Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questa fase, gli attori delle minacce diventano più difficili da accedere ai sistemi locali o cloud rimuovendo gradualmente i rischi nei punti di ingresso.
Sebbene molte di queste modifiche siano familiari e facili da implementare, è estremamente importante che il lavoro svolto in questa parte della strategia non rallenta il progresso sulle altre parti importanti.
Ecco i collegamenti per esaminare il piano di prevenzione ransomware in tre parti:
Accesso remoto
Ottenere l'accesso alla intranet dell'organizzazione tramite una connessione di accesso remoto è un vettore di attacco per gli attori delle minacce ransomware.
Una volta compromesso un account utente locale, un attore di minacce può sfruttare una intranet per raccogliere informazioni, elevare privilegi e installare ransomware. Il cyberattack della Colonial Pipeline nel 2021 è un esempio di questa situazione.
Responsabilità dei membri del programma e del progetto per l'accesso remoto
Questa tabella descrive la protezione complessiva della soluzione di accesso remoto da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO o CIO | Sponsorizzazione esecutiva | |
| Responsabile del programma nel team IT centrale di infrastruttura/rete | Ottenere risultati e collaborazione tra i team | |
| Architetti IT e della sicurezza | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Team di gestione delle identità di IT centrale | Configurare l'ID e i criteri di accesso condizionale di Microsoft Entra | |
| Operazioni di IT centrale | Implementare le modifiche all'ambiente | |
| Proprietari del carico di lavoro | Aiuto per le autorizzazioni di controllo degli accessi in base al ruolo per la pubblicazione delle app | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità | |
| Team di formazione utenti | Aggiornare eventuali indicazioni sulle modifiche del flusso di lavoro ed eseguire la gestione delle modifiche e della formazione |
Elenco di controllo dell'implementazione per l'accesso remoto
Applicare queste procedure consigliate per proteggere l'infrastruttura di accesso remoto da attori di minacce ransomware.
| Completato | Attività | Descrizione |
|---|---|---|
| Gestire gli aggiornamenti di software ed appliance. Evitare di saltare o trascurare le protezioni dei produttori (aggiornamenti di sicurezza, stato supportato). | Gli attori delle minacce usano vulnerabilità note che non sono ancora state applicate come vettori di attacco. | |
| Configurare l'ID Microsoft Entra per l'accesso remoto esistente, inclusa l'applicazione della convalida dell'utente e del dispositivo Zero Trust con l'accesso condizionale. | Zero Trust offre più livelli di protezione dell'accesso all'organizzazione. | |
| Configurare la sicurezza per le soluzioni VPN di terze parti esistenti (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) e altro ancora. | Sfruttare la sicurezza predefinita della soluzione di accesso remoto. | |
| Distribuire la VPN da punto a sito di Azure per fornire l'accesso remoto. | Sfruttare i vantaggi dell'integrazione con Microsoft Entra ID e le sottoscrizioni di Azure esistenti. | |
| Pubblicare app web locali con il proxy applicativo Microsoft Entra. | Le app pubblicate con il proxy dell'applicazione Microsoft Entra non necessitano di una connessione di accesso remoto. | |
| Proteggere l'accesso alle risorse di Azure con Azure Bastion. | Connettersi in modo sicuro e senza problemi alle macchine virtuali di Azure tramite SSL. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Ridurre il rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Posta elettronica e collaborazione
Implementare le procedure consigliate per le soluzioni di posta elettronica e collaborazione per rendere più difficile per gli attori delle minacce abusarli, consentendo agli operatori di accedere a contenuti esterni in modo semplice e sicuro.
Gli attori delle minacce entrano spesso nell'ambiente introducendo contenuti dannosi mascherati all'interno di strumenti di collaborazione autorizzati, ad esempio la posta elettronica e la condivisione di file e convincere gli utenti a eseguire il contenuto. Microsoft ha investito in mitigazioni avanzate che aumentano notevolmente la protezione da questi vettori di attacco.
Responsabilità dei membri del programma e del progetto per la posta elettronica e la collaborazione
Questa tabella descrive la protezione complessiva delle soluzioni di posta elettronica e collaborazione da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO, CIO o direttore della gestione di identità | Patrocinio esecutivo | |
| Responsabile del programma del team Architettura della sicurezza | Ottenere risultati e promuovere la collaborazione tra i team | |
| Architetti IT | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Team per la produttività cloud o team degli utenti finali | Abilitare Defender per Office 365, Azure Site Recovery e AMSI | |
| Architettura della sicurezza / Infrastruttura ed endpoint | Assistenza per la configurazione | |
| Team di formazione utenti | Indicazioni per l'aggiornamento delle modifiche del flusso di lavoro | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità |
Elenco di controllo dell'implementazione per la posta elettronica e la collaborazione
Applicare queste procedure consigliate per proteggere la posta elettronica e le soluzioni di collaborazione da attori di minacce ransomware
| Fatto | Attività | Descrizione |
|---|---|---|
| Abilitare AMSI per Office VBA. | Rilevare attacchi tramite macro di Office con strumenti per endpoint come Defender per endpoint. | |
| Implementare la sicurezza avanzata per la posta elettronica usando Defender per Office 365 o una soluzione simile. | La posta elettronica è un punto di ingresso comune per gli attori delle minacce. | |
|
Distribuire regole di riduzione della superficie di attacco (Azure Site Recovery) per bloccare tecniche di attacco comuni, tra cui: - Abuso di endpoint, ad esempio furto di credenziali, attività ransomware e uso sospetto di PsExec e WMI. - Attività dei documento office usate con intento malevolo, ad esempio attività macro avanzate, contenuto eseguibile, creazione di processi e inserimento di processi avviati dalle applicazioni di Office. Nota: distribuire queste regole prima di tutto in modalità di controllo, quindi valutare eventuali impatti negativi e infine distribuirle in modalità di blocco. |
Azure Site Recovery offre livelli aggiuntivi di protezione specifici mirati alla mitigazione dei metodi di attacco comuni. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Endpoint
Implementare le funzionalità di sicurezza pertinenti e seguire rigorosamente le procedure consigliate per la manutenzione software per endpoint (dispositivi) e applicazioni, assegnando priorità alle applicazioni e ai sistemi operativi server/client esposti direttamente al traffico e al contenuto Internet.
Gli endpoint esposti a Internet sono un vettore di ingresso comune che fornisce agli attori delle minacce l'accesso agli asset dell'organizzazione. Classificare in ordine di priorità le vulnerabilità comuni del sistema operativo e delle applicazioni con controlli preventivi per rallentarli o impedirne l'esecuzione nelle fasi successive.
Responsabilità dei membri del programma e del progetto per gli endpoint
Questa tabella descrive la protezione complessiva degli endpoint da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Piombo | Implementatore | Responsabilità |
|---|---|---|
| Leadership aziendale responsabile dell'impatto aziendale sia del tempo di inattività che dei danni dovuti agli attacchi | Sponsorizzazione dei dirigenti (manutenzione) | |
| Operazioni di IT centrale o CIO | Sponsorizzazione dei dirigenti (altri) | |
| Responsabile del programma dal team dell'infrastruttura di IT centrale | Promuovere i risultati e la collaborazione inter-team | |
| Architetti IT e della sicurezza | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Operazioni di IT centrale | Implementare le modifiche all'ambiente | |
| Team per la produttività cloud o team degli utenti finali | Abilitare la riduzione della superficie di attacco | |
| Gestori di carichi di lavoro e applicazioni | Identificare le finestre di manutenzione per le modifiche | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità |
Elenco di controllo dell'implementazione per gli endpoint
Applicare queste procedure consigliate a tutti gli endpoint Windows, Linux, macOS, Android, iOS e altri.
| Fatto | Attività | Descrizione |
|---|---|---|
| Bloccare le minacce note con regole di riduzione della superficie di attacco, protezione antimanomissione e blocco al primo rilevamento. | Non lasciare che il mancato utilizzo di queste funzionalità di sicurezza predefinite sia il motivo per cui un utente malintenzionato è entrato nell'organizzazione. | |
| Applicare baseline di sicurezza per applicare la protezione avanzata a server e client Windows e alle applicazioni di Office con connessione Internet. | Proteggi la tua organizzazione con il livello minimo di sicurezza e costruisci da lì. | |
| Mantenere il software in modo che sia: - Aggiornato: distribuire rapidamente gli aggiornamenti della sicurezza critici per sistemi operativi, browser e client di posta elettronica - Supportato: aggiornare i sistemi operativi e il software per le versioni supportate dai fornitori. |
Gli attaccanti contano sul fatto che tu non faccia o trascuri gli aggiornamenti e upgrade del produttore. | |
| Isolare, disabilitare o ritirare sistemi e protocolli non sicuri, inclusi i sistemi operativi non supportati e i protocolli legacy. | Gli utenti malintenzionati usano vulnerabilità note di dispositivi, sistemi e protocolli legacy come punti di ingresso nell'organizzazione. | |
| Bloccare il traffico imprevisto con firewall basato su host e difese di rete. | Alcuni attacchi malware si basano sul traffico in ingresso non richiesto verso gli host come modo per stabilire una connessione per un attacco. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Account
Proprio come le vecchie chiavi universali non proteggono una casa da un moderno ladro, le password non possono proteggere gli account dagli attacchi comuni a cui assistiamo oggi. Anche se l'autenticazione a più fattori (MFA) era un passaggio aggiuntivo oneroso, l'autenticazione senza password migliora l'esperienza di accesso usando approcci biometrici che non richiedono agli utenti di ricordare o digitare una password. Un'infrastruttura Zero Trust archivia inoltre informazioni sui dispositivi attendibili, riducendo quindi la richiesta di azioni di autenticazione a più fattori fastidiose fuori banda.
A partire da account di amministratore con privilegi elevati, seguire rigorosamente queste procedure consigliate per la sicurezza degli account, tra cui l'uso dell'approccio senza password o dell'autenticazione a più fattori.
Responsabilità dei conti per i membri del programma e del progetto
Questa tabella descrive la protezione complessiva degli account da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO, CIO o direttore della gestione di identità | Sponsorizzazione esecutiva | |
| Responsabile del programma dai team di Gestione di identità e chiavi o di Architettura della sicurezza | Guidare i risultati e la collaborazione tra team | |
| Architetti IT e della sicurezza | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Gestione di identità e chiavi oppure operazioni di IT centrale | Implementare le modifiche di configurazione | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità | |
| Team di formazione utenti | Aggiornare la password o le indicazioni per l'accesso ed eseguire la gestione delle modifiche e della formazione |
Elenco di controllo dell'implementazione per gli account
Applicare queste procedure consigliate per proteggere gli account da utenti malintenzionati che usano ransomware.
| Fatto | Attività | Descrizione |
|---|---|---|
| Applicare l'autenticazione a più fattori complessa o l'accesso senza password per tutti gli utenti. Iniziare con gli account di amministratore e priorità usando uno o più dei seguenti: - Autenticazione senza password con Windows Hello o l'app Microsoft Authenticator. - Autenticazione a più fattori. - Una soluzione MFA di terze parti. |
Rendere più difficile per un utente malintenzionato eseguire una compromissione delle credenziali semplicemente determinando una password dell'account utente. | |
| Aumentare la sicurezza delle password: - Per gli account Microsoft Entra, utilizzare Microsoft Entra Password Protection per rilevare e bloccare password vulnerabili note e termini deboli aggiuntivi specifici per la propria organizzazione. - Per gli account di Active Directory Domain Services (AD DS) locali, Estendi Protezione password di Microsoft Entra agli account di Active Directory Domain Services. |
Assicurati che gli attaccanti non possano determinare password comuni o basate sul nome della tua organizzazione. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Risultati e sequenze temporali dell'implementazione
Provare a ottenere questi risultati entro 30 giorni:
Il 100% dei dipendenti usa attivamente l'autenticazione a più fattori
Implementazione al 100% di una sicurezza delle password più elevata
Risorse ransomware aggiuntive
Informazioni chiave di Microsoft:
Moonstone Sleet emerge come nuovo attore di minacce nordcoreano con una nuova borsa di trucchi, Microsoft Blog, maggio 2024
Report sulla difesa digitale Microsoft 2023 (vedere le pagine 17-26)
Ransomware: un report di analisi delle minacce permanente e diffuso nel portale di Microsoft Defender
L'approccio ransomware e il case study del team Microsoft di risposta agli incidenti (in precedenza DART)
Microsoft 365:
- Implementare la protezione ransomware per il tenant di Microsoft 365
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Recupero da un attacco ransomware
- Protezione da malware e ransomware
- Proteggere il PC Windows 10 da ransomware
- Gestione di ransomware in SharePoint Online
- Report di analisi delle minacce per ransomware nel portale di Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Difesa di Azure per attacchi ransomware
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Piano di backup e ripristino per la protezione da ransomware
- Proteggere dal ransomware con Microsoft Backup di Azure (video di 26 minuti)
- Recupero da una compromissione sistemica dell'identità
- Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
- Rilevamento di Fusioni per il ransomware in Microsoft Sentinel
app Microsoft Defender per il cloud:
Post di blog del team di Microsoft Security:
3 passaggi per evitare e recuperare dal ransomware (settembre 2021)
Una guida per combattere il ransomware gestito dall'uomo: Parte 1 (settembre 2021)
Passi chiave su come il team di rilevamento e risposta di Microsoft (DART) esegue indagini sugli incidenti ransomware.
Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)
Raccomandazioni e procedure consigliate.
-
Vedere la sezione Ransomware .
Attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)
Include analisi della catena di attacchi sugli attacchi effettivi.
Rispondere al ransomware: pagare o non pagare? (dicembre 2019)
Norsk Hydro risponde all'attacco ransomware con trasparenza (dicembre 2019)