Limitare l'ambito e l'impatto degli attacchi ransomware
Il passaggio successivo per evitare attacchi ransomware è proteggere i ruoli con privilegi - il tipo di lavoro in cui le persone gestiscono molte informazioni privilegiate in un'organizzazione.
Questa fase di prevenzione ransomware mira a impedire ai criminali informatici di ottenere un sacco di accesso ai sistemi.
Maggiore è l'accesso a un criminale informatico all'organizzazione e ai dispositivi, maggiore è il potenziale danno ai dati e ai sistemi.
Importante
Leggere serie di prevenzione ransomware e rendere l'organizzazione difficile da attacchi informatici.
Creare un ransomware "strategia di accesso con privilegi"
È necessario applicare una strategia completa e completa per ridurre il rischio di compromissione dell'accesso con privilegi.
Qualsiasi altro controllo di sicurezza applicato può essere facilmente invalidato da un utente malintenzionato con accesso con privilegi nell'ambiente in uso. Gli utenti malintenzionati ransomware usano l'accesso con privilegi come percorso rapido per controllare tutti gli asset critici nell'organizzazione per l'attacco e l'estorsione successiva.
Chi è responsabili del programma o del progetto
Questa tabella descrive una strategia di accesso con privilegi per evitare ransomware in termini di gerarchia di gestione di sponsorizzazione/programma/gestione dei progetti per ottenere risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO o CIO | Sponsorizzazione dei dirigenti | |
| Responsabile del programma | Guidare i risultati e la collaborazione tra team | |
| Architetti IT e della sicurezza | Classificare in ordine di priorità l’integrazione dei componenti nelle architetture | |
| Gestione delle identità e delle chiavi | Implementare le modifiche all'identità | |
| Team Produttività/Utente finale IT centrale | Implementare le modifiche ai dispositivi e al tenant di Office 365 | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità | |
| Team di formazione utenti | Aggiornare le linee guida per le password | |
Elenco di controllo "strategia di accesso con privilegi" ransomware
Creare una strategia in più parti usando le linee guida in che https://aka.ms/SPA includono questo elenco di controllo.
| Fatto | Attività | Descrizione |
|---|---|---|
| Applicare la sicurezza della sessione end-to-end. | Convalida in modo esplicito l'attendibilità di utenti e dispositivi prima di consentire l'accesso alle interfacce amministrative (usando l'accesso condizionale Di Microsoft Entra). | |
| Proteggere e monitorare i sistemi di gestione delle identità. | Impedisce attacchi con escalation dei privilegi, tra cui directory, gestione delle identità, account amministratore e gruppi e configurazione della concessione del consenso. | |
| Attenuare l'attraversamento laterale. | Garantisce che la compromissione di un singolo dispositivo non comporti immediatamente il controllo di molti o tutti gli altri dispositivi che usano password dell'account locale, password dell'account del servizio o altri segreti. | |
| Garantire una risposta rapida alle minacce. | Limita l'accesso e il tempo di un avversario nell'ambiente. Per altre informazioni, vedere Rilevamento e risposta. | |
Risultati e sequenze temporali dell'implementazione
Provare a ottenere questi risultati entro 30-90 giorni:
- Il 100 % degli amministratori è necessario per usare workstation sicure
- Il 100 % delle password di workstation/server locali sono casuali
- Vengono distribuite mitigazioni dell'escalation dei privilegi al 100%
Rilevamento e risposta ransomware
L'organizzazione richiede il rilevamento e la correzione reattivi di attacchi comuni su endpoint, posta elettronica e identità. I minuti sono importanti.
È necessario correggere rapidamente i punti di ingresso degli attacchi comuni per limitare il tempo dell'utente malintenzionato per attraversare in modo successivo l'organizzazione.
Chi è responsabili del programma o del progetto
Questa tabella descrive il miglioramento delle funzionalità di rilevamento e risposta contro ransomware in termini di una gerarchia di gestione di sponsorizzazione/programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO o CIO | Sponsorizzazione dei dirigenti | |
| Responsabile del programma Operazioni di sicurezza | Guidare i risultati e la collaborazione tra team | |
| Team Infrastructure IT centrale | Implementare agenti/funzionalità client e server | |
| Operazioni di sicurezza | Integrare tutti i nuovi strumenti nei processi delle operazioni di sicurezza | |
| Team Produttività/Utente finale IT centrale | Abilitare le funzionalità per Defender per endpoint, Defender per Office 365, Defender per identità e Defender per app cloud | |
| Team di gestione delle identità di IT centrale | Implementare la sicurezza di Microsoft Entra e Defender per identità | |
| Architetti della sicurezza | Consigliare la configurazione, gli standard e gli strumenti | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità | |
Elenco di controllo di rilevamento e risposta ransomware
Applicare queste procedure consigliate per migliorare il rilevamento e la risposta.
| Fatto | Attività | Descrizione |
|---|---|---|
| Assegnare priorità ai punti di ingresso comuni: - Usare strumenti XDR (Extended Detection and Response) integrati come Microsoft Defender XDR per fornire avvisi di alta qualità e ridurre al minimo i passaggi manuali e di attrito durante la risposta. - Monitorare i tentativi di forza bruta, come ad esempio password spray. |
Gli operatori ransomware (e altri) favoriscono endpoint, posta elettronica, identità e RDP come punti di ingresso. | |
| Monitorare per un avversario che disabilita la sicurezza (spesso fa parte di una catena di attacchi), ad esempio: - Cancellazione del registro eventi, in particolare il registro eventi di sicurezza e i log operativi di PowerShell. - Disabilitazione di strumenti e controlli di sicurezza. |
Gli utenti malintenzionati hanno come obiettivo le strutture di rilevamento della sicurezza per continuare l'attacco in modo più sicuro. | |
| Non ignorare le minacce informatiche di base. | Gli utenti malintenzionati ransomware acquistano regolarmente gli accessi alle organizzazioni target nei mercati neri. | |
| Integrare esperti esterni nei processi per aggiungere competenze, come ad esempio il Microsoft Detection and Response Team (DART). | Conteggi dell'esperienza per il rilevamento e il ripristino. | |
| Isolare rapidamente i computer compromessi usando Defender per endpoint. | L'integrazione di Windows 11 e 10 semplifica questa operazione. | |
Passaggio successivo
Continuare con la fase 3 per rendere difficile l'accesso all'ambiente da parte di un utente malintenzionato rimuovendo in modo incrementale i rischi.
Risorse ransomware aggiuntive
Informazioni chiave di Microsoft:
- La crescente minaccia di ransomware, Microsoft On the Issues post di blog il 20 luglio 2021
- Ransomware gestito dall'uomo
- Protezione rapida da ransomware ed estorsione
- Report sulla difesa digitale Microsoft 2021 (vedere le pagine 10-19)
- Ransomware: un report di analisi delle minacce permanente e diffuso nel portale di Microsoft Defender
- Approccioransomware e case study per il rilevamento e la risposta di Microsoft (DART)
Microsoft 365:
- Distribuire la protezione ransomware per il tenant di Microsoft 365
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Recuperare da un attacco ransomware
- Protezione da malware e ransomware
- Proteggere il PC Windows 10 da ransomware
- Gestione di ransomware in SharePoint Online
- Report di analisi delle minacce per ransomware nel portale di Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Difesa di Azure per attacchi ransomware
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Piano di backup e ripristino per la protezione da ransomware
- Proteggere dal ransomware con Microsoft Backup di Azure (video di 26 minuti)
- Ripristino da compromissione dell'identità sistemica
- Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
- Rilevamento fusion per ransomware in Microsoft Sentinel
app Microsoft Defender per il cloud:
Post di blog del team di Microsoft Security:
3 passaggi per evitare e recuperare dal ransomware (settembre 2021)
Una guida per combattere il ransomware gestito dall'uomo: Parte 1 (settembre 2021)
Passaggi chiave sul modo in cui Il team di rilevamento e risposta di Microsoft (DART) esegue indagini sugli eventi imprevisti ransomware.
Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)
Consigli e procedure consigliate.
-
Vedere la sezione Ransomware .
Attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)
Include analisi della catena di attacchi sugli attacchi effettivi.
Risposta ransomware: per pagare o non pagare? (dicembre 2019)
Norsk Hydro risponde all'attacco ransomware con trasparenza (dicembre 2019)
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per