Aktuelt og fagblogg

Stans løsepengevirus med Microsoft Sikkerhet

Evelon AS

Jon-Alfred Smith

Løsepengeangrep og digital utpressing har i løpet av de senere årene utviklet seg til å bli en av de største sikkerhetsutfordringene over hele verden. Bak angrepene står både organisert kriminalitet og statlige aktører. Microsoft møter denne cybertrusselen med avanserte funksjoner i Azure Active Directory (AD), sikkerhetsproduktene i Defender-porteføljen og Microsoft Purview. Nå har selskapet lansert nye løsninger for trusselintelligens og administrasjon av eksterne angrepsflater som styrker forsvaret mot angripernes taktiker og tekniker: Microsoft Defender Threat Intelligence og Microsoft Defender External Attack Surface Management.

Forsvar på tvers av angrepskjeder

Microsoft Defender i kombinasjon med Azure AD, Microsoft Purview og Sentinel gir avansert ende-til-ende-beskyttelse mot mangfoldet av angrepsteknikker, både utenfra og fra innsiden. Angripere er fleksible og benytter en rekke metoder for å nå sitt endelige mål – som oftest for å stjele data eller å plante løsepengevirus. Microsoft tilbyr et integrert sett med utvidet deteksjon og respons (XDR) på tvers av produktene som gir varsler av høy kvalitet, samt automatiserte mekanismer for å undersøke og utbedre trusler. Verktøyene er utviklet for å fungere sammen og inkluderer:

Microsoft Defender for Office 365 (MDO) beskytter mot angrep i e-post, SharePoint, Teams, OneDrive og andre Office 365-funksjoner.
Microsoft Defender for Endpoint (MDE) sørger for endepunktsdeteksjon og -respons (EDR) på arbeidsstasjoner, bærbare, mobilenheter og servere.
Microsoft Defender for Identity (MDI) dekker identitetsstadiene i et angrep i lokale Windows AD-nettverk. Azure AD Identity Protection foretar tilsvarende trusseloppdagelser i skyen.
Microsoft Defender for Cloud Apps (MDCA) fungerer som sikkerhetsmegler for skytilgang, med funksjoner for å avdekke skygge-IT, overvåke og kontrollere sesjoner og sørge for informasjonsbeskyttelse og hindring av datatap.
Microsoft Defender for Cloud (MDC) sikrer virtuelle maskiner, SQL-servere, containere og lagringsområder med mer i hybride og multisky-miljøer.
Microsoft Defender for IoT (MDIT) avdekker og hindrer angrep på IoT-enheter foruten operasjonell teknologi (OT), som fabrikk- og kraftproduksjon og medisinsk utstyr.
Microsoft Purview håndterer databeskyttelse på flere nivåer og garderer mot innsiderisikoer.
Microsoft Sentinel er selskapets skyopprinnelige SIEM- og SOAR-løsning som sørger for overvåking, deteksjon og varslinger av hendelser, sammen med en sentralisert oversikt over sikkerheten i din IT-infrastruktur.

Microsoft Defender Threat Intelligence

Defender External Attack Surface Management er det andre nye produktet som inngår i Defender-suiten. Den gir sikkerhetsteam anledning til å se virksomheten din sånn som angripere ser den fra Internett når de velger et mål. Du oppdager ikke-administrerte ressurser som kan være mulige inngangspunkter for cyberkriminelle. Løsningen kan avdekke sårbarheter i alle lag av den eksterne angrepsflaten, inkludert rammeverk, nettsider, komponenter og kode. Den bruker dynamisk overvåking for å analysere og kategorisere ressurser etter hvert som de vises.

Standard og menneskestyrt løsepengevirus

Løsepengevirus har eksistert i flere tiår. I stor skala tok forretningsmodellen av med CryptoLocker i 2013. WannaCry og (Not)Petya forente kompromitteringsteknikker med en krypteringsnyttelast som krevde løsepenger i bytte mot dekrypteringsnøkkelen. Neste generasjon er inspirert av disse og omtales som menneskestyrte løsepengevirus eller Human Operated Ransomware – et begrep preget av Microsoft. Den forener målrettede angrepsteknikker med utpressing og trusler om å utlevere konfidensielle data.

Standard løsepengevirus retter seg mot enkeltindivider. Det er forhåndsprogrammerte angrep ut fra beste innsats. Datakrypteringen er opportunistisk, tilfeldig tillempet omstendighetene. Angrepene vil antakelig ikke føre til graverende følger i forretningsdriften. Et vellykket forsvar består i å fjerne skadevaren. Menneskestyrte løsepengeangrep derimot angriper hele virksomheten. Det er nøye tilpassede angrep drevet av determinert menneskelig intelligens. Det foretas en kalkulert kryptering og eksfiltrering av data. Effekten gir et garantert katastrofalt og synlig utfall for organisasjonen. Et vellykket forsvar er å fjerne motstanderen.

Menneskestyrte løsepengeangrep

De kriminelle retter angrep mot klienter og datasentre. Ved klientangrep skaffer de seg gjerne gyldig legitimasjon ved forskjellige former for identitetstyveri. Ved datasenterangrep utnyttes sårbarheter i programvare og andre sikkerhetshull. Kombinasjonen av brukernavn og passord omsettes på det mørke nettet. Nå har angriperne fått tilgang til virksomheten og kjører skript og installerer skadevare. De utforsker miljøet og beveger seg sidelengs fra maskin til maskin, fra brukerkonto til brukerkonto. Omsider lykkes de med å eskalere sine privilegier og får administrativ tilgang til organisasjonen. Her vil de låse data ved å kryptere dem, stjele data og kreve penger for å oppheve krypteringen. De vil forsøke å sabotere muligheten for å gjenopprette fra sikkerhetskopier og sørge for å holde seg skjult og bevare et fotfeste. Dette er gangen i en klassisk cyberdrapskjede.

Angrepskjede basert på MITRE ATT&CK

MITRE er en ikke-kommersiell spin-off fra Massachusetts Institute of Technology (MIT). ATT&CK står for Adversarial Tactics, Techniques & Common Knowledge – motstandstaktikker, -teknikker og felles kunnskap. Rammeverket er mer omfattende og er ikke begrenset til en lineær rekkefølge av operasjoner, men her vises de typiske trinnene et cyberangrep går gjennom. Hensikten er at det hjelper deg med å forstå hva som foregår, og hvordan du i hver fase kan bekjempe angrepet.

Rekognosering: Observasjonsstadiet der angripere vurderer nettverk og tjenester for å identifisere mulige mål og teknikker for å komme seg inn.
Inntrenging: Angripere bruker kunnskapen som er oppnådd i rekognoseringsfasen for å få tilgang til deler av et nettverk. Dette innebærer ofte å utforske en feil eller sikkerhetshull.
Utnyttelse: Denne fasen innebærer å utnytte sårbarheter og plante ondsinnet kode på systemer for å få mer tilgang.
Eskalering av privilegier: Angripere prøver ofte å få administrativ tilgang til kompromitterte systemer for å få tak i mer kritiske data og flytte til andre tilkoblede systemer.
Lateral bevegelse: Dette er å flytte sideveis til andre maskiner i nettverket og få større tilgang til mulig sensitive data.
Tilsløring/hindring av etterforsking: Angripere skjuler inngangspunktet for å kunne gjennomføre et nettangrep. De vil ofte kompromittere data og tømme logger for å hindre at de blir oppdaget.
Tjenestenekt: Denne fasen innebærer å forstyrre normal tilgang for brukere og systemer for å forhindre at angrepet overvåkes, spores eller blokkeres.
Eksfiltrering: Det siste utvinningsstadiet består i å få verdifulle data ut av de kompromitterte systemene.

Sikker autentisering

Et ufravikelig krav er å sette opp multifaktor-autentisering for alle brukere. Dermed har angripere lite glede av passord de har tilranet seg. Enheter eller mobilapper må inngå i godkjenningsprosessen. Helsetilstanden deres er avgjørende. Brukerkontoer og pålogginger må ikke være risikable. Tilgang fra enkelte land bør hindres. Betinget tilgang fungerer som policymotor som vurderer alle disse signaler eller forhold før en bruker får adgang til ressurser. Motoren er sentral i en identitetsdreven, ressurssentret Zero Trust-arkitektur og dekker både definisjon og håndhevelse av policyer. Det skjerper ytterligere sikkerheten om du bare tillater admin-tilgang fra dedikerte arbeidsstasjoner.

Defender for Office 365

Angrep innledes i rundt 80 prosent av tilfellene med e-post som fisker etter legitimasjon eller kan inneholde skadelig kode og koblinger. Defender for Office gir omfattende beskyttelse mot denne type angrep. Vedlegg skannes i et virtuelt miljø; koblinger undersøkes på nytt idet bruker klikker på dem; mulig phishing-e-post analyseres med kunstig intelligens. Microsoft fanger opp trillioner av signaler som kvernes gjennom stordata. I tillegg har selskapet over 9000 sikkerhetseksperter i egne forskingssentre som samarbeider med myndigheter. Alt dette bidrar til å sikre e-post. Den enkleste og mest effektive måten å konfigurere produktet på er med forhåndsinnstilte sikkerhetspolicyer.

Defender for Endpoint

Trussel- og sårbarhetsadministrasjon identifiserer, vurderer og utbedrer svakheter på endepunkter. Angrepsflatereduksjon begrenser angrepsflaten, som gjør det vanskeligere for angripere. Neste generasjons beskyttelse bruker maskinlæring og dybdeanalyse for å beskytte mot filbasert skadelig programvare. Endepunktsdeteksjon og -respons overvåker atferd og angrepsteknikker for å oppdage og svare på avanserte angrep, med synlighet i hele sikkerhetsbruddet. Automatisert undersøkelse og utbedring benytter kunstig intelligens (KI) for automatisk å undersøke varsler og utbedre komplekse trusler på få minutter. Microsofts trussel-eksperter bringer dybdekunnskaper foruten proaktiv og reaktiv trusseljakt til virksomheten din. Sentralisert konfigurasjon og administrasjon sørger for en helhetlig opplevelse. APIer lar deg knytte plattformen sammen med andre løsninger.

Defender for Identity

Microsoft Defender for Identity er en skybasert sikkerhetsløsning som utnytter dine lokale Active Directory-signaler for å identifisere, oppdage og undersøke avanserte trusler, kompromitterte identiteter og ondsinnede innsidehandlinger rettet mot organisasjonen din. Du overvåker brukere, enhetsatferd og aktiviteter med læringsbasert analyse. Du beskytter identiteter og legitimasjon i Active Directory. Du identifiserer og undersøker mistenkelige brukeraktiviteter og avanserte angrep gjennom hele drapskjeden. Du får tydelig hendelsesinformasjon på en enkel tidslinje for rask triage.

Defender for Cloud Apps

Microsoft Defender for Cloud Apps er en sikkerhetsmegler for trygg skytilgang som opererer på flere plattformer. Det gir rik synlighet, kontroll over databevegelser og sofistikert analyse for å identifisere og bekjempe cybertrusler på tvers av alle skytjenestene dine. Produktet inneholder fire funksjoner:

Oppdage og kontroller bruken av skygge-IT. Godkjenn og blokker sky-apper.
Vurdere om sky-appene overholder forskrifter og bransjestandarder.
Beskytte sensitiv informasjon hvor som helst i skyen. Klassifiser og rettighetsstyr følsomme data i hvile og hindre datatap.
Avdekke uvanlig atferd på tvers av apper, brukere og potensielle løsepengeangrep. Avviksdeteksjon viser hvem som bruker appene i miljøet ditt, og hvordan de benytter dem.

Microsoft 365 Defender

Microsoft 365 Defender er en integrert pakke for trusselbeskyttelse med løsninger som oppdager ondsinnet aktivitet på tvers av e-post, endepunkter, applikasjoner og identitet – de fire Defender- produktene ovenfor. Varsler fra dem samles til hendelser, så de gir en fullstendig beretning om en angrepskjede som muliggjør en helhetlig forståelse av trusselen. Automatikk og maskinlæring hjelper deg med å beskytte og utbedre organisasjonen din i møte med fiendtlige angrep. Men enkelte ganger må du inn manuelt for å rydde opp. Og fremfor alt må du overvåke miljøet ditt.

Microsoft Purview

Purview inneholder en rekke funksjoner for databeskyttelse. Hindring av datatap beskytter sensitiv informasjon automatisk mot risikabel og uautorisert tilgang på tvers av apper, tjenester, enheter og lokale filer. Informasjonsbeskyttelse oppdager, identifiserer, klassifiserer og beskytter sensitive data som er forretningskritiske. Administrasjon av intern risiko lar deg avsløre, undersøke og ta tak i kritiske risikoer i virksomheten, inkludert datatyveri, datalekkasjer og brudd på sikkerhetspolicyer. Varslinger fra disse komponentene bidrar til å avdekke data-eksfiltrering. Du beskytter konfidensiell informasjon ved å rettighetsstyre den og gjør det vanskeligere for angripere å publisere den.

Sikkerhetskopiering og gjenoppretting

Microsoft 365 har en rekke funksjoner for å beskytte data mot sletting, som papirkurver i SharePoint og OneDrive som bevarer dokumenter i 93 dager, Gjenopprett OneDrive som lar deg gå tilbake 30 dager, og skjulte mapper i Exchange som oppbevarer hardslettede e-postelementer. Målrettede angripere vil fjerne alt innhold her. De vil også sørge for at det i praksis blir umulig å hente frem filer fra rettslig sperre. Derfor trenger du en dedikert backup-løsning som hindrer at kopiene kan tukles med, som for eksempel SkyKick Cloud Backup. I hybride eller sky-miljøer er Azure Backup et godt valg. Som standard er den satt opp med Soft Delete, som innebærer at slettede backuper bevares i 14 dager. De kan også ytterligere beskyttes med en PIN-kode.

Avsluttende ord

Det finnes kun to typer organisasjoner: de som er forberedt på løsepengeangrep, og de om bare venter. Trussellandskapet har endret seg. Angriperne følger en ny forretningsmodell som øker effekten av og sannsynligheten for angrep. Det later ikke til å være noen ende i sikte. Modellen er ytterst lønnsom; den finansierer og fremskynder fremtidige løsepengeangrep. Juridiske hindringer er fraværende. Men angrepene har også svakheter. Utpressing er avhengig av at skurkene får tilgang til ressurser via administratorrettigheter, og at de klarer å ødelegge muligheten for gjenoppretting fra sikkerhetskopier.

Det er her du må se ditt snitt. Legg lag på lag i et effektivt dybdeforsvar som tetter igjen flest mulige sikkerhetshull. Om du tar i bruk flere eller alle sikkerhetsløsninger som er skissert her og konfigurerer dem hensiktsmessig, bør du være godt rustet i møte med utpressingsangrep. Angripere tenker også bedriftsøkonomisk; de må vurdere sin avkastning på investering (Return on Investment, ROI). Hvis det blir for ressurs- og tidkrevende med forsøkene på å bryte seg inn i en virksomhet, vil de ofte velge en bedrift der fruktene henger lavere. Her ble det bare til en generell oversikt over mulighetene med Microsoft Sikkerhet. Andre innlegg utdyper de forskjellige sidene.

Publisert: 10. oktober 2022. Oppdatert: 13. mars 2024.

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!

Ta kontakt

Relevante kundeprosjekter

Dette leverer vi for våre kunder

Drift- og vedlikehold Rådgivning Microsoft 365

Morgendagens apotek med behov for skalerbare løsninger og kompetente folk

Farmasiet er Norges største nettapotek som sender medisiner til hele Norge og har opplevd en enorm vekst de siste årene.

Microsoft 365 Sikkerhet Datasenter

Å bygge for fremtiden: Hvorfor skytjenester var et naturlig valg for dette merkevarehuset

CEG så tidlig at det å leie eller kjøpe tjenester fra leverandører var mer kostnadseffektivt, og det var en bonus at andre kunne ta seg av driften.

Bilde av 4 personer som sitter forsann en laptop

Microsoft 365 Sikkerhet Brukersupport

Regnkapsbyrå i vekst med behov for en skalerbar og sikker IT-løsning

Uten egen IT-ansvarlig var det viktig å ha en partner som kunne gi kloke anbefalinger, god brukersupport og som kunne hjelpe med en skalerbar og sikker IT-løsning rigget for vekst.

Mer fra fagbloggen

Få faglig påfyll og bli inspirert!

BIlde av mange 0 og 1 tall og så står det phishing i oransje

Sikkerhet Microsoft 365

Sikkerhetsutfordringer for små og mellomstore bedrifter

I en verden hvor digitaliseringen akselererer, står norske små og mellomstore bedrifter overfor stadig mer avanserte cybertrusler. Den ferske rapporten Microsoft Digital Defense 2024 avslører en alarm...

Theodor Lund Henriksen, Sikkerhetskoordinator

11. desember 2024

Copilot Microsoft 365

Fleksibel fakturering for Microsoft 365 Copilot

Microsoft introduserer nå en mer fleksibel faktureringsmulighet for Microsoft 365 Copilot. Nå fra 1. desember 2024 vil det være mulig å velge månedlig fakturering når man tegner et årlig abonnement.

Jannie Johnsen, Ansvarlig kundereisen

5. desember 2024

Sikkerhet

Viktigheten av å få månedlige sikkerhetsoppdateringer

For mindre bedrifter er en halvtimes nedetid om natten for installasjon av sikkerhetsoppdateringer sjelden kritisk for den daglige driften.

Mikael Nordby, Lærling driftskonsulent

26. november 2024