Proteggere rapidamente l'organizzazione da attacchi ransomware

Ransomware è un tipo di attacco informatico che i criminali informatici usano per estorcere organizzazioni grandi e piccole.

Comprendere come proteggersi da attacchi ransomware e ridurre al minimo i danni è una parte importante della salvaguardia dell'azienda. Questo articolo fornisce indicazioni pratiche su come configurare rapidamente la protezione ransomware.

Il materiale sussidiario è organizzato in passaggi, a partire dalle azioni più urgenti da intraprendere.

Aggiungere un segnalibro a questa pagina come punto di partenza per i passaggi.

Importante

Leggi la serie sulla prevenzione del ransomware e rendi l'organizzazione resistente agli attacchi informatici.

• Disporre di un piano di ripristino
• Un piano per limitare il danno fatto
• rendere difficile entrare

Nota

Che cos'è ransomware? Consultare la definizione di ransomware qui.

Informazioni importanti su questo articolo

Nota

L'ordine di questi passaggi è progettato per garantire di ridurre il rischio il più velocemente possibilee basato su un presupposto di grande urgenza che sostituisce le normali priorità it e sicurezza, al fine di evitare o attenuare attacchi devastanti.

È importante notare che la presente guida alla prevenzione del ransomware è strutturata in passaggi da seguire nell'ordine indicato. Per adattare al meglio queste indicazioni alla situazione:

1. Attenersi alle priorità consigliate

   Usare i passaggi come piano iniziale per le azioni da eseguire prima, poi e più tardi, in modo da ottenere per primi gli elementi più efficaci. Queste raccomandazioni sono classificate in ordine di priorità usando il principio Zero Trust di presupponendo una violazione. Ciò forza l'utente a concentrarsi sulla riduzione dei rischi aziendali presupponendo che gli utenti malintenzionati possano ottenere correttamente l'accesso all'ambiente tramite uno o più metodi.

2. Essere proattivi e flessibili (ma non ignorare attività importanti)

   Esaminare gli elenchi di controllo di implementazione per tutte le sezioni di tutti e tre i passaggi per verificare se sono presenti aree e attività che è possibile completare rapidamente prima. In altre parole, è possibile eseguire operazioni più veloci perché si ha già accesso a un servizio cloud che non è stato usato, ma che potrebbe essere configurato rapidamente e facilmente. Quando si esamina l'intero piano, assicurarsi che queste aree e attività successive non ritardino il completamento di aree criticamente importanti come i backup e l'accesso con privilegi!

3. Eseguire alcuni elementi in parallelo

   Provare a fare tutto in una sola volta può essere travolgente, ma alcuni elementi possono essere naturalmente eseguiti in parallelo. Il personale di diversi team può lavorare alle attività contemporaneamente (ad esempio, team di backup, team endpoint, team di identità), mentre si impegna a completare i passaggi secondo l'ordine di priorità.

Gli elementi negli elenchi di controllo di implementazione sono nell'ordine di priorità consigliato, non in un ordine di dipendenza tecnica.

Usare gli elenchi di controllo per confermare e modificare la configurazione esistente in base alle esigenze e in modo che funzioni nell'organizzazione. Ad esempio, nell'elemento di backup più importante, si esegue il backup di alcuni sistemi, ma potrebbero non essere offline o non modificabili, è possibile che non si verifichino le procedure di ripristino aziendali complete o che non si disponga di backup di sistemi aziendali critici o sistemi IT critici come i controller di dominio Active Directory Domain Services (AD DS).

Nota

Per un riepilogo aggiuntivo di questo processo, consultare i 3 passaggi per prevenire ed affrontare i ransomware descritti nel post del blog sulla sicurezza Microsoft (settembre 2021).

Configurare il sistema per evitare ransomware in questo momento

I passaggi sono:

Passaggio 1. Preparate un piano per il ripristino da un attacco ransomware

Questo passaggio è progettato per ridurre al minimo l'incentivo monetario degli attaccanti ransomware rendendolo:

• Molto più difficile accedere e interrompere i sistemi o crittografare o danneggiare i dati dell'organizzazione.
• Più facile per l'organizzazione recuperare da un attacco senza pagare il riscatto.

Nota

Anche se il ripristino di molti o tutti i sistemi aziendali è un'impresa difficile, l'alternativa di pagare un attaccante per una chiave di ripristino che potrebbe non fornire, e utilizzare strumenti scritti dagli attaccanti stessi per cercare di recuperare sistemi e dati, rappresenta un rischio elevato.

Passaggio 2. Limitare la portata del danno del ransomware

Rendere gli utenti malintenzionati molto più difficili da ottenere l'accesso a più sistemi business critical tramite ruoli di accesso con privilegi. Limitare la capacità dell'attaccante di ottenere l'accesso con privilegi rende molto più difficile trarre profitto da un attacco all'organizzazione, rendendo più probabile che si arrendano e si rivolgano altrove.

Passaggio 3. Rendere difficile per i criminali informatici di entrare

Questo ultimo set di attività è importante per aumentare l'attrito per l'ingresso, ma richiederà tempo per il completamento come parte di un percorso di sicurezza più ampio. L'obiettivo di questo passaggio è rendere il lavoro degli utenti malintenzionati molto più difficile quando tentano di ottenere l'accesso alle infrastrutture locali o cloud ai vari punti di ingresso comuni. Ci sono molte attività, quindi è importante assegnare priorità al lavoro qui in base alla velocità con cui è possibile eseguire queste operazioni con le risorse correnti.

Anche se molti di questi saranno familiari e facili da eseguire rapidamente, è fondamentale che il lavoro nel passaggio 3 non debba rallentare lo stato di avanzamento nei passaggi 1 e 2.

Protezione ransomware a colpo d'occhio

È anche possibile visualizzare una panoramica dei passaggi e dei relativi elenchi di controllo di implementazione come livelli di protezione contro gli attaccanti ransomware, con il poster Proteggere l'organizzazione dal ransomware.

Dare priorità alla mitigazione del ransomware a livello macro. Configurare l'ambiente dell'organizzazione per la protezione da ransomware.

Passaggio successivo

Iniziare con passaggio 1 per preparare l'organizzazione a recuperare da un attacco senza dover pagare il riscatto.

Risorse aggiuntive sul ransomware

Informazioni chiave di Microsoft:

• La crescente minaccia di ransomware, post sul blog Microsoft On the Issues del 20 luglio 2021
• Ransomware gestito dall'uomo
• 2021 Microsoft Digital Defense Report (vedere le pagine 10-19)
• Ransomware: una minaccia pervasiva e continua rapporto di analisi delle minacce nel portale di Microsoft Defender
• Team di Risposta agli Incidenti di Microsoft (in precedenza DART/CRSP) approccio al ransomware e e studio di caso

Microsoft 365:

• Implementare la protezione ransomware per il tenant di Microsoft 365
• Massimizzare la resilienza ai ransomware con Azure e Microsoft 365
• Recuperare da un attacco ransomware
• protezione da malware e ransomware
• Proteggi il PC da ransomware su Windows 10
• La gestione di ransomware in SharePoint Online
• Rapporti di analisi delle minacce per ransomware nel portale Microsoft Defender

Microsoft Defender XDR:

• Protezione integrata contro il ransomware
• Trova ransomware con la caccia avanzata

Microsoft Azure:

• difese di Azure contro attacchi ransomware
• Massimizzare la resilienza ransomware con Azure e Microsoft 365
• Piano di backup e ripristino per proteggersi dai ransomware
• Aiuta a proteggere dal ransomware con il Backup di Microsoft Azure (video di 26 minuti)
• Ripristino da compromissione dell'identità sistemica
• rilevamento avanzato degli attacchi a più fasi in Microsoft Sentinel
• Rilevamento delle Fusioni per Ransomware in Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Creare criteri di rilevamento anomalie in Defender for Cloud Apps

Post di blog del team di Microsoft Security:

• 3 passaggi per evitare e ripristinare da ransomware (settembre 2021)

• Una guida per combattere il ransomware gestito dall'uomo: parte 1 (settembre 2021)

  Passaggi chiave su come Microsoft Incident Response esegue indagini sugli incidenti ransomware.

• Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)

  Raccomandazioni e procedure consigliate.

• diventare resilienti comprendendo i rischi per la cybersecurity: parte 4: esplorazione delle minacce correnti (maggio 2021)

  Vedere la sezione Ransomware.

• attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)

  Include analisi della catena di attacco sugli attacchi reali.

• Rispondere al ransomware: pagare o non pagare? (dicembre 2019)

• Norsk Hydro risponde agli attacchi ransomware con trasparenza (dicembre 2019)