本文提供特定于 Azure 的指南,指导组织防范和从勒索软件攻击中恢复。
小窍门
本文重点介绍 Azure 功能和最佳做法。 有关所有Microsoft平台和服务的综合勒索软件准备指南,请参阅 准备勒索软件恢复计划。
采用网络安全框架
一个很好的起点是采用 Azure 云安全基准(MCSB) 来保护 Azure 环境。 Azure 云安全基准是基于基于行业的安全控制框架(如 NIST SP800-53、CIS 控制 v7.1)的 Azure 安全控制框架。
Azure 云安全基准提供了有关如何配置 Azure 和 Azure 服务并实施安全控制的组织指南。 组织可以使用 Microsoft Defender for Cloud 来监视其实时 Azure 环境状态以及所有 MCSB 控件。
最终,该框架旨在降低和更好地管理网络安全风险。
| Azure 云安全基准堆栈 |
|---|
| 网络安全 (NS) |
| 标识管理(IM) |
| 特权访问 (PA) |
| 数据保护 (DP) |
| 资产管理(AM) |
| 日志记录和威胁检测 (LT) |
| 事件响应(IR) |
| 态势和漏洞管理 (PV) |
| 终结点安全性 (ES) |
| 备份和恢复 (BR) |
| DevOps Security (DS) |
| 治理和策略 (GS) |
确定缓解措施的优先级
根据我们在 Azure 环境中遭受勒索软件攻击的经验,我们发现优先级应侧重于:
- 准备 - 为 Azure 资源制定备份和恢复计划
- 限制 - 保护对 Azure 资源的特权访问
- 阻止 - 强化 Azure 安全控制
这似乎有点违背常理,因为大多数人都希望先阻止攻击,然后再采取其他措施。 遗憾的是,我们必须做出违规假设(一项关键的零信任原则),并首先注重于可靠地减轻最严重的损害。 由于勒索软件极有可能造成最坏的情况,因此这种优先顺序至关重要。 虽然这不是一个可让人愉快接受的事实,但我们面临的是富有创造力且动机性很强的人类攻击者,他们善于找到一种方法来控制我们所处的复杂现实环境。 针对这一现实,为最坏的情况做好准备并建立框架来遏制和预防攻击者获得他们想要的东西非常重要。
虽然这些优先级应该确定首先要做什么,但我们鼓励组织尽可能并行运行步骤(包括尽可能从第 1 步就快速取得胜利)。
有关勒索软件防护的三阶段方法的综合指南,请参阅 保护组织免受勒索软件和敲诈勒索。
使进入更加困难
防止勒索软件攻击者进入 Azure 环境,并快速响应事件以删除攻击者访问权限,然后才能窃取和加密数据。 这会导致攻击者更早、更频繁地失败,从而削弱他们攻击的收益。 虽然预防是理想的结果,但这是一项持续的过程,在实际组织中,不可能实现 100% 预防和快速响应,尤其是在拥有复杂的多平台和多云环境以及 IT 责任分散的情况下。
为了实现这一目标,组织应识别和执行快速胜利,以加强其 Azure 资源的安全控制,以防止进入,并快速检测/逐出攻击者,同时实施一个持续计划,帮助他们保持安全。 Microsoft建议组织遵循零信任策略中概述的原则。 具体而言,对于 Azure 资源,组织应确定以下优先级:
- 通过专注于 Azure 资源的攻击面减少和威胁和漏洞管理来改善安全卫生。
- 为 Azure 工作负载实施保护、检测和响应控制,以防御普通及高级威胁,提供对攻击者活动的可见性和警报,并能对正在进行的威胁作出响应。
有关使攻击者更难访问环境的综合指南,请参阅 防御勒索软件攻击。
限制损害范围
确保对有权访问 Azure 资源(如 IT 管理员和其他角色)的特权帐户拥有强大的控制(阻止、检测、响应),并控制业务关键型系统。 这会减缓和/或阻止攻击者获取对 Azure 资源的完整访问权限,从而窃取和加密这些资源。 消除攻击者使用 IT 管理员帐户作为捷径访问资源的能力可以大大降低他们成功得手并要求你付款/从中获利的可能性。
组织应为具有 Azure 访问权限的特权帐户提升安全性(严格保护、密切监视和快速响应与这些角色相关的事件)。 请参阅 Microsoft 的安全快速现代化计划,其中包括:
- 端到端会话安全性(包括管理员的多重身份验证 (MFA))
- 保护和监视标识系统
- 缓解横向穿越
- 快速威胁响应
有关限制损害范围的综合指南,请参阅 限制勒索软件攻击的影响。
为最坏情况做准备
针对最坏的情况做好规划,并预期这种情况会发生(在组织的各个层面)。 这可以帮助组织以及你所依赖的其他人:
- 限制最坏情况的损害 - 虽然从备份还原所有系统对业务具有高度破坏性,但这比在付费获取密钥后尝试使用(低质量)攻击者提供的解密工具进行恢复更有效和高效。 注意:支付是一条不确定的道路——您没有任何正式或法律保证,解密密钥能用于所有文件,工具能够有效运作,或攻击者(可能是使用专业工具包的业余合作伙伴)会出于善意行事。
- 限制攻击者的财务回报 - 如果组织可以在不向攻击者支付费用的情况下还原业务运营,则攻击会失败,并导致攻击者获得零投资回报(ROI)。 这样一来,他们今后不太可能以该组织作为攻击目标(也失去了攻击其他人的更多资本)。
攻击者可能仍会尝试通过数据透露或滥用/出售盗取的数据来勒索组织,但与他们拥有数据和系统的唯一访问途径相比,这种做法的利用价值更小。
为做到这一点,组织应确保:
- 登记风险 - 将勒索软件作为高可能性和高影响性的威胁添加到风险登记表中。 通过企业风险管理 (ERM) 评估周期跟踪缓解状态。
- 定义和备份关键业务资产 - 确定关键业务操作所需的系统,并按常规计划自动备份这些系统(包括正确备份关键依赖项,例如 Active Directory)。使用离线存储、不可变存储和/或带外步骤(如 MFA 或 PIN)在修改/删除在线备份之前保护备份,以防止故意擦除和加密。
- 测试“从零恢复”方案 - 测试以确保业务连续性/灾难恢复(BC/DR)可以从零功能(所有系统关闭)快速使关键业务运营联机。 开展实践练习以验证跨团队流程和技术过程,包括带外员工和客户通信(假定所有电子邮件、聊天等应用程序已关闭)。
务必保护(或打印)在恢复时所需的支持文档和系统,包括还原过程文档、CMDB、网络图、SolarWinds 实例等。攻击者会定期销毁这些资源。 - 通过自动备份和自助回滚将数据移到 Azure 云服务,减少本地曝光率。
有关准备最坏情况(包括意识培训和 SOC 准备情况)的综合指南,请参阅 准备勒索软件恢复计划。
Azure 特定的勒索软件保护技术控制
Azure 提供了各种本机技术控制,用于保护、检测和响应勒索软件事件,重点是预防。 在 Azure 中运行工作负荷的组织应利用以下 Azure 本机功能:
适用于 Azure 的检测和防护工具
- Microsoft Defender for Cloud - 统一的安全管理为 Azure 工作负荷提供威胁防护,包括 VM、容器、数据库和存储
- Azure 防火墙高级 - 具有 IDPS 功能的下一代防火墙,用于检测和阻止勒索软件 C&C 通信
- Microsoft Sentinel - 具有内置勒索软件检测分析和自动响应的云原生 SIEM/SOAR 平台
- Azure 网络观察程序 - 网络监视和诊断,用于检测异常流量模式
Azure 资源的数据保护
- 具有不可变性和软删除的 Azure 备份,适用于 Azure VM、SQL 数据库和文件共享
- Azure 存储不可变 Blob - WORM(一次写入,多次读取)存储,无法被修改或删除
- Azure 基于角色的访问控制 (RBAC) - Azure 资源访问的最低特权原则
- Azure Policy - 跨 Azure 订阅强制实施备份策略和安全配置
- 常规备份验证 使用 Azure Site Recovery 进行灾难恢复测试
有关全面的事件处理指南,请参阅 准备勒索软件恢复计划。
Azure 备份和恢复功能
确保已为 Azure 工作负载制定适当的流程和过程。 几乎所有的勒索软件事件都会导致需要还原已受损害的系统。 应为 Azure 资源制定适当的、经过测试的备份和还原过程,并制定适当的遏制策略来阻止勒索软件的传播。
Azure 平台通过 Azure 备份和各种 Azure 数据服务和工作负载中的内置功能提供多个备份和恢复选项:
使用 Azure 备份进行独立备份
Azure 备份 提供不可变的隔离备份,并提供软删除和 MFA 保护,用于:
- Azure 虚拟机
- Azure VM 中的数据库:SQL、SAP HANA
- Azure Database for PostgreSQL
- 本地 Windows Server(使用 MARS 代理备份到云)
操作性备份
- Azure 文件 - 使用时间点还原共享快照
- Azure Blob - 软删除、版本控制以及不可变存储
- Azure 磁盘 - 增量快照
Azure 数据服务的内置备份
Azure SQL 数据库、Azure Database for MySQL/MariaDB/PostgreSQL、Azure Cosmos DB 和 Azure NetApp 文件等数据服务提供具有自动计划的内置备份功能。
有关详细指导,请参阅 备份和还原计划,以防止勒索软件。
后续步骤
有关所有Microsoft平台和服务的综合勒索软件保护指南,请参阅 保护组织免受勒索软件和敲诈勒索。
参阅白皮书:Azure 针对勒索软件攻击的防御措施白皮书。
其他 Azure 勒索软件文章: