Funzionalità e risorse di Azure che consentono di proteggere, rilevare e rispondere agli attacchi ransomware
Microsoft ha investito in funzionalità di sicurezza native di Azure che le organizzazioni possono sfruttare per sconfiggere le tecniche di attacco ransomware presenti sia in attacchi ad alto volume che in attacchi quotidiani e attacchi mirati sofisticati.
Le funzionalità principali includono:
- Rilevamento nativo delle minacce: Microsoft Defender per il cloud offre funzionalità di alta qualità per il rilevamento e la risposta alle minacce, denominate anche funzionalità di rilevamento e reazione estese. In questo modo è possibile:
- Evitare di perdere tempo e talento di risorse di sicurezza scarse per creare avvisi personalizzati usando i log attività non elaborati.
- Garantire un monitoraggio efficace della sicurezza, che spesso consente ai team di sicurezza di approvare rapidamente l'uso dei servizi di Azure.
- Autenticazione senza password e a più fattori: l'autenticazione a più fattori Microsoft Entra, l'app Microsoft Entra Authenticator e Windows Hello offrono queste funzionalità. Ciò consente di proteggere gli account da comuni attacchi password (che rappresentano il 99,9% del volume di attacchi di identità visualizzati in Microsoft Entra ID). Anche se nessuna sicurezza è perfetta, l'eliminazione di vettori di attacco solo password riduce notevolmente il rischio di attacco ransomware alle risorse di Azure.
- Firewall nativo e sicurezza di rete: Microsoft ha creato mitigazioni native degli attacchi DDoS, Firewall, Web application firewall e molti altri controlli in Azure. Queste funzionalità di sicurezza "in quanto servizi" ("as a service") consentono di semplificare la configurazione e l'implementazione dei controlli di sicurezza. Queste offrono alle organizzazioni la scelta di usare servizi nativi o versioni di appliance virtuali di funzionalità del fornitore familiari per semplificare la sicurezza di Azure.
Microsoft Defender for Cloud
Microsoft Defender per il Cloud è uno strumento predefinito che fornisce la protezione dalle minacce per i carichi di lavoro in esecuzione in Azure, in locale e in altri cloud. Protegge i dati ibridi, i servizi nativi del cloud e i server da ransomware e altre minacce; e si integra con i flussi di lavoro di sicurezza esistenti come la soluzione SIEM e l'ampia intelligence sulle minacce di Microsoft per semplificare la mitigazione delle minacce.
Microsoft Defender per il Cloud offre protezione per tutte le risorse direttamente all'interno dell'esperienza di Azure ed estende la protezione alle macchine virtuali locali e multi-cloud e ai database SQL tramite Azure Arc:
- Protegge i servizi di Azure
- Protegge i carichi di lavoro ibridi
- Semplifica la sicurezza con l'intelligenza artificiale e l'automazione
- Rileva e blocca malware e minacce avanzate per i server Linux e Windows in qualsiasi cloud
- Protegge i servizi nativi del cloud dalle minacce
- Protegge i servizi dati da attacchi ransomware
- Protegge i dispositivi IoT e OT gestiti e non gestiti, con l'individuazione continua degli asset, la gestione delle vulnerabilità e il monitoraggio delle minacce
Microsoft Defender per il Cloud offre gli strumenti per rilevare e bloccare ransomware, malware avanzato e minacce per le risorse
Mantenere al sicuro le risorse è il risultato della collaborazione tra il provider di servizi cloud, Azure, e il cliente. È necessario assicurarsi che i carichi di lavoro siano sicuri man mano che si passa al cloud e, allo stesso tempo, quando si passa a IaaS (Infrastruttura distribuita come servizio) il cliente si assume più responsabilità rispetto a PaaS (Piattaforma distribuita come servizio) e SaaS (Software come un servizio). Microsoft Defender per il cloud offre gli strumenti necessari per la protezione avanzata della rete e dei servizi e per verificare che la sicurezza sia la massima possibile.
Microsoft Defender per il cloud è un sistema di gestione della sicurezza delle infrastrutture unificato che rafforza la sicurezza dei data center e fornisce protezione avanzata dalle minacce per i carichi di lavoro ibridi su cloud, di Azure o meno, e in locale.
La protezione dalle minacce di Defender per il cloud consente di rilevare ed evitare possibili minacce al livello IaaS (infrastruttura distribuita come servizio), dei server non Azure e PaaS (piattaforme distribuite come servizio) in Azure.
La protezione dalle minacce di Defender per il cloud include un'analisi unificata della catena di attacco che genera automaticamente avvisi nell'ambiente per comprendere meglio la storia completa di una campagna di attacco, da dove è iniziata e che tipo di impatto ha avuto sulle risorse.
Funzionalità essenziali:
- Valutazione continua della sicurezza: identificare i computer Windows e Linux con aggiornamenti della sicurezza mancanti o impostazioni del sistema operativo non sicure e configurazioni vulnerabili di Azure. Aggiungere watchlist o eventi facoltativi da monitorare.
- Consigli interattivi: correggere rapidamente le vulnerabilità di sicurezza con raccomandazioni sulla sicurezza con priorità e interattive.
- Gestione centralizzata dei criteri: garantisce la conformità con i requisiti di sicurezza normativi o aziendali tramite la gestione centralizzata dei criteri di sicurezza in tutti i carichi di lavoro cloud ibridi.
- Intelligence sulle minacce più estesa del settore: sfrutta Microsoft Intelligent Security Graph, che usa miliardi di segnali provenienti da sistemi e dai servizi Microsoft di tutto il mondo per identificare minacce nuove e in continua evoluzione.
- Analisi avanzata e Machine Learning: usare l'analisi comportamentale predefinita e l'apprendimento automatico per identificare modelli di attacco noti e attività post-violazione.
- Controllo dell'applicazione adattivo: blocca malware e altre applicazioni indesiderate applicando i consigli per l'inserimento nell'elenco elementi consentiti adattati ai carichi di lavoro specifici e con tecnologia per l'apprendimento automatico.
- Avvisi e sequenze temporali degli attacchi con priorità: concentrarsi prima sulle minacce più critiche con avvisi e eventi imprevisti con priorità mappati in una singola campagna di attacco.
- Indagine semplificata: analizzare rapidamente l'ambito e l'impatto di un attacco con un'esperienza visiva e interattiva. Usa query ad hoc per un'esplorazione più approfondita dei dati di sicurezza.
- Automazione e orchestrazione: automatizzare i flussi di lavoro di sicurezza comuni per affrontare rapidamente le minacce usando l'integrazione predefinita con App per la logica di Azure. Creare playbook di sicurezza in grado di instradare gli avvisi al sistema di creazione di ticket esistente o attivare azioni di risposta agli eventi imprevisti.
Microsoft Sentinel
Microsoft Sentinel consente di creare una visualizzazione completa di una kill chain
Con Sentinel, è possibile connettersi a qualsiasi origine di sicurezza usando connettori predefiniti e standard di settore e quindi sfruttare l'intelligenza artificiale per correlare più segnali a bassa fedeltà che si estendono su più origini per creare una visualizzazione completa di una kill chain ransomware e avvisi con priorità in modo che i difensori possano accelerare il loro tempo per rimuovere gli avversari.
Microsoft Sentinel offre una panoramica immediata per tutta l'azienda, alleviando il carico associato ad attacchi sempre più sofisticati, volume crescente degli avvisi e lunghi tempi di risoluzione.
Raccogliere dati su scala cloud per tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, in locale e in più cloud.
Rileva minacce precedentemente non individuate e riduce al minimo i falsi positivi usando le sofisticate funzionalità di analisi e intelligence sulle minacce di Microsoft.
Analizza le minacce con l'intelligenza artificiale e individua le attività sospette su larga scala, sfruttando i vantaggi di anni di esperienza di Microsoft a livello di cybersecurity.
Rispostarapida agli eventi imprevisti con funzionalità integrate di orchestrazione e automazione delle attività comuni.
Prevenzione delle minacce nativa con Microsoft Defender per il Cloud
Microsoft Defender per il Cloud analizza le macchine virtuali in una sottoscrizione di Azure e consiglia di distribuire Endpoint Protection in cui non viene rilevata una soluzione esistente. È possibile accedere a questa raccomandazione tramite la sezione Raccomandazioni:
Microsoft Defender per il cloud fornisce avvisi di sicurezza e protezione avanzata dalle minacce per macchine virtuali, database SQL, contenitori, applicazioni Web, rete e altro ancora. Quando Microsoft Defender per il Cloud rileva una minaccia in qualsiasi area dell'ambiente, genera un avviso di sicurezza. Questi avvisi descrivono in dettaglio le risorse interessate, le procedure di correzione suggerite e, in alcuni casi, rendono disponibile un'opzione per attivare un'app per la logica in risposta.
Questo avviso è un esempio di avviso ransomware Petya rilevato:
La soluzione di backup nativa di Azure protegge i dati
Un modo importante che le organizzazioni possono aiutare a proteggersi dalle perdite in un attacco ransomware è avere un backup di informazioni critiche per l'azienda nel caso in cui altre difese abbiano esito negativo. Poiché gli utenti malintenzionati ransomware hanno investito molto nella neutralizzazione delle applicazioni di backup e delle funzionalità del sistema operativo come la copia shadow del volume, è fondamentale avere backup inaccessibili a un utente malintenzionato. Con una soluzione flessibile di continuità aziendale e ripristino di emergenza, strumenti di protezione e sicurezza leader del settore, il cloud di Azure offre servizi sicuri per proteggere i dati:
- Backup di Azure: il servizio Backup di Azure offre una soluzione semplice, sicura e conveniente per eseguire il backup della macchina virtuale di Azure. Attualmente Backup di Azure supporta il backup di tutti i dischi (sistema operativo e dischi dati) in una macchina virtuale usando la soluzione di backup per la macchina virtuale di Azure.
- Ripristino di emergenza di Azure: con il ripristino di emergenza dal locale al cloud o da un cloud a un altro, è possibile evitare tempi di inattività e mantenere le applicazioni in esecuzione.
- Sicurezza e gestione predefinita in Azure: per avere successo nell'era del cloud, le aziende devono avere visibilità/metriche e controlli su ogni componente per individuare in modo efficiente, ottimizzare e ridimensionare in modo efficace i problemi, garantendo al tempo stesso la sicurezza, la conformità e i criteri per garantire la velocità.
Accesso garantito e protetto ai dati
Azure ha un lungo periodo di esperienza nella gestione dei data center globali, che sono supportati dall'investimento di 15 miliardi di dollari di infrastruttura di Microsoft che è in fase di valutazione e miglioramento continui, con investimenti e miglioramenti continui, naturalmente.
Funzionalità essenziali:
- Azure include l'archiviazione con ridondanza locale, in cui i dati vengono archiviati localmente, nonché l'archiviazione con ridondanza geografica (GRS) in una seconda area
- Tutti i dati archiviati in Azure sono protetti da un processo di crittografia avanzata e tutti i data center Microsoft hanno l'autenticazione a due livelli, i lettori di accesso alle schede proxy, gli scanner biometrici
- Azure dispone di più certificazioni rispetto a qualsiasi altro provider di cloud pubblico sul mercato, tra cui ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 e molte specifiche internazionali
Risorse aggiuntive
- Microsoft Cloud Adoption Framework per Azure
- Creare soluzioni d'impatto con Microsoft Azure Well-Architected Framework
- Procedure consigliate per la sicurezza di Azure
- Baseline di sicurezza
- Centro di risorse di Microsoft Azure
- Guida alla migrazione ad Azure
- Gestione della conformità alla sicurezza
- Controllo della sicurezza di Azure - Risposta agli incidenti
- Linee guida su Zero Trust
- Web application firewall di Azure
- Gateway VPN di Azure
- Autenticazione a più fattori (MFA) di Microsoft Entra
- Microsoft Entra ID Protection
- Accesso condizionale Microsoft Entra
- Documentazione relativa a Microsoft Defender for Cloud
Conclusione
Microsoft si concentra principalmente sulla sicurezza del cloud e offre i controlli di sicurezza necessari per proteggere i carichi di lavoro cloud. In qualità di leader nella cybersecurity, abbracciamo la nostra responsabilità di rendere il mondo un posto più sicuro. Questo si riflette nel nostro approccio completo alla prevenzione e al rilevamento di ransomware nel nostro framework di sicurezza, progettazioni, prodotti, sforzi legali, partnership del settore e servizi.
Non vediamo l'ora di collaborare con voi per affrontare la protezione ransomware, il rilevamento e la prevenzione in modo olistico.
Connettiti con noi:
Per informazioni dettagliate su come Microsoft protegge il cloud, visitare il Service Trust Portal.
E adesso
Vedere il white paper: Difese di Azure per attacchi ransomware white paper.
Altri articoli della serie: