勒索软件攻击会故意加密或擦除数据和系统,以强制组织向攻击者付款。 这些攻击的目标是数据、备份以及无需向攻击者付款而进行恢复所需的关键文档(以此增加组织付款的几率)。
本文讨论在攻击前保护关键业务系统的措施,以及在攻击期间确保业务运营快速恢复的方法。
什么是勒索软件?
勒索软件是一种敲诈勒索攻击,用于加密文件和文件夹,防止对重要数据和系统access。 攻击者使用勒索软件勒索受害者的钱财,通常要求以加密货币的形式支付赎金,作为交换提供解密密钥,或作为交换不将敏感数据发布到暗网或公共互联网。
尽管早期勒索软件主要使用恶意软件以网络钓鱼形式或在设备之间传播,但人为操作的勒索软件已经出现。这类软件由人类攻击操作者带动一伙主动攻击者,以组织中的各个系统(而非单个设备或某组设备)为攻击目标。 攻击可以:
- 加密数据
- 外泄数据
- 损坏备份
勒索软件利用攻击者对常见系统和安全配置不当与漏洞的了解来入侵组织、浏览企业网络并在攻击时适应环境及其薄弱点。
勒索软件可能会被分阶段设计成首先窃取您的数据,这个过程可能会持续几周或几个月,在特定日期才实际执行勒索。
勒索软件还可以逐渐加密数据,同时将密钥保留于系统。 只要密钥仍可用,你就能使用自己的数据,与此同时,勒索软件不会被注意到。 你的备份,然而,是加密数据。 当加密完所有数据且最近备份也属于加密数据时,系统将删除密钥,由此将导致无法再读取数据。
攻击在外泄文件的同时,还会在网络留下后门,以便后续开展恶意活动,这通常也是真正的危害之处。无论是否支付赎金,这些风险将持续存在。 这些攻击对业务操作而言可能具有灾难性且难以彻底清除,需要完全逐出攻击者才能防范后续攻击。 早期形式的勒索软件只需修正恶意软件即可,而人为操作的勒索软件则不同,在最初遭到入侵后,它会继续威胁你的业务运营。
攻击的影响
很难准确量化勒索软件攻击对任何组织的影响。 根据攻击范围,影响可能包括:
- 数据访问丢失
- 业务操作中断
- 财务损失
- 知识产权失窃
- 客户信任或自身信誉受损
- 承担法律费用
如何加强自身防范?
要想防止自己成为勒索软件的受害者,最好能够采取预防措施并拥有相应的工具,确保组织有效防范攻击者在渗透系统时进行的逐步攻击。
可以通过将组织迁移到云服务来减少本地风险。 Microsoft投资了本机安全功能,使Microsoft Azure能够抵御勒索软件攻击,并帮助组织击败勒索软件攻击技术。 要全面了解勒索软件和勒索行为,以及如何保护您的组织,请参考人工操作勒索软件缓解项目计划 PowerPoint 演示文稿中的信息。
应假设自己在某些时间点会成为勒索软件攻击的受害者。 若要保护数据并避免支付赎金,最重要的步骤之一是为业务关键型信息制定可靠的备份和还原计划。 由于勒索软件攻击者在削弱备份应用程序和操作系统(如卷影复制)功能方面投入了大量精力,因此拥有一个对恶意攻击者不可访问的备份系统至关重要。
Azure 备份
Azure 备份 在数据传输和静态存储时为备份环境提供安全性。 使用 Azure 备份,你可以备份:
- 本地文件、文件夹和系统状态
- 整个 Windows/Linux 虚拟机(VM)
- Azure 托管磁盘
- 将 Azure 文件共享到存储帐户
- 在 Azure VM 上运行的SQL Server数据库
备份数据存储在Azure存储中,来宾或攻击者无权直接访问备份存储或其内容。 使用虚拟机备份时,备份快照的创建和存储由 Azure 结构完成,来宾或攻击者除必须平息工作负载以实现应用程序一致性备份外,均不涉及。 使用 SQL 和 SAP HANA,备份扩展可以临时访问写入到特定 Blob。 这样,即使环境遭到攻击,攻击者也无法篡改或删除现有备份。
Azure 备份提供内置的监视和警报功能,用于查看和配置与Azure 备份相关的事件的操作。 备份报表充当一站式目标,在其中能够以不同的粒度级别跟踪使用情况、审核备份和还原,以及识别关键趋势。 使用Azure 备份的监视和报告工具,可以在发生任何未经授权的、可疑或恶意活动时立即发出警报。
已添加检查,确保只有效用户才可执行各种操作。 这些操作包括添加额外的身份验证层。 作为为关键作添加额外身份验证层的一部分,系统会提示在修改联机备份之前输入安全 PIN。
详细了解内置于 Azure 备份 中的 security 功能。
验证备份
创建备份时及还原之前,请验证备份是否正常。 建议使用 Recovery Services 保管库,该保管库是存储数据的Azure中的存储实体。 数据通常是数据副本,或虚拟机(VM)、工作负荷、服务器或工作站的配置信息。 可以使用恢复服务保管库保存各种Azure服务的备份数据,例如 IaaS VM(Linux 或 Windows),以及Azure SQL数据库以及本地资产。 恢复服务保管库有助于轻松组织备份数据并提供如下功能:
- 增强功能,确保可以保护备份并安全恢复数据,即使生产服务器和备份服务器受到危害。 了解详细信息。
- 通过中心门户监视混合 IT 环境(Azure IaaS VM 和本地资产)。 了解详细信息。
- 与Azure基于角色的访问控制(Azure RBAC)的兼容性,这限制了对一组定义的用户角色的备份和还原访问。 Azure RBAC 提供了各种内置角色,Azure 备份有三个内置角色来管理恢复点。 了解详细信息。
- 软删除保护,即使恶意参与者删除备份(或意外删除备份数据)。 备份数据会额外保留 14 天,以便在不丢失数据的情况下恢复备份项。 了解详细信息。
- 跨区域还原功能允许您在次要区域中还原 Azure 虚拟机,该次要区域属于 Azure 配对区域。 可随时还原次要区域中复制的数据。 这样,您可以在不中断的情况下还原次要区域的数据,以满足审核合规性需求,而无需等待 Azure 宣布灾难(这与保管库的 GRS 设置不同)。 了解详细信息。
注意事项
Azure 备份中有两种类型的保管库。 除了恢复服务保管库,还有Backup 保管库为Azure 备份支持的较新的工作负荷提供数据。
在攻击发生前的准备工作
如前所述,应假设自己在某些时间点会成为勒索软件攻击的受害者。 在攻击之前识别业务关键型系统并应用最佳做法可让你尽快备份并保持系统运行。
确定最重要的事项
勒索软件可能会在你制定攻击防范计划时进行攻击,因此,首先应识别最重要的业务关键型系统,并开始在这些系统上执行定期备份。
根据我们的以往经验,对客户最重要的五个应用程序按此优先级顺序分为以下类别:
- 标识系统——用于用户访问任何系统(包括下面所述的所有其他系统),例如 Active Directory、Microsoft Entra Connect、AD 域控制器
- 人类生命系统 - 任何支持人类生命或可能使人类生命面临风险的系统,例如医疗或生命支持系统、安全系统(救护车、调度系统、交通灯控制)、大型机器、化学/生物系统、食品或个人产品生产等
- 财务系统 - 处理货币交易并保持业务运行的系统,例如支付系统和相关数据库、季度报告专用财务系统
- 产品或服务支持系统 - 提供客户购买的业务服务或生产/交付物理产品所需的任何系统、工厂控制系统、产品交付/调度系统,等等
- 安全系统(最低)- 还应优先考虑监视攻击和提供最低安全服务所需的安全系统。 这应该侧重于确保当前攻击(或简单的机会攻击)无法立即获得(或重新获得)对还原系统的访问权限。
优先级备份列表也将成为优先级还原列表。 识别关键系统并定期执行备份后,请采取措施以降低风险级别。
攻击之前要执行的步骤
攻击之前采用这些最佳做法。
| 任务 | 详细信息 |
|---|---|
| 首先识别恢复联机状态所需的重要系统(使用上述五大类别)并立即开始执行这些系统的定期备份。 | 若要在攻击后尽快恢复并运行,请立刻确定最重要的事项。 |
| 将组织迁移到云。 考虑购买Microsoft 统一支持计划或与Microsoft合作伙伴合作,以帮助支持迁移到云。 |
通过自动备份和自助回滚将数据移至云服务,以减少本地风险暴露。 Azure有一组可靠的工具,可帮助你备份业务关键型系统并更快地还原备份。 Microsoft 统一支持 是一种云服务支持模型,随时为你提供帮助。 统一支持: 提供指定的全天候服务团队,根据你的需要提供问题解决方案和关键事件升级 帮助你监视 IT 环境的运行状况,并主动确保问题在发生之前得到有效防范 |
| 将用户数据移动到 OneDrive 和 SharePoint 等云解决方案,以利用版本管理和回收站功能。 指导用户如何自行恢复文件以减少恢复延迟和成本。 例如,如果用户的 OneDrive 文件受到恶意软件的感染,他们可以将整个 OneDrive 恢复到以前的时间点。 在允许用户还原自己的文件之前,请考虑防御策略,例如 Microsoft Defender XDR。 |
Azure云中的用户数据可以通过内置安全性和数据管理功能进行保护。 指导用户如何还原自己的文件是一种不错的做法,但需注意,确保用户还原的不是用于执行攻击的恶意软件。 你需要: 确保你的用户只在确信攻击者已被驱逐后才还原他们的文件。 应准备缓解措施以防用户恢复某些恶意软件 Microsoft Defender XDR 使用 AI 驱动的自动操作和剧本将受影响的资产恢复到安全状态。 Microsoft Defender XDR利用套件产品的自动修正功能来确保尽可能自动修正与事件相关的所有受影响的资产。 |
| 实现 Azure 云安全基准。 | Azure云安全基准是基于行业标准的安全控制框架(如 NIST SP800-53、CIS 控制 v7.1)的安全控制框架。 它提供了有关如何配置Azure和Azure服务并实施安全控制的组织指南。 请参阅 Backup 和 Recovery。 |
| 定期演练业务连续性/灾难恢复 (BC/DR) 计划。 模拟事件响应场景。 为防范攻击进行的准备性练习应围绕备份和还原优先列表进行计划和执行。 定期测试“从零恢复”方案,确保 BC/DR 可以使关键业务操作迅速从零功能(所有系统停机)恢复联机。 |
对勒索软件或敲诈勒索攻击与自然灾害同等重视,确保快速恢复业务操作。 开展实践练习以验证跨团队流程和技术过程,包括带外员工和客户通信(假定所有电子邮件和聊天均已关闭)。 |
| 请考虑创建风险注册来识别潜在风险,并解决如何通过预防性控制和操作来进行协调的问题。 将勒索软件添加到风险登记册,作为高可能性和高影响情景。 | 风险登记有助于根据风险发生的可能性和对业务的严重性来确定风险的优先级。 通过企业风险管理 (ERM) 评估周期跟踪缓解状态。 |
| 定期自动备份所有关键业务系统(包括备份关键依赖项(如Active Directory)。 创建备份之后验证备份是否正常。 |
可将数据恢复到最新备份。 |
| 保护(或打印)恢复所需的支持文档和系统,例如还原过程文档、CMDB、网络图和 SolarWinds 实例。 | 攻击者会故意攻击这些资源,因为这会影响你的恢复能力。 |
| 请确保已有记录完善的过程,以便充分利用任何第三方支持,尤其是威胁情报提供商、反恶意软件解决方案提供商和恶意软件分析提供商提供的支持。 保护(或打印)这些步骤。 | 如果给定勒索软件变种具有已知弱点或提供有解密工具,则第三方联系人可能有用。 |
| 确保备份和恢复策略包括: 能够将数据备份到特定时间点。 备份的多个副本存储于独立的、脱机(空气隔离)位置。 恢复时间目标,用于确定检索与投放备份信息到生产环境的速度。 快速地将备份还原到生产环境或沙盒中。 |
组织遭到破坏后,备份对于复原至关重要。 应用 3-2-1 规则以实现最大保护和可用性:3 个副本(原始 + 2 个备份)、2 个storage类型和 1 个场外或冷复制。 |
| 保护备份以防蓄意擦除和加密: 将备份存储在脱机或异地存储和/或不可变存储中。 需要采用带外步骤(例如 MFA 或安全 PIN),才能允许修改或清除联机备份。 在Azure 虚拟网络中创建专用终结点,以便从恢复服务保管库安全地备份和还原数据。 |
攻击者可访问的备份可能导致无法用于业务恢复。 脱机存储可确保在不使用任何网络带宽的情况下可靠地传输备份数据。 Azure 备份支持 offline 备份,无需使用网络带宽即可脱机传输初始备份数据。 它提供了一种机制,用于将备份数据复制到物理存储设备。 然后,设备将寄送到附近的Azure数据中心,并将其上传到 Recovery Services 保管库。 联机不可变存储(如 Azure Blob)使你能够以 WORM(写入一次、读取多)状态存储业务关键型数据对象。 此状态可以根据用户指定的时间间隔使数据保持不可擦除且不可修改的状态。 多重身份验证 (MFA) 对于所有管理员帐户都应为必需,并强烈建议对所有用户使用。 首选方法是尽量使用验证器应用而非短信或语音。 设置Azure 备份时,可以将恢复服务配置为使用Azure门户中生成的安全 PIN 启用 MFA。 这可确保生成安全 PIN 来执行更新或删除恢复点等关键操作。 |
| 指定受保护的文件夹。 | 使未经授权的应用程序更难修改这些文件夹中的数据。 |
| 检查你的权限: 发现对文件共享、SharePoint和其他解决方案的广泛写入/删除权限。 “宽泛”的定义是许多用户对业务关键数据都具有写入/删除权限。 减少宽泛权限,同时满足业务协作要求。 进行审核和监视,确保不会再次出现宽泛权限。 |
降低广泛访问权限启用的勒索软件活动带来的风险。 |
| 防范网络钓鱼尝试: 定期开展安全意识培训,帮助用户识别网络钓鱼尝试,并避免单击可能创建初始泄露入口点的内容。 将安全筛选控件应用于电子邮件,以检测并最大限度减少成功网络钓鱼尝试的可能性。 |
攻击者渗入组织的最常见方法是通过电子邮件进行网络钓鱼尝试。
Exchange Online Protection(EOP)是基于云的筛选服务,可保护组织免受垃圾邮件、恶意软件和其他电子邮件威胁的影响。 EOP 包含在具有Exchange Online邮箱的所有Microsoft 365组织中。 电子邮件安全筛选控件的一个示例是安全链接。 安全链接是Defender for Office 365中的一项功能,用于在入站邮件流期间扫描和重写电子邮件中的 URL 和链接,以及电子邮件和其他位置(Microsoft Teams和 Office 文档)中的 URL 和链接的单击时间验证。 除 EOP 入站电子邮件消息中的常规反垃圾邮件和反恶意软件保护外,还会进行安全链接扫描。 安全链接扫描有助于组织防范网络钓鱼和其他攻击中使用的恶意链接。 详细了解反网络钓鱼保护。 |
攻击期间的应对措施
如果遭到攻击,优先级备份列表将成为优先还原列表。 请在还原之前再次验证备份是否正常。 可以在备份中查找恶意软件。
攻击期间要执行的步骤
攻击期间采用这些最佳做法。
| 任务 | 详细信息 |
|---|---|
| 在攻击初期充分利用第三方支持,特别是威胁情报提供商、反恶意软件解决方案提供商和恶意软件分析提供商提供的支持。 | 如果给定勒索软件变种具有已知弱点或提供有解密工具,则这些联系人可能有用。 Microsoft事件响应团队可帮助防止攻击。 Microsoft事件响应与全球客户互动,帮助在攻击发生前进行防护和增强防御,以及在攻击发生时进行调查和修复。 Microsoft还提供快速勒索软件恢复服务。 Microsoft Global Compromise Recovery Security Practice (CRSP) 专门提供服务。 该团队在勒索软件攻击期间的重点是还原身份验证服务,并限制勒索软件的影响。 Microsoft事件响应是Microsoft行业解决方案交付安全服务线的一部分。 |
| 请联系本地或联邦执法机构。 | 如果你在美国,请联系FBI,使用IC3投诉转介表报告勒索软件泄露。 |
| 采取相应措施将恶意软件或勒索软件有效负载从你的环境中删除并停止传播。 在所有可疑计算机和设备上运行完整的当前防病毒扫描,以检测并删除勒索软件相关的有效负载。 扫描正在同步数据的设备或映射网络驱动器的目标路径。 |
可以使用 Windows Defender。 还可使用恶意软件删除工具 (MSRT) 来帮助删除勒索软件或恶意软件。 |
| 首先还原业务关键型系统。 请记得在还原之前再次验证备份是否正常。 | 此时,无需还原所有内容。 重点关注还原列表中的前五个业务关键型系统。 |
| 如果有脱机备份,可以在从环境中删除勒索软件有效负载(恶意软件)后还原加密数据。 | 若要防止后续受到攻击,请在还原之前确保勒索软件或恶意软件不在脱机备份中。 |
| 识别已知不会受感染的安全时间点备份映像。 如果使用恢复服务保管库,请仔细查看事件时间线,以了解还原备份的合适时间点。 |
若要防止后续受到攻击,请在还原之前扫描备份中的勒索软件或恶意软件。 |
| 使用安全扫描程序和其他工具执行完整操作系统还原与数据还原方案。 | Microsoft安全扫描程序是一种扫描工具,旨在查找和删除Windows计算机中的恶意软件。 只需下载该工具,然后运行扫描,即可查找恶意软件并尝试撤消识别的威胁所做更改。 |
| 确保防病毒或终结点检测和响应 (EDR) 解决方案为最新。 此外,还需要确保修补程序是最新的。 | 首选 EDR 解决方案,例如 Microsoft Defender for Endpoint。 |
| 业务关键型系统启动并运行后再还原其他系统。 系统还原后,会开始收集遥测数据,以便可以针对还原内容做出形成性决策。 |
遥测数据应有助于识别恶意软件是否仍在系统上。 |
攻击或模拟后
勒索软件攻击或事件响应模拟后,请执行以下步骤来改进备份和还原计划及安全状况:
- 明确可从未能正常执行流程的情况中吸取哪些经验教训(简化、加速或以其他方式改进流程的机会)
- 针对最大难题执行根本原因分析(应足够详细以确保解决方案能够有的放矢 — 考虑人员、流程和技术等因素)
- 调查和修复初始安全漏洞(请微软事件响应团队(前称 DART)协助)
- 根据经验教训和改进机会更新备份和还原策略 — 首先要根据最大影响和最快实施步骤来确定优先级
后续步骤
有关部署勒索软件保护的最佳做法,请参阅快速防范勒索软件和敲诈勒索。
关键行业信息:
- 2023 Microsoft数字防御报告(请参阅第 17-26 页)
Microsoft Azure:
Microsoft 365:
- 从勒索软件攻击中恢复
- 恶意软件和勒索软件防护
- 从勒索软件保护Windows 10电脑
- 在 SharePoint Online 中处理勒索软件
Microsoft Defender XDR: