Limitare l'impatto degli attacchi ransomware

Il passaggio successivo per limitare l'impatto degli attacchi ransomware è proteggere i ruoli con privilegi- il tipo di lavoro in cui le persone gestiscono molte informazioni privilegiate in un'organizzazione.

Questa fase di prevenzione ransomware mira a impedire agli attori delle minacce di ottenere un sacco di accesso ai sistemi.

Maggiore è l'accesso a un criminale informatico all'organizzazione e ai dispositivi, maggiore è il potenziale danno ai dati e ai sistemi.

Importante

Leggere serie di prevenzione ransomware e rendere l'organizzazione difficile da attacchi informatici.

• Disporre di un piano di ripristino
• Un piano per limitare il danno fatto
• Rendere difficile l'accesso

Creare una strategia di accesso con privilegi ransomware

È necessario applicare una strategia completa e completa per ridurre il rischio di compromissione dell'accesso con privilegi.

Qualsiasi altro controllo di sicurezza applicato può essere facilmente invalidato da un attore di minacce con accesso con privilegi nell'ambiente in uso. Gli attori malintenzionati possono ottenere l'accesso usando l'ingegneria sociale e persino sfruttare l'intelligenza artificiale per generare ed eseguire il rendering di url e codice dannoso. Gli attori delle minacce ransomware usano l'accesso con privilegi come percorso rapido per controllare tutti gli asset critici nell'organizzazione per l'attacco e l'estorsione successiva.

Chi è responsabili del programma o del progetto

Questa tabella descrive una strategia di accesso con privilegi per evitare ransomware in termini di gerarchia di gestione di sponsorizzazione/programma/gestione dei progetti per ottenere risultati.

Lead	Implementatore	Responsabilità
CISO o CIO		Sponsor esecutivi
Responsabile del programma		Guidare i risultati e la collaborazione tra team
	Architetti IT e della sicurezza	Classificare in ordine di priorità l’integrazione dei componenti nelle architetture
	Gestione delle identità e delle chiavi	Implementare le modifiche all'identità
	Team Produttività/Utente finale IT centrale	Implementare le modifiche ai dispositivi e al tenant di Office 365
	Criteri e standard per la sicurezza	Aggiornare gli standard e i documenti dei criteri
	Gestione della conformità alla sicurezza	Monitorare per garantire la conformità
	Team di formazione utenti	Aggiornare le linee guida per le password

Elenco di controllo della strategia di accesso con privilegi ransomware

Creare una strategia in più parti usando le linee guida in che https://aka.ms/SPA includono questo elenco di controllo.

Fatto	Attività	Descrizione
	Applicare la sicurezza della sessione end-to-end.	Convalida in modo esplicito l'attendibilità di utenti e dispositivi prima di consentire l'accesso alle interfacce amministrative (usando l'accesso condizionale Di Microsoft Entra).
	Proteggere e monitorare i sistemi di gestione delle identità.	Impedisce attacchi con escalation dei privilegi, tra cui directory, gestione delle identità, account amministratore e gruppi e configurazione della concessione del consenso.
	Attenuare l'attraversamento laterale.	Garantisce che la compromissione di un singolo dispositivo non comporti immediatamente il controllo di molti o tutti gli altri dispositivi che usano password dell'account locale, password dell'account del servizio o altri segreti.
	Garantire una risposta rapida alle minacce.	Limita l'accesso e il tempo di un avversario nell'ambiente. Per altre informazioni, vedere Rilevamento e risposta.

Risultati e sequenze temporali dell'implementazione

Provare a ottenere questi risultati entro 30-90 giorni:

• Il 100% degli amministratori è necessario per usare workstation sicure

• Le password di workstation/server locali al 100% sono casuali

• Vengono distribuite mitigazioni dell'escalation dei privilegi al 100%

Rilevamento e risposta ransomware

L'organizzazione richiede il rilevamento e la correzione reattivi di attacchi comuni su endpoint, posta elettronica e identità. I minuti sono importanti.

È necessario correggere rapidamente i punti di ingresso degli attacchi comuni per limitare il tempo dell'attore della minaccia per attraversare l'organizzazione in modo successivo.

Chi è responsabili del programma o del progetto

Questa tabella descrive il miglioramento delle funzionalità di rilevamento e risposta contro ransomware in termini di una gerarchia di gestione di sponsorizzazione/programma/gestione dei progetti per determinare e guidare i risultati.

Lead	Implementatore	Responsabilità
CISO o CIO		Sponsor esecutivi
Responsabile del programma Operazioni di sicurezza		Guidare i risultati e la collaborazione tra team
	Team Infrastructure IT centrale	Implementare agenti/funzionalità client e server
	Operazioni di sicurezza	Integrare tutti i nuovi strumenti nei processi delle operazioni di sicurezza
	Team Produttività/Utente finale IT centrale	Abilitare le funzionalità per Defender per endpoint, Defender per Office 365, Defender per identità e Defender per app cloud
	Team di gestione delle identità di IT centrale	Implementare la sicurezza di Microsoft Entra e Defender per identità
	Architetti della sicurezza	Consigliare la configurazione, gli standard e gli strumenti
	Criteri e standard per la sicurezza	Aggiornare gli standard e i documenti dei criteri
	Gestione della conformità alla sicurezza	Monitorare per garantire la conformità

Elenco di controllo di rilevamento e risposta ransomware

Applicare queste procedure consigliate per migliorare il rilevamento e la risposta.

Fatto	Attività	Descrizione
	Assegnare priorità ai punti di ingresso comuni: - Usare strumenti XDR (Extended Detection and Response) integrati come Microsoft Defender XDR per fornire avvisi di alta qualità e ridurre al minimo i passaggi manuali e di attrito durante la risposta. - Monitorare i tentativi di forza bruta, come ad esempio password spray.	Gli operatori ransomware (e altri) favoriscono endpoint, posta elettronica, identità e RDP come punti di ingresso.
	Monitorare per un avversario che disabilita la sicurezza (spesso fa parte di una catena di attacchi), ad esempio: - Cancellazione del registro eventi, in particolare il registro eventi di sicurezza e i log operativi di PowerShell. - Disabilitazione di strumenti e controlli di sicurezza.	Gli attori delle minacce hanno come obiettivo le strutture di rilevamento della sicurezza per continuare l'attacco in modo più sicuro.
	Non ignorare le minacce informatiche di base.	Gli attori di minacce ransomware acquistano regolarmente l'accesso alle organizzazioni di destinazione da mercati scuri.
	Integrare esperti esterni nei processi per aggiungere competenze, come ad esempio il Microsoft Detection and Response Team (DART).	Conteggi dell'esperienza per il rilevamento e il ripristino.
	Usare Defender per endpoint per isolare rapidamente i dispositivi interessati.	L'integrazione di Windows 11 e 10 semplifica questa operazione.

Passaggio successivo

Continuare con la fase 3 per rendere difficile per un attore di minaccia accedere all'ambiente rimuovendo in modo incrementale i rischi.

Risorse ransomware aggiuntive

Informazioni chiave di Microsoft:

• La crescente minaccia di ransomware, Microsoft On the Issues post di blog il 20 luglio 2021
• Ransomware gestito dall'uomo
• Protezione rapida da ransomware ed estorsione
• Report sulla difesa digitale Microsoft 2021 (vedere le pagine 10-19)
• Ransomware: un report sulle minacce persistente e persistente analitica nel portale di Microsoft Defender
• Approccio ransomware e case study per il rilevamento e la risposta di Microsoft (DART)

Microsoft 365:

• Distribuire la protezione ransomware per il tenant di Microsoft 365
• Ottimizzare la resilienza ransomware con Azure e Microsoft 365
• Recuperare da un attacco ransomware
• Protezione da malware e ransomware
• Proteggere il PC Windows 10 da ransomware
• Gestione di ransomware in SharePoint Online
• Report di analitica sulle minacce per ransomware nel portale di Microsoft Defender

Microsoft Defender XDR:

• Trovare ransomware con ricerca avanzata

Microsoft Azure:

• Difesa di Azure per attacchi ransomware
• Ottimizzare la resilienza ransomware con Azure e Microsoft 365
• Backup e ripristino del piano per la protezione da ransomware
• Proteggere dal ransomware con Microsoft Backup di Azure (video di 26 minuti)
• Ripristino da compromissione dell'identità sistemica
• Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
• Rilevamento fusion per ransomware in Microsoft Sentinel

app Microsoft Defender per il cloud:

• Creare criteri di rilevamento anomalie nelle app di Defender per il cloud

Post di blog del team di sicurezza Microsoft sulle linee guida per la mitigazione ransomware:

• Difesa dagli attacchi ransomware gestiti dall'uomo con Microsoft Copilot for Security (marzo 2024)

• 3 passaggi per evitare e recuperare dal ransomware (settembre 2021)

• Una guida per combattere il ransomware gestito dall'uomo: Parte 1 (settembre 2021)

  Passaggi chiave sul modo in cui Il team di rilevamento e risposta di Microsoft (DART) esegue indagini sugli eventi imprevisti ransomware.

• Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)

  Raccomandazioni e procedure consigliate.

• Diventare resilienti comprendendo i rischi per la cybersecurity: parte 4- esplorazione delle minacce correnti (maggio 2021)

  Vedere la sezione Ransomware .

• Attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)

  Include analisi della catena di attacchi sugli attacchi effettivi.

• Risposta ransomware: per pagare o non pagare? (dicembre 2019)

• Norsk Hydro risponde all'attacco ransomware con trasparenza (dicembre 2019)