Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Preparare sempre un piano di ripristino di attacco ransomware, a partire da un'alternativa al pagamento di riscatto per evitare di perdere l'accesso ai dati.
Importante
Leggi l'intera serie sulla prevenzione del ransomware e rendi la tua organizzazione difficile da attaccare tramite ransomware.
Gli attori ransomware che controllano la tua organizzazione hanno molti modi per fare pressione affinché tu paghi. Le esigenze si concentrano principalmente su due categorie:
Pagare un riscatto per riottenere l'accesso
Gli attori delle minacce richiedono il pagamento sotto la minaccia che non restituiranno l'accesso ai sistemi e ai dati. Questa operazione viene in genere eseguita crittografando i sistemi e i dati e richiedendo il pagamento per la chiave di decrittografia.
Importante
Il riscatto non garantisce l'accesso ripristinato ai dati.
I criminali informatici motivati finanziariamente (e spesso operatori relativamente amatoriali che usano un toolkit fornito da qualcun altro), potrebbero mantenere entrambi i file bloccati del pagamento. Non esiste alcuna garanzia che forniscano una chiave in grado di decrittografare il 100% dei sistemi e dei dati, né che la forniscano affatto. Il processo per decrittografare questi sistemi utilizza strumenti di attacco autoctoni, un procedimento spesso goffo e manuale.
Pagare per evitare la divulgazione
Gli attori delle minacce richiedono pagamenti in cambio di non rilasciare dati sensibili o imbarazzanti al Dark Web (altri criminali) o al pubblico generale.
Per evitare di essere costretti a eseguire il pagamento (la situazione redditizia per gli attori delle minacce), l'azione più immediata ed efficace che è possibile intraprendere è assicurarsi che l'organizzazione possa ripristinare l'intera azienda da un archivio non modificabile, che né il criminale informatico né è possibile modificare.
Identificare le risorse più sensibili e proteggerle con un livello di sicurezza superiore è anche di vitale importanza. Tuttavia, rappresenta un processo più lungo e complesso da implementare. Sebbene non sia auspicabile ostacolare i progressi di altre aree e bloccarle nella fase 1 o 2, è consigliabile iniziare il processo riunendo gli stakeholder delle aree business, IT e sicurezza per porre e rispondere a domande quali:
- Quali asset aziendali sono i più vulnerabili se compromessi? Ad esempio, per quali asset la nostra leadership aziendale sarebbe disposta a pagare una domanda di estorsione se i criminali informatici li controllassero?
- Come si traducono questi asset aziendali in termini di asset IT (ad esempio file, applicazioni, database, server e sistemi di controllo)?
- Come è possibile proteggere o isolare questi asset in modo che gli attori delle minacce con accesso all'ambiente IT generale non possano accedervi?
Backup sicuri
È necessario assicurarsi che i sistemi critici e i relativi dati vengano sottoposti a backup e che i backup siano protetti da una cancellazione intenzionale o dalla crittografia da parte di un attore di minacce.
Gli attacchi ai backup hanno l'obiettivo di compromettere la capacità di risposta dell'organizzazione, prendendo di mira in particolare i backup e la documentazione essenziale per il ripristino, costringendo in questo modo l’utente a cedere alle richieste di estorsione.
La maggior parte delle organizzazioni non mette in sicurezza le procedure di backup e ripristino da questo tipo di attacco mirato.
Il piano di backup e ripristino per difendersi dai ransomware indica le azioni da intraprendere prima di un attacco per salvaguardare i sistemi aziendali essenziali e, in caso di attacco, per assicurare un rapido ripristino delle attività aziendali.
Informazioni su come ripristinare i file di OneDrive in caso di attacco ransomware.
Responsabilità dei membri del programma e del progetto
Questa tabella descrive la strategia complessiva di protezione dei dati da ransomware in base alla gerarchia di sponsorizzazione, gestione del programma e gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| Operazioni di IT centrale o CIO | Sponsorizzazione esecutiva | |
| Responsabile del programma dell'infrastruttura IT centrale | Ottenere risultati e collaborazione interfunzionale | |
| Infrastructure/Backup IT centrale | Abilitare il backup dell'infrastruttura | |
| Produttività/Utente finale IT centrale | Abilitare il backup di OneDrive | |
| Architettura di sicurezza | Consigliare su configurazione e standard | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità | |
Elenco di controllo per l'implementazione
Applicare queste procedure consigliate per proteggere l'infrastruttura di backup.
| Fatto | Attività | Descrizione |
|---|---|---|
| Eseguire automaticamente il backup di tutti i dati critici secondo una pianificazione regolare. | Consente di ripristinare i dati fino all'ultimo backup. | |
| Eseguire regolarmente il piano di continuità operativa/ripristino di emergenza (BC/DR). | Garantisce un rapido ripristino delle operazioni aziendali, trattando un attacco ransomware o estorsione con la stessa importanza di una calamità naturale. | |
| Proteggere i backup dalla cancellazione e la crittografia intenzionali: - Protezione avanzata: richiedere procedure esterne (autenticazione a più fattori o PIN) prima di modificare i backup online (come Backup di Azure). - Protezione più avanzata: archiviare i backup in una risorsa di archiviazione non modificabile online (ad esempio BLOB di Azure) e/o in modalità completamente offline o in una località esterna. |
I backup accessibili dai criminali informatici possono essere resi inutilizzabili per il ripristino aziendale. Implementare una maggiore sicurezza per l'accesso ai backup, in modo che i dati archiviati nei backup non possano essere modificati. | |
| Proteggere i documenti essenziali per il ripristino, come i documenti delle procedure di ripristino, il database di gestione della configurazione (CMDB) e i diagrammi di rete. | Gli attori delle minacce prendono di mira deliberatamente queste risorse perché influiscono sulla tua capacità di recupero. Assicurarsi che sopravvivano a un attacco ransomware. |
Risultati e sequenze temporali dell'implementazione
Entro 30 giorni, verificare che il tempo medio di ripristino (MTTR) soddisfi l'obiettivo di continuità operativa/ripristino di emergenza (BC/DR), come valutato durante le esercitazioni simulate e le operazioni reali.
Protezione dei dati
È necessario implementare la protezione dei dati per garantire un ripristino rapido e affidabile da un attacco ransomware e bloccare alcune tecniche di attacco.
Gli attacchi di estorsione tramite ransomware e quelli distruttivi hanno successo solo quando si perde l'accesso legittimo ai dati e ai sistemi. Garantire che gli attori delle minacce non possano rimuovere la possibilità di riprendere le operazioni senza pagamento proteggeranno l'azienda e mineranno l'incentivo monetario per attaccare l'organizzazione.
Responsabilità dei membri del programma e del progetto
Questa tabella descrive la strategia complessiva dell’organizzazione di protezione dei dati da ransomware in base alla gerarchia di sponsorizzazione, gestione del programma e gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| Operazioni di IT centrale o CIO | Sponsorizzazione esecutiva | |
| Responsabile del programma di Sicurezza dei Dati | Promuovere i risultati e la collaborazione tra team | |
| Produttività/Utente finale IT centrale | Implementare le modifiche al tenant di Microsoft 365 per OneDrive e le cartelle protette | |
| Infrastructure/Backup IT centrale | Abilitare il backup dell'infrastruttura | |
| Business/Applicazioni | Identificare gli asset aziendali cruiciali | |
| Architettura di sicurezza | Consigliare su configurazione e standard | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità | |
| Team di formazione utenti | Assicurarsi che le linee guida per gli utenti riflettano gli aggiornamenti dei criteri | |
Elenco di controllo per l'implementazione
Applicare queste procedure consigliate per proteggere i dati dell'organizzazione.
| Fatto | Attività | Descrizione |
|---|---|---|
| Eseguire la migrazione dell'organizzazione al cloud: - Spostare i dati utente in soluzioni cloud come OneDrive/SharePoint per sfruttare le funzionalità di controllo delle versioni e del cestino. - Istruire gli utenti su come recuperare i file autonomamente per ridurre ritardi e costi di ripristino. |
I dati degli utenti nel cloud Microsoft possono essere protetti da funzioni predefinite di sicurezza e di gestione dei dati. | |
| Designare cartelle protette. | Rende più difficile per le applicazioni non autorizzate modificare i dati in queste cartelle. | |
| Esaminare le autorizzazioni: - Individuare autorizzazioni di scrittura/eliminazione estese per condivisioni file, SharePoint e altre soluzioni. Per "estese" si intendono le autorizzazioni di scrittura/eliminazione possedute da molti utenti sui dati critici dell'azienda. - Ridurre le autorizzazioni estese per le posizioni dei dati critiche, tenendo conto dei requisiti di collaborazione aziendale. - Controllare e monitorare le posizioni dei dati critici per garantire che le autorizzazioni estese non riappaiano. |
Riduce il rischio di attività ransomware che si basano su un accesso esteso. | |
Passaggio successivo
Continuare con la fase 2 per limitare l'ambito dei danni di un attacco proteggendo i ruoli con privilegi.
Risorse aggiuntive di ransomware
Informazioni chiave di Microsoft:
- [2023 Report sulla difesa digitale Microsoft](https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report- 2023) (consultare le pagine 17-26)
- Blog di Microsoft - Ransomware, Minacce più recenti - Ransomware
- Ransomware gestito dall'uomo
- Protezione rapida da ransomware ed estorsione
- Ransomware: una minaccia permanente e diffusa analisi delle minacce nel portale di Microsoft Defender
- Approccio del team di risposta agli incidenti di Microsoft (in precedenza DART/CRSP) al ransomware e case study
Microsoft 365:
- Distribuire la protezione ransomware per il tenant di Microsoft 365
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Recupero da un attacco di ransomware
- Protezione contro malware e ransomware
- Proteggere il PC Windows 10 da ransomware
- Gestione di ransomware in SharePoint Online
- Report di analisi delle minacce per ransomware nel portale di Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Difesa di Azure per attacchi ransomware
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Piano di backup e ripristino per la protezione da ransomware
- Proteggere dal ransomware con Microsoft Backup di Azure (video di 26 minuti)
- Recupero da una compromissione sistemica dell'identità
- Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
- Rilevamento delle fusioni di ransomware in Microsoft Sentinel
app Microsoft Defender per il cloud:
Post di blog del team di Microsoft Security:
Una guida per combattere il ransomware gestito dall'uomo: Parte 1 (settembre 2021)
Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)
Raccomandazioni e procedure consigliate.
3 passaggi per evitare e recuperare dal ransomware (settembre 2021)
-
Vedere la sezione Ransomware .
Attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)
Includono analisi delle catene di attacco di attacchi reali.
Risposta ransomware: per pagare o non pagare? (dicembre 2019)
Norsk Hydro risponde all'attacco ransomware con trasparenza (dicembre 2019)