Condividi tramite


Difendersi dagli attacchi ransomware

In questa fase, gli attori delle minacce diventano più difficili da accedere ai sistemi locali o cloud rimuovendo gradualmente i rischi nei punti di ingresso.

Sebbene molte di queste modifiche siano familiari e facili da implementare, è estremamente importante che il lavoro svolto in questa parte della strategia non rallenta il progresso sulle altre parti importanti.

Ecco i collegamenti per esaminare il piano di prevenzione ransomware in tre parti:

Accesso remoto

Ottenere l'accesso alla intranet dell'organizzazione tramite una connessione di accesso remoto è un vettore di attacco per gli attori delle minacce ransomware.

Una volta compromesso un account utente locale, un attore di minacce può sfruttare una intranet per raccogliere informazioni, elevare privilegi e installare ransomware. Il cyberattack della Colonial Pipeline nel 2021 è un esempio di questa situazione.

Responsabilità dei membri del programma e del progetto per l'accesso remoto

Questa tabella descrive la protezione complessiva della soluzione di accesso remoto da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.

Lead Implementatore Responsabilità
CISO o CIO Sponsor esecutivi
Responsabile del programma nell'infrastruttura IT centrale/team di rete Guidare i risultati e la collaborazione tra team
Architetti IT e della sicurezza Classificare in ordine di priorità l'integrazione dei componenti nelle architetture
Team di gestione delle identità di IT centrale Configurare l'ID e i criteri di accesso condizionale di Microsoft Entra
Operazioni di IT centrale Implementare le modifiche all'ambiente
Proprietari del carico di lavoro Assistenza con le autorizzazioni di controllo degli accessi in base al ruolo per la pubblicazione di app
Criteri e standard per la sicurezza Aggiornare gli standard e i documenti dei criteri
Gestione della conformità alla sicurezza Monitorare per garantire la conformità
Team di formazione utenti Aggiornare eventuali indicazioni sulle modifiche del flusso di lavoro ed eseguire la gestione delle modifiche e della formazione

Elenco di controllo dell'implementazione per l'accesso remoto

Applicare queste procedure consigliate per proteggere l'infrastruttura di accesso remoto da attori di minacce ransomware.

Fatto Attività Descrizione
Gestire gli aggiornamenti di software ed appliance. Evitare di perdere o ignorare le protezioni dei produttori (aggiornamenti della sicurezza, stato supportato). Gli attori delle minacce usano vulnerabilità note che non sono ancora state applicate come vettori di attacco.
Configurare l'ID Microsoft Entra per l'accesso remoto esistente, inclusa l'applicazione della convalida dell'utente e del dispositivo Zero Trust con l'accesso condizionale. Zero Trust offre più livelli di protezione dell'accesso all'organizzazione.
Configurare la sicurezza per le soluzioni VPN di terze parti esistenti (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) e altro ancora. Sfruttare la sicurezza predefinita della soluzione di accesso remoto.
Distribuire la VPN da punto a sito di Azure per fornire l'accesso remoto. Sfruttare i vantaggi dell'integrazione con Microsoft Entra ID e le sottoscrizioni di Azure esistenti.
Pubblicare app Web locali con il proxy dell'applicazione Microsoft Entra. Le app pubblicate con il proxy dell'applicazione Microsoft Entra non necessitano di una connessione di accesso remoto.
Proteggere l'accesso alle risorse di Azure con Azure Bastion. Connettersi in modo sicuro e senza problemi alle macchine virtuali di Azure tramite SSL.
Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. Ridurre il rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base.

Posta elettronica e collaborazione

Implementare le procedure consigliate per le soluzioni di posta elettronica e collaborazione per rendere più difficile per gli attori delle minacce abusarli, consentendo agli operatori di accedere a contenuti esterni in modo semplice e sicuro.

Gli attori delle minacce entrano spesso nell'ambiente introducendo contenuti dannosi mascherati all'interno di strumenti di collaborazione autorizzati, ad esempio la posta elettronica e la condivisione di file e convincere gli utenti a eseguire il contenuto. Microsoft ha investito in mitigazioni avanzate che aumentano notevolmente la protezione da questi vettori di attacco.

Responsabilità dei membri del programma e del progetto per la posta elettronica e la collaborazione

Questa tabella descrive la protezione complessiva delle soluzioni di posta elettronica e collaborazione da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.

Lead Implementatore Responsabilità
CISO, CIO o direttore della gestione di identità Sponsor esecutivi
Responsabile del programma dal team di Architettura della sicurezza Guidare i risultati e la collaborazione tra team
Architetti IT Classificare in ordine di priorità l'integrazione dei componenti nelle architetture
Team per la produttività cloud o team degli utenti finali Abilitare Defender per Office 365, Azure Site Recovery e AMSI
Architettura della sicurezza / Infrastruttura ed endpoint Assistenza per la configurazione
Team di formazione utenti Indicazioni per l'aggiornamento delle modifiche del flusso di lavoro
Criteri e standard per la sicurezza Aggiornare gli standard e i documenti dei criteri
Gestione della conformità alla sicurezza Monitorare per garantire la conformità

Elenco di controllo dell'implementazione per la posta elettronica e la collaborazione

Applicare queste procedure consigliate per proteggere la posta elettronica e le soluzioni di collaborazione da attori di minacce ransomware

Fatto Attività Descrizione
Abilitare AMSI per Office VBA. Rilevare attacchi tramite macro di Office con strumenti per endpoint come Defender per endpoint.
Implementare la sicurezza avanzata per la posta elettronica usando Defender per Office 365 o una soluzione simile. La posta elettronica è un punto di ingresso comune per gli attori delle minacce.
Distribuire regole di riduzione della superficie di attacco (Azure Site Recovery) per bloccare tecniche di attacco comuni, tra cui:

- Abuso di endpoint, ad esempio furto di credenziali, attività ransomware e uso sospetto di PsExec e WMI.

- Attività dei documento office usate con intento malevolo, ad esempio attività macro avanzate, contenuto eseguibile, creazione di processi e inserimento di processi avviati dalle applicazioni di Office.

Nota: distribuire queste regole prima di tutto in modalità di controllo, quindi valutare eventuali impatti negativi e infine distribuirle in modalità di blocco.
Azure Site Recovery offre livelli aggiuntivi di protezione specifici mirati alla mitigazione dei metodi di attacco comuni.
Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base.

Endpoint

Implementare le funzionalità di sicurezza pertinenti e seguire rigorosamente le procedure consigliate per la manutenzione software per endpoint (dispositivi) e applicazioni, assegnando priorità alle applicazioni e ai sistemi operativi server/client esposti direttamente al traffico e al contenuto Internet.

Gli endpoint esposti a Internet sono un vettore di ingresso comune che fornisce agli attori delle minacce l'accesso agli asset dell'organizzazione. Classificare in ordine di priorità le vulnerabilità comuni del sistema operativo e delle applicazioni con controlli preventivi per rallentarli o impedirne l'esecuzione nelle fasi successive.

Responsabilità dei membri del programma e del progetto per gli endpoint

Questa tabella descrive la protezione complessiva degli endpoint da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.

Lead Implementatore Responsabilità
Leadership aziendale responsabile dell'impatto aziendale sia del tempo di inattività che dei danni dovuti agli attacchi Sponsorizzazione dei dirigenti (manutenzione)
Operazioni di IT centrale o CIO Sponsorizzazione dei dirigenti (altri)
Responsabile del programma dal team dell'infrastruttura di IT centrale Guidare i risultati e la collaborazione tra team
Architetti IT e della sicurezza Classificare in ordine di priorità l'integrazione dei componenti nelle architetture
Operazioni di IT centrale Implementare le modifiche all'ambiente
Team per la produttività cloud o team degli utenti finali Abilitare la riduzione della superficie di attacco
Proprietari di carichi di lavoro/app Identificare le finestre di manutenzione per le modifiche
Criteri e standard per la sicurezza Aggiornare gli standard e i documenti dei criteri
Gestione della conformità alla sicurezza Monitorare per garantire la conformità

Elenco di controllo dell'implementazione per gli endpoint

Applicare queste procedure consigliate a tutti gli endpoint Windows, Linux, macOS, Android, iOS e altri.

Fatto Attività Descrizione
Bloccare le minacce note con regole di riduzione della superficie di attacco, protezione antimanomissione e blocco al primo rilevamento. Non lasciare che il mancato utilizzo di queste funzionalità di sicurezza predefinite sia il motivo per cui un utente malintenzionato è entrato nell'organizzazione.
Applicare baseline di sicurezza per applicare la protezione avanzata a server e client Windows e alle applicazioni di Office con connessione Internet. Proteggere l'organizzazione con il livello minimo di sicurezza e partire da questa posizione.
Mantenere il software in modo che sia:

- Aggiornato: distribuire rapidamente gli aggiornamenti della sicurezza critici per sistemi operativi, browser e client di posta elettronica

- Supportato: aggiornare i sistemi operativi e il software per le versioni supportate dai fornitori.
Gli utenti malintenzionati contano su aggiornamenti del produttore mancanti o trascurati.
Isolare, disabilitare o ritirare sistemi e protocolli non sicuri, inclusi i sistemi operativi non supportati e i protocolli legacy. Gli utenti malintenzionati usano vulnerabilità note di dispositivi, sistemi e protocolli legacy come punti di ingresso nell'organizzazione.
Bloccare il traffico imprevisto con firewall basato su host e difese di rete. Alcuni attacchi malware si basano sul traffico in ingresso non richiesto verso gli host come modo per stabilire una connessione per un attacco.
Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base.

Account

Proprio come le vecchie chiavi universali non proteggono una casa da un moderno ladro, le password non possono proteggere gli account dagli attacchi comuni a cui assistiamo oggi. Anche se l'autenticazione a più fattori (MFA) era un passaggio aggiuntivo oneroso, l'autenticazione senza password migliora l'esperienza di accesso usando approcci biometrici che non richiedono agli utenti di ricordare o digitare una password. Un'infrastruttura Zero Trust archivia inoltre informazioni sui dispositivi attendibili, riducendo quindi la richiesta di azioni di autenticazione a più fattori fastidiose fuori banda.

A partire da account di amministratore con privilegi elevati, seguire rigorosamente queste procedure consigliate per la sicurezza degli account, tra cui l'uso dell'approccio senza password o dell'autenticazione a più fattori.

Responsabilità dei membri del programma e del progetto per gli account

Questa tabella descrive la protezione complessiva degli account da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.

Lead Implementatore Responsabilità
CISO, CIO o direttore della gestione di identità Sponsor esecutivi
Responsabile del programma dai team di Gestione di identità e chiavi o di Architettura della sicurezza Guidare i risultati e la collaborazione tra team
Architetti IT e della sicurezza Classificare in ordine di priorità l'integrazione dei componenti nelle architetture
Gestione di identità e chiavi oppure operazioni di IT centrale Implementare le modifiche di configurazione
Criteri e standard per la sicurezza Aggiornare gli standard e i documenti dei criteri
Gestione della conformità alla sicurezza Monitorare per garantire la conformità
Team di formazione utenti Aggiornare la password o le indicazioni per l'accesso ed eseguire la gestione delle modifiche e della formazione

Elenco di controllo dell'implementazione per gli account

Applicare queste procedure consigliate per proteggere gli account da utenti malintenzionati che usano ransomware.

Fatto Attività Descrizione
Applicare l'autenticazione a più fattori complessa o l'accesso senza password per tutti gli utenti. Iniziare con gli account di amministratore e priorità usando uno o più account:

- Autenticazione senza password con Windows Hello o l'app Microsoft Authenticator.

- Autenticazione a più fattori.

- Una soluzione di autenticazione a più fattori di terze parti.
Rendere più difficile per un utente malintenzionato eseguire una compromissione delle credenziali semplicemente determinando una password dell'account utente.
Aumentare la sicurezza delle password:

- Per gli account Microsoft Entra, usare la protezione password di Microsoft Entra per rilevare e bloccare password vulnerabili note e termini deboli aggiuntivi specifici dell'organizzazione.

- Per gli account Active Directory locale Domain Services (AD DS), estendere la protezione password di Microsoft Entra agli account di Active Directory Domain Services.
Assicurarsi che gli utenti malintenzionati non possano determinare password o password comuni in base al nome dell'organizzazione.
Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base.

Risultati e sequenze temporali dell'implementazione

Provare a ottenere questi risultati entro 30 giorni:

  • Il 100% dei dipendenti usa attivamente l'autenticazione a più fattori

  • Distribuzione del 100% della sicurezza delle password più elevata

Risorse ransomware aggiuntive

Informazioni chiave di Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

app Microsoft Defender per il cloud:

Post di blog del team di Microsoft Security: