Condividi tramite


Implementare la protezione ransomware per il tenant Microsoft 365

Il ransomware è un tipo di attacco a fini di estorsione che distrugge o crittografa file e cartelle, impedendo l'accesso ai dati critici. Il commodity ransomware in genere si diffonde come un virus che infetta i dispositivi e richiede solo la correzione del malware. Il ransomware gestito da umani è il risultato di un attacco attivo da parte di criminali informatici che si infiltrano nell'infrastruttura IT locale o cloud di un'organizzazione, elevano i loro privilegi e distribuiscono ransomware ai dati critici.

Una volta completato l'attacco, un utente malintenzionato richiede denaro alle vittime in cambio dei file eliminati, delle chiavi di decrittografia per i file crittografati o della promessa di non rilasciare dati sensibili sul dark Web o su Internet. Il ransomware gestito da umani può essere usato anche per arrestare computer o processi critici, ad esempio quelli necessari per la produzione industriale, interrompendo le normali operazioni aziendali fino a quando non viene pagato un riscatto e il danno viene risolto o l'organizzazione lo corregge autonomamente.

Un attacco ransomware gestito da umani può essere catastrofico per le aziende di tutte le dimensioni ed è difficile da pulire, in quanto richiede la rimozione completa dell’utente malintenzionato per proteggersi da futuri attacchi. A differenza del commodity ransomware, il ransomware gestito da umani può continuare a minacciare l’operatività aziendale anche dopo la richiesta di riscatto iniziale.

Nota

Un attacco ransomware a un tenant di Microsoft 365 presuppone che l'utente malintenzionato abbia credenziali di account utente valide per un tenant e abbia accesso a tutte le risorse e a tutti i file per cui l'account utente è autorizzato. Un utente malintenzionato sprovvisto di credenziali dell'account utente valide sarebbe costretto a decrittografare i dati inattivi che sono stati cifrati con la crittografia predefinita e avanzata di Microsoft 365. Per altre informazioni, vedere Panoramica sulla crittografia e sulla gestione delle chiavi.

Per altre informazioni sulla protezione da ransomware in tutti i prodotti Microsoft, vedere queste risorse ransomware aggiuntive.

La sicurezza nel cloud è una forma di relazione

La sicurezza dei servizi cloud Microsoft è una partnership tra l’utente e Microsoft:

  • I servizi cloud Microsoft si fondano su un principio di fiducia e sicurezza. Microsoft fornisce controlli e funzionalità di sicurezza che consentono di proteggere i dati e le applicazioni.
  • I dati e le identità dell'utente appartengono all'utente stesso, che è responsabile della loro protezione, della sicurezza delle risorse locali e della sicurezza dei componenti cloud sotto il suo controllo.

Combinando queste funzionalità e responsabilità, possiamo fornire la migliore protezione da un attacco ransomware.

Funzionalità di mitigazione e ripristino da ransomware incluse con Microsoft 365

Un utente malintenzionato che si è infiltrato in un tenant di Microsoft 365 con un attacco ransomware può ricattare l'organizzazione con le azioni seguenti:

  • Eliminazione di file o posta elettronica
  • Crittografia dei file sul posto
  • Copia di file all'esterno del tenant (esfiltrazione dei dati)

Tuttavia, i servizi online di Microsoft 365 hanno molti controlli e funzionalità integrati per proteggere i dati dei clienti dagli attacchi ransomware, riepilogati nelle sezioni seguenti. Per altre informazioni dettagliate su come Microsoft protegge i dati dei clienti, vedere Protezione da malware e ransomware in Microsoft 365.

Nota

Un attacco ransomware a un tenant di Microsoft 365 presuppone che l'utente malintenzionato abbia credenziali di account utente valide per un tenant e abbia accesso a tutte le risorse e a tutti i file per cui l'account utente è autorizzato. Un utente malintenzionato sprovvisto di credenziali dell'account utente valide sarebbe costretto a decrittografare i dati inattivi che sono stati cifrati con la crittografia predefinita e avanzata di Microsoft 365. Per altre informazioni, vedere Panoramica sulla crittografia e sulla gestione delle chiavi.

Eliminazione di file o posta elettronica

I file in SharePoint e OneDrive for Business sono protetti da:

  • Controllo delle versioni

    Microsoft 365 conserva almeno 500 versioni di un file per impostazione predefinita e può essere configurato per conservarne altre.

    Per ridurre al minimo l'onere per il personale addetto alla sicurezza e al supporto tecnico, formare gli utenti su come ripristinare le versioni precedenti dei file.

  • Cestino

    Se il ransomware crea una nuova copia crittografata del file ed elimina quello vecchio, i clienti hanno 93 giorni per ripristinarlo dal Cestino. Dopo 93 giorni, è disponibile una finestra di 14 giorni in cui Microsoft può ancora recuperare i dati.

    Per ridurre al minimo l'onere per il personale addetto alla sicurezza e al supporto tecnico, formare gli utenti su come ripristinare i file dal Cestino.

  • Ripristino dei file

    Una soluzione completa di ripristino in modalità self-service per SharePoint e OneDrive che consente agli amministratori e agli utenti finali di ripristinare i file da qualsiasi momento negli ultimi 30 giorni.

    Per ridurre al minimo l'onere per il personale addetto alla sicurezza e al supporto tecnico, formare gli utenti sul Ripristino dei file.

Per i file di OneDrive e SharePoint, Microsoft può ripristinare uno stato precedente fino a 14 giorni prima se si è colpiti da un attacco di massa.

La posta elettronica è protetta da:

  • Ripristino di un singolo elemento e conservazione delle cassette postali, in cui è possibile recuperare gli elementi in una cassetta postale in caso di eliminazione prematura, che sia accidentale o intenzionale. Per impostazione predefinita, è possibile ripristinare i messaggi di posta eliminati entro 14 giorni. Questo intervallo è configurabile fino a 30 giorni.

  • I criteri di conservazione consentono di conservare copie non modificabili dei messaggi di posta elettronica per il periodo di conservazione configurato.

Crittografia dei file sul posto

Come descritto in precedenza, i file in SharePoint e OneDrive for Business sono protetti da crittografia dannosa con:

  • Controllo delle versioni
  • Cestino
  • Raccolta di archiviazione

Per altre informazioni, vedere Gestione della corruzione dei dati in Microsoft 365.

Copia di file all'esterno del tenant

È possibile impedire all’autore di un attacco ransomware di copiare file all'esterno del tenant con:

Cosa offre questa soluzione

Questa soluzione illustra la distribuzione di funzionalità, configurazioni e normali operazioni di protezione e mitigazione di Microsoft 365 per ridurre al minimo la capacità di un utente malintenzionato di usare i dati critici nel tenant di Microsoft 365 per ricattare l'organizzazione tramite ransomware.

Procedura per la protezione da ransomware con Microsoft 365

I passaggi di questa soluzione sono i seguenti:

  1. Configurare le baseline di sicurezza
  2. Implementare il rilevamento e la risposta agli attacchi
  3. Proteggere le identità
  4. Proteggere i dispositivi
  5. Proteggere le informazioni

Ecco i cinque passaggi della soluzione distribuita per il tenant di Microsoft 365.

Protezione da ransomware per un tenant di Microsoft 365

Questa soluzione utilizza i principi di Zero Trust:

  • Verificare in modo esplicito: Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili.
  • Utilizzare l'accesso con privilegi minimi: Limitare l'accesso degli utenti con Just-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sul rischio e protezione dei dati.
  • Presupporre violazione: Ridurre al minimo il raggio di esplosione e l'accesso ai segmenti. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.

A differenza dell'accesso Intranet convenzionale, che considera tutto ciò che si trova dietro il firewall di un'organizzazione, Zero Trust considera ogni registrazione e accesso come se provenisse da una rete non controllata, sia che si trovi dietro il firewall dell'organizzazione o su Internet. Zero Trust richiede protezione per la rete, l'infrastruttura, le identità, gli endpoint, le app e i dati.

Funzionalità e caratteristiche di Microsoft 365

Per proteggere il tenant di Microsoft 365 da un attacco ransomware, usare queste funzionalità e caratteristiche di Microsoft 365 per questi passaggi della soluzione.

1. Baseline di sicurezza

Capacità o funzionalità Descrizione Aiuta a... Licenze
Microsoft Secure Score Misura la postura di sicurezza di un tenant di Microsoft 365. Valutare la configurazione della sicurezza e suggerisce miglioramenti. Microsoft 365 E3 o E5
Regole di riduzione della superficie di attacco Riducono la vulnerabilità dell'organizzazione agli attacchi informatici usando un'ampia gamma di impostazioni di configurazione. Bloccare attività sospette e contenuti vulnerabili. Microsoft 365 E3 o E5
Impostazioni di posta elettronica di Exchange Abilita i servizi che riducono la vulnerabilità dell'organizzazione a un attacco basato sulla posta elettronica. Impedire l'accesso iniziale al tenant tramite phishing e altri attacchi basati sulla posta elettronica. Microsoft 365 E3 o E5
Impostazioni di Microsoft Windows, Microsoft Edge e Microsoft 365 Apps for enterprise Fornisce configurazioni di sicurezza standard del settore ampiamente note e testate. Impedire attacchi tramite Windows, Microsoft Edge e Microsoft 365 Apps for enterprise. Microsoft 365 E3 o E5

2. Rilevamento e risposta

Capacità o funzionalità Descrizione Aiuta a rilevare e rispondere a... Licenze
Microsoft Defender XDR Combina i segnali e orchestra le funzionalità in un'unica soluzione.

Consente ai professionisti della sicurezza di unire i segnali di minaccia e determinare l'intero ambito e impatto di una minaccia.

Automatizza le azioni per impedire o arrestare l'attacco e correggere le cassette postali, gli endpoint e le identità degli utente interessati.
Incidenti, ovvero gli avvisi e i dati combinati che costituiscono un attacco. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security
Microsoft Defender per identità Identifica, rileva e analizza le minacce avanzate, le identità compromesse e le azioni interne dannose dirette all'organizzazione tramite un'interfaccia di sicurezza basata sul cloud che usa i segnali di Active Directory Domain Services locale. Compromissione delle credenziali per gli account di Active Directory Domain Services. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security
Microsoft Defender per Office 365 Protegge l'organizzazione dalle minacce dannose costituite da messaggi di posta elettronica, collegamenti (URL) e strumenti di collaborazione.

Protegge da malware, phishing, spoofing e altri tipi di attacco.
Attacchi di phishing. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security
Microsoft Defender per endpoint Abilita il rilevamento e la risposta alle minacce avanzate tra endpoint (dispositivi). Installazione di malware e compromissione del dispositivo. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security
Microsoft Entra ID Protection Automatizza il rilevamento e la correzione dei rischi basati sull'identità e l'analisi di tali rischi. Compromissione delle credenziali per gli account Microsoft Entra e l'escalation dei privilegi. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security
Defender per app cloud Un Cloud Access Security Broker per l'individuazione, l'indagine e la governance in tutti i servizi cloud Microsoft e di terze parti. Spostamento laterale ed esfiltrazione di dati. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security

3. Identità

Capacità o funzionalità Descrizione Aiuta a prevenire... Licenze
protezione password Microsoft Entra Bloccare le password da un elenco comune e voci personalizzate. Determinazione della password dell'account utente cloud o locale. Microsoft 365 E3 o E5
MFA applicata con l'accesso condizionale Richiedere l'autenticazione a più fattori in base alle proprietà degli accessi utente con i criteri di accesso condizionale. Compromissione delle credenziali e accesso. Microsoft 365 E3 o E5
MFA applicata con l'accesso condizionale basato sul rischio Richiedere l'autenticazione a più fattori in base al rischio di accessi utente con Microsoft Entra ID Protection. Compromissione delle credenziali e accesso. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security

4. Dispositivi

Per la gestione di dispositivi e app:

Capacità o funzionalità Descrizione Aiuta a prevenire... Licenze
Microsoft Intune Gestire i dispositivi e le applicazioni in esecuzione su di essi. Compromissione e accesso del dispositivo o dell'app. Microsoft 365 E3 o E5

Per i dispositivi Windows 11 o 10:

Capacità o funzionalità Descrizione Aiuta a... Licenze
Microsoft Defender Firewall Fornisce un firewall basato su host. Impedire attacchi da traffico di rete in ingresso e non richiesto. Microsoft 365 E3 o E5
Antivirus Microsoft Defender Fornisce protezione antimalware dei dispositivi (endpoint) tramite apprendimento automatico, analisi dei big data, ricerche approfondite sulla resistenza alle minacce e l'infrastruttura cloud Microsoft. Impedire l'installazione e l'esecuzione di malware. Microsoft 365 E3 o E5
Microsoft Defender SmartScreen Protegge da siti Web e applicazioni di phishing o malware e dal download di file potenzialmente dannosi. Bloccare o avvisare durante il controllo di siti, download, app e file. Microsoft 365 E3 o E5
Microsoft Defender per endpoint Aiuta a prevenire, rilevare, analizzare e rispondere alle minacce avanzate tra dispositivi (endpoint). Proteggersi da intromissioni in rete. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security

5. Informazioni

Capacità o funzionalità Descrizione Aiuta a... Licenze
Accesso alle cartelle controllato Protegge i dati controllando le app da un elenco di app note e attendibili. Impedire che i file vengano modificati o crittografati da ransomware. Microsoft 365 E3 o E5
Microsoft Purview Information Protection Consente di applicare etichette di riservatezza a informazioni sensibili prese di mira dal ransomware Impedire l'uso di informazioni esfiltrate. Microsoft 365 E3 o E5
Prevenzione della perdita di dati (DLP) Protegge i dati sensibili e riduce i rischi impedendo agli utenti di condividerli in modo inappropriato. Impedire l’esfiltrazione di dati. Microsoft 365 E3 o E5
Defender per app cloud Un Cloud Access Security Broker per l'individuazione, l'indagine e la governance. Rilevare lo spostamento laterale e impedire l'esfiltrazione dei dati. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo Microsoft 365 E5 Security

Impatto sugli utenti e gestione delle modifiche

La distribuzione di funzionalità di sicurezza aggiuntive e l'implementazione di requisiti e criteri di sicurezza per il tenant di Microsoft 365 possono influire sugli utenti.

Ad esempio, si potrebbe imporre un nuovo criterio di sicurezza che richieda agli utenti di creare nuovi team per usi specifici con un elenco di account utente come membri, anziché creare più facilmente un team per tutti gli utenti dell'organizzazione. Questo può aiutare a impedire a un utente malintenzionato di esplorare team che non sono disponibili per l'account utente compromesso dell'autore dell'attacco di ransomware e di mirare alle risorse del team nell'attacco successivo.

Questa soluzione di base identificherà in quale momento le nuove configurazioni o i criteri di sicurezza consigliati possono influire sugli utenti, in modo da eseguire la gestione delle modifiche necessaria.

Passaggi successivi

Seguire questi passaggi per distribuire una protezione completa per il tenant di Microsoft 365:

  1. Configurare le baseline di sicurezza
  2. Implementare il rilevamento e la risposta agli attacchi
  3. Proteggere le identità
  4. Proteggere i dispositivi
  5. Proteggere le informazioni

Passaggio 1 per la protezione da ransomware con Microsoft 365

Risorse ransomware aggiuntive

Informazioni chiave di Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Post di blog del team Microsoft Security: