Condividi tramite


Proteggere rapidamente l'organizzazione da attacchi ransomware

Ransomware è un tipo di attacco informatico che i criminali informatici usano per estorcere organizzazioni grandi e piccole.

Comprendere come proteggersi da attacchi ransomware e ridurre al minimo i danni è una parte importante della salvaguardia dell'azienda. Questo articolo fornisce indicazioni pratiche su come configurare rapidamente la protezione ransomware.

Il materiale sussidiario è organizzato in passaggi, a partire dalle azioni più urgenti da intraprendere.

Aggiungere un segnalibro a questa pagina come punto di partenza per i passaggi.

Importante

Leggi la serie sulla prevenzione del ransomware e rendi l'organizzazione resistente agli attacchi informatici.

Nota

Che cos'è ransomware? Consultare la definizione di ransomware qui.

Informazioni importanti su questo articolo

Nota

L'ordine di questi passaggi è progettato per garantire di ridurre il rischio il più velocemente possibilee basato su un presupposto di grande urgenza che sostituisce le normali priorità it e sicurezza, al fine di evitare o attenuare attacchi devastanti.

I tre passaggi per la protezione da attacchi ransomware

È importante notare che la presente guida alla prevenzione del ransomware è strutturata in passaggi da seguire nell'ordine indicato. Per adattare al meglio queste indicazioni alla situazione:

  1. Attenersi alle priorità consigliate

    Usare i passaggi come piano iniziale per le azioni da eseguire prima, poi e più tardi, in modo da ottenere per primi gli elementi più efficaci. Queste raccomandazioni sono classificate in ordine di priorità usando il principio Zero Trust di presupponendo una violazione. Ciò forza l'utente a concentrarsi sulla riduzione dei rischi aziendali presupponendo che gli utenti malintenzionati possano ottenere correttamente l'accesso all'ambiente tramite uno o più metodi.

  2. Essere proattivi e flessibili (ma non ignorare attività importanti)

    Esaminare gli elenchi di controllo di implementazione per tutte le sezioni di tutti e tre i passaggi per verificare se sono presenti aree e attività che è possibile completare rapidamente prima. In altre parole, è possibile eseguire operazioni più veloci perché si ha già accesso a un servizio cloud che non è stato usato, ma che potrebbe essere configurato rapidamente e facilmente. Quando si esamina l'intero piano, assicurarsi che queste aree e attività successive non ritardino il completamento di aree criticamente importanti come i backup e l'accesso con privilegi!

  3. Eseguire alcuni elementi in parallelo

    Provare a fare tutto in una sola volta può essere travolgente, ma alcuni elementi possono essere naturalmente eseguiti in parallelo. Il personale di diversi team può lavorare alle attività contemporaneamente (ad esempio, team di backup, team endpoint, team di identità), mentre si impegna a completare i passaggi secondo l'ordine di priorità.

Gli elementi negli elenchi di controllo di implementazione sono nell'ordine di priorità consigliato, non in un ordine di dipendenza tecnica.

Usare gli elenchi di controllo per confermare e modificare la configurazione esistente in base alle esigenze e in modo che funzioni nell'organizzazione. Ad esempio, nell'elemento di backup più importante, si esegue il backup di alcuni sistemi, ma potrebbero non essere offline o non modificabili, è possibile che non si verifichino le procedure di ripristino aziendali complete o che non si disponga di backup di sistemi aziendali critici o sistemi IT critici come i controller di dominio Active Directory Domain Services (AD DS).

Nota

Per un riepilogo aggiuntivo di questo processo, consultare i 3 passaggi per prevenire ed affrontare i ransomware descritti nel post del blog sulla sicurezza Microsoft (settembre 2021).

Configurare il sistema per evitare ransomware in questo momento

I passaggi sono:

Passaggio 1. Preparate un piano per il ripristino da un attacco ransomware

Questo passaggio è progettato per ridurre al minimo l'incentivo monetario degli attaccanti ransomware rendendolo:

  • Molto più difficile accedere e interrompere i sistemi o crittografare o danneggiare i dati dell'organizzazione.
  • Più facile per l'organizzazione recuperare da un attacco senza pagare il riscatto.

Nota

Anche se il ripristino di molti o tutti i sistemi aziendali è un'impresa difficile, l'alternativa di pagare un attaccante per una chiave di ripristino che potrebbe non fornire, e utilizzare strumenti scritti dagli attaccanti stessi per cercare di recuperare sistemi e dati, rappresenta un rischio elevato.

Passaggio 2. Limitare la portata del danno del ransomware

Rendere gli utenti malintenzionati molto più difficili da ottenere l'accesso a più sistemi business critical tramite ruoli di accesso con privilegi. Limitare la capacità dell'attaccante di ottenere l'accesso con privilegi rende molto più difficile trarre profitto da un attacco all'organizzazione, rendendo più probabile che si arrendano e si rivolgano altrove.

Passaggio 3. Rendere difficile per i criminali informatici di entrare

Questo ultimo set di attività è importante per aumentare l'attrito per l'ingresso, ma richiederà tempo per il completamento come parte di un percorso di sicurezza più ampio. L'obiettivo di questo passaggio è rendere il lavoro degli utenti malintenzionati molto più difficile quando tentano di ottenere l'accesso alle infrastrutture locali o cloud ai vari punti di ingresso comuni. Ci sono molte attività, quindi è importante assegnare priorità al lavoro qui in base alla velocità con cui è possibile eseguire queste operazioni con le risorse correnti.

Anche se molti di questi saranno familiari e facili da eseguire rapidamente, è fondamentale che il lavoro nel passaggio 3 non debba rallentare lo stato di avanzamento nei passaggi 1 e 2.

Protezione ransomware a colpo d'occhio

È anche possibile visualizzare una panoramica dei passaggi e dei relativi elenchi di controllo di implementazione come livelli di protezione contro gli attaccanti ransomware, con il poster Proteggere l'organizzazione dal ransomware.

il poster

Dare priorità alla mitigazione del ransomware a livello macro. Configurare l'ambiente dell'organizzazione per la protezione da ransomware.

Passaggio successivo

passaggio 1. Preparare il piano di ripristino

Iniziare con passaggio 1 per preparare l'organizzazione a recuperare da un attacco senza dover pagare il riscatto.

Risorse aggiuntive sul ransomware

Informazioni chiave di Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Post di blog del team di Microsoft Security: