Condividi tramite

Protezione ransomware in Microsoft 365

  • Articolo

Microsoft ha integrato difese e controlli usati per attenuare i rischi di un attacco ransomware contro l'organizzazione e le relative risorse. Gli asset possono essere organizzati per dominio con ogni dominio con un proprio set di mitigazioni dei rischi.

Dominio 1: controlli a livello di tenant

Il primo dominio è costituito dalle persone che costituiscono l'organizzazione e dall'infrastruttura e dai servizi di proprietà e controllati dall'organizzazione. Le funzionalità seguenti in Microsoft 365 sono attivate per impostazione predefinita o possono essere configurate per ridurre i rischi e ripristinare gli asset in questo dominio.

Exchange Online

  • Con il ripristino di singoli elementi e la conservazione delle cassette postali, i clienti possono ripristinare gli elementi in una cassetta postale dopo un'eliminazione prematura accidentale o dannosa. I clienti possono eseguire il rollback dei messaggi di posta elettronica eliminati entro 14 giorni per impostazione predefinita, configurabili fino a 30 giorni.

  • Le configurazioni aggiuntive dei clienti di questi criteri di conservazione all'interno del servizio Exchange Online consentono di:

    • conservazione configurabile da applicare (1 anno/10 anno+)
    • copia sulla protezione di scrittura da applicare
    • la possibilità di bloccare i criteri di conservazione in modo che sia possibile ottenere l'immutabilità

  • Exchange Online Protection analizza i messaggi di posta elettronica e gli allegati in ingresso in tempo reale, sia per l'immissione che per l'uscita dal sistema. Questa opzione è abilitata per impostazione predefinita e dispone di personalizzazioni di filtro disponibili. I messaggi contenenti ransomware o altro malware noto o sospetto vengono eliminati. È possibile configurare gli amministratori in modo che ricevano notifiche in questo caso.

Protezione di SharePoint e OneDrive

SharePoint e OneDrive Protection hanno funzionalità integrate che consentono di proteggere dagli attacchi ransomware.

Controllo delle versioni: poiché il controllo delle versioni mantiene almeno 500 versioni di un file per impostazione predefinita e può essere configurato per conservare di più, se il ransomware modifica e crittografa un file, è possibile ripristinare una versione precedente del file.

Cestino: se il ransomware crea una nuova copia crittografata del file ed elimina il file precedente, i clienti hanno 93 giorni per ripristinarlo dal Cestino.

Raccolta di archiviazione: i file archiviati nei siti di SharePoint o OneDrive possono essere conservati applicando le impostazioni di conservazione. Quando un documento con versioni è soggetto alle impostazioni di conservazione, le versioni vengono copiate nella raccolta di archiviazione ed esistono come elemento separato. Se un utente sospetta che i file siano stati compromessi, può analizzare le modifiche apportate ai file esaminando la copia conservata. Il ripristino dei file può quindi essere usato per ripristinare i file negli ultimi 30 giorni.

Teams

Le chat di Teams vengono archiviate nelle cassette postali degli utenti di Exchange Online e i file vengono archiviati in SharePoint o OneDrive. I dati di Microsoft Teams sono protetti dai controlli e dai meccanismi di ripristino disponibili in questi servizi.

Dominio 2: controlli a livello di servizio

Il secondo dominio sono le persone che costituiscono Microsoft l'organizzazione e l'infrastruttura aziendale di proprietà e controllata da Microsoft per eseguire le funzioni organizzative di un'azienda.

L'approccio di Microsoft alla protezione del patrimonio aziendale è Zero Trust, implementato usando i nostri prodotti e servizi con difese in tutto il nostro patrimonio digitale. Altre informazioni sui principi di Zero Trust sono disponibili qui: Zero Trust Architecture.

Le funzionalità aggiuntive di Microsoft 365 estendono le mitigazioni dei rischi disponibili nel dominio 1 per proteggere ulteriormente gli asset in questo dominio.

Protezione di SharePoint e OneDrive

Controllo delle versioni: se ransomware ha crittografato un file sul posto, come modifica, il file può essere recuperato fino alla data di creazione del file iniziale usando le funzionalità di cronologia delle versioni gestite da Microsoft.

Cestino: se il ransomware ha creato una nuova copia crittografata del file ed eliminato il file precedente, i clienti hanno 93 giorni per ripristinarlo dal Cestino. Dopo 93 giorni, è disponibile una finestra di 14 giorni in cui Microsoft può ancora recuperare i dati. Dopo questa finestra, i dati vengono eliminati definitivamente.

Teams

Le mitigazioni dei rischi per Teams descritte nel dominio 1 si applicano anche al dominio 2.

Dominio 3: Sviluppatori &'infrastruttura del servizio

Il terzo dominio è costituito dalle persone che sviluppano e gestiscono il servizio Microsoft 365, il codice e l'infrastruttura che fornisce il servizio e l'archiviazione e l'elaborazione dei dati.

Gli investimenti Microsoft che garantiscono la piattaforma Microsoft 365 e attenuano i rischi in questo dominio si concentrano su queste aree:

  • Valutazione e convalida continue del comportamento di sicurezza del servizio
  • Creazione di strumenti e architettura che proteggono il servizio da compromissioni
  • Creazione della funzionalità per rilevare e rispondere alle minacce in caso di attacco

Valutazione e convalida continue del comportamento di sicurezza

  • Microsoft riduce i rischi associati alle persone che sviluppano e gestiscono il servizio Microsoft 365 usando il principio dei privilegi minimi. Ciò significa che l'accesso e le autorizzazioni per le risorse sono limitati solo a ciò che è necessario per eseguire un'attività necessaria.
    • Un modello JIT (Just-In-Time), JUST-Enough-Access (JEA) viene usato per fornire ai tecnici Microsoft privilegi temporanei.
    • I tecnici devono inviare una richiesta per un'attività specifica per acquisire privilegi elevati.
    • Le richieste vengono gestite tramite Lockbox, che usa il controllo degli accessi in base al ruolo di Azure per limitare i tipi di richieste di elevazione JIT che i tecnici possono effettuare.
  • Oltre a quanto sopra, tutti i candidati Microsoft vengono sottoposti a pre-screening prima di iniziare l'impiego in Microsoft. I dipendenti che gestiscono i servizi online Microsoft negli Stati Uniti devono sottoporsi a un controllo in background di Microsoft Cloud come prerequisito per l'accesso ai sistemi di servizi online.
  • Tutti i dipendenti Microsoft sono tenuti a completare la formazione di base sulla consapevolezza della sicurezza insieme alla formazione sugli standard di condotta aziendale.

Strumenti e architettura che proteggono il servizio

  • Microsoft Security Development Lifecycle (SDL) si concentra sullo sviluppo di software sicuro per migliorare la sicurezza delle applicazioni e ridurre le vulnerabilità. Per altre informazioni, vedere Panoramica dello sviluppo e delle operazioni di sicurezza e sicurezza.
  • Microsoft 365 limita la comunicazione tra diverse parti dell'infrastruttura dei servizi solo a quanto necessario per operare.
  • Il traffico di rete viene protetto usando firewall di rete aggiuntivi nei punti limite per consentire il rilevamento, la prevenzione e la mitigazione degli attacchi di rete.
  • I servizi di Microsoft 365 sono progettati per funzionare senza che i tecnici richiedano l'accesso ai dati dei clienti, a meno che non siano esplicitamente richiesti e approvati dal cliente. Per altre informazioni, vedere In che modo Microsoft raccoglie ed elabora i dati dei clienti.

Funzionalità di rilevamento e risposta

  • Microsoft 365 si impegna nel monitoraggio continuo della sicurezza dei propri sistemi per rilevare e rispondere alle minacce ai servizi Microsoft 365.
  • La registrazione centralizzata raccoglie e analizza gli eventi di log per le attività che potrebbero indicare un evento imprevisto di sicurezza. I dati di log vengono analizzati man mano che vengono caricati nel sistema di avviso e generano avvisi quasi in tempo reale.
  • Gli strumenti basati sul cloud consentono di rispondere rapidamente alle minacce rilevate. Questi strumenti consentono la correzione usando azioni attivate automaticamente.
  • Quando la correzione automatica non è possibile, gli avvisi vengono inviati ai tecnici di chiamata appropriati, dotati di un set di strumenti che consentono loro di agire in tempo reale per mitigare le minacce rilevate.

Ripristinare da un attacco ransomware

Per i passaggi per il ripristino da un attacco ransomware in Microsoft 365, vedere Recuperare da un attacco ransomware in Microsoft 365.