Proteggere rapidamente l'organizzazione da attacchi ransomware

Ransomware è un tipo di attacco informatico che i criminali informatici usano per estorcere organizzazioni grandi e piccole.

Comprendere come proteggersi da attacchi ransomware e ridurre al minimo i danni è una parte importante della salvaguardia dell'azienda. Questo articolo fornisce indicazioni pratiche su come configurare rapidamente la protezione ransomware.

Il materiale sussidiario è organizzato in passaggi, a partire dalle azioni più urgenti da intraprendere.

Aggiungere un segnalibro a questa pagina come punto di partenza per i passaggi.

Importante

Leggere la serie di prevenzione ransomware e rendere l'organizzazione difficile da attacchi informatici.

• Disporre di un piano di ripristino
• Un piano per limitare il danno fatto
• Rendere difficile l'accesso

Nota

Che cos'è il ransomware? Vedere la definizione ransomware qui.

Informazioni importanti su questo articolo

Nota

L'ordine di questi passaggi è progettato per garantire di ridurre il rischio il più rapidamente possibile e basato su un presupposto di grande urgenza che sostituisce le normali priorità di sicurezza e IT, per evitare o mitigare attacchi devastanti.

È importante notare questa guida alla prevenzione ransomware è strutturata come passaggi da seguire nell'ordine mostrato. Per adattare al meglio queste indicazioni alla situazione:

1. Attenersi alle priorità consigliate

   Usare i passaggi come piano iniziale per le operazioni da eseguire prima, successivamente e versioni successive, in modo da ottenere prima gli elementi più interessati. Queste raccomandazioni sono classificate in ordine di priorità usando il principio Zero Trust di presumere una violazione. Ciò forza l'utente a concentrarsi sulla riduzione dei rischi aziendali presupponendo che gli utenti malintenzionati possano ottenere correttamente l'accesso all'ambiente tramite uno o più metodi.

2. Essere proattivi e flessibili (ma non ignorare attività importanti)

   Esaminare gli elenchi di controllo di implementazione per tutte e tre le sezioni di tutti e tre i passaggi per verificare se sono presenti aree e attività che è possibile completare rapidamente in precedenza. In altre parole, è possibile eseguire operazioni più veloci perché si ha già accesso a un servizio cloud che non è stato usato, ma che potrebbe essere configurato rapidamente e facilmente. Quando si esamina l'intero piano, prestare attenzione che queste aree e attività successive non ritardano il completamento di aree importanti in modo critico, ad esempio i backup e l'accesso con privilegi.

3. Eseguire alcuni elementi in parallelo

   Provare a fare tutto in una sola volta può essere travolgente, ma alcuni elementi possono essere naturalmente eseguiti in parallelo. Il personale in team diversi può lavorare contemporaneamente alle attività (ad esempio, team di backup, team endpoint, team di identità), mentre guida per il completamento dei passaggi nell'ordine di priorità.

Gli elementi negli elenchi di controllo di implementazione sono nell'ordine di priorità consigliato, non in un ordine di dipendenza tecnica.

Usare gli elenchi di controllo per confermare e modificare la configurazione esistente in base alle esigenze e in modo che funzioni nell'organizzazione. Ad esempio, nell'elemento di backup più importante, il backup di alcuni sistemi, ma potrebbero non essere offline/non modificabili oppure non è possibile testare le procedure di ripristino aziendali complete oppure non si dispone di backup di sistemi aziendali critici o sistemi IT critici, ad esempio i controller di dominio di Dominio di Active Directory Servizi di dominio Active Directory.

Nota

Per un riepilogo aggiuntivo di questo processo, vedere i 3 passaggi per impedire e ripristinare da ransomware (settembre 2021) il post di blog sulla sicurezza Di Microsoft.

Configurare il sistema per evitare ransomware in questo momento

I passaggi sono:

Passaggio 1: Preparare il piano di ripristino ransomware

Questo passaggio è progettato per ridurre al minimo l'incentivo monetario degli utenti malintenzionati ransomware rendendolo:

• Rendere molto più difficile accedere ai sistemi e bloccarli oppure crittografare o danneggiare i dati più importanti dell'organizzazione.
• Semplificare il ripristino da un attacco per l'organizzazione senza pagare il riscatto.

Nota

Anche se il ripristino di molti o tutti i sistemi aziendali è un'impresa difficile, l'alternativa è pagare un utente malintenzionato per una chiave di ripristino che non necessariamente fornirà, oltre a dover usare strumenti scritti da tale utente per cercare di ripristinare sistemi e dati.

Passaggio 2. Limitare l'ambito del danno ransomware

Rendere molto più difficile per gli utenti malintenzionati ottenere l'accesso a più sistemi aziendali business critical tramite ruoli di accesso con privilegi. Limitando la capacità dell'utente malintenzionato di ottenere l'accesso con privilegi, è molto più difficile trarre profitto da un attacco all'organizzazione, rendendo più probabile che si rinunciano e si andranno altrove.

Passaggio 3. Rendere difficile per i criminali informatici di entrare

Questo ultimo set di attività è importante per ostacolare l'accesso, ma richiede tempo per il completamento nell'ambito di un percorso di sicurezza più ampio. L'obiettivo di questo passaggio è rendere molto più difficile il lavoro degli utenti malintenzionati quando tentano di ottenere l'accesso alle infrastrutture locali o cloud nei vari punti di ingresso comuni. Ci sono molte di queste attività, quindi è importante classificare in ordine di priorità il lavoro qui in base alla velocità con cui è possibile eseguire queste operazioni con le risorse correnti.

Anche se molti di questi saranno familiari e facili da eseguire rapidamente, è fondamentale che il lavoro sul passaggio 3 non debba rallentare i progressi nei passaggi 1 e 2.

Protezione ransomware a colpo d'occhio

È anche possibile visualizzare una panoramica dei passaggi e dei relativi elenchi di controllo di implementazione come livelli di protezione contro gli utenti malintenzionati ransomware con il poster Proteggere l'organizzazione da ransomware.

Passaggio successivo

Iniziare con il passaggio 1 per preparare l'organizzazione a recuperare da un attacco senza dover pagare il riscatto.

Risorse ransomware aggiuntive

Informazioni chiave di Microsoft:

• La crescente minaccia di ransomware, Microsoft On the Issues post di blog il 20 luglio 2021
• Ransomware gestito dall'uomo
• Report sulla difesa digitale Microsoft 2021 (vedere le pagine 10-19)
• Ransomware: un report di analisi delle minacce permanente e diffuso nel portale di Microsoft Defender
• Approccioransomware e case study per il rilevamento e la risposta di Microsoft (DART)

Microsoft 365:

• Distribuire la protezione ransomware per il tenant di Microsoft 365
• Ottimizzare la resilienza ransomware con Azure e Microsoft 365
• Recuperare da un attacco ransomware
• Protezione da malware e ransomware
• Proteggere il PC Windows 10 da ransomware
• Gestione di ransomware in SharePoint Online
• Report di analisi delle minacce per ransomware nel portale di Microsoft Defender

Microsoft Defender XDR:

• Trovare ransomware con ricerca avanzata

Microsoft Azure:

• Difesa di Azure per attacchi ransomware
• Ottimizzare la resilienza ransomware con Azure e Microsoft 365
• Piano di backup e ripristino per la protezione da ransomware
• Proteggere dal ransomware con Microsoft Backup di Azure (video di 26 minuti)
• Ripristino da compromissione dell'identità sistemica
• Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
• Rilevamento fusion per ransomware in Microsoft Sentinel

app Microsoft Defender per il cloud:

• Creare criteri di rilevamento anomalie nelle app di Defender per il cloud

Post di blog del team di Microsoft Security:

• 3 passaggi per evitare e recuperare dal ransomware (settembre 2021)

• Una guida per combattere il ransomware gestito dall'uomo: Parte 1 (settembre 2021)

  Passaggi chiave sul modo in cui Il team di rilevamento e risposta di Microsoft (DART) esegue indagini sugli eventi imprevisti ransomware.

• Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)

  Consigli e procedure consigliate.

• Diventare resilienti comprendendo i rischi per la cybersecurity: parte 4- esplorazione delle minacce correnti (maggio 2021)

  Vedere la sezione Ransomware .

• Attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)

  Include analisi della catena di attacchi sugli attacchi effettivi.

• Risposta ransomware: per pagare o non pagare? (dicembre 2019)

• Norsk Hydro risponde all'attacco ransomware con trasparenza (dicembre 2019)