým Microsoft Incident Response (dříve DART/CRSP).
Rychle izolujte ohrožená zařízení pomocí defenderu for Endpoint v místním nasazení.
Reakce na útoky ransomwaru
Deklarace incidentu
Po potvrzení úspěšné infekce ransomwaru by analytik měl ověřit, že to představuje nový incident nebo jestli může souviset s existujícím incidentem. Vyhledejte aktuálně otevřené lístky, které označují podobné incidenty. Pokud ano, aktualizujte aktuální lístek incidentu o nové informace v systému lístků. Pokud se jedná o nový incident, měl by být incident deklarován v příslušném systému lístků a eskalován příslušným týmům nebo poskytovatelům, aby incident obsahoval a zmírňoval. Mějte na paměti, že správa incidentů ransomwaru může vyžadovat akce prováděné několika IT a bezpečnostními týmy. Pokud je to možné, ujistěte se, že je lístek jasně označený jako incident ransomwaru pro vedení pracovního postupu.
Omezení nebo zmírnění rizik
Obecně platí, že různá antimalwarová řešení serveru nebo koncového bodu, antimalwarová řešení pro e-mail a ochranu sítě by měla být nakonfigurovaná tak, aby automaticky obsahovala a zmírňovala známý ransomware. Mohou však existovat případy, kdy konkrétní varianta ransomwaru dokázala takové ochrany obejít a úspěšně infikovat cílové systémy.
Microsoft poskytuje rozsáhlé zdroje informací, které vám pomůžou aktualizovat procesy reakce na incidenty v hlavních osvědčených postupech zabezpečení Azure.
Následující doporučené akce obsahují nebo zmírňují deklarovaný incident zahrnující ransomware, kdy automatizované akce prováděné antimalwarovými systémy nebyly úspěšné:
- Zapojení antimalwarových dodavatelů prostřednictvím standardních procesů podpory
- Ruční přidání hodnot hash a dalších informací spojených s malwarem do antimalwarových systémů
- Instalace aktualizací antimalwarového dodavatele
- Obsahují ovlivněné systémy, dokud je nebude možné napravit.
- Zakázání ohrožených účtů
- Provedení analýzy původní příčiny
- Použití relevantních oprav a změn konfigurace v ovlivněných systémech
- Blokování komunikace ransomwaru pomocí interních a externích kontrol
- Vyprázdnění obsahu uloženého v mezipaměti
Cesta k obnovení
Tým Microsoftu pro detekci a reakci vám pomůže chránit vás před útoky.
Pochopení a oprava základních bezpečnostních problémů, které vedly k ohrožení zabezpečení na prvním místě, by mělo být prioritou cílů ransomware.
Integrujte externí odborníky do procesů, které doplňují odborné znalosti, jako je reakce na incidenty Microsoftu. Reakce na incidenty Microsoftu spolupracuje se zákazníky po celém světě, pomáhá chránit a posílit zabezpečení před útoky, než k nim dojde, a také prošetřuje a opravuje, kdy k útoku došlo.
Zákazníci můžou zapojit naše odborníky na zabezpečení přímo z portálu Microsoft Defender a získat tak včasnou a přesnou odpověď. Odborníci poskytují přehledy potřebné k lepšímu pochopení složitých hrozeb ovlivňujících vaši organizaci, od dotazů na výstrahy, potenciálně ohrožených zařízení, původní příčiny podezřelého síťového připojení až po další analýzu hrozeb týkající se probíhajících pokročilých trvalých kampaní hrozeb.
Microsoft je připraven pomoci vaší společnosti v návratu k bezpečnému provozu.
Microsoft provádí stovky ohrožení zabezpečení a má vyzkoušenou a pravdivou metodologii. Nejen, že vás dostane k bezpečnější pozici, nabízí vám příležitost vzít v úvahu dlouhodobou strategii, a ne reagovat na situaci.
Microsoft poskytuje služby Rychlého ransomwaru Recovery. Pomoc je poskytována ve všech oblastech, jako je obnovení služeb identit, náprava a posílení zabezpečení a monitorování nasazení, které pomáhá cílům útoků ransomwaru vrátit se do normálního podnikání v nejkratším možném časovém rámci.
Naše služby Rychlého obnovení ransomwaru jsou po dobu trvání zapojení považovány za důvěrné. Tým CRSP (Compromise Recovery Security Practice), který je součástí domény Azure Cloud &AI, poskytuje výhradně zapojení rychlého obnovení ransomwaru. Další informace získáte kontaktováním poskytovatele CRSP na adrese Request contact about Azure Security.
Co bude dál
Podívejte se na dokument white paper: Azure Defenses for ransomware attack white paper.
Další články v této řadě: