Strategie ochrony usługi OneDrive przed oprogramowaniem wymuszającym okup
Wielu użytkowników postrzega OneDrive jako chmurową przestrzeń do wykonywania kopii zapasowych. Często wydaje im się, że pliki przechowywane w OneDrive są całkowicie zabezpieczone przed utratą i uszkodzeniem. Innymi słowy, niektórzy uważają, że pliki przechowywane w chmurze publicznej nie mogą zostać uszkodzone przez oprogramowanie wymuszające okup, w przeciwieństwie do plików przechowywanych na dyskach twardych lokalnych komputerów i serwerów lokalnie. Nie jest to do końca prawdą! Pliki przechowywane w OneDrive mogą paść ofiarą ataku oprogramowania wymuszającego okup, zostać zaszyfrowane i w rezultacie utracone.
Popularność ataków ransomware rośnie z roku na rok. Jeśli jednak zastosujesz się do zaleceń i będziesz przestrzegać zasad bezpieczeństwa, możesz zapewnić bezpieczeństwo swoich danych nawet podczas przechowywania ich w OneDrive. Ten wpis na blogu omawia strategie ochrony danych w OneDrive i wyjaśnia, jak zabezpieczyć się przed atakami ransomware.
O usłudze OneDrive i oprogramowaniu wymuszającym okup
Czy oprogramowanie wymuszające okup może zainfekować OneDrive? Tak, pliki przechowywane w usłudze OneDrive mogą zostać zainfekowane i zaszyfrowane przez oprogramowanie wymuszające okup w następujących przypadkach:
- Usługa OneDrive jest zamontowana w lokalnym folderze na komputerze, a pliki przechowywane w OneDrive są synchronizowane z powiązanym folderem lokalnym. Jeśli komputer zostanie zainfekowany oprogramowaniem wymuszającym okup, zaszyfruje ono wszystkie dostępne pliki, w tym pliki przechowywane w folderze zsynchronizowanym z OneDrive. W rezultacie, jeśli uzyskasz dostęp do OneDrive w interfejsie internetowym, zobaczysz zaszyfrowane (innymi słowy, uszkodzone) pliki. Oprogramowanie wymuszające okup może zacząć szyfrować OneDrive, a następnie zaszyfrować inne dyski i wszystkie dostępne lokalizacje pamięci masowej.
- Jeśli osoba atakująca uzyska Twoje dane uwierzytelniające, pliki dostępne z Twojego konta użytkownika mogą zostać zaszyfrowane przez oprogramowanie wymuszające okup.
- Kliknięcie linków phishingowych powoduje pobranie i uruchomienie wirusów, złośliwego oprogramowania i oprogramowania wymuszającego okup na komputerze ofiary. Oprogramowanie wymuszające okup uszkadza pliki, do których uzyska dostęp.
- Złośliwe dodatki i rozszerzenia, które proszą o udzielenie uprawnień dostępu do OneDrive, są niebezpieczne i mogą stanowić punkty wejścia dla infekcji ransomware. Przed instalacją należy uważnie przeczytać opis dodatków i rozszerzeń oraz sprawdzić dostawcę.
Jak bezpieczny jest OneDrive? Czy OneDrive jest bezpieczny? Jak bezpieczny jest OneDrive? Te pytania są popularne wśród nowych użytkowników Microsoft 365. OneDrive jest wystarczająco bezpieczny. Należy jednak wiedzieć, jak chronić się przed atakami oprogramowania wymuszającego okup, stosować się do zaleceń dotyczących bezpieczeństwa oraz wiedzieć, co zrobić, jeśli zauważysz, że OneDrive został zhakowany. Firma Microsoft zaprezentowała nową wbudowaną funkcję wykrywania oprogramowania wymuszającego okup, która wykrywa podejrzaną aktywność, taką jak masowe usuwanie lub szyfrowanie plików przechowywanych w OneDrive. Użytkownik otrzymuje powiadomienie w postaci komunikatu ostrzegawczego na swoim urządzeniu oraz za pośrednictwem e-maila. Wyświetlana jest również lista zaleceń. Jednak najważniejsze jest uniknięcie sytuacji, w której oprogramowanie wymuszające okup w OneDrive uszkodzi Twoje pliki. Przeczytaj, jak chronić foldery przed oprogramowaniem wymuszającym okup w następnej sekcji tego wpisu na blogu.
Jak chronić OneDrive przed atakiem oprogramowania wymuszającego okup
W tej sekcji wyjaśniam, jak chronić się przed oprogramowaniem wymuszającym okup i określam strategie ochrony przed nim dla OneDrive. Przestrzeganie tych zaleceń zmniejsza ryzyko zainfekowania oprogramowaniem wymuszającym okup i utraty danych.
Chroń poświadczenia
Chroń poświadczenia konta administratora Microsoft 365. Przez przejęcie danych uwierzytelniających administratora osoba atakująca może wykraść i uszkodzić wszystkie dane organizacji przechowywane w usłudze OneDrive (w tym wszystkie dane wszystkich użytkowników w organizacji).
Chroń dane uwierzytelniające użytkowników. Przejęcie kont użytkowników umożliwia osobom atakującym dostęp do ich danych osobowych i danych udostępnionych, rozpowszechnianie oprogramowania wymuszającego okup oraz infekowanie plików. Gdy pliki przechowywane w udostępnionej przestrzeni dyskowej OneDrive zostaną zainfekowane, inni użytkownicy korzystający z tej przestrzeni również mogą zostać zainfekowani.
Włącz uwierzytelnianie dwuskładnikowe. Microsoft 365 obsługuje uwierzytelnianie wieloskładnikowe. Ten dodatkowy krok zabezpieczający może pomóc użytkownikom chronić ich konta przed przejęciem i kradzieżą danych uwierzytelniających. Zaleca się stosowanie uwierzytelniania wieloskładnikowego lub weryfikacji dwuetapowej w celu ochrony kont Microsoft 365 z uprawnieniami w zakresie administracji. Oto wpis na blogu dotyczący Uwierzytelnianie dwuskładnikowe w usłudze Microsoft 365.
Chroń każdy komputer
Chroń komputery w swojej organizacji. Zainstaluj i skonfiguruj oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem. Postępowanie zgodnie z tym zaleceniem zmniejsza ryzyko zainfekowania komputerów użytkowników oprogramowaniem wymuszającym okup oraz plików przechowywanych w zsynchronizowanych folderach OneDrive na tych komputerach (magazyn OneDrive zamapowany do folderów lokalnych). Nie zapomnij o serwerach i maszynach wirtualnych.
Zablokuj wykonywanie plików przechowywanych w %appdata%, %localappdata%. Domyślnie katalogi te są używane przez aplikacje w systemie Windows do przechowywania danych. Mogą się tam znajdować pliki tymczasowe i pobrane dane. Po pobraniu pliki oprogramowania wymuszającego okup mogą zostać zamaskowane i ukryte w tych folderach, a następnie uruchomione.
Zablokuj makra w dokumentach pakietu Microsoft Office. Makra są rzadko wykorzystywane do zadań biznesowych, ale stanowią źródło poważnych problemów. Jedną z powszechnie stosowanych metod infekcji jest rozsyłanie dokumentów zawierających złośliwe makra, które uruchamiają atak oprogramowania wymuszającego okup w celu zainfekowania komputera, a następnie rozprzestrzeniają się w sieci, infekując inne komputery.
Aktualizuj oprogramowanie i instaluj poprawki zabezpieczeń, aby naprawić znane luki w oprogramowaniu, które mogą zostać wykorzystane przez oprogramowanie wymuszające okup do penetracji i zainfekowania systemu. Możesz włączyć automatyczne aktualizacje oprogramowania dla systemu Windows i aplikacji. Jeśli konfiguracja zabezpieczeń jest niedoskonała, atakujący mogą wykorzystać niezałatane luki w oprogramowaniu do rozpoczęcia ataku oprogramowania wymuszającego okup. Dlatego instalowanie poprawek jest ważne.
Edukuj użytkowników
Edukuj użytkowników, aby rozpoznawali ataki phishingowe. Atakujący często zakładają, że użytkownicy nie mają doświadczenia i że pobierają wszystkie pliki załączone do wiadomości e-mail, otwierają je oraz klikają wszystkie linki. Naszym zadaniem jest informowanie użytkowników o zagrożeniach i nauczanie ich, jak rozpoznawać podejrzane treści.
Najpopularniejszym sposobem ataku oprogramowania wymuszającego okup jest wysyłanie użytkownikom wiadomości phishingowych. Złośliwy link jest zaprojektowany tak, aby wyglądał jak legalny, ale przekierowuje użytkownika do pobrania i zainstalowania oprogramowania wymuszającego okup. Najedź kursorem na link i sprawdź pisownię w adresie URL. Jeśli choćby jeden znak jest nieprawidłowy, nie klikaj w link. Adres e-mail nadawcy, podobnie jak linki, może być sfałszowany. Jeśli nie znasz nadawcy i nie chcesz otrzymywać od niego żadnych wiadomości, lepiej zignoruj lub odrzuć wiadomość e-mail od tego nadawcy. Nie pobieraj i nie otwieraj plików załączonych do wiadomości e-mail. Pamiętaj o zagrożeniu związanym z otwieraniem dokumentów Word/Excel z makrami.
Szkodliwe linki w wiadomościach e-mail i fałszywe strony internetowe są niebezpieczne. Atakujący mogą tworzyć fałszywe strony i wysyłać linki do nich w wiadomościach e-mail. Fałszywa strona wygląda jak oryginalna, ale kliknięcie elementów na stronie lub wprowadzenie danych logowania może prowadzić do utraty konta lub infekcji oprogramowaniem wymuszającym okup.
Nawet jeśli adres strony internetowej jest prawdziwy i legalny, pamiętaj, że atakujący mogą włamać się do stron internetowych i wprowadzić do nich złośliwe kody. Po odwiedzeniu takiej strony internetowej użytkownik może zostać zainfekowany oprogramowaniem wymuszającym okup. W tym przypadku dobre, aktualne oprogramowanie antywirusowe może zapobiec infekcji.
Atakujący może wykorzystywać techniki socjotechniczne oraz oznaczenia takie jak „pilne”, „ważne” itp. w wiadomościach e-mail, aby wywołać u ofiary poczucie pośpiechu i odwrócić jej uwagę od sprawdzenia treści. Zachowaj ostrożność, gdy otrzymujesz wiadomości ze Skype’a i innych usług. Pamiętaj, że osoba atakująca może włamać się na konto użytkownika i wysyłać wiadomości z tego konta. W tym przypadku konto użytkownika jest prawdziwe, ale link lub plik wysłany z włamanej konta może stanowić zagrożenie.
Gdy użytkownicy są przeszkoleni w rozpoznawaniu podejrzanych treści, ryzyko ataku oprogramowania wymuszającego okup za pośrednictwem e-maili phishingowych jest znacznie niższe. Zawsze lepiej jest zapobiegać atakom oprogramowania wymuszającego okup na OneDrive niż odzyskiwać uszkodzone pliki.
Korzystaj z systemów ochrony e-maila
Korzystaj z Exchange Online Protection. To natywne narzędzie Microsoft 365 pozwala skonfigurować dodatkowe filtry ochronne, takie jak filtr bezpiecznych linków i filtr bezpiecznych załączników.
Skonfiguruj zasady antyphishingowe. Usługa Exchange Online Protection pozwala zidentyfikować zaufanych nadawców, podejrzanych nadawców, załączniki stanowiące zagrożenie oraz sfałszowane i złośliwe linki do zainfekowanych stron. W ustawieniach można zablokować fałszywych nadawców i niechciany e-mail.
Zablokuj aktywną zawartość w załącznikach, taką jak makra w dokumentach Word/Excel, skrypty VBScript i JavaScript. Więcej informacji na temat tej funkcji znajdziesz w wpisie na blogu pod adresem Ochrona Exchange Online .
Korzystaj z systemów ochrony w chmurze
Włącz Microsoft 365 Defender w swoim środowisku Microsoft 365. Microsoft 365 Defender to nowa nazwa Office 365 Zaawansowana ochrona przed zagrożeniami (Microsoft Defender dla Office 365). Ta funkcja pomaga zmniejszyć ryzyko infekcji oprogramowaniem wymuszającym okup dla użytkowników Microsoft 365 w Twojej organizacji. Główne funkcje Microsoft 365 Defender to inteligentne wykrywanie zagrożeń, automatyczne badanie oraz zintegrowana ochrona przed wyrafinowanymi atakami oprogramowania wymuszającego okup. Microsoft 365 Defender można skonfigurować w centrum zabezpieczeń Microsoft 365. Gdy użytkownicy są przeszkoleni, a inteligentne oprogramowanie jest włączone, poziom ochrony jest znacznie wyższy.
Korzystaj z przechowywania wersji
Włącz przechowywanie wersji (historię wersji) w ustawieniach OneDrive. Jeśli oprogramowanie wymuszające okup zaszyfruje obiekty przechowywane w OneDrive, zaszyfrowana zostanie tylko najnowsza wersja plików. Możesz wybrać poprzednią wersję pliku i odzyskać potrzebne pliki. Pamiętaj, że przed przystąpieniem do odzyskiwania plików należy usunąć oprogramowanie wymuszające okup z zainfekowanych komputerów, aby uniknąć ponownego szyfrowania plików. Należy pamiętać, że odzyskiwanie tysięcy plików poprzez przywracanie poprzednich wersji plików jest czasochłonne, a posiadanie odpowiedniej kopii zapasowej OneDrive pozwoli w tym przypadku zaoszczędzić czas i zasoby. Historia wersji OneDrive pozwala przywrócić pliki przechowywane w OneDrive do dowolnej wersji zmienionej w ciągu ostatnich 30 dni. Sprawdź ustawienia przechowywania usuniętych plików (przechowywanych w koszu) dla OneDrive.
Skonfiguruj zasady przechowywania. Microsoft 365 zasady dotyczące przechowywania danych określ, jak długo dane są przechowywane po usunięciu, zanim zostaną trwale usunięte. Pamiętaj, że przechowywanie zatrzymanych danych w chmurze zajmuje miejsce, co może wiązać się z dodatkowymi kosztami.
Wykonuj kopie zapasowe danych przechowywanych w OneDrive
Wykonuj kopie zapasowe danych przechowywanych w OneDrive. Niektóre z powyższych opcji mogą nie być dostępne we wszystkich planach subskrypcji Microsoft 365 i prawdopodobnie są dostępne tylko w planach subskrypcji najwyższego poziomu. Firma Microsoft umożliwia zgłoszenie prośby o pomoc techniczną oraz przywrócenie wszystkich danych przechowywanych w magazynie Office 365 w ciągu dwóch tygodni od wystąpienia utraty danych, jednak nie ma możliwości odzyskiwania wybiórczego i nie można wybrać konkretnych obiektów do odzyskania.
Kopie zapasowe należy przechowywać w chmurze lub lokalnie w bezpiecznym miejscu. Repozytorium kopii zapasowych musi być dobrze chronione i nie może być udostępniane innym użytkownikom (dostęp do niego muszą mieć wyłącznie oprogramowanie do tworzenia kopii zapasowych oraz administratorzy).
Wykonuj kopie zapasowe danych za pomocą NAKIVO Backup & Replication
Użyj NAKIVO Backup & Replication do ochrony OneDrive. NAKIVO Backup & Replication obsługuje kopia zapasowa dla Microsoft 365 dane, w tym dane przechowywane w OneDrive, Exchange Online i SharePoint Online. Możesz wykonać kopie zapasowe danych OneDrive i utworzyć do 4000 punktów odzyskiwania, a następnie przywrócić potrzebne wersje plików przy użyciu tych punktów odzyskiwania. Odzyskiwanie szczegółowe pozwala przywrócić wybrane pliki i foldery użytkowników do pierwotnej lokalizacji lub lokalizacji wybranej przez użytkownika. Jedna instancja NAKIVO Backup & Replication może chronić tysiące kont użytkowników Office 365. Dane z OneDrive są wykonywane kopie zapasowe w lokalnych repozytoriach przechowywanych na serwerach lokalnych. Konfiguracja odbywa się w intuicyjnym interfejsie internetowym.
Przeczytaj więcej wpisów na blogu dotyczących odzyskiwanie danych po ataku oprogramowania wymuszającego okup, oprogramowania wymuszającego okup ataki na urządzenia NAS , aby dowiedzieć się więcej o zasadach działania i ochronie przed oprogramowaniem wymuszającym okup.
Jak odzyskać pliki OneDrive
Jeśli Twoje pliki zostały zaszyfrowane przez oprogramowanie wymuszające okup, nigdy nie płacisz okupu. Płacenie okupu zachęca atakujących do przeprowadzania kolejnych ataków w celu uzyskania większych zysków. Jeśli zapłacisz okup, nie masz żadnej gwarancji, że odzyskasz swoje pliki w całości lub częściowo. Jeśli zorientujesz się, że Twoje pliki OneDrive zostały zaszyfrowane po ataku oprogramowania ransomware, powinieneś odzyskać dane za pomocą natywnych narzędzi Microsoftu lub z kopii zapasowej przy użyciu oprogramowania do ochrony danych innych firm.
Przede wszystkim usuń oprogramowanie ransomware zainstalowane na wszystkich komputerach w Twojej organizacji. Jeśli dla kont użytkowników w Twojej organizacji włączono natywne funkcje Microsoft 365, odzyskaj pliki OneDrive z poprzednich wersji lub z kosza (w tym z kosza drugiego stopnia). Jeśli masz kopię zapasową, przywróć dane z kopii zapasowej.
Dowiedz się więcej o tworzeniu kopii zapasowych i odzyskiwaniu danych z OneDrive za pomocą NAKIVO Backup & Replication w ten wpis na blogu.
Wnioski
W tym wpisie na blogu omówiono strategie ochrony OneDrive przed atakami oprogramowania wymuszającego okup oraz przedstawiono ogólne zalecenia, które mogą pomóc w zapobieganiu atakom oprogramowania wymuszającego okup na OneDrive. Należy chronić dane technicznie — skonfigurować ustawienia zabezpieczeń dla całego oprogramowania używanego na wszystkich komputerach oraz skonfigurować tworzenie kopii zapasowych danych. Ponadto warto poinformować użytkowników, jak rozpoznać potencjalne próby przeprowadzenia ataków ransomware, ponieważ cyberprzestępcy często wykorzystują jedną z kilku metod do zainicjowania ataków ransomware na OneDrive za pośrednictwem zwykłych użytkowników.
Wykonywanie kopii zapasowej to najpewniejszy sposób na odzyskanie danych w przypadku uszkodzenia plików przez oprogramowanie ransomware. Skorzystaj z usługi NAKIVO Backup & Replication, aby zabezpieczyć dane przechowywane w OneDrive.
