Backup e ripristino del piano per la protezione da ransomware
Gli attacchi ransomware crittografano o cancellano deliberatamente i dati e i sistemi per forzare l'organizzazione a pagare denaro agli utenti malintenzionati. Questi attacchi sono destinati ai dati, ai backup e anche alla documentazione chiave necessaria per il ripristino per la quale gli utenti malintenzionati non richiedono denaro in modo da aumentare le probabilità che l'organizzazione ceda all’estorsione di denaro.
Questo articolo illustra le operazioni da eseguire prima di un attacco per proteggere i sistemi aziendali critici e durante un attacco per garantire un rapido ripristino delle operazioni aziendali.
Che cos'è il ransomware?
Il ransomware è un tipo di attacco basato sull’estorsione che crittografa file e cartelle, impedendo l'accesso a dati e sistemi importanti. Gli utenti malintenzionati usano i ransomware per estorcere denaro alle vittime, in genere sotto forma di criptovalute, in cambio di una chiave di decrittografia o in cambio di non rilasciare dati sensibili al Dark Web o alla rete Internet pubblica.
Mentre inizialmente il ransomware usava principalmente malware che si diffondevano con phishing o tra i dispositivi, il ransomware azionato da umani si manifesta quando un gruppo di utenti malintenzionati, guidato da operatori umani, ha come obiettivo tutti i sistemi di un'organizzazione (anziché un singolo dispositivo o gruppo di dispositivi). Un attacco può:
- Crittografare i dati
- Filtrare i dati
- Danneggiare i backup
Il ransomware si basa sulla conoscenza degli utenti malintenzionati delle più comuni configurazioni errate e vulnerabilità di sistema e di sicurezza, per infiltrarsi nell'organizzazione, navigare nella rete aziendale e adattarsi all'ambiente e alle sue debolezze man mano che si presentano.
Il ransomware può essere creato per filtrare prima i dati, durante il corso di diverse settimane o mesi, prima che venga eseguito effettivamente in una data specifica.
Il ransomware può anche crittografare lentamente i dati mantenendo la chiave nel sistema. Con la chiave ancora disponibile, i tuoi dati sono utilizzabili dall’utente e il ransomware passa inosservato. I backup, tuttavia, sono dei dati crittografati. Dopo che tutti i dati sono stati crittografati e i backup recenti sono anche di dati crittografati, la chiave viene rimossa in modo da non poter più leggere i dati.
Il danno reale viene spesso fatto quando l'attacco filtra i file lasciando le backdoor nella rete per attività dannose future e questi rischi persistono anche se il riscatto viene pagato. Questi attacchi possono essere irreversibili per le operazioni aziendali e difficili da pulire, richiedendo una rimozione completa del nemico per proteggersi da attacchi futuri. A differenza delle prime forme di ransomware che richiedevano solo la correzione dei malware, il ransomware gestito dall'uomo può continuare a minacciare le operazioni aziendali anche dopo l'evento iniziale.
Impatto di un attacco
L'impatto di un attacco ransomware su qualsiasi organizzazione è difficile da quantificare accuratamente. A seconda dell'ambito di attacco, l'impatto potrebbe includere:
- Perdita dell'accesso ai dati
- Interruzione dell'operazione aziendale
- Perdita finanziaria
- Furto di proprietà intellettuale
- Compromissione della fiducia dei clienti o della reputazione
- Spese legali
Come ci si può proteggere?
Il modo migliore per evitare di diventare di un ransomware è implementare misure preventive e avere strumenti che proteggono l'organizzazione da ogni passo che gli utenti malintenzionati potrebbero compiere per infiltrarsi nei sistemi.
È possibile ridurre l'esposizione locale spostando l'organizzazione in un servizio cloud. Microsoft ha investito in funzionalità di sicurezza native che rendono Microsoft Azure resiliente contro gli attacchi ransomware e aiuta le organizzazioni a sconfiggere le tecniche di attacco ransomware. Per una panoramica completa di ransomware ed estorsione e di come proteggere l'organizzazione, fare riferimento alle informazioni nella presentazione di PowerPoint relativa al piano del progetto di mitigazione dei ransomware gestiti dall'uomo.
È presumibile che in un certo momento si sarà vittima di un attacco ransomware. Una delle misure più importanti che è possibile adottare per proteggere i dati ed evitare di pagare un riscatto consiste nell'avere un piano di backup e ripristino affidabile per le informazioni critiche. Poiché gli utenti malintenzionati ransomware hanno investito molto nella neutralizzazione delle applicazioni di backup e delle funzionalità del sistema operativo come la copia shadow del volume, è fondamentale avere dei backup non accessibili a un utente malintenzionato.
Backup di Azure
Backup di Azure offre sicurezza per l'ambiente di backup, sia quando i dati sono in transito che quando sono inattivi. Con Backup di Azure è possibile eseguire il backup:
- File, cartelle e stato del sistema locali
- Intere macchine virtuali Windows/Linux
- Azure Managed Disks
- Condivisioni file di Azure in un account di archiviazione
- Database di SQL Server in esecuzione in macchine virtuali di Azure
I dati di backup vengono archiviati in Archiviazione di Azure e l'utente malintenzionato o guest non ha accesso diretto all'archivio di backup o al relativo contenuto. Con il backup delle macchine virtuali, la creazione e l'archiviazione dello snapshot di backup vengono eseguite dall'infrastruttura di Azure, in cui il guest o l'utente malintenzionato non ha alcun coinvolgimento oltre alla disattivazione del carico di lavoro per i backup coerenti con l'applicazione. Con SQL e SAP HANA, l'estensione del backup ottiene l'accesso temporaneo per la scrittura in BLOB specifici. In questo modo, anche in un ambiente compromesso, i backup esistenti non possono essere alterati o eliminati dall'utente malintenzionato.
Backup di Azure offre funzionalità di monitoraggio e avviso predefinite per visualizzare e configurare le azioni per gli eventi correlati a Backup di Azure. I report di Backup fungono da destinazione unica per tenere traccia dell'utilizzo, controllare backup e ripristino e rilevare le tendenze principali a diversi livelli di granularità. L'uso degli strumenti di monitoraggio e creazione di report di Backup di Azure consente di avvisare l'utente in caso di attività non autorizzate, sospette o dannose non appena si verificano.
Sono stati aggiunti alcuni controlli per garantire che solo gli utenti validi possano eseguire diverse operazioni. Questi includono l'aggiunta di un altro livello di autenticazione. Per aggiungere un ulteriore livello di autenticazione per le operazioni critiche, viene richiesto di immettere un PIN di sicurezza prima di modificare i backup online.
Altre informazioni sulle funzionalità di sicurezza integrate in Backup di Azure.
Convalidare i backup
Verificare che il backup sia corretto man mano che questo viene creato e prima del ripristino. È consigliabile usare un insieme di credenziali di Servizi di ripristino, ovvero un'entità di archiviazione in Azure che ospita i dati. I dati sono in genere copie di dati o informazioni di configurazione per macchine virtuali, carichi di lavoro, server o workstation. È possibile usare gli insiemi di credenziali di Servizi di ripristino per contenere dati di backup per vari servizi di Azure, ad esempio macchine virtuali IaaS ( Linux o Windows), database Azure SQL così come gli asset locali. Gli insiemi di credenziali di Servizi di ripristino semplificano l'organizzazione dei dati di backup e forniscono caratteristiche come:
- Funzionalità migliorate che garantiscono la protezione dei backup e ripristinano i dati in modo sicuro anche se i server di produzione e di backup vengono compromessi. Altre informazioni.
- Monitoraggio per l'ambiente IT ibrido (macchine virtuali IaaS di Azure e asset locali) da un portale centrale. Altre informazioni.
- Compatibilità con Controllo degli accessi in base al ruolo (RBAC di Azure), che limita il backup e il ripristino dell'accesso a un insieme definito di ruoli utente. Controllo degli accessi in base al ruolo di Azure offre diversi ruoli predefiniti mentre Backup di Azure dispone di tre ruoli predefiniti per la gestione dei punti di ripristino. Altre informazioni.
- Protezione dall'eliminazione temporanea, anche se un soggetto malintenzionato elimina un backup (o i dati di backup vengono eliminati accidentalmente). I dati di backup vengono conservati per 14 giorni aggiuntivi, consentendo il ripristino di un elemento di backup senza perdita di dati. Altre informazioni.
- Ripristino tra aree che consente di ripristinare le macchine virtuali di Azure in un'area secondaria, ovvero un'area abbinata di Azure. È possibile ripristinare i dati replicati nell'area secondaria in qualsiasi momento. In questo modo è possibile ripristinare i dati dell'area secondaria per la conformità al controllo e durante gli scenari di interruzione, senza attendere che Azure dichiari un'emergenza (a differenza delle impostazioni GRS dell'insieme di credenziali). Altre informazioni.
Nota
Esistono due tipi di insiemi di credenziali in Backup di Azure. Oltre agli insiemi di credenziali di Servizi di ripristino, sono disponibili anche insiemi di credenziali di backup che ospitano i dati per carichi di lavoro più recenti supportati da Backup di Azure.
Cosa fare prima di un attacco
Come accennato in precedenza, si deve presupporre che a un certo punto si cadrà vittima di un attacco ransomware. Identificando i sistemi critici per l'azienda e applicando le procedure consigliate prima di un attacco, sarà possibile tornare operativi il più rapidamente possibile.
Determinare cosa è più importante
Ransomware può attaccare mentre stai pianificando un attacco in modo che la massima priorità sia identificare i sistemi critici più importanti e iniziare a eseguire regolarmente i backup di tali sistemi.
Per esperienza è risaputo che le cinque applicazioni più importanti per i clienti rientrano nelle categorie seguenti in questo ordine di priorità:
- Sistemi di gestione delle identità: necessari per consentire agli utenti di accedere a tutti i sistemi (inclusi tutti gli altri descritti di seguito), ad esempio Active Directory, Microsoft Entra Connect, controller di dominio di Progettazione applicazioni
- Vita umana: qualsiasi sistema che supporti la vita umana o possa metterla a rischio come sistemi di supporto medico o vitale, sistemi di sicurezza (ambulanza, sistemi di invio, controllo del traffico), macchinari di grandi dimensioni, sistemi chimici e biologici, produzione di alimenti o prodotti personali e altri
- Sistemi finanziari: sistemi che elaborano le transazioni monetarie e mantengono il funzionamento aziendale, ad esempio i sistemi di pagamento e i database correlati, il sistema finanziario per la creazione di report trimestrali
- Abilitazione del prodotto o del servizio: tutti i sistemi necessari per fornire i servizi aziendali o produrre e distribuire prodotti fisici che i clienti pagano, sistemi di controllo di fabbrica, sistemi di distribuzione e spedizione del prodotto e simili
- Sicurezza (minima): dare priorità anche ai sistemi di sicurezza necessari per monitorare gli attacchi e fornire servizi di sicurezza minimi. Ciò dovrebbe essere incentrato sulla garanzia che gli attacchi in corso (o quelli facili e opportunistici) non siano in grado di ottenere (o riottenere) immediatamente l'accesso ai sistemi ripristinati
L'elenco delle priorità di back up diventa anche l'elenco delle priorità per il ripristino. Dopo aver identificato i sistemi critici ed eseguito regolarmente i backup, adottare misure per ridurre il livello di esposizione.
Misure da adottare prima di un attacco
Applicare queste procedure consigliate prima di un attacco.
| Attività | Dettagli |
|---|---|
| Identificare i sistemi importanti che è necessario riportare online per primi (usando le prime cinque categorie precedenti) e iniziare immediatamente a eseguire regolarmente i backup di tali sistemi. | Per tornare in funzione il più rapidamente possibile dopo un attacco, determinare oggi cosa è più importante. |
| Eseguire la migrazione dell'organizzazione al cloud. Prendere in considerazione l'acquisto di un piano di supporto Microsoft Unified Support o collaborare con un partner per ricevere supporto per il passaggio al cloud. |
Ridurre l'esposizione locale, spostando i dati in servizi cloud con backup automatico e rollback self-service. Microsoft Azure offre un solido set di strumenti che aiutano a eseguire il backup dei sistemi critici e ripristinare i backup più velocemente. Microsoft Unified Support è un modello di supporto dei servizi cloud disponibile per aiutarti ogni volta che è necessario. Unified Support: Fornisce un team designato disponibile 24x7 con la risoluzione dei problemi e l'escalation di eventi imprevisti critici Aiuta nel monitoraggio dell'integrità dell'ambiente IT e funziona in modo proattivo per garantire la prevenzione dei problemi |
| Spostare i dati utente in soluzioni cloud come OneDrive e SharePoint per sfruttare le funzionalità di controllo delle versioni e del cestino. Informare gli utenti su come recuperare i propri file autonomamente per ridurre i ritardi e i costi di ripristino. Ad esempio, se i file di OneDrive di un utente sono stati infettati da malware, potrà effettuare ilripristino temporizzato dell'intero OneDrive. Prendere in considerazione una strategia di difesa, ad esempio Microsoft Defender XDR, prima di consentire agli utenti di ripristinare i propri file. |
I dati degli utenti nel cloud Microsoft possono essere protetti da funzioni predefinite di sicurezza e di gestione dei dati. È consigliabile insegnare agli utenti come ripristinare i propri file, ma bisogna fare attenzione a non ripristinare il malware usato per eseguire l'attacco. È necessario: Assicurarsi che gli utenti non ripristinino i file finché non si è certi che l'utente malintenzionato sia stato eliminato Avere pronta una mitigazione nel caso in cui un utente ripristini alcuni malware Microsoft Defender XDR usa azioni e playbook automatici basati sull'intelligenza artificiale per riportare gli asset interessati a uno stato sicuro. Microsoft Defender XDR sfrutta le funzionalità di correzione automatica dei prodotti della suite per garantire che tutti gli asset interessati correlati a un evento imprevisto vengano corretti automaticamente, se possibile. |
| Implementare il benchmark di sicurezza del cloud Microsoft . | Il benchmark di sicurezza del cloud Microsoft è il framework di controllo della sicurezza basato sui framework di controllo della sicurezza del settore, ad esempio NIST SP800-53, CIS Controls v7.1. Fornisce alle organizzazioni materiale sussidiario su come configurare Azure e i servizi di Azure e implementare i controlli di sicurezza. Vedere Backup e ripristino. |
| Eseguire regolarmente il piano di continuità operativa/ripristino di emergenza (BC/DR). Simulare gli scenari di risposta agli incidenti. Gli esercizi eseguiti durante la preparazione per un attacco devono essere pianificati e eseguiti in base agli elenchi delle priorità di backup e ripristino. Testare regolarmente lo scenario "Ripristina da zero" per garantire che il piano di continuità aziendale e ripristino di emergenza possa riportare rapidamente online le operazioni aziendali critiche dall’azzeramento delle funzionalità (tutti i sistemi sono inattivi). |
Garantisce un rapido ripristino delle operazioni aziendali, trattando un attacco ransomware o estorsione con la stessa importanza di una calamità naturale. Condurre esercizi pratici per convalidare processi e procedure tecniche tra i team, incluse comunicazioni con clienti e dipendenti fuori banda (è presumibile che tutte le funzionalità e-mail, chat ecc. siano fuori uso). |
| Prendere in considerazione la creazione di un registro dei rischi per identificare i potenziali rischi e affrontare il modo in cui si media attraverso controlli e azioni preventivi. Aggiungere i ransomware al rischio registrato come scenario ad alta probabilità e ad alto impatto. | Un registro dei rischi può aiutare a classificare in ordine di priorità i rischi in base alla probabilità che si verifichino e alla gravità per l'azienda nel caso in cui dovessero verificarsi. Tenere traccia dello stato di mitigazione tramite il ciclo di valutazione ERM (Enterprise Risk Management). |
| Eseguire automaticamente il backup di tutti i sistemi aziendali critici in base a una pianificazione regolare (incluso il backup di dipendenze critiche come Active Directory). Convalidare che il backup sia corretto man mano che viene creato. |
Consente di ripristinare i dati fino all'ultimo backup. |
| Proteggere (o stampare) documenti e sistemi di supporto necessari per il ripristino, ad esempio documenti di procedura di ripristino, database di gestione della configurazione (CMDB), diagrammi di rete e istanze SolarWinds. | Gli utenti malintenzionati puntano deliberatamente a queste risorse perché compromettono la capacità di ripristino. |
| Assicurarsi che le procedure siano ben documentate per il coinvolgimento di qualsiasi supporto di terzi, in particolare il supporto di provider di intelligence sulle minacce informatiche, di provider di soluzioni antimalware e del provider di analisi malware. Proteggere (o stampare) queste procedure. | I contatti di terze parti possono essere utili se la variante ransomware data ha punti deboli noti o sono disponibili strumenti di decrittografia. |
| Garantire che la strategia di backup e ripristino includa: Capacità di eseguire il backup temporizzato dei dati. Archiviazione di molteplici copie di backup in posizioni isolate e offline (air-gapped). Obiettivi del tempo di ripristino che stabiliscono la velocità con cui è possibile recuperare e inserire le informazioni di backup nell'ambiente di produzione. Ripristino rapido del backup in un ambiente di produzione o sandbox. |
I backup sono essenziali per la resilienza dopo che un'organizzazione è stata violata. Applicare la regola 3-2-1 per la massima protezione e disponibilità: 3 copie (backup originale + 2), 2 tipi di archiviazione e 1 in un altro luogo o copia ad accesso sporadico. |
| Proteggere i backup dalla cancellazione e la crittografia intenzionali: Archiviare i backup in una risorsa di archiviazione offline o in un altro luogo e/o in una risorsa di archiviazione non modificabile. Richiedere passaggi fuori banda (ad esempio MFA o PIN di sicurezza) prima di consentire la modifica o la cancellazione di un backup online. Creare endpoint privati all'interno della Rete virtuale di Azure per eseguire in modo sicuro il backup e il ripristino dei dati dall'insieme di credenziali di Servizi di ripristino. |
I backup accessibili agli utenti malintenzionati possono essere inutilizzabili per il ripristino dell'azienda. L’Archiviazione online garantisce un trasferimento solido dei dati di backup senza usare alcuna larghezza di banda della rete. Backup di Azure supporta il backup offline, che trasferisce i dati dei backup iniziali offline, senza usare la larghezza di banda della rete. Esso fornisce un meccanismo per copiare i dati di backup su dispositivi di archiviazione fisica. I dispositivi vengono quindi spediti a un data center di Azure vicino e caricati in un insieme di credenziali di Servizi di ripristino. L'archiviazione non modificabile online (comeArchiviazione BLOB di Azure) consente agli utenti di archiviare oggetti dati critici nello stato WORM (Write Once, Read Many). Questo stato rende i dati non cancellabili e non modificabili per un intervallo di tempo specificato dall'utente. L'autenticazione a più fattori (MFA) deve essere obbligatoria per tutti gli account amministratore ed è fortemente consigliata a tutti gli utenti. Il metodo preferito consiste nell'usare un'app di autenticazione anziché un SMS o una voce, dove è possibile. Quando si configura Backup di Azure, è possibile configurare i servizi di ripristino per abilitare l'MFA usando un PIN di sicurezza generato nel portale di Azure. In questo modo si garantisce che venga generato un pin di sicurezza per eseguire operazioni critiche, ad esempio l'aggiornamento o la rimozione di un punto di recupero. |
| Designare le cartelle protette. | Rende più difficile per le applicazioni non autorizzate modificare i dati in queste cartelle. |
| Esaminare le autorizzazioni: Individuare autorizzazioni di scrittura e eliminazione non necessarie per condivisioni file, SharePoint e altre soluzioni. Per estese si intende il numero di utenti che dispongono di autorizzazioni di scrittura/eliminazione dei dati critici dell'azienda. Ridurre le autorizzazioni non necessarie rispettando i requisiti di collaborazione aziendale. Eseguire verifiche e monitoraggi per accertarsi che le autorizzazioni non necessarie non appaiano nuovamente. |
Riduce i rischi di attività ransomware derivati dall’abilitazione di autorizzazioni non necessarie. |
| Proteggere da un tentativo di phishing: Eseguire regolarmente una formazione per sensibilizzare sulla sicurezza in modo da aiutare gli utenti a identificare un tentativo di phishing ed evitare di fare clic su un elemento in grado di creare un punto di ingresso iniziale per una compromissione. Applicare controlli di filtri di protezione all’e-mail per rilevare e ridurre al minimo la probabilità che un tentativo di phishing vada a buon fine. |
Il metodo più comune usato dagli utenti malintenzionati per infiltrarsi in un'organizzazione è il tentativo di phishing tramite e-mail. Exchange Online Protection (EOP) è il servizio di filtro basato sul cloud che protegge l'organizzazione da posta indesiderata, malware e altre minacce all’e-mail. EOP è incluso in tutte le organizzazioni Microsoft 365 con caselle di posta elettronica Exchange Online. Un esempio di controllo del filtro di protezione alla posta elettronica è Collegamenti sicuri. Collegamenti sicuri è una funzionalità di Defender per Office 365 che fornisce l'analisi e la riscrittura degli URL e dei collegamenti nei messaggi e-mail durante il flusso di posta in ingresso e la verifica dell'ora di clic degli URL e dei collegamenti nei messaggi e-mail e in altre posizioni (documenti di Microsoft Teams e Office). L'analisi di Collegamenti sicuri si aggiunge alla normale protezione da posta indesiderata e antimalware nei messaggi e-mail in ingresso in EOP. L'analisi dei collegamenti sicuri consente di proteggere l'organizzazione da collegamenti dannosi usati nel phishing e in altri attacchi. Altre informazioni sulla protezione anti-phishing. |
Cosa fare durante un attacco
Se si subisce un attacco, l'elenco di backup con priorità diventa l'elenco di ripristino con priorità. Prima di eseguire il ripristino, verificare di nuovo che il backup sia valido. Potrebbe essere possibile cercare malware all'interno del backup.
Misure da adottare durante un attacco
Applicare queste procedure consigliate durante un attacco.
| Attività | Dettagli |
|---|---|
| All'inizio dell'attacco, coinvolgere il supporto di terze parti, in particolare il supporto di provider di intelligence sulle minacce, provider di soluzioni antimalware e provider di analisi malware. | Questi contatti possono essere utili se la variante ransomware data ha punti deboli noti o sono disponibili strumenti di decrittografia. Il team Risposta agli incidenti Microsoft aiuta l'utente a proteggersi dagli attacchi. Il team Risposta agli incidenti Microsoft interagisce con i clienti in tutto il mondo, aiutandoli a proteggersi e a difendersi dagli attacchi prima che si verifichino, nonché a indagare e correggere i problemi quando si è verificato un attacco. Microsoft fornisce Servizi di ripristino rapido da ransomware. I servizi vengono forniti esclusivamente dagli Esperti nel recupero delle violazioni della sicurezza (CRSP) globali di Microsoft. Durante un attacco ransomware questo team si concentra sul ripristino del servizio di autenticazione e limitare l'impatto del ransomware. Risposta agli incidenti Microsoft fa parte della linea del servizio di sicurezza per la Consegna di soluzioni del settore Microsoft. |
| Contattare le forze dell'ordine locali o federali. | Negli Stati Uniti, contattare l'FBI per segnalare una violazione ransomware usando il Modulo di segnalazione del reclamo IC3. |
| Eseguire la procedura per rimuovere il payload malware o ransomware dall'ambiente e arrestarne la diffusione. Eseguire un'analisi antivirus completa e aggiornata su tutti i computer e i dispositivi sospetti per rilevare e rimuovere il payload associato al ransomware. Analizzare i dispositivi che sincronizzano i dati o le destinazioni delle unità di rete mappate. |
È possibile usare Windows Defender o (per i client meno recenti) Microsoft Security Essentials. Un' ulteriore alternativa che aiuterà a rimuovere ransomware o malware è lo Strumento di rimozione malware (MSRT). |
| Ripristinare prima i sistemi critici. Ricordarsi di convalidare di nuovo che il backup sia valido prima del ripristino. | A questo punto, non è necessario ripristinare tutto. Concentrarsi sui primi cinque sistemi critici dell'elenco di ripristino. |
| Se sono presenti backup offline, probabilmente è possibile ripristinare i dati crittografati dopo aver rimosso il payload ransomware o malware dall'ambiente. | Per prevenire attacchi futuri, prima del ripristino assicurarsi che il ransomware o malware non sia sul backup offline. |
| Identificare un'immagine di backup temporizzata sicura si cui si sa con certezza che non è stata infettata. Se si usa l'insieme di credenziali di Servizi di ripristino, esaminare attentamente la sequenza temporale degli eventi imprevisti per riconoscere la temporizzazione giusta per il ripristino di un backup. |
Per evitare attacchi futuri, prima del ripristino analizzare il backup per verificare la presenza di ransomware o malware. |
| Usare uno scanner di sicurezza e altri strumenti per il ripristino configurazione del sistema operativo, nonché scenari di ripristino dati. | Microsoft Safety Scanner è uno strumento di analisi progettato per trovare e rimuovere malware dai computer Windows. È sufficiente scaricarlo ed eseguire un'analisi per trovare malware e provare a invertire le modifiche apportate dalle minacce identificate. |
| Assicurarsi che la soluzione antivirus o di rilevamento e reazione dagli endpoint (EDR) sia aggiornata. È anche necessario avere patch aggiornate. | È preferibile una soluzione EDR, ad esempio Microsoft Defender per endpoint. |
| Dopo che i sistemi critici sono tornati operativi, ripristinare altri sistemi. Quando i sistemi vengono ripristinati, iniziare a raccogliere i dati di diagnostica in modo da poter prendere decisioni costruttive su ciò che si sta ripristinando. |
I dati di diagnostica dovrebbero aiutare a identificare se il malware è ancora nei sistemi. |
Post-attacco o simulazione
Dopo un attacco ransomware o una simulazione di risposta agli eventi imprevisti, seguire questa procedura per migliorare i piani di backup e ripristino, nonché il comportamento di sicurezza:
- Identificare le lezioni apprese nei casi in cui il processo non ha funzionato correttamente e le opportunità per semplificarlo, accelerarlo o migliorarlo.
- Eseguire l'analisi della causa radice sulle sfide più grandi (con un livello di dettaglio sufficiente per garantire che le soluzioni siano rivolte al problema corretto, considerando persone, processi e tecnologie)
- Analizzare e rimediare alla violazione originale (contattare il team di Risposta agli incidenti Microsoft, in precedenza DART, per ricevere aiuto)
- Aggiornare la strategia di backup e ripristino in base alle analisi di fine progetto e alle opportunità, assegnando priorità in base all'impatto più elevato e ai passaggi di implementazione più rapidi
Passaggi successivi
Per le procedure consigliate sulla distribuzione della protezione ransomware, vedere Protezione rapida da ransomware ed estorsione.
Informazioni chiave sul settore:
- Report sulla difesa digitale Microsoft 2023 (vedere le pagine 17-26)
Microsoft Azure:
Aiutare a proteggere da ransomware con Backup di Microsoft Azure (video di 26 minuti)
Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
Microsoft 365:
- Recupero da un attacco ransomware
- Malware e protezione ransomware
- Proteggere il PC Windows 10 da ransomware
- Gestione di ransomware in SharePoint Online
Microsoft Defender XDR: