Skal du betale Ransomware-angribere? Microsoft siger nej

Home » microsoft

Ikon for læsetid 5 min. Læs

Kalenderikon Udgivet den

by Surur Davids 

offentliggjort den

Del denne artikel

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links. Værktøjstip-ikon

Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere

Ransomware påvirker pc-brugere store og små, hvor en række kommuner for nylig er blevet hårdt ramt og forkrøblet i ugevis af software, som krypterer deres data og kræver betaling for at få computerinfrastrukturen til at fungere igen. Ransomwaren er ofte også målrettet mod backup-systemer, hvilket gør det umuligt at gendanne til en kendt god backup.

Når de står over for et krav om løsesum og med kritisk infrastruktur og den administrative funktion af hundredtusindvis af mennesker, der er uarbejdsdygtige, er mange byer blevet fristet til at betale løsesummen, og nogle har faktisk givet efter.

Microsoft er dog klar i deres råd om aldrig at give efter for terrorister:

Vi opfordrer aldrig et ransomware-offer til at betale nogen form for krav om løsesum. At betale en løsesum er ofte dyrt, farligt og giver kun brændstof til angribernes kapacitet til at fortsætte deres operationer; bundlinje svarer det til et velsproget skulderklap til angriberne. Det vigtigste at bemærke er, at det at betale cyberkriminelle for at få en ransomware-dekrypteringsnøgle ikke giver nogen garanti for, at dine krypterede data bliver gendannet.

Microsoft uddyber desværre ikke, hvad man skal gøre i stedet, men antyder snarere, at forebyggelse er bedre end helbredelse, og siger:

… enhver organisation bør behandle en cybersikkerhedshændelse som et spørgsmål om, hvornår den vil ske, og ikke om den vil ske. At have denne tankegang hjælper en organisation med at reagere hurtigt og effektivt på sådanne hændelser, når de sker.

Microsoft anbefaler følgende strategi:

1. Brug en effektiv e-mail-filtreringsløsning

Ifølge Microsoft Security Intelligence Report bind 24 af 2018, spam og phishing-e-mails er stadig den mest almindelige leveringsmetode for ransomware-infektioner. For effektivt at stoppe ransomware ved dets indgangspunkt, skal enhver organisation vedtage en e-mail-sikkerhedstjeneste, der sikrer, at alt e-mailindhold og headers, der kommer ind og forlader organisationen, scannes for spam, vira og andre avancerede malwaretrusler. Ved at indføre en e-mail-beskyttelsesløsning i virksomhedsklasse vil de fleste cybersikkerhedstrusler mod en organisation blive blokeret ved ind- og udgang.

2. Regelmæssig opdatering af hardware- og softwaresystemer og effektiv sårbarhedshåndtering

Mange organisationer undlader stadig at vedtage en af ​​de ældgamle cybersikkerhedsanbefalinger og vigtige forsvar mod cybersikkerhedsangreb—anvende sikkerhedsopdateringer og patches, så snart softwareleverandørerne frigiver dem. Et fremtrædende eksempel på denne fiasko var WannaCry ransomware-begivenhederne i 2017, et af de største globale cybersikkerhedsangreb i internettets historie, som brugte en lækket sårbarhed i Windows Networking Server Message Block (SMB) protokol, for hvilken Microsoft havde udgivet en patch næsten to måneder før den første offentliggjorte hændelse. Regelmæssig patching og et effektivt program til håndtering af sårbarheder er vigtige foranstaltninger til at forsvare sig mod ransomware og andre former for malware og er skridt i den rigtige retning for at sikre, at enhver organisation ikke bliver et offer for ransomware.

3. Brug up-to-date antivirus og en endpoint detection and response (EDR) løsning

Selvom det at eje en antivirusløsning alene ikke sikrer tilstrækkelig beskyttelse mod virus og andre avancerede computertrusler, er det meget vigtigt at sikre, at antivirusløsninger holdes ajour med deres softwareleverandører. Angribere investerer kraftigt i skabelsen af ​​nye vira og udnyttelser, mens leverandørerne bliver tilbage ved at udgive daglige opdateringer til deres antivirusdatabasemotorer. Supplerende til at eje og opdatere en antivirusløsning er brugen af ​​EDR-løsninger, der indsamler og lagrer store mængder data fra slutpunkter og giver real-time værtsbaseret overvågning på filniveau og synlighed til systemerne. De datasæt og advarsler, der genereres af denne løsning, kan hjælpe med at stoppe avancerede trusler og udnyttes ofte til at reagere på sikkerhedshændelser.

4. Adskil administrative og privilegerede legitimationsoplysninger fra standardlegitimationsoplysninger

Når jeg arbejder som cybersikkerhedskonsulent, er en af ​​de første anbefalinger, jeg normalt giver til kunder, at adskille deres systemadministrative konti fra deres standardbrugerkonti og sikre, at disse administrative konti ikke kan bruges på tværs af flere systemer. Adskillelse af disse privilegerede konti håndhæver ikke kun korrekt adgangskontrol, men sikrer også, at et kompromittering af en enkelt konto ikke fører til kompromittering af hele it-infrastrukturen. Derudover er brug af Multi-Factor Authentication (MFA), Privileged Identity Management (PIM) og Privileged Access Management (PAM) løsninger måder til effektivt at bekæmpe privilegeret kontomisbrug og en strategisk måde at reducere legitimationsangrebsoverfladen.

5. Implementer et effektivt hvidlistingsprogram for applikationer

Det er meget vigtigt som en del af en ransomware-forebyggelsesstrategi at begrænse de applikationer, der kan køre i en it-infrastruktur. Applikationshvidlisting sikrer, at kun applikationer, der er blevet testet og godkendt af en organisation, kan køre på systemerne i infrastrukturen. Selvom dette kan være kedeligt og giver adskillige it-administrative udfordringer, har denne strategi vist sig at være effektiv.

6. Sikkerhedskopier regelmæssigt kritiske systemer og filer

Evnen til at genoprette til en kendt god tilstand er den mest kritiske strategi for enhver informationssikkerhedshændelsesplan, især ransomware. For at sikre succesen af ​​denne proces skal en organisation derfor validere, at alle dens kritiske systemer, applikationer og filer regelmæssigt sikkerhedskopieres, og at disse sikkerhedskopier regelmæssigt testes for at sikre, at de kan gendannes. Ransomware er kendt for at kryptere eller ødelægge enhver fil, den støder på, og det kan ofte gøre dem uoprettelige; derfor er det yderst vigtigt, at alle berørte filer nemt kan gendannes fra en god sikkerhedskopi, der er gemt på en sekundær placering, der ikke er påvirket af ransomware-angrebet.

Microsoft tilbyder også værktøjer til at simulere et ransomware-angreb.  Microsoft Secure Score hjælper organisationer med at bestemme, hvilke kontroller der skal aktiveres for at hjælpe med at beskytte brugere, data og enheder. Det vil også give organisationer mulighed for at sammenligne deres score med lignende profiler ved hjælp af indbygget maskinlæring mens Angrebssimulator giver virksomhedens sikkerhedsteams mulighed for at køre simulerede angreb, herunder falsk ransomware og phishing-kampagner. Dette vil hjælpe dem med at lære deres medarbejderes svar og justere sikkerhedsindstillingerne i overensstemmelse hermed.

Microsoft tilbyder selvfølgelig også cloud backup-værktøjer, som er designet til at opdage massemanipulation af brugerdata og stoppe dem i deres spor.

Læs mere på Microsofts Detection and Response Team blog her.

Mere om emnerne: microsoft, ransomware, sikkerhed

Surur Davids

Surur Davids Shield

Smartphone ekspert

Surur Davids er grundlæggeren af ​​WMPoweruser, som senere blev til MSPoweruser.com. Han er en smartphone-ekspert med mere end ti års erfaring.

Giv en kommentar

Din e-mail adresse vil ikke blive offentliggjort. Krævede felter er markeret *