Bảo vệ và khôi phục dữ liệu trước các cuộc tấn công ransomware trên Office 365: Tổng quan toàn diện
Ngày nay, ransomware được coi là một trong những mối đe dọa lớn nhất đối với các doanh nghiệp hiện đại, bởi nó có thể ảnh hưởng đến mọi loại dữ liệu, bao gồm cả các tệp và tài liệu Microsoft 365. Trên thực tế, năm 2020 đã ghi nhận hơn 304 triệu vụ tấn công trường hợp trên toàn cầu, với số tiền chuộc trung bình là 812.360 đô la. Và các phương thức xâm nhập ngày càng trở nên tinh vi hơn qua từng năm.
Theo Mô hình Trách nhiệm Chung, Microsoft cung cấp cho người dùng các công cụ bảo vệ chống ransomware cho Office 365. Tuy nhiên, các tổ chức sử dụng Office 365 có trách nhiệm cấu hình các công cụ này để bảo vệ dữ liệu khỏi các mối đe dọa cũng như sử dụng các công cụ của bên thứ ba để đảm bảo khả năng khôi phục dữ liệu.
Bài viết này chi tiết về các tính năng bảo vệ và khôi phục ransomware tích hợp sẵn của Microsoft, cho phép bạn bảo vệ môi trường của mình và khôi phục dữ liệu sau một cuộc tấn công ransomware.
Các tùy chọn bảo vệ chống ransomware tích hợp sẵn trong Office 365
Các gói đăng ký Microsoft bao gồm một số tính năng tích hợp sẵn giúp bạn bảo vệ môi trường đám mây của mình và giảm thiểu rủi ro trong trường hợp xảy ra sự cố bảo mật. Bằng cách sử dụng các công cụ có tại Bảo vệ Exchange Online (EOP) và Microsoft Defender, bạn có thể phát hiện, theo dõi và ngăn chặn các cuộc tấn công trước khi chúng xâm nhập và lây lan trong mạng của bạn.
Hãy lưu ý rằng các tính năng bảo vệ chống ransomware của Microsoft có những hạn chế và không cung cấp khả năng miễn nhiễm hoàn toàn trước các cuộc tấn công, đặc biệt là khi liên quan đến phần mềm độc hại do người dùng khởi tạo, ví dụ như.
Microsoft 365 Defender
Hầu hết các công cụ bảo mật vàlừa đảo danh tínhmà bạn cần đều có thể tìm thấy trong Microsoft 365 Defender và Microsoft Defender for Office 365 vì chúng kết hợp nhiều khả năng giám sát và bảo vệ. Ngoài ra, bạn có thể sử dụng Microsoft Defender for Identity và Microsoft Defender for Endpoint để phát hiện các thiết bị bị xâm nhập có thể là nguồn gốc của vụ vi phạm.
Các tính năng bảo vệ ransomware quan trọng nhất của Office 365 được tích hợp trong Microsoft Defender được liệt kê dưới đây.
- Điều tra và phản ứng với mối đe dọa
Đây là bộ tính năng giúp quản trị viên quét môi trường và thu thập dữ liệu về các mối đe dọa tiềm ẩn. Quy trình điều tra và phản ứng với mối đe dọa thu thập thông tin thông qua các công cụ theo dõi mối đe dọa từ nhiều nguồn khác nhau như máy tính bị nhiễm, các sự cố trước đó, hoạt động của người dùng và hơn thế nữa. Các hành động phản ứng cần thiết sau đó được triển khai để giải quyết rủi ro trong OneDrive for Business, SharePoint Online, Exchange Online và Microsoft Teams.
- Bảo vệ chống lừa đảo
Các thủ đoạn công nghệ xã hội như các cuộc tấn công lừa đảo là Các phương thức tấn công ransomware phổ biến nhất. Microsoft Defender for Office 365 sử dụng các thuật toán tiên tiến và một bộ tính năng để tự động phát hiện các cuộc tấn công lừa đảo và bảo vệ dữ liệu Office 365.
Thông tin về giả mạo : Những thông tin chi tiết này cho phép bạn phát hiện và tự động hạn chế người gửi giả mạo trong các tin nhắn từ các miền nội bộ hoặc bên ngoài. Bạn cũng có thể cho phép hoặc chặn thủ công các người gửi đã được xác định trong Danh sách cho phép/chặn của Tenant.
Chính sách chống lừa đảo : Cấu hình các thiết lập khác nhau như bảo vệ chống mạo danh, thông tin hộp thư và ngưỡng lừa đảo nâng cao. Ngoài ra, bạn có thể chỉ định hành động đối với các người gửi giả mạo bị chặn.
Xác thực email ngầm : Xác định người gửi giả mạo bằng cách kiểm tra email đến thông qua các kỹ thuật tiên tiến như đánh giá uy tín người gửi, lịch sử người gửi, phân tích hành vi và nhiều hơn nữa.
Xem chiến dịch : Phát hiện và phân tích các tin nhắn liên quan đến các chiến dịch lừa đảo có tổ chức.
Đào tạo mô phỏng tấn công : Quản trị viên có thể tạo các tin nhắn lừa đảo giả mạo và chia sẻ chúng với người dùng trong mạng nội bộ để kiểm tra mức độ sẵn sàng của họ cũng như tổ chức các khóa đào tạo nâng cao nhận thức về ransomware.
- Bảo vệ chống phần mềm độc hại
Hệ thống bảo vệ phần mềm độc hại nhiều lớp trong EOP tự động phát hiện các loại phần mềm độc hại đến và đi, bao gồm virus, phần mềm gián điệp và ransomware. Điều này được thực hiện thông qua các tính năng sau:
Hệ thống phòng thủ nhiều lớp chống phần mềm độc hại : Nhiều công cụ quét chống phần mềm độc hại bảo vệ tổ chức của bạn khỏi các mối đe dọa đã biết và chưa biết. Các công cụ này cung cấp bảo vệ ransomware cho Office 365 ngay cả trong giai đoạn đầu của một đợt bùng phát.
Phản ứng mối đe dọa theo thời gian thực : Đội ngũ bảo mật của bạn có thể thu thập đủ thông tin về virus hoặc phần mềm độc hại để tạo các quy tắc chính sách cụ thể và ngay lập tức triển khai chúng trên toàn mạng.
Triển khai định nghĩa chống phần mềm độc hại nhanh chóng : Các động cơ chống phần mềm độc hại được cập nhật liên tục để bao gồm các bản vá mới và định nghĩa phần mềm độc hại.
- Quyền truy cập thư mục được kiểm soát
Bằng cách kích hoạt bảo vệ theo thời gian thực trong Microsoft Defender Antivirus, bạn có thể quản lý cài đặt Quyền truy cập thư mục được kiểm soát để bảo vệ tệp và dữ liệu Office 365 khỏi các ứng dụng độc hại và ransomware. Tính năng này kiểm tra các ứng dụng so với danh sách các ứng dụng đã biết và chỉ cho phép các ứng dụng đáng tin cậy truy cập vào các thư mục được bảo vệ. Trong trường hợp có hoạt động độc hại, bạn sẽ nhận được thông báo cho biết ứng dụng nào đã cố gắng thực hiện các thay đổi không mong muốn đối với tài liệu được bảo vệ.
- Microsoft Defender for Cloud Apps
Việc chuyển sang đám mây mang lại những rủi ro bảo mật mới có thể đe dọa dữ liệu của bạn trong quá trình lưu trữ hoặc truyền tải. Microsoft Defender for Cloud Apps cung cấp Các gói Microsoft Enterprise khả năng kiểm soát nâng cao, khả năng hiển thị mạnh mẽ và phát hiện mối đe dọa mạng mạnh mẽ trên các dịch vụ đám mây của Microsoft và bên thứ ba.
Các tính năng chính đảm bảo bảo vệ Office 365 khỏi ransomware là:
Phát hiện và kiểm soát việc sử dụng Shadow IT : Xác định các ứng dụng và dịch vụ đám mây được tổ chức của bạn sử dụng, điều tra các mẫu sử dụng và đánh giá mức độ sẵn sàng của doanh nghiệp trước nhiều rủi ro.
Bảo vệ thông tin nhạy cảm trên đám mây : Áp dụng các chính sách và quy trình tự động để kiểm soát và bảo vệ dữ liệu nhạy cảm theo thời gian thực trên tất cả các ứng dụng đám mây.
Ngăn chặn các mối đe dọa mạng và các hiện tượng bất thường : Phát hiện hành vi bất thường, ransomware, máy tính bị xâm nhập và các ứng dụng độc hại. Phân tích các mẫu sử dụng có rủi ro cao và tự động khắc phục các mối đe dọa.
Đánh giá mức độ tuân thủ của các ứng dụng đám mây : Đảm bảo các ứng dụng của bạn đáp ứng các yêu cầu tuân thủ quy định và tiêu chuẩn ngành.
- Microsoft Defender SmartScreen
Microsoft Defender SmartScreen cung cấp khả năng bảo vệ chống lại phần mềm độc hại hoặc các ứng dụng và trang web lừa đảo. Các tệp có khả năng độc hại sẽ tự động bị chặn và người dùng sẽ nhận được thông báo. Các trang web đã truy cập được phân tích và kiểm tra dựa trên danh sách các trang web lừa đảo và độc hại đã được báo cáo. Trong khi đó, các ứng dụng hoặc trình cài đặt ứng dụng đã tải xuống sẽ được kiểm tra dựa trên danh sách các chương trình độc hại đã được báo cáo là không an toàn.
Microsoft Purview Information Protection
Bảo vệ chống ransomware trong Office 365 không chỉ đơn thuần là ngăn chặn các cuộc tấn công. Các quy trình quản trị dữ liệu tối ưu cũng có thể giảm thiểu nguy cơ mất dữ liệu do ransomware. Bằng cách sử dụng các tính năng khác nhau trong Microsoft Purview Information Protection, bạn có thể xác định, phân loại và bảo vệ dữ liệu nhạy cảm, dù đang được truyền tải hay lưu trữ.
- Ngăn chặn mất dữ liệu (DLP)
Việc định nghĩa và áp dụng các chính sách DLP giúp ngăn người dùng chia sẻ dữ liệu nhạy cảm một cách không phù hợp với nhân viên không được ủy quyền và hạn chế rủi ro mất dữ liệu. Quan trọng hơn, DLP cho phép bạn theo dõi hoạt động của người dùng đối với các mục nhạy cảm. Các mục này cũng có thể được di chuyển và khóa trong một vị trí cách ly an toàn để ngăn chặn các cuộc tấn công ransomware tiếp cận chúng.
- Nhãn độ nhạy cảm
Cấu hình và áp dụng nhãn độ nhạy cảm cho dữ liệu mà bạn cho là có thể bị tống tiền, chẳng hạn như email hoặc tài liệu nhạy cảm. Bảo vệ các tệp Office 365 bằng cách đánh dấu nội dung hoặc mã hóa dữ liệu để đảm bảo rằng chỉ người dùng được ủy quyền mới có thể truy cập.
Các công cụ bảo vệ chống ransomware bổ sung cho Office 365
Microsoft cung cấp thêm các tính năng giúp giảm thiểu rủi ro ransomware và hạn chế mất mát dữ liệu:
- Cài đặt email Exchange : Email lừa đảo là phương thức chính được sử dụng trong các cuộc tấn công ransomware. Việc cấu hình cài đặt email Exchange giúp giảm thiểu nguy cơ tổ chức của bạn bị tấn công qua email bằng cách ngăn chặn quyền truy cập ban đầu vào tenant của bạn.
- Xác thực đa yếu tố : Kích hoạt xác thực hiện đại trong Office 365 thêm một lớp bảo vệ thứ hai vào quy trình đăng nhập và giảm đáng kể nguy cơ thông tin đăng nhập bị đánh cắp.
- Điểm bảo mật Microsoft : Công cụ này liên tục đánh giá tình trạng bảo mật của tổ chức bạn và đề xuất các cải tiến để giúp bạn bảo vệ dữ liệu Office 365.
- Quy tắc giảm bề mặt tấn công : Giảm thiểu lỗ hổng trước các cuộc tấn công mạng bằng cách cấu hình các thiết lập cần thiết. Chặn các hoạt động đáng ngờ trước khi chúng lây nhiễm toàn bộ mạng của bạn.
Các phương pháp khôi phục sau tấn công ransomware của Microsoft
Đôi khi, tất cả các tùy chọn bảo vệ đều thất bại và bạn bị tấn công bởi ransomware. Trong trường hợp này, bạn nên ngay lập tức dừng đồng bộ hóa OneDrive trên tất cả các thiết bị kết nối và ngắt kết nối các thiết bị bị nhiễm khỏi mạng. Nếu thực hiện kịp thời, có khả năng cao là các tệp bị nhiễm vẫn còn bản sao chưa được mã hóa được lưu trữ trên các ổ đĩa khác.
Chức năng phiên bản
Khi được kích hoạt, chức năng phiên bản cho phép bạn tự động lưu nhiều phiên bản của cùng một tài liệu trong SharePoint Online, Exchange Online và OneDrive for Business. Theo mặc định, số lượng phiên bản bị giới hạn ở 500 nhưng bạn có thể tăng lên 50.000.
Bạn có thể quay lại các phiên bản trước đó được tạo ra trước khi xảy ra cuộc tấn công ransomware và khôi phục chúng khi cần thiết. Lưu ý rằng tính năng quản lý phiên bản không cung cấp bảo vệ hoàn toàn chống lại ransomware vì một số cuộc tấn công có thể mã hóa tất cả các phiên bản của tài liệu.
Lưu ý : Lưu trữ nhiều phiên bản yêu cầu không gian lưu trữ bổ sung.
Thùng rác
Trong một số trường hợp, các cuộc tấn công ransomware xóa tệp gốc và tạo ra một phiên bản mã hóa mới mà bạn không thể sử dụng. Thùng rác có thể được sử dụng như một công cụ khôi phục ransomware của Microsoft vì nó giúp bạn khôi phục các tệp đã xóa trong vòng 93 ngày.
Ngay cả sau khi khoảng thời gian này hết hạn và mục đó bị xóa khỏi cả hai giai đoạn của thùng rác, bạn vẫn có 14 ngày để liên hệ với bộ phận hỗ trợ của Microsoft để yêu cầu khôi phục dữ liệu. Sau khi khoảng thời gian này kết thúc, dữ liệu sẽ bị xóa vĩnh viễn.
Chính sách lưu trữ tuân thủ
Tạo các quy tắc xác định thời gian lưu trữ các tệp và tài liệu Office 365. Điều này cho phép bạn cấu hình dữ liệu nào có thể bị xóa và khi nào. Bạn có thể tự động hóa quy trình này bằng cách thiết lập chính sách lưu trữ cho các loại nội dung cụ thể.
Lưu ý : Chính sách lưu trữ tuân thủ chỉ khả dụng cho các gói đăng ký Microsoft 365 E5, A5 và G5.
Thư viện Lưu trữ Bảo quản
Bằng cách áp dụng các cài đặt lưu trữ, dữ liệu được đồng bộ hóa lên OneDrive hoặc SharePoint có thể được lưu trữ trong một khoảng thời gian nhất định tại Thư viện Lưu trữ Bảo quản. Tính năng Lưu trữ Tại Chỗ đảm bảo rằng một bản sao sẽ được giữ nguyên vẹn và không bị ảnh hưởng bởi sự lây nhiễm của ransomware. Sau một cuộc tấn công, người dùng có thể truy cập thư viện và xuất các tệp cần thiết.
Các giải pháp sao lưu của bên thứ ba
Có nhiều phương pháp khôi phục dữ liệu bị nhiễm ransomware trên Office 365 mà bạn có thể sử dụng để khôi phục dữ liệu của mình. Hãy lưu ý rằng, tương tự như các tính năng bảo vệ ransomware của Microsoft, các công cụ này có những hạn chế và có thể không đảm bảo khả năng khôi phục dữ liệu.
Microsoft không sao lưu dữ liệu Office 365 mà thay vào đó cung cấp các chính sách lưu trữ cho Exchange Online, SharePoint Online và OneDrive for Business. Mặt khác, các giải pháp sao lưu hiện đại cho SaaS cung cấp khả năng bảo vệ và an toàn dữ liệu tối ưu trong trường hợp xảy ra vi phạm an ninh mạng. Dữ liệu của bạn có thể được lưu trữ trong các kho lưu trữ an toàn và nhanh chóng được khôi phục sau một cuộc tấn công.
Kết luận
Ngày nay, các cuộc tấn công ransomware là mối đe dọa nguy hiểm nhất đối với các tổ chức vì chúng có thể ảnh hưởng đến mọi loại dữ liệu, bao gồm cả tài liệu và tệp tin Office 365. May mắn thay, Microsoft cung cấp các công cụ bảo vệ và khôi phục ransomware tích hợp sẵn cho Office 365, liên tục giám sát và bảo vệ môi trường của bạn.
Tuy nhiên, các công cụ gốc này có những hạn chế và một giải pháp sao lưu của bên thứ ba là cần thiết để khôi phục dữ liệu an toàn sau khi bị nhiễm. Tải xuống NAKIVO Backup for Office 365 Phiên bản Miễn phí để khám phá tất cả các công cụ và tính năng nâng cao giúp bạn đảm bảo khả năng khôi phục dữ liệu.
