Rendere difficile per gli attacchi ransomware per entrare nell'organizzazione
In questa fase, gli utenti malintenzionati diventano più difficili da raggiungere nei sistemi locali o cloud rimuovendo gradualmente i rischi nei punti di ingresso.
Anche se molti di questi cambiamenti saranno familiari e facili da fare, è estremamente importante che il vostro lavoro in questa parte della strategia non rallenta il vostro progresso sulle altre parti importanti.
Ecco i collegamenti per esaminare il piano di sicurezza informatica in tre parti:
Accesso remoto
Ottenere l'accesso alla intranet dell'organizzazione tramite una connessione di accesso remoto è un vettore di attacco per gli utenti malintenzionati ransomware.
Dopo la compromissione di un account utente locale, un utente malintenzionato è libero di muoversi in una Intranet per raccogliere intelligence, alzare di livello i privilegi e installare ransomware. Il cyberattack della Colonial Pipeline nel 2021 è un esempio di questa situazione.
Responsabilità dei membri del programma e del progetto per l'accesso remoto
Questa tabella descrive la protezione complessiva della soluzione di accesso remoto da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO o CIO | Sponsorizzazione dei dirigenti | |
| Responsabile del programma nell'infrastruttura IT centrale/team di rete | Guidare i risultati e la collaborazione tra team | |
| Architetti IT e della sicurezza | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Team di gestione delle identità di IT centrale | Configurare l'ID e i criteri di accesso condizionale di Microsoft Entra | |
| Operazioni di IT centrale | Implementare le modifiche all'ambiente | |
| Proprietari del carico di lavoro | Assistenza con le autorizzazioni di controllo degli accessi in base al ruolo per la pubblicazione di app | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità | |
| Team di formazione utenti | Aggiornare eventuali indicazioni sulle modifiche del flusso di lavoro ed eseguire la gestione delle modifiche e della formazione |
Elenco di controllo dell'implementazione per l'accesso remoto
Applicare queste procedure consigliate per proteggere l'infrastruttura di accesso remoto da utenti malintenzionati che usano ransomware.
| Fatto | Attività | Descrizione |
|---|---|---|
| Gestire gli aggiornamenti di software ed appliance. Evitare di perdere o ignorare le protezioni dei produttori (aggiornamenti della sicurezza, stato supportato). | Gli utenti malintenzionati usano come vettori di attacco le vulnerabilità note a cui non sono ancora state applicate patch. | |
| Configurare l'ID Microsoft Entra per l'accesso remoto esistente, inclusa l'applicazione della convalida dell'utente e del dispositivo Zero Trust con l'accesso condizionale. | Zero Trust offre più livelli di protezione dell'accesso all'organizzazione. | |
| Configurare la sicurezza per soluzioni VPN di terze parti esistenti (Cisco Any Connessione, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) e altro ancora. | Sfruttare la sicurezza predefinita della soluzione di accesso remoto. | |
| Distribuire la VPN da punto a sito di Azure per fornire l'accesso remoto. | Sfruttare i vantaggi dell'integrazione con Microsoft Entra ID e le sottoscrizioni di Azure esistenti. | |
| Pubblicare app Web locali con il proxy dell'applicazione Microsoft Entra. | Le app pubblicate con il proxy dell'applicazione Microsoft Entra non necessitano di una connessione di accesso remoto. | |
| Proteggere l'accesso alle risorse di Azure con Azure Bastion. | Connettersi in modo sicuro e senza problemi alle macchine virtuali di Azure tramite SSL. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Ridurre il rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Posta elettronica e collaborazione
Implementare le procedure consigliate per le soluzioni di posta elettronica e collaborazione per rendere più difficile l'abuso da parte degli utenti malintenzionati, consentendo ai lavoratori di accedere facilmente e in modo sicuro ai contenuti esterni.
Gli utenti malintenzionati entrano spesso nell'ambiente trasferendo contenuti dannosi con strumenti di collaborazione autorizzati, ad esempio posta elettronica e condivisione di file, e convincendo gli utenti a eseguire tali contenuti. Microsoft ha investito in mitigazioni avanzate che aumentano notevolmente la protezione da questi vettori di attacco.
Responsabilità dei membri del programma e del progetto per la posta elettronica e la collaborazione
Questa tabella descrive la protezione complessiva delle soluzioni di posta elettronica e collaborazione da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO, CIO o direttore della gestione di identità | Sponsorizzazione dei dirigenti | |
| Responsabile del programma dal team di Architettura della sicurezza | Guidare i risultati e la collaborazione tra team | |
| Architetti IT | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Team per la produttività cloud o team degli utenti finali | Abilitare Defender per Office 365, ASR e AMSI | |
| Architettura della sicurezza / Infrastruttura ed endpoint | Assistenza per la configurazione | |
| Team di formazione utenti | Indicazioni per l'aggiornamento delle modifiche del flusso di lavoro | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità |
Elenco di controllo dell'implementazione per la posta elettronica e la collaborazione
Applicare queste procedure consigliate per proteggere le soluzioni di posta elettronica e collaborazione da utenti malintenzionati che usano ransomware.
| Fatto | Attività | Descrizione |
|---|---|---|
| Abilitare AMSI per Office VBA. | Rilevare attacchi tramite macro di Office con strumenti per endpoint come Defender per endpoint. | |
| Implementare la sicurezza avanzata per la posta elettronica usando Defender per Office 365 o una soluzione simile. | La posta elettronica è un punto di ingresso comune per gli utenti malintenzionati. | |
| Distribuire regole di riduzione della superficie di attacco (ASR) per bloccare tecniche di attacco comuni, tra cui: - Abuso di endpoint, ad esempio furto di credenziali, attività ransomware e uso sospetto di PsExec e WMI. - Attività dei documento office usate con intento malevolo, ad esempio attività macro avanzate, contenuto eseguibile, creazione di processi e inserimento di processi avviati dalle applicazioni di Office. Nota: distribuire queste regole prima di tutto in modalità di controllo, quindi valutare eventuali impatti negativi e infine distribuirle in modalità di blocco. |
ASR offre livelli aggiuntivi di protezione specificamente destinati alla mitigazione dei metodi di attacco comuni. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Endpoint
Implementare le funzionalità di sicurezza pertinenti e seguire rigorosamente le procedure consigliate per la manutenzione software per endpoint (dispositivi) e applicazioni, assegnando priorità alle applicazioni e ai sistemi operativi server/client esposti direttamente al traffico e al contenuto Internet.
Gli endpoint esposti a Internet sono un vettore di ingresso comune che consente agli utenti malintenzionati di accedere alle risorse dell'organizzazione. Classificare in ordine di priorità il blocco delle vulnerabilità comuni del sistema operativo e dell'applicazione con controlli preventivi per rallentarli o impedirne l'esecuzione nelle fasi successive.
Responsabilità dei membri del programma e del progetto per enbpoints
Questa tabella descrive la protezione complessiva degli endpoint da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| Leadership aziendale responsabile dell'impatto aziendale sia del tempo di inattività che dei danni dovuti agli attacchi | Sponsorizzazione dei dirigenti (manutenzione) | |
| Operazioni di IT centrale o CIO | Sponsorizzazione dei dirigenti (altri) | |
| Responsabile del programma dal team dell'infrastruttura di IT centrale | Guidare i risultati e la collaborazione tra team | |
| Architetti IT e della sicurezza | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Operazioni di IT centrale | Implementare le modifiche all'ambiente | |
| Team per la produttività cloud o team degli utenti finali | Abilitare la riduzione della superficie di attacco | |
| Proprietari di carichi di lavoro/app | Identificare le finestre di manutenzione per le modifiche | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità |
Elenco di controllo dell'implementazione per gli endpoint
Applicare queste procedure consigliate a tutti gli endpoint Windows, Linux, MacOS, Android, iOS e di altro tipo.
| Fatto | Attività | Descrizione |
|---|---|---|
| Bloccare le minacce note con le regole di riduzione della superficie di attacco, la protezione antimanomissione e il Blocco al primo rilevamento. | Non lasciare che il mancato utilizzo di queste funzionalità di sicurezza predefinite sia il motivo per cui un utente malintenzionato è entrato nell'organizzazione. | |
| Applicare baseline di sicurezza per applicare la protezione avanzata a server e client Windows e alle applicazioni di Office con connessione Internet. | Proteggere l'organizzazione con il livello minimo di sicurezza e partire da questa posizione. | |
| Mantenere il software in modo che sia: - Aggiornato: distribuire rapidamente gli aggiornamenti della sicurezza critici per sistemi operativi, browser e client di posta elettronica - Supportato: aggiornare i sistemi operativi e il software per le versioni supportate dai fornitori. |
Gli utenti malintenzionati contano su aggiornamenti del produttore mancanti o trascurati. | |
| Isolare, disabilitare o ritirare sistemi e protocolli non sicuri, inclusi i sistemi operativi non supportati e i protocolli legacy. | Gli utenti malintenzionati usano vulnerabilità note di dispositivi, sistemi e protocolli legacy come punti di ingresso nell'organizzazione. | |
| Bloccare il traffico imprevisto con firewall basato su host e difese di rete. | Alcuni attacchi malware si basano sul traffico in ingresso non richiesto verso gli host come modo per stabilire una connessione per un attacco. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Account
Proprio come le vecchie chiavi universali non proteggono una casa da un moderno ladro, le password non possono proteggere gli account dagli attacchi comuni a cui assistiamo oggi. L'autenticazione a più fattori (MFA) era un passaggio aggiuntivo oneroso, ma l'autenticazione senza password migliora l'esperienza di accesso usando approcci biometrici che non richiedono agli utenti di ricordare o digitare una password. Un'infrastruttura Zero Trust archivia inoltre informazioni sui dispositivi attendibili, riducendo quindi la richiesta di azioni di autenticazione a più fattori fastidiose fuori banda.
A partire da account di amministratore con privilegi elevati, seguire rigorosamente queste procedure consigliate per la sicurezza degli account, tra cui l'uso dell'approccio senza password o dell'autenticazione a più fattori.
Responsabilità dei membri del programma e del progetto per gli account
Questa tabella descrive la protezione complessiva degli account da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO, CIO o direttore della gestione di identità | Sponsorizzazione dei dirigenti | |
| Responsabile del programma dai team di Gestione di identità e chiavi o di Architettura della sicurezza | Guidare i risultati e la collaborazione tra team | |
| Architetti IT e della sicurezza | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Gestione di identità e chiavi oppure operazioni di IT centrale | Implementare le modifiche di configurazione | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità | |
| Team di formazione utenti | Aggiornare la password o le indicazioni per l'accesso ed eseguire la gestione delle modifiche e della formazione |
Elenco di controllo dell'implementazione per gli account
Applicare queste procedure consigliate per proteggere gli account da utenti malintenzionati che usano ransomware.
| Fatto | Attività | Descrizione |
|---|---|---|
| Applicare l'autenticazione a più fattori complessa o l'accesso senza password per tutti gli utenti. Iniziare con gli account di amministratore e priorità usando uno o più account: - Autenticazione senza password con Windows Hello o l'app Microsoft Authenticator. - Azure Multi-Factor Authentication. - Una soluzione di autenticazione a più fattori di terze parti. |
Rendere più difficile per un utente malintenzionato eseguire una compromissione delle credenziali semplicemente determinando una password dell'account utente. | |
| Aumentare la sicurezza delle password: - Per gli account Microsoft Entra, usare la protezione password di Microsoft Entra per rilevare e bloccare password vulnerabili note e termini deboli aggiuntivi specifici dell'organizzazione. - Per gli account Active Directory locale Domain Services (AD DS), estendere la protezione password di Microsoft Entra agli account di Active Directory Domain Services. |
Assicurarsi che gli utenti malintenzionati non possano determinare password o password comuni in base al nome dell'organizzazione. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Risultati e sequenze temporali dell'implementazione
Provare a ottenere questi risultati entro 30 giorni:
- Il 100% dei dipendenti usa attivamente l'autenticazione a più fattori
- Distribuzione al 100% di una maggiore sicurezza delle password
Risorse ransomware aggiuntive
Informazioni chiave di Microsoft:
- La crescente minaccia di ransomware, Microsoft On the Issues post di blog il 20 luglio 2021
- Ransomware gestito dall'uomo
- Protezione rapida da ransomware ed estorsione
- Report sulla difesa digitale Microsoft 2021 (vedere le pagine 10-19)
- Ransomware: un report di analisi delle minacce permanente e diffuso nel portale di Microsoft Defender
- Approccioransomware e case study per il rilevamento e la risposta di Microsoft (DART)
Microsoft 365:
- Distribuire la protezione ransomware per il tenant di Microsoft 365
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Recuperare da un attacco ransomware
- Protezione da malware e ransomware
- Proteggere il PC Windows 10 da ransomware
- Gestione di ransomware in SharePoint Online
- Report di analisi delle minacce per ransomware nel portale di Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Difesa di Azure per attacchi ransomware
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Piano di backup e ripristino per la protezione da ransomware
- Proteggere dal ransomware con Microsoft Backup di Azure (video di 26 minuti)
- Ripristino da compromissione dell'identità sistemica
- Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
- Rilevamento fusion per ransomware in Microsoft Sentinel
app Microsoft Defender per il cloud:
Post di blog del team di Microsoft Security:
3 passaggi per evitare e recuperare dal ransomware (settembre 2021)
Una guida per combattere il ransomware gestito dall'uomo: Parte 1 (settembre 2021)
Passaggi chiave sul modo in cui Il team di rilevamento e risposta di Microsoft (DART) esegue indagini sugli eventi imprevisti ransomware.
Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)
Consigli e procedure consigliate.
-
Vedere la sezione Ransomware .
Attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)
Include analisi della catena di attacchi sugli attacchi effettivi.
Risposta ransomware: per pagare o non pagare? (dicembre 2019)
Norsk Hydro risponde all'attacco ransomware con trasparenza (dicembre 2019)
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per