Office 365 勒索軟體防護與還原：完整概覽

如今,勒索軟體被視為現代企業面臨的最大威脅之一,因為它可能影響各類資料,包括 Microsoft 365 檔案和文件。事實上,超過 3.04億次攻擊 於2020年在全球發生,其中 平均贖金支付金額達 812,360 美元. 而且,入侵手法每年都變得更加精巧。

根據其"共同責任模型",微軟為使用者提供了各種 Office 365 勒索軟體防護工具。然而,使用 Office 365 的組織有責任配置這些工具,以保護其資料免受威脅,並使用第三方工具來確保資料的可還原性。

本文詳細介紹了微軟內建的勒索軟體防護與還原特點,這些特點可協助您保護環境安全,並在遭受勒索軟體攻擊後還原資料。

Microsoft 365 資料備份

使用 NAKIVO 解決方案備份 Exchange Online、Teams、OneDrive 及 SharePoint Online 中的 Microsoft 365 資料,確保工作流程不中斷且零停機時間。

探索解決方案

Office 365 內建的勒索軟體防護選項

Microsoft 訂閱服務內建多項功能,可協助您保護租戶,並在發生安全事件時降低風險。透過使用 Exchange Online Protection (EOP) 透過 Microsoft Defender,您可以在攻擊滲透並在網路中擴散之前,即早偵測、監控並遏止這些攻擊。

請注意,Microsoft 的勒索軟體防護特點存在限制,無法提供完全的免疫保護,特別是在面對使用者主動觸發的惡意軟體等情況時。

Microsoft 365 Defender

大多數的安全與 身份盜用 您所需的工具可在 Microsoft 365 Defender 和 Microsoft Defender for Office 365 中找到,因為它們整合了眾多監控與防護特點。此外,您還可使用 Microsoft Defender for Identity 和 Microsoft Defender for Endpoint 來找出可能導致資料外洩的受感染裝置。

以下列出 Microsoft Defender 中最重要的 Office 365 勒索軟體防護特點。

• 威脅調查與應對

這是一組可協助管理員掃描其環境並蒐集潛在威脅相關資料的功能。威脅調查與應對工作流程會透過來自不同來源的威脅追蹤器(例如受感染的電腦、過往事件、使用者活動等)來蒐集資訊,隨後執行必要的應對措施,以處理 OneDrive for Business、SharePoint Online、Exchange Online 及 Microsoft Teams 中的風險。

• 防釣魚保護

像網路釣魚攻擊這類的社會工程學騙局是 最常見的勒索軟體攻擊途徑. Microsoft Defender for Office 365 運用先進演算法及一系列特點,自動偵測網路釣魚攻擊並保護 Office 365 資料。
偽造資訊分析: 這些分析結果可協助您偵測並自動限制來自內部或外部網域訊息中的偽造寄件者。您亦可透過"租戶允許/封鎖清單"手動允許或封鎖已識別的寄件者。

反網路釣魚政策: 設定各項選項,例如冒名頂替防護、信箱智慧功能及進階釣魚攻擊閾值。此外,您還可以指定針對被封鎖的偽造寄件者所採取的動作。

隱含email驗證:透過發件人信譽、發件人歷史紀錄、行為分析等進階技術,檢查收到的email,以識別偽造的發件人。

活動瀏覽次數:偵測並分析涉及協調式網路釣魚活動的訊息。

攻擊模擬訓練: 系統管理員可以建立偽造的釣魚訊息,並將其分享給網路內的用戶,藉此測試用戶的應變能力,並進行勒索軟體防範意識培訓。

• 惡意軟體防護

EOP 的多層次惡意軟體防護功能可自動偵測各類進出系統的惡意軟體,包括病毒、間諜軟體及勒索軟體。此功能透過以下特點實現:
針對惡意軟體的多層次防禦: 多個反惡意軟體掃描引擎可保護您的組織免受已知與未知威脅的侵害。即使在勒索軟體爆發的初期階段,這些引擎也能為 Office 365 提供勒索軟體防護。

即時威脅應對: 您的資安團隊可以蒐集關於病毒或惡意軟體的足夠資訊,據此建立具體的政策規則,並立即將其發佈至整個網路。

快速部署惡意軟體防禦定義檔: 反惡意軟體引擎會持續更新,以納入新的修補程式和惡意軟體定義。

• 受控資料夾存取

透過在 Microsoft Defender 防毒軟體中啟用即時防護,您可以管理"受控資料夾存取"設定,以保護 Office 365 檔案和資料免受惡意應用程式及勒索軟體的侵害。此特點會將應用程式與已知應用程式清單進行比對,僅允許受信任的應用程式存取受保護的資料夾。若偵測到惡意活動,您將收到通知,顯示是哪個應用程式試圖對受保護的文件進行未經授權的變更。

• Microsoft Defender for Cloud Apps

遷移至雲端會帶來新的安全風險,這些風險可能在資料儲存或傳輸過程中危及您的資料。Microsoft Defender for Cloud Apps 提供 Microsoft Enterprise方案 透過先進的控制功能、強大的可視性,以及橫跨 Microsoft 和第三方雲端服務的強大網路威脅偵測能力。

確保 Office 365 免受勒索軟體侵害的的主要功能包括:
偵測並管控"影子 IT"的使用:識別貴組織所使用的雲端應用程式與服務,分析使用模式,並針對多項風險評估業務準備狀況。

保護雲中的敏感資訊:實施相關政策與自動化流程,以即時管控並保護所有雲端應用程式中的敏感資料。

防範網路威脅與異常狀況:偵測異常行為、勒索軟體、遭入侵的電腦及惡意應用程式。分析高風險的使用模式,並自動排除威脅。

評估雲應用程式的合規性: 請確保您的應用程式符合相關法規需求及產業標準。

• Microsoft Defender SmartScreen

Microsoft Defender SmartScreen 可提供針對惡意軟體或網路釣魚應用程式及網站的防護。系統會自動阻擋潛在的惡意檔案,並通知使用者。系統會分析已造訪的網頁,並比對已通報的網路釣魚及惡意網站清單;同時,下載的應用程式或安裝程式也會比對已通報且已知不安全的惡意程式清單。

Microsoft Purview 資訊保護

Office 365 的勒索軟體防護不僅僅是為了防範攻擊。完善的資料治理流程也能降低因勒索軟體導致的資料遺失風險。透過 Microsoft Purview Information Protection 中的各項特點,您可以識別、分類並保護處於傳輸中或靜止狀態的敏感資料。

• 資料外洩防護 (DLP)

透過定義並實施 DLP 政策,可防止使用者不當將敏感資料分享給未經授權的人員,並降低資料遺失的風險。更重要的是,DLP 讓您能夠監控使用者對敏感項目的操作。這些項目亦可被移至安全的隔離位置並加以鎖定,以防止勒索軟體感染擴及至這些項目。

• 敏感性標籤

針對您認為可能成為勒索目標的資料(例如敏感 email 或文件),進行設定並套用敏感度標籤。透過標記內容或加密資料來保護 Office 365 檔案,確保僅授權使用者能存取這些資料。

其他 Office 365 勒索軟體防護工具

微軟提供了更多特點,有助於降低勒索軟體的風險並減少資料損失:

• Exchange 電子郵件設定: 釣魚電子郵件是勒索軟體攻擊的主要手段。透過設定 Exchange 電子郵件設定,可阻止攻擊者最初存取您的租戶,從而降低貴組織遭受電子郵件攻擊的風險。
• 多因素驗證: 在 Office 365 中啟用現代驗證 為登入流程增添第二層防護,並大幅降低憑證遭竊取的風險。
• Microsoft 安全性分數: 此工具會持續監測貴組織的安全狀態,並提供改善建議,協助您保護 Office 365 資料。
• 減少攻擊面的規則: 透過設定必要的設定,降低您遭受網路攻擊的風險。在可疑活動擴散並感染整個網路之前,即刻加以阻擋。

微軟勒索軟體還原方法

有時,所有防護措施都失效,您仍會遭到勒索軟體攻擊。此時,您應立即在所有已連線的裝置上停止 OneDrive 同步,並將受感染的裝置從網路中斷開。若能及時採取行動,受感染的檔案很可能仍有未加密的副本儲存於其他磁碟機中。

版本控制

啟用版本控制功能後,您即可在 SharePoint Online、Exchange Online 及 OneDrive for Business 中自動儲存同一份文件的多個版本。預設情況下,版本數量上限為 500 個,但您可以將其增加至 50,000 個。

您可回溯至勒索軟體攻擊發生前建立的舊版本,並在需要時將其還原。 請注意,版本控制並不能完全防範勒索軟體,因為某些感染也可能將文件的所有版本一併加密。

註: 儲存多個版本需要額外的儲存空間。

資源回收筒

在某些使用情境下,勒索軟體攻擊會刪除原始檔案,並建立一個您無法使用的加密版本。資源回收筒可作為 Microsoft 勒索軟體的還原工具,因為它能協助您在 93 天內還原已刪除的檔案。

即使此期限屆滿且項目已從資源回收筒的兩個階段中移除,您仍有 14 天的期限可聯絡 Microsoft 支援服務以申請資料復原。此期限結束後,資料將被永久刪除。

合規資料保存政策

建立規則以定義 Office 365 檔案和文件的保留期限。這讓您可以設定哪些資料可以在何時刪除。您可以透過為特定內容類型設定保留原則,來自動化此流程。

註: 合規性保留政策僅適用於 Microsoft 365 E5、A5 和 G5 訂閱方案。

館藏保留庫

透過套用保留設定,同步至 OneDrive 或 SharePoint 的資料可在"保留暫存庫"中儲存一段指定時間。原地保留特點可確保資料副本保持不變,且不受勒索軟體感染的影響。遭受攻擊後,使用者可存取該暫存庫並匯出所需的檔案。

第三方備份解決方案

您可以使用多種 Office 365 勒索軟體還原方法來還原受感染的資料。 請注意,與 Microsoft 的勒索軟體防護特點類似,這些工具存在其限制,且無法保證資料必定能成功恢復。

Microsoft 並未備份 Office 365 資料,而是針對 Exchange Online、SharePoint Online 及 OneDrive for Business 提供資料保留政策。另一方面,專為 SaaS 設計的現代化備份解決方案,能在遭遇網路攻擊時提供最佳的資料保護與安全性。您的資料可儲存於安全的儲存庫中,並在遭受攻擊後迅速恢復。

結語

如今,勒索軟體攻擊已成為企業面臨的最危險威脅,因為它們可能影響任何類型的資料,包括 Office 365 文件和檔案。所幸,微軟提供了內建的 Office 365 勒索軟體防護與還原工具,能持續監控並保護您的環境。

然而,這些原生工具仍存在其局限性,因此必須搭配第三方備份解決方案,才能在遭受感染後安全地還原您的資料。 立即下載 NAKIVO Backup for Office 365 免費版本,探索所有有助於確保資料可恢復性的進階工具與功能性。

1 年免費資料保護: NAKIVO Backup & Replication

2 分鐘即可部署,並保護虛擬、雲端、實體及 SaaS 資料。提供備份、複製與快速還原選項。

立即下載免費版本