Protezione da malware e ransomware in Microsoft 365

Protezione dei dati dei clienti da malware

Il malware è costituito da virus, spyware e altro software dannoso. Microsoft 365 include meccanismi di protezione per impedire l'introduzione di malware in Microsoft 365 da un client o da un server Microsoft 365. L'uso di software antimalware è un meccanismo principale per la protezione degli asset di Microsoft 365 da software dannoso. Il software antimalware rileva e impedisce l'introduzione di virus, malware, rootkit, worm e altro software dannoso nei sistemi di servizio. Il software antimalware fornisce sia il controllo preventivo che quello investigativo sul software dannoso.

Ogni soluzione antimalware in atto tiene traccia della versione del software e delle firme in esecuzione. Il download automatico e l'applicazione degli aggiornamenti delle firme almeno ogni giorno dal sito di definizione del virus del fornitore vengono gestiti centralmente dallo strumento antimalware appropriato per ogni team di servizio. Le funzioni seguenti sono gestite centralmente dallo strumento antimalware appropriato in ogni endpoint per ogni team di servizio:

• Analisi automatiche dell'ambiente
• Analisi periodiche del file system (almeno settimanali)
• Analisi in tempo reale dei file durante il download, l'apertura o l'esecuzione
• Download automatico e applicazione degli aggiornamenti delle firme almeno ogni giorno dal sito di definizione del virus del fornitore
• Avviso, pulizia e mitigazione del malware rilevato

Quando gli strumenti antimalware rilevano malware, bloccano il malware e generano un avviso al personale del team di servizio di Microsoft 365, a Microsoft 365 Security e/o al team di sicurezza e conformità dell'organizzazione Microsoft che gestisce i data center. Il personale ricevente avvia il processo di risposta agli eventi imprevisti. Gli eventi imprevisti vengono monitorati e risolti e viene eseguita l'analisi post-mortem.

Exchange Online Protection contro il malware

Tutti i messaggi di posta elettronica per Exchange Online passano attraverso Exchange Online Protection (EOP), che mette in quarantena e analizza in tempo reale tutti gli allegati di posta elettronica e posta elettronica sia immettendo che lasciando il sistema alla ricerca di virus e altri malware. Gli amministratori non devono configurare o gestire le tecnologie di filtro; sono abilitati per impostazione predefinita. Tuttavia, gli amministratori possono effettuare personalizzazioni di filtro specifiche dell'azienda usando l'interfaccia di amministrazione di Exchange.

Utilizzando più motori antimalware, EOP offre protezione multistrato progettata per individuare tutto il malware noto. I messaggi trasportati tramite il servizio vengono analizzati alla ricerca di malware (inclusi virus e spyware). Se viene rilevato del malware, il messaggio viene eliminato. Quando un messaggio infetto viene eliminato e non recapitato, è possibile inviare notifiche ai mittenti o agli amministratori. È inoltre possibile scegliere di sostituire gli allegati infetti con messaggi predefiniti o personalizzati che avvisano i destinatari del rilevamento del malware.

Di seguito viene fornita la protezione antimalware:

• Difese a più livelli contro il malware : più motori di analisi antimalware usati in EOP consentono di proteggere da minacce note e sconosciute. Questi motori includono un potente rilevamento euristico per fornire protezione anche durante le prime fasi di un attacco malware. L’approccio a più motori ha dimostrato di offrire maggiore protezione rispetto all'uso di un solo motore antimalware.
• Risposta alle minacce in tempo reale : durante alcune epidemie, il team antimalware può avere informazioni sufficienti su un virus o un'altra forma di malware per scrivere regole di criteri sofisticate che rilevano la minaccia anche prima che una definizione sia disponibile da uno dei motori utilizzati dal servizio. Queste regole vengono pubblicate nella rete globale ogni 2 ore per offrire all'organizzazione un ulteriore livello di protezione dagli attacchi.
• Distribuzione rapida delle definizioni antimalware : il team antimalware mantiene strette relazioni con i partner che sviluppano motori antimalware. Di conseguenza, il servizio può ricevere e integrare le definizioni e le patch di malware prima di essere rilasciato pubblicamente. Il nostro legame con questi partner spesso ci permette di sviluppare anche i nostri rimedi. Il servizio verifica ogni ora la presenza di definizioni aggiornate per tutti i motori antimalware.

Microsoft Defender per Office 365

Microsoft Defender per Office 365 è un servizio di filtro della posta elettronica che offre protezione aggiuntiva da tipi specifici di minacce avanzate, tra cui malware e virus. Exchange Online Protection attualmente usa una protezione antivirus robusta e a più livelli alimentata da più motori contro malware e virus noti. Microsoft Defender per Office 365 estende questa protezione tramite una funzionalità denominata Allegati sicuri, che protegge da malware e virus sconosciuti e offre una migliore protezione zero-day per proteggere il sistema di messaggistica. Tutti i messaggi e gli allegati che non hanno una firma virus/malware nota vengono indirizzati a un ambiente hypervisor speciale, in cui viene eseguita un'analisi del comportamento usando varie tecniche di machine learning e analisi per rilevare finalità dannose. Se non viene rilevata alcuna attività sospetta, il messaggio viene rilasciato per il recapito alla cassetta postale.

Exchange Online Protection analizza anche ogni messaggio in transito in Microsoft 365 e fornisce l'ora di protezione del recapito, bloccando eventuali collegamenti ipertestuali dannosi in un messaggio. Gli utenti malintenzionati a volte tentano di nascondere URL dannosi con collegamenti apparentemente sicuri reindirizzati a siti non sicuri da un servizio di inoltro dopo la ricezione del messaggio. Collegamenti sicuri protegge in modo proattivo gli utenti se selezionano tale collegamento. Tale protezione rimane ogni volta che selezionano il collegamento e i collegamenti dannosi vengono bloccati dinamicamente mentre sono accessibili collegamenti validi.

Microsoft Defender per Office 365 offre anche funzionalità avanzate di creazione di report e monitoraggio, in modo da ottenere informazioni critiche su chi viene preso di mira nell'organizzazione e sulla categoria di attacchi che si stanno affrontando. La creazione di report e la traccia dei messaggi consente di analizzare i messaggi che sono stati bloccati a causa di un virus o malware sconosciuto, mentre la funzionalità di traccia URL consente di tenere traccia dei singoli collegamenti dannosi nei messaggi su cui è stato fatto clic.

Per altre informazioni sui Microsoft Defender per Office 365, vedere Exchange Online Protection e Microsoft Defender per Office 365.

Protezione di SharePoint e OneDrive da ransomware

Ci sono molte forme di attacchi ransomware, ma una delle forme più comuni è dove un individuo dannoso crittografa i file importanti di un utente e quindi richiede qualcosa dall'utente, come denaro o informazioni, in cambio della chiave per decrittografarli. Gli attacchi ransomware sono in aumento, in particolare quelli che crittografano i file archiviati nell'archiviazione cloud dell'utente. Per altre informazioni sul ransomware, vedere il sito Microsoft Defender Security Intelligence.

Il controllo delle versioni consente di proteggere gli elenchi di SharePoint e le librerie di SharePoint e OneDrive da alcuni, ma non tutti, di questi tipi di attacchi ransomware. Il controllo delle versioni è abilitato per impostazione predefinita in OneDrive e SharePoint. Poiché il controllo delle versioni è abilitato negli elenchi di siti di SharePoint, è possibile esaminare le versioni precedenti e recuperarle, se necessario. Ciò consente di ripristinare le versioni di elementi che pre-datano la crittografia da parte del ransomware. Alcune organizzazioni conservano anche più versioni degli elementi nei propri elenchi per motivi legali o per scopi di controllo.

Cestino di SharePoint e OneDrive

Gli amministratori di SharePoint possono ripristinare una raccolta siti eliminata usando l'interfaccia di amministrazione di SharePoint. Gli utenti di SharePoint dispongono di un Cestino dove viene archiviato il contenuto eliminato. Possono accedere al Cestino per recuperare documenti ed elenchi eliminati, se necessario. Gli elementi nel Cestino vengono conservati per 93 giorni. I seguenti tipi di dati vengono acquisiti dal Cestino:

• Raccolte siti
• Siti
• Elenchi
• Librerie
• Cartelle
• Voci di elenco
• Documenti
• Pagine web part

Le personalizzazioni del sito effettuate tramite SharePoint Designer non vengono acquisite dal Cestino. Per altre informazioni, vedere Ripristinare gli elementi eliminati dal Cestino della raccolta siti. Vedere anche Ripristinare una raccolta siti eliminata.

Il controllo delle versioni non protegge dagli attacchi ransomware che copiano i file, li crittografano e quindi eliminano i file originali. Tuttavia, gli utenti finali possono usare il Cestino per ripristinare i file di OneDrive dopo un attacco ransomware.

La sezione seguente illustra in modo più dettagliato le difese e i controlli usati da Microsoft per attenuare il rischio di attacchi informatici contro l'organizzazione e le relative risorse.

Come Microsoft riduce i rischi derivanti da un attacco ransomware

Microsoft ha integrato difese e controlli usati per attenuare i rischi di un attacco ransomware contro l'organizzazione e le relative risorse. Gli asset possono essere organizzati per dominio con ogni dominio con un proprio set di mitigazioni dei rischi.

Dominio 1: controlli a livello di tenant

Il primo dominio è costituito dalle persone che costituiscono l'organizzazione e dall'infrastruttura e dai servizi di proprietà e controllati dall'organizzazione. Le funzionalità seguenti in Microsoft 365 sono attivate per impostazione predefinita o possono essere configurate per ridurre i rischi e ripristinare gli asset in questo dominio.

Exchange Online

• Con il ripristino di singoli elementi e la conservazione delle cassette postali, i clienti possono ripristinare gli elementi in una cassetta postale dopo un'eliminazione prematura accidentale o dannosa. I clienti possono eseguire il rollback dei messaggi di posta elettronica eliminati entro 14 giorni per impostazione predefinita, configurabili fino a 30 giorni.

• Le configurazioni aggiuntive dei clienti di questi criteri di conservazione all'interno del servizio Exchange Online consentono:

  • conservazione configurabile da applicare (1 anno/10 anno+)
  • copia sulla protezione di scrittura da applicare
  • la possibilità di bloccare i criteri di conservazione in modo che sia possibile ottenere l'immutabilità

• Exchange Online Protection analizza i messaggi di posta elettronica e gli allegati in ingresso in tempo reale, sia in ingresso che in uscita dal sistema. Questa opzione è abilitata per impostazione predefinita e dispone di personalizzazioni di filtro disponibili. I messaggi contenenti ransomware o altro malware noto o sospetto vengono eliminati. È possibile configurare gli amministratori in modo che ricevano notifiche in questo caso.

Protezione di SharePoint e OneDrive

SharePoint e OneDrive Protection hanno funzionalità integrate che consentono di proteggere dagli attacchi ransomware.

Controllo delle versioni: poiché il controllo delle versioni mantiene almeno 500 versioni di un file per impostazione predefinita e può essere configurato per conservare di più, se il ransomware modifica e crittografa un file, è possibile ripristinare una versione precedente del file.

Cestino: se il ransomware crea una nuova copia crittografata del file ed elimina il file precedente, i clienti hanno 93 giorni per ripristinarlo dal Cestino.

Raccolta di archiviazione: i file archiviati nei siti di SharePoint o OneDrive possono essere conservati applicando le impostazioni di conservazione. Quando un documento con versioni è soggetto alle impostazioni di conservazione, le versioni vengono copiate nella raccolta di archiviazione ed esistono come elemento separato. Se un utente sospetta che i file siano stati compromessi, può analizzare le modifiche apportate ai file esaminando la copia conservata. Il ripristino dei file può quindi essere usato per ripristinare i file negli ultimi 30 giorni.

Teams

Le chat di Teams vengono archiviate all'interno Exchange Online cassette postali degli utenti e i file vengono archiviati in SharePoint o OneDrive. I dati di Microsoft Teams sono protetti dai controlli e dai meccanismi di ripristino disponibili in questi servizi.

Dominio 2: controlli a livello di servizio

Il secondo dominio sono le persone che costituiscono Microsoft l'organizzazione e l'infrastruttura aziendale di proprietà e controllata da Microsoft per eseguire le funzioni organizzative di un'azienda.

L'approccio di Microsoft alla protezione del patrimonio aziendale è Zero Trust, implementato usando prodotti e servizi personalizzati con difese in tutto il digital estate. Altre informazioni sui principi di Zero Trust sono disponibili qui: architettura Zero Trust.

Le funzionalità aggiuntive di Microsoft 365 estendono le mitigazioni dei rischi disponibili nel dominio 1 per proteggere ulteriormente gli asset in questo dominio.

Protezione di SharePoint e OneDrive

Controllo delle versioni: se ransomware ha crittografato un file sul posto, come modifica, il file può essere recuperato fino alla data di creazione del file iniziale usando le funzionalità di cronologia delle versioni gestite da Microsoft.

Cestino: se il ransomware ha creato una nuova copia crittografata del file ed eliminato il file precedente, i clienti hanno 93 giorni per ripristinarlo dal Cestino. Dopo 93 giorni, è disponibile una finestra di 14 giorni in cui Microsoft può ancora recuperare i dati. Dopo questa finestra, i dati vengono eliminati definitivamente.

Teams

Le mitigazioni dei rischi per Teams descritte nel dominio 1 si applicano anche al dominio 2.

Dominio 3: Sviluppatori &'infrastruttura del servizio

Il terzo dominio è costituito dalle persone che sviluppano e gestiscono il servizio Microsoft 365, il codice e l'infrastruttura che fornisce il servizio e l'archiviazione e l'elaborazione dei dati.

Gli investimenti Microsoft che garantiscono la piattaforma Microsoft 365 e attenuano i rischi in questo dominio si concentrano su queste aree:

• Valutazione e convalida continue del comportamento di sicurezza del servizio
• Creazione di strumenti e architettura che proteggono il servizio da compromissioni
• Creazione della funzionalità per rilevare e rispondere alle minacce in caso di attacco

Valutazione e convalida continue del comportamento di sicurezza

• Microsoft riduce i rischi associati alle persone che sviluppano e gestiscono il servizio Microsoft 365 usando il principio dei privilegi minimi. Ciò significa che l'accesso e le autorizzazioni per le risorse sono limitati solo a ciò che è necessario per eseguire un'attività necessaria.
  • Un modello JIT (Just-In-Time), JUST-Enough-Access (JEA) viene usato per fornire ai tecnici Microsoft privilegi temporanei.
  • I tecnici devono inviare una richiesta per un'attività specifica per acquisire privilegi elevati.
  • Le richieste vengono gestite tramite Lockbox, che usa il controllo degli accessi in base al ruolo di Azure per limitare i tipi di richieste di elevazione JIT che i tecnici possono effettuare.
• Oltre a quanto sopra, tutti i candidati Microsoft vengono sottoposti a pre-screening prima di iniziare l'impiego in Microsoft. I dipendenti che gestiscono Microsoft Servizi online nel Stati Uniti devono sottoporsi a un controllo in background del cloud Microsoft come prerequisito per l'accesso ai sistemi Servizi online.
• Tutti i dipendenti Microsoft sono tenuti a completare la formazione di base sulla consapevolezza della sicurezza insieme alla formazione sugli standard di condotta aziendale.

Strumenti e architettura che proteggono il servizio

• Microsoft Security Development Lifecycle (SDL) si concentra sullo sviluppo di software sicuro per migliorare la sicurezza delle applicazioni e ridurre le vulnerabilità. Per altre informazioni, vedere Panoramica dello sviluppo e delle operazioni di sicurezza e sicurezza.
• Microsoft 365 limita la comunicazione tra diverse parti dell'infrastruttura dei servizi solo a quanto necessario per operare.
• Il traffico di rete viene protetto usando firewall di rete aggiuntivi nei punti limite per consentire il rilevamento, la prevenzione e la mitigazione degli attacchi di rete.
• I servizi di Microsoft 365 sono progettati per funzionare senza che i tecnici richiedano l'accesso ai dati dei clienti, a meno che non siano esplicitamente richiesti e approvati dal cliente. Per altre informazioni, vedere In che modo Microsoft raccoglie ed elabora i dati dei clienti.

Funzionalità di rilevamento e risposta

• Microsoft 365 si impegna nel monitoraggio continuo della sicurezza dei propri sistemi per rilevare e rispondere alle minacce ai servizi Microsoft 365.
• La registrazione centralizzata raccoglie e analizza gli eventi di log per le attività che potrebbero indicare un evento imprevisto di sicurezza. I dati di log vengono analizzati man mano che vengono caricati nel sistema di avviso e generano avvisi quasi in tempo reale.
• Gli strumenti basati sul cloud consentono di rispondere rapidamente alle minacce rilevate. Questi strumenti consentono la correzione usando azioni attivate automaticamente.
• Quando la correzione automatica non è possibile, gli avvisi vengono inviati ai tecnici di chiamata appropriati, dotati di un set di strumenti che consentono loro di agire in tempo reale per mitigare le minacce rilevate.

Ripristinare da un attacco ransomware

Per i passaggi per il ripristino da un attacco ransomware in Microsoft 365, vedere Recuperare da un attacco ransomware in Microsoft 365.

Risorse ransomware aggiuntive

Informazioni chiave da Microsoft

• La minaccia crescente del ransomware, Post di blog di Microsoft On the Issues del 20 luglio 2021
• Ransomware gestito da umani
• Protezione rapida da ransomware ed estorsioni
• Il report dell'intelligence sulla sicurezza Microsoft più recente (vedere pagine 22-24)
• Ransomware: report sulle minacce pervasivo e in corso nel nodo Analisi delle minacce del portale di Microsoft Defender (vedere questi requisiti di licenza)

Microsoft 365

• Implementare la protezione ransomware per il tenant Microsoft 365
• Ripristinare da un attacco ransomware
• Proteggere il pc Windows 10 da ransomware
• Gestione del ransomware in SharePoint

Microsoft Defender XDR

• Trovare ransomware con rilevazione avanzata

Microsoft Azure

• Difese di Azure dagli attacchi ransomware
• Piano di backup e ripristino per la protezione da ransomware
• Proteggere da ransomware con Backup di Microsoft Azure (video di 26 minuti)
• Ripristino da una compromissione dell'identità sistemica
• Rilevamento avanzato di attacchi multistage in Microsoft Sentinel
• Rilevamento fusioni per ransomware in Microsoft Sentinel
• Protezione ransomware in Azure
• Prepararsi per un attacco ransomware
• Rilevare e rispondere agli attacchi ransomware
• Funzionalità di Azure & risorse che consentono di proteggere, rilevare e rispondere
• Piano di backup e ripristino di Azure per la protezione da ransomware

Microsoft Defender for Cloud Apps

• Creare criteri di rilevamento anomalie in Defender for Cloud Apps

Post di blog del team di sicurezza Microsoft

• 3 passaggi per prevenire e ripristinare da ransomware (settembre 2021)

• Diventare resilienti comprendendo i rischi della cybersecurity: parte 4- Esplorazione delle minacce correnti (maggio 2021)

  Vedere la sezione Ransomware.

• Attacchi ransomware umani: un’emergenza evitabile (marzo 2020)

  Include analisi della catena di attacchi effettivi.

• Risposta ransomware: pagare o non pagare? (Dicembre 2019)

• Norsk Hydro risponde agli attacchi ransomware con la trasparenza (dicembre 2019)