Protezione da malware e ransomware in Microsoft 365

Protezione dei dati dei clienti da malware

Il malware è costituito da virus, spyware e altro software dannoso. Microsoft 365 include meccanismi di protezione per impedire l'introduzione di malware Microsoft 365 da un client o da un server Microsoft 365. L'uso di software antimalware è un meccanismo principale per la protezione delle risorse Microsoft 365 da software dannoso. Il software antimalware rileva e impedisce l'introduzione di virus informatici, malware, rootkit, worm e altro software dannoso in qualsiasi sistema di servizio. Il software antimalware fornisce sia il controllo preventivo che quello investigativo sul software dannoso.

Ogni soluzione antimalware sul posto tiene traccia della versione del software e delle firme in esecuzione. Il download automatico e l'applicazione degli aggiornamenti delle firme almeno ogni giorno dal sito di definizione dei virus del fornitore sono gestiti centralmente dallo strumento antimalware appropriato per ogni team del servizio. Le funzioni seguenti sono gestite centralmente dallo strumento antimalware appropriato in ogni endpoint per ogni team del servizio:

  • Analisi automatiche dell'ambiente
  • Analisi periodiche del file system (almeno ogni settimana)
  • Analisi in tempo reale dei file durante il download, l'apertura o l'esecuzione
  • Download automatico e applicazione degli aggiornamenti delle firme almeno ogni giorno dal sito di definizione dei virus del fornitore
  • Avvisi, pulizia e mitigazione del malware rilevato

Quando gli strumenti antimalware rilevano malware, bloccano il malware e generano un avviso per il personale del team del servizio Microsoft 365, Microsoft 365 Security e/o il team di sicurezza e conformità dell'organizzazione Microsoft che gestisce i nostri datacenter. Il personale ricevente avvia il processo di risposta agli eventi imprevisti. Gli eventi imprevisti vengono monitorati e risolti e viene eseguita l'analisi post-mortem.

Exchange Online Protection antimalware

Tutti i messaggi di posta elettronica per Exchange Online viaggiano attraverso Exchange Online Protection (EOP), che consente di mettere in quarantena ed analizzare in tempo reale tutti gli allegati di posta elettronica e di posta elettronica che entrano e lasciano il sistema alla ricerca di virus e altro malware. Gli amministratori non devono configurare o gestire le tecnologie di filtro; sono abilitati per impostazione predefinita. Tuttavia, gli amministratori possono apportare personalizzazioni di filtro specifiche della società usando l'Exchange di amministrazione.

Utilizzando più motori antimalware, EOP offre protezione multistrato progettata per individuare tutto il malware noto. I messaggi trasportati tramite il servizio vengono analizzati alla ricerca di malware (inclusi virus e spyware). Se viene rilevato del malware, il messaggio viene eliminato. Quando un messaggio infetto viene eliminato e non recapitato, è possibile inviare notifiche ai mittenti o agli amministratori. È inoltre possibile scegliere di sostituire gli allegati infetti con messaggi predefiniti o personalizzati che avvisano i destinatari del rilevamento del malware.

Di seguito è riportata una protezione antimalware:

  • Difese a più livelli contro il malware: più motori di analisi antimalware utilizzati in EOP consentono di proteggere da minacce note e sconosciute. Questi motori includono un potente rilevamento euristico per fornire protezione anche durante le prime fasi di un'epidemia di malware. Questo approccio multimotore ha dimostrato di fornire una protezione significativamente maggiore rispetto all'utilizzo di un solo motore antimalware.
  • Risposta alle minacce in tempo reale - Durante alcune epidemie, il team antimalware potrebbe disporre di informazioni sufficienti su un virus o un'altra forma di malware per scrivere regole di criteri sofisticate che rilevano la minaccia anche prima che una definizione sia disponibile da uno dei motori utilizzati dal servizio. Queste regole vengono pubblicate nella rete globale ogni 2 ore per fornire all'organizzazione un ulteriore livello di protezione dagli attacchi.
  • Fast Anti-Malware Definition Deployment - Il team antimalware mantiene relazioni ravvicinate con i partner che sviluppano motori antimalware. Di conseguenza, il servizio può ricevere e integrare le definizioni di malware e le patch prima che siano rilasciate pubblicamente. La nostra connessione con questi partner spesso ci consente di sviluppare anche i nostri rimedi. Il servizio verifica la presenza di definizioni aggiornate per tutti i motori antimalware ogni ora.

Microsoft Defender per Office 365

Microsoft Defender per Office 365 è un servizio di filtro della posta elettronica che fornisce una protezione aggiuntiva da tipi specifici di minacce avanzate, tra cui malware e virus. Exchange Online Protection attualmente utilizza una protezione antivirus affidabile e a più livelli basata su più motori contro malware e virus noti. Microsoft Defender per Office 365 estende questa protezione tramite una funzionalità denominata allegati di Cassaforte, che protegge da malware e virus sconosciuti e fornisce una migliore protezione zero-day per proteggere il sistema di messaggistica. Tutti i messaggi e gli allegati che non dispongono di una firma virus/malware nota vengono instradati a uno speciale ambiente hypervisor, in cui viene eseguita un'analisi del comportamento utilizzando un'ampia gamma di tecniche di machine learning e analisi per rilevare intenti dannosi. Se non viene rilevata alcuna attività sospetta, il messaggio viene rilasciato per il recapito alla cassetta postale.

Exchange Online Protection inoltre analizza ogni messaggio in transito in Microsoft 365 e fornisce la protezione del recapito, bloccando eventuali collegamenti ipertestuali dannosi in un messaggio. Gli utenti malintenzionati a volte tentano di nascondere URL dannosi con collegamenti apparentemente sicuri reindirizzati a siti non sicuri da un servizio di inoltro dopo la ricezione del messaggio. Cassaforte I collegamenti proteggono in modo proattivo gli utenti che fanno clic su un collegamento di questo tipo. Tale protezione rimane ogni volta che fa clic sul collegamento e i collegamenti dannosi vengono bloccati in modo dinamico mentre i collegamenti sono accessibili.

Microsoft Defender per Office 365 offre anche funzionalità avanzate per la creazione di report e il monitoraggio, in modo da poter ottenere informazioni critiche su chi viene preso di mira nell'organizzazione e sulla categoria di attacchi che si stanno affrontando. La segnalazione e l'analisi dei messaggi consentono di analizzare i messaggi bloccati a causa di un virus sconosciuto o malware, mentre la funzionalità di traccia URL consente di tenere traccia di singoli collegamenti dannosi nei messaggi su cui è stato fatto clic.

Per altre informazioni su Microsoft Defender per Office 365, vedi Exchange Online Protection e Microsoft Defender per Office 365.

SharePoint Protezione online e OneDrive for Business dal ransomware

Esistono molte forme di attacchi ransomware, ma una delle forme più comuni è quella in cui un utente malintenzionato crittografa i file importanti di un utente e quindi richiede qualcosa all'utente, ad esempio denaro o informazioni, in cambio della chiave per decrittografarli. Gli attacchi ransomware sono in aumento, in particolare quelli che crittografano i file archiviati nello spazio di archiviazione cloud dell'utente. Per ulteriori informazioni sul ransomware, vedere il sito Microsoft Defender Security Intelligence.

Il controllo delle versioni consente SharePoint elenchi online e SharePoint online e OneDrive for Business raccolte da alcuni, ma non da tutti, di questi tipi di attacchi ransomware. Il controllo delle versioni è abilitato per impostazione predefinita in OneDrive for Business e SharePoint Online. Poiché il controllo delle versioni è abilitato SharePoint elenchi di siti online, è possibile esaminare le versioni precedenti e ripristinarle, se necessario. Ciò consente di recuperare le versioni degli elementi che pre-datano la crittografia da parte del ransomware. Alcune organizzazioni conservano inoltre più versioni degli elementi nei propri elenchi per motivi legali o per scopi di controllo.

SharePoint Cestini OneDrive for Business online

SharePoint Gli amministratori online possono ripristinare una raccolta siti eliminata tramite l'SharePoint di amministrazione di SharePoint Online. SharePoint Gli utenti online dispongono di un Cestino in cui è archiviato il contenuto eliminato. Possono accedere al Cestino per recuperare documenti ed elenchi eliminati, se necessario. Gli elementi nel Cestino vengono conservati per 93 giorni. I seguenti tipi di dati vengono acquisiti dal Cestino:

  • Raccolte siti
  • Siti
  • Elenchi
  • Librerie
  • Cartelle
  • Voci di elenco
  • Documenti
  • Pagine web part

Le personalizzazioni dei siti effettuate attraverso SharePoint Designer non vengono acquisite dal cestino. Per ulteriori informazioni, vedere Restore deleted items from the site collection recycle bin. Vedere anche Ripristino di una raccolta siti eliminata.

Il controllo delle versioni non protegge dagli attacchi ransomware che copiano i file, li crittografano e quindi eliminano i file originali. Tuttavia, gli utenti finali possono sfruttare il Cestino per recuperare OneDrive for Business file dopo un attacco ransomware.

Nella sezione seguente vengono fornite informazioni più dettagliate sulle difese e sui controlli utilizzati da Microsoft per ridurre il rischio di attacchi informatici all'organizzazione e alle relative risorse.

Come Microsoft mitiga i rischi derivanti da un attacco ransomware

Microsoft ha integrato difese e controlli che usa per ridurre i rischi di un attacco ransomware contro l'organizzazione e i relativi asset. Gli asset possono essere organizzati per dominio con ogni dominio con un proprio set di mitigazioni dei rischi.

Dominio 1: controlli a livello di tenant

Il primo dominio sono gli utenti che costituiscono l'organizzazione e l'infrastruttura e i servizi di proprietà e controllati dall'organizzazione. Le seguenti funzionalità di Microsoft 365 sono disponibili per impostazione predefinita o possono essere configurate per ridurre il rischio e recuperare da una compromissione corretta delle risorse in questo dominio.

Exchange Online

  • Con il ripristino di un singolo elemento e la conservazione delle cassette postali, i clienti possono recuperare gli elementi in una cassetta postale in caso di eliminazione prematura accidentale o dannosa. I clienti possono ripristinare i messaggi di posta eliminati entro 14 giorni per impostazione predefinita, configurabili fino a 30 giorni.

  • Le configurazioni aggiuntive dei clienti di questi criteri di conservazione all'interno Exchange Online servizio consentono:

    • conservazione configurabile da applicare (1 anno/10 anno+)
    • copia sulla protezione da scrivere da applicare
    • la possibilità di blocco dei criteri di conservazione in modo che sia possibile ottenere l'immutabilità
  • Exchange Online Protection analizza la posta elettronica in arrivo e gli allegati in tempo reale sia in entrata che in uscita dal sistema. Questa opzione è abilitata per impostazione predefinita e include personalizzazioni di filtro disponibili. I messaggi contenenti ransomware o altro malware noto o sospetto vengono eliminati. È possibile configurare gli amministratori per ricevere notifiche in questo caso.

SharePoint Protezione online e OneDrive for Business

SharePoint Online e OneDrive for Business Protection hanno funzionalità integrate che consentono di proteggere dagli attacchi ransomware.

Controllo delle versioni: poiché il controllo delle versioni conserva almeno 500 versioni di un file per impostazione predefinita e può essere configurato per conservarne di più, se il ransomware modifica e crittografa un file, è possibile ripristinare una versione precedente del file.

Cestino: se il ransomware crea una nuova copia crittografata del file ed elimina il vecchio file, i clienti hanno 93 giorni per ripristinarlo dal Cestino.

Raccolta di archiviazione: i file archiviati in SharePoint o OneDrive siti possono essere conservati applicando le impostazioni di conservazione. Quando un documento con versioni è soggetto alle impostazioni di conservazione, le versioni vengono copiate nella raccolta di archiviazione ed esistono come elemento separato. Se un utente sospetta che i file siano stati compromessi, può analizzare le modifiche dei file esaminando la copia conservata. Il ripristino dei file può quindi essere utilizzato per ripristinare i file negli ultimi 30 giorni.

Teams

Teams chat vengono archiviate all'interno Exchange Online cassette postali degli utenti e i file vengono archiviati in SharePoint Online o OneDrive for Business. Microsoft Teams dati sono protetti dai controlli e dai meccanismi di ripristino disponibili in questi servizi.

Dominio 2: controlli a livello di servizio

Il secondo dominio sono le persone che costituiscono Microsoft l'organizzazione e l'infrastruttura aziendale di proprietà e controllata da Microsoft per eseguire le funzioni organizzative di un'azienda.

L'approccio di Microsoft alla protezione del proprio patrimonio aziendale è Zero Trust, implementato usando i nostri prodotti e servizi con le difese in tutto il nostro patrimonio digitale. Per ulteriori dettagli sui principi di Zero Trust, vedere Zero Trust Architecture.

Ulteriori funzionalità in Microsoft 365 estendono le mitigazioni dei rischi disponibili nel dominio 1 per proteggere ulteriormente gli asset in questo dominio.

SharePoint Protezione online e OneDrive for Business

Controllo delle versioni: se ransomware ha crittografato un file sul posto, come modifica, il file può essere recuperato fino alla data di creazione del file iniziale utilizzando le funzionalità di cronologia delle versioni gestite da Microsoft.

Cestino: se il ransomware ha creato una nuova copia crittografata del file ed eliminato il vecchio file, i clienti hanno 93 giorni per ripristinarlo dal Cestino. Dopo 93 giorni, è disponibile una finestra di 14 giorni in cui Microsoft può ancora recuperare i dati. Dopo questa finestra, i dati vengono eliminati definitivamente.

Exchange Online

I gruppi di disponibilità del database (DAG) consentono di garantire la protezione dal danneggiamento dei dati delle cassette postali in Exchange Online. Exchange Online ha 4 gruppi di disponibilità del database, 4 attivi e 1 ritardati per 14 giorni di log delle transazioni ritardati.

Se un attacco ransomware interessa il server cassette postali che ospita la copia attiva di una transazione di posta, viene eseguito il failover a un altro DAG attivo, trasparente per i clienti. Tutte e tre le copie di una transazione di posta nei database attivi devono essere interessate dall'attacco ransomware per eseguire il fall back sul DAG ritardato. I meccanismi di isolamento degli errori riducono il raggio di esplosione di un attacco ransomware.

Teams: le mitigazioni dei rischi per Teams descritte nel dominio 1 si applicano anche al dominio 2.

Dominio 3: sviluppatori & di servizio

Il terzo dominio sono le persone che sviluppano e gestiscono il servizio Microsoft 365, il codice e l'infrastruttura che fornisce il servizio e l'archiviazione e l'elaborazione dei dati.

Gli investimenti Microsoft che assicurano la Microsoft 365 e attenuano i rischi in questo dominio si concentrano su queste aree:

  • Valutazione continua e convalida della posizione di sicurezza del servizio
  • Creazione di strumenti e architetture che proteggono il servizio da una compromissione
  • Creazione della funzionalità per rilevare e rispondere alle minacce in caso di attacco

Valutazione continua e convalida della posizione di sicurezza

  • Microsoft attenua i rischi associati alle persone che sviluppano e gestiscono il servizio Microsoft 365 utilizzando il principio dei privilegi minimi. Ciò significa che l'accesso e le autorizzazioni per le risorse sono limitati solo a ciò che è necessario per eseguire un'attività necessaria.
    • Un modello Just-In-Time (JIT), Just-Enough-Access (JEA) viene utilizzato per fornire ai tecnici Microsoft privilegi temporanei.
    • I tecnici devono inviare una richiesta per un'attività specifica per acquisire privilegi elevati.
    • Le richieste vengono gestite tramite Lockbox, che usa il controllo di accesso basato sui ruoli di Azure per limitare i tipi di richieste di elevazione JIT che i tecnici possono effettuare.
  • Oltre a ciò, tutti i candidati Microsoft vengono pre-schermati prima di iniziare a utilizzare Microsoft. I dipendenti che gestiscono i servizi online Microsoft negli Stati Uniti devono sottoporsi a un controllo in background microsoft cloud come prerequisito per l'accesso ai sistemi di servizi online.
  • Tutti i dipendenti Microsoft sono tenuti a completare la formazione di base sulla sensibilizzazione sulla sicurezza insieme alla formazione su Standard di condotta aziendale.

Strumenti e architettura che proteggono il servizio

  • Il security development lifecycle (SDL) di Microsoft si concentra sullo sviluppo di software sicuro per migliorare la sicurezza delle applicazioni e ridurre le vulnerabilità. Per ulteriori informazioni, vedere Panoramica dello sviluppo e delleoperazioni per la sicurezza e la sicurezza .
  • Microsoft 365 limita la comunicazione tra le diverse parti dell'infrastruttura di servizio solo a ciò che è necessario per funzionare.
  • Il traffico di rete viene protetto utilizzando firewall di rete aggiuntivi nei punti di confine per rilevare, prevenire e ridurre gli attacchi di rete.
  • Microsoft 365 sono progettate per funzionare senza che i tecnici richiedano l'accesso ai dati dei clienti, a meno che non siano esplicitamente richiesti e approvati dal cliente. Per ulteriori informazioni, vedere Come Microsoft raccoglie ed elabora i dati dei clienti.

Funzionalità di rilevamento e risposta

  • Microsoft 365 si impegna nel monitoraggio continuo della sicurezza dei propri sistemi per rilevare e rispondere alle minacce ai servizi Microsoft 365.
  • La registrazione centralizzata raccoglie e analizza gli eventi del registro per le attività che potrebbero indicare un incidente di sicurezza. I dati del registro vengono analizzati man quando vengono caricati nel sistema di avvisi e generano avvisi in tempo quasi reale.
  • Gli strumenti basati sul cloud ci consentono di rispondere rapidamente alle minacce rilevate. Questi strumenti abilitano la correzione usando azioni attivate automaticamente.
  • Quando la correzione automatica non è possibile, gli avvisi vengono inviati ai tecnici di chiamata appropriati, dotati di un set di strumenti che consentono loro di agire in tempo reale per ridurre le minacce rilevate.

Ripristinare da un attacco ransomware

Per la procedura per il ripristino da un attacco ransomware in Microsoft 365, vedere Recover from a ransomware attack in Microsoft 365.

Risorse ransomware aggiuntive

Informazioni chiave di Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Cloud App Security:

Post di blog del team di sicurezza Microsoft: