Prepararsi per un attacco ransomware

  • Articolo

Adottare un framework di cybersecurity

Un buon punto di partenza consiste nell'adottare microsoft cloud security benchmark (MCSB) per proteggere l'ambiente Azure. Il benchmark della sicurezza cloud Microsoft è il framework di controllo della sicurezza di Azure, basato su framework di controllo di sicurezza basati sul settore, ad esempio NIST SP800-53, controlli CIS v7.1.

Screenshot of the NS-1: Establish Network Segmentation Boundaries security control

Il benchmark della sicurezza cloud Microsoft fornisce alle organizzazioni indicazioni su come configurare Azure e Servizi di Azure e implementare i controlli di sicurezza. Le organizzazioni possono usare Microsoft Defender per il cloud per monitorare lo stato dell'ambiente Azure attivo con tutti i controlli MCSB.

In definitiva, il framework mira a ridurre e gestire meglio i rischi per la cybersecurity.

Stack di benchmark di sicurezza cloud Microsoft
Sicurezza di rete (NS)
Identity Management (IM)
Accesso con privilegi (PA)
Protezione dei dati (DP)
Gestione asset (AM)
Registrazione e rilevamento delle minacce (LT)
Risposta agli eventi imprevisti (IR)
Gestione della postura e della vulnerabilità (PV)
Endpoint Security (ES)
Backup e ripristino (BR)
DevOps Security (DS)
Governance e strategia (GS)

Classificare in ordine di priorità la mitigazione

In base alla nostra esperienza con gli attacchi ransomware, abbiamo scoperto che la definizione delle priorità dovrebbe concentrarsi su: 1) preparare, 2) limite, 3) prevenire. Questo può sembrare controintuitivo, poiché la maggior parte delle persone vuole prevenire un attacco e muoversi. Purtroppo, dobbiamo presupporre violazioni (un principio chiave zero trust) e concentrarsi sulla mitigazione affidabile dei danni più gravi. Questa definizione di priorità è fondamentale a causa dell'elevata probabilità di uno scenario peggiore con ransomware. Anche se non è una piacevole verità da accettare, ci troviamo di fronte a utenti malintenzionati creativi e motivati che sono abili nel trovare un modo per controllare gli ambienti reali complessi in cui lavoriamo. Contro questa realtà, è importante prepararsi per il peggiore e stabilire i framework per contenere e impedire agli utenti malintenzionati di ottenere ciò che sono dopo.

Anche se queste priorità devono governare le operazioni da eseguire per prime, è consigliabile che le organizzazioni eseguano il maggior numero possibile di passaggi in parallelo (incluso il pull delle vittorie rapide dal passaggio 1 ogni volta che è possibile).

Rendere più difficile l'accesso

Impedire a un utente malintenzionato ransomware di entrare nell'ambiente e rispondere rapidamente agli eventi imprevisti per rimuovere l'accesso degli utenti malintenzionati prima di poter rubare e crittografare i dati. In questo modo gli utenti malintenzionati avranno esito negativo in precedenza e più spesso compromettendo il profitto dei loro attacchi. Anche se la prevenzione è il risultato preferito, è un percorso continuo e potrebbe non essere possibile ottenere la prevenzione del 100% e la risposta rapida in un'organizzazione reale (complessa multipiattaforma e multi-cloud con responsabilità IT distribuite).

A tale scopo, le organizzazioni devono identificare ed eseguire rapidamente le vittorie per rafforzare i controlli di sicurezza per impedire l'ingresso e rilevare/rimuovere rapidamente gli utenti malintenzionati durante l'implementazione di un programma sostenuto che consente loro di rimanere sicuri. Microsoft consiglia alle organizzazioni di seguire i principi descritti nella strategia Zero Trust qui. In particolare, contro ransomware, le organizzazioni devono classificare in ordine di priorità:

  • Migliorare l'igiene della sicurezza concentrando gli sforzi sulla riduzione della superficie di attacco e gestione di minacce e vulnerabilità per le risorse nel loro patrimonio.
  • Implementazione dei controlli protezione, rilevamento e risposta per le risorse digitali che possono proteggersi dalle minacce avanzate e di protezione, fornire visibilità e avvisi sulle attività degli utenti malintenzionati e rispondere alle minacce attive.

Limitare l'ambito dei danni

Assicurarsi di disporre di controlli avanzati (prevenire, rilevare, rispondere) per account con privilegi come i Amministrazione IT e altri ruoli con il controllo dei sistemi critici per l'azienda. Questo rallenta e/o impedisce agli utenti malintenzionati di ottenere l'accesso completo alle risorse per rubarli e crittografarli. Rimuovendo la capacità degli utenti malintenzionati di usare gli account IT Amministrazione come collegamento alle risorse ridurrà drasticamente le probabilità che abbiano successo attaccando l'utente e richiedendo pagamenti/profitti.

Le organizzazioni devono disporre di una sicurezza elevata per gli account con privilegi (strettamente proteggere, monitorare attentamente e rispondere rapidamente agli eventi imprevisti correlati a questi ruoli). Vedere piano di modernizzazione rapida della sicurezza di Microsoft, che copre:

  • Sicurezza della sessione end-to-end (inclusa l'autenticazione a più fattori (MFA) per gli amministratori
  • Proteggere e monitorare i sistemi di gestione delle identità
  • Attenuare l'attraversamento laterale
  • Risposta rapida alle minacce

Prepararsi al peggio

Pianificare lo scenario peggiore e aspettarsi che si verifichi (a tutti i livelli dell'organizzazione). In questo modo, l'organizzazione e gli altri utenti del mondo dipendono da:

  • Limita i danni per lo scenario peggiore: mentre il ripristino di tutti i sistemi dai backup è estremamente problematico per l'azienda, questo è più efficace ed efficiente rispetto al tentativo di ripristino usando strumenti di decrittografia forniti da utenti malintenzionati (di bassa qualità) dopo aver pagato per ottenere la chiave. Nota: pagare è un percorso incerto : non si ha alcuna garanzia formale o legale che la chiave funziona su tutti i file, gli strumenti funzionano in modo efficace, o che l'utente malintenzionato (che potrebbe essere un affiliata amatoriale usando un toolkit professionale) agisce in buona fede.
  • Limitare il rendimento finanziario per gli utenti malintenzionati: se un'organizzazione può ripristinare le operazioni aziendali senza pagare gli utenti malintenzionati, l'attacco ha effettivamente fallito e ha generato un ritorno zero sugli investimenti (ROI) per gli utenti malintenzionati. Ciò rende meno probabile che si rivolgeranno all'organizzazione in futuro (e li priva di finanziamenti aggiuntivi per attaccare gli altri).

Gli utenti malintenzionati possono comunque tentare di estorcere l'organizzazione attraverso la divulgazione dei dati o l'abuso o la vendita dei dati rubati, ma ciò offre meno leva rispetto a se hanno l'unico percorso di accesso ai dati e ai sistemi.

A tale scopo, le organizzazioni devono assicurarsi che:

  • Registrare il rischio : aggiungere ransomware al rischio registrato come scenario ad alta probabilità e ad alto impatto. Tenere traccia dello stato di mitigazione tramite il ciclo di valutazione ERM (Enterprise Risk Management).
  • Definire e eseguire il backup di asset aziendali critici: definire i sistemi necessari per le operazioni aziendali critiche e eseguirne automaticamente il backup in base a una pianificazione regolare (incluso il backup corretto di dipendenze critiche come Active Directory) Proteggere i backup da eliminazioni e crittografia intenzionali con archiviazione offline, archiviazione non modificabile e/o fuori banda (MFA o PIN) prima di modificare/cancellare i backup online.
  • Testare lo scenario 'Ripristina da zero': testare per garantire che la continuità aziendale/ripristino di emergenza (BC/DR) possa portare rapidamente online operazioni aziendali critiche da zero funzionalità (tutti i sistemi sono inattivo). Eseguire esercizi di pratica per convalidare i processi e le procedure tecniche tra team, inclusi i dipendenti fuori banda e le comunicazioni dei clienti (presupporre che tutte le e-mail/chat/etc. siano inattivo).
    È fondamentale proteggere (o stampare) documenti e sistemi di supporto necessari per il ripristino, inclusi documenti di procedura di ripristino, CMDB, diagrammi di rete, istanze di SolarWinds e così via. Gli utenti malintenzionati distruggono regolarmente questi elementi.
  • Ridurre l'esposizione locale: spostando i dati nei servizi cloud con backup automatico e rollback self-service.

Promuovere la consapevolezza e garantire che non vi sia un divario di conoscenza

Ci sono una serie di attività che possono essere intraprese per preparare potenziali incidenti ransomware.

Informare gli utenti finali sui pericoli del ransomware

Come la maggior parte delle varianti ransomware si affidano agli utenti finali per installare il ransomware o connettersi a siti Web compromessi, tutti gli utenti finali dovrebbero essere educati sui pericoli. Questo in genere fa parte della formazione annuale sulla sensibilizzazione sulla sicurezza e della formazione ad hoc disponibile tramite i sistemi di gestione dell'apprendimento dell'azienda. La formazione di sensibilizzazione deve estendersi anche ai clienti dell'azienda tramite i portali dell'azienda o altri canali appropriati.

Informare gli analisti del Centro operazioni di sicurezza (SOC) e altri su come rispondere agli eventi imprevisti ransomware

Gli analisti SOC e altri coinvolti in incidenti ransomware dovrebbero conoscere i concetti fondamentali di software dannoso e ransomware in particolare. Dovrebbero essere consapevoli delle principali varianti/famiglie di ransomware, insieme ad alcune delle loro caratteristiche tipiche. Il personale del call center dei clienti deve anche essere consapevole di come gestire i report ransomware da parte degli utenti finali e dei clienti dell'azienda.

Assicurarsi di disporre di controlli tecnici appropriati

Ci sono un'ampia gamma di controlli tecnici che devono essere applicati per proteggere, rilevare e rispondere agli incidenti ransomware con una forte enfasi sulla prevenzione. Come minimo, gli analisti SOC devono avere accesso ai dati di telemetria generati dai sistemi antimalware nell'azienda, comprendere quali misure preventive sono in atto, comprendere l'infrastruttura di destinazione del ransomware e essere in grado di assistere i team aziendali a intraprendere le azioni appropriate.

Questo deve includere alcuni o tutti gli strumenti essenziali seguenti:

  • Strumenti detective e preventivi

    • Gruppi di prodotti antimalware server enterprise (ad esempio Microsoft Defender per il cloud)
    • Soluzioni antimalware di rete (ad esempio Antimalware di Azure)
    • Piattaforme di analisi dei dati di sicurezza (ad esempio Monitoraggio di Azure, Sentinel)
    • Sistemi di rilevamento e prevenzione delle intrusioni di nuova generazione
    • Firewall di nuova generazione (NGFW)

  • Toolkit di analisi e risposta di malware

    • Sistemi automatizzati di analisi malware con supporto per la maggior parte dei principali sistemi operativi di utenti finali e server nell'organizzazione
    • Strumenti di analisi di malware statici e dinamici
    • Software e hardware forensi digitali
    • Accesso a Internet non aziendale (ad esempio, dongle 4G)
    • Per garantire la massima efficacia, gli analisti SOC devono avere accesso esteso a quasi tutte le piattaforme antimalware tramite le interfacce native oltre ai dati di telemetria unificati all'interno delle piattaforme di analisi dei dati di sicurezza. La piattaforma per Antimalware nativo di Azure per Azure Servizi cloud e Macchine virtuali fornisce guide dettagliate su come eseguire questa operazione.
    • Origini di arricchimento e intelligenza
    • Origini di intelligence per minacce online e offline (ad esempio sentinel, Azure Network Watcher)
    • Active Directory e altri sistemi di autenticazione (e log correlati)

  • Database di gestione della configurazione interna (CMDB) contenenti informazioni sul dispositivo dell'endpoint

  • Protezione dei dati

    • Implementare la protezione dei dati per garantire un ripristino rapido e affidabile da un attacco ransomware e bloccare alcune tecniche.
    • Designare cartelle protette: per rendere più difficile per le applicazioni non autorizzate modificare i dati in queste cartelle.
    • Esaminare le autorizzazioni: per ridurre i rischi derivanti dall'accesso generale che abilita ransomware
    • Individuare autorizzazioni di scrittura/eliminazione generali per condivisioni file, SharePoint e altre soluzioni
    • Ridurre le autorizzazioni generali rispettando i requisiti di collaborazione aziendale
    • Controllare e monitorare per garantire che le autorizzazioni generali non vengano nuovamente visualizzate
    • Backup sicuri
    • Assicurarsi che venga eseguito il backup dei sistemi critici e che i backup siano protetti dalla cancellazione o dalla crittografia intenzionali degli utenti malintenzionati.
    • Eseguire automaticamente il backup di tutti i sistemi critici in base a una pianificazione regolare
    • Garantire il ripristino rapido delle operazioni aziendali esercitando regolarmente il piano di continuità aziendale/ripristino di emergenza (BC/DR)
    • Proteggere i backup contro la cancellazione e la crittografia intenzionali
    • Protezione avanzata: richiedere passaggi fuori banda (ad esempio MUA/MFA) prima di modificare i backup online, ad esempio Backup di Azure
    • Protezione più avanzata: isolare i backup dai carichi di lavoro online/di produzione per migliorare la protezione dei dati di backup.
    • Proteggere i documenti di supporto necessari per il ripristino, ad esempio documenti di procedure di ripristino, CMDB e diagrammi di rete

Stabilire un processo di gestione degli eventi imprevisti

Assicurarsi che l'organizzazione esegui una serie di attività che seguono approssimativamente i passaggi di risposta agli eventi imprevisti e le linee guida descritte nel National Institute of Standards and Technology (NIST) Computer Security Incident Handling Guide (Special Publication 800-61r2) per prepararsi a potenziali eventi ransomware. Nei passaggi seguenti è incluso:

  1. Preparazione: questa fase descrive le varie misure da mettere in atto prima di un evento imprevisto. Ciò può includere sia preparativi tecnici (ad esempio l'implementazione di controlli di sicurezza appropriati e altre tecnologie) sia preparativi non tecnici (ad esempio la preparazione di processi e procedure).
  2. Trigger/rilevamento: questa fase descrive come è possibile rilevare questo tipo di evento imprevisto e quali trigger possono essere disponibili per avviare ulteriori indagini o la dichiarazione di un evento imprevisto. Questi sono in genere separati in trigger con attendibilità elevata e bassa confidenza.
  3. Indagine/analisi: questa fase descrive le attività che devono essere intraprese per analizzare e analizzare i dati disponibili quando non è chiaro che si è verificato un evento imprevisto, con l'obiettivo di confermare che un evento imprevisto deve essere dichiarato o concluso che non si è verificato un evento imprevisto.
  4. Dichiarazione di evento imprevisto: questa fase illustra i passaggi da eseguire per dichiarare un evento imprevisto, in genere con la generazione di un ticket all'interno del sistema di gestione degli eventi imprevisti aziendali (ticketing) e indirizzando il ticket al personale appropriato per un'ulteriore valutazione e azione.
  5. Contenimento/Mitigazione: questa fase illustra i passaggi che possono essere eseguiti dal Centro operazioni di sicurezza (SOC) o da altri, per contenere o attenuare (arrestare) l'evento imprevisto continuando a verificarsi o limitando l'effetto dell'evento imprevisto usando strumenti, tecniche e procedure disponibili.
  6. Correzione/ripristino: questa fase illustra i passaggi che possono essere eseguiti per correggere o recuperare da danni causati dall'evento imprevisto prima che fosse contenuto e mitigato.
  7. Attività post-evento imprevisto: questa fase illustra le attività che devono essere eseguite dopo la chiusura dell'evento imprevisto. Ciò può includere l'acquisizione della narrazione finale associata all'evento imprevisto e l'identificazione delle lezioni apprese.

Flowchart of an incident handling process

Preparare un ripristino rapido

Assicurarsi di disporre di processi e procedure appropriati. Quasi tutti gli incidenti ransomware comportano la necessità di ripristinare sistemi compromessi. Per la maggior parte dei sistemi, è quindi necessario adottare procedure e processi di backup e ripristino appropriati e testati. Dovrebbe anche essere adatto strategie di contenimento in atto con procedure appropriate per impedire al ransomware di diffondere e recuperare dagli attacchi ransomware.

Assicurarsi di disporre di procedure ben documentate per coinvolgere qualsiasi supporto di terze parti, in particolare il supporto di provider di intelligence per le minacce, provider di soluzioni antimalware e dal provider di analisi malware. Questi contatti possono essere utili se la variante ransomware può avere punti deboli noti o strumenti di decrittografia potrebbe essere disponibile.

La piattaforma Azure offre opzioni di backup e ripristino tramite Backup di Azure oltre che all'interno di vari servizi dati e carichi di lavoro.

Backup isolati con Backup di Azure

  • Macchine virtuali di Azure
  • Database nelle macchine virtuali di Azure: SQL, SAP HANA
  • Database di Azure per PostgreSQL
  • Server Windows locali (backup nel cloud con l'agente MARS)

Backup locali (operativi) con Backup di Azure

  • File di Azure
  • BLOB di Azure
  • Dischi di Azure

Backup predefiniti dai servizi di Azure

  • I servizi dati come Database di Azure (SQL, MySQL, MariaDB, PostgreSQL), Azure Cosmos DB e ANF offrono funzionalità di backup predefinite

E adesso

Vedere il white paper: Difese di Azure per attacchi ransomware white paper.

Altri articoli in questa serie: