Proteggere rapidamente l'organizzazione da attacchi ransomware
Ransomware è un tipo di attacco informatico che i criminali informatici usano per estorcere organizzazioni grandi e piccole.
Comprendere come proteggersi da attacchi ransomware e ridurre al minimo i danni è una parte importante della salvaguardia dell'azienda. Questo articolo fornisce indicazioni pratiche su come configurare rapidamente la protezione ransomware.
Il materiale sussidiario è organizzato in passaggi, a partire dalle azioni più urgenti da intraprendere.
Aggiungere un segnalibro a questa pagina come punto di partenza per i passaggi.
Importante
Leggere la serie di prevenzione ransomware e rendere l'organizzazione difficile da attacchi informatici.
Nota
Che cos'è il ransomware? Vedere la definizione ransomware qui.
Nota
L'ordine di questi passaggi è progettato per garantire di ridurre il rischio il più rapidamente possibile e basato su un presupposto di grande urgenza che sostituisce le normali priorità di sicurezza e IT, per evitare o mitigare attacchi devastanti.
È importante notare questa guida alla prevenzione ransomware è strutturata come passaggi da seguire nell'ordine mostrato. Per adattare al meglio queste indicazioni alla situazione:
Attenersi alle priorità consigliate
Usare i passaggi come piano iniziale per le operazioni da eseguire prima, successivamente e versioni successive, in modo da ottenere prima gli elementi più interessati. Queste raccomandazioni sono classificate in ordine di priorità usando il principio Zero Trust di presumere una violazione. Ciò forza l'utente a concentrarsi sulla riduzione dei rischi aziendali presupponendo che gli utenti malintenzionati possano ottenere correttamente l'accesso all'ambiente tramite uno o più metodi.
Essere proattivi e flessibili (ma non ignorare attività importanti)
Esaminare gli elenchi di controllo di implementazione per tutte e tre le sezioni di tutti e tre i passaggi per verificare se sono presenti aree e attività che è possibile completare rapidamente in precedenza. In altre parole, è possibile eseguire operazioni più veloci perché si ha già accesso a un servizio cloud che non è stato usato, ma che potrebbe essere configurato rapidamente e facilmente. Quando si esamina l'intero piano, prestare attenzione che queste aree e attività successive non ritardano il completamento di aree importanti in modo critico, ad esempio i backup e l'accesso con privilegi.
Eseguire alcuni elementi in parallelo
Provare a fare tutto in una sola volta può essere travolgente, ma alcuni elementi possono essere naturalmente eseguiti in parallelo. Il personale in team diversi può lavorare contemporaneamente alle attività (ad esempio, team di backup, team endpoint, team di identità), mentre guida per il completamento dei passaggi nell'ordine di priorità.
Gli elementi negli elenchi di controllo di implementazione sono nell'ordine di priorità consigliato, non in un ordine di dipendenza tecnica.
Usare gli elenchi di controllo per confermare e modificare la configurazione esistente in base alle esigenze e in modo che funzioni nell'organizzazione. Ad esempio, nell'elemento di backup più importante, si esegue il backup di alcuni sistemi, ma potrebbero non essere offline o non modificabili, è possibile che non si verifichino le procedure di ripristino aziendali complete o che non si disponga di backup di sistemi aziendali critici o sistemi IT critici come i controller di dominio di Dominio di Active Directory Services (AD DS).
Nota
Per un riepilogo aggiuntivo di questo processo, vedere i 3 passaggi per impedire e ripristinare da ransomware (settembre 2021) il post di blog sulla sicurezza Di Microsoft.
I passaggi sono:
Questo passaggio è progettato per ridurre al minimo l'incentivo monetario degli utenti malintenzionati ransomware rendendolo:
- Rendere molto più difficile accedere ai sistemi e bloccarli oppure crittografare o danneggiare i dati più importanti dell'organizzazione.
- Semplificare il ripristino da un attacco per l'organizzazione senza pagare il riscatto.
Nota
Anche se il ripristino di molti o tutti i sistemi aziendali è un'impresa difficile, l'alternativa a pagare un utente malintenzionato per una chiave di ripristino che potrebbe non fornire e usare strumenti scritti dagli utenti malintenzionati per tentare di ripristinare sistemi e dati.
Rendere molto più difficile per gli utenti malintenzionati ottenere l'accesso a più sistemi aziendali business critical tramite ruoli di accesso con privilegi. Limitando la capacità dell'utente malintenzionato di ottenere l'accesso con privilegi, si rende molto più difficile trarre profitto da un attacco all'organizzazione e diventa quindi più probabile che un utente malintenzionato desista e provi altrove.
Questo ultimo set di attività è importante per ostacolare l'accesso, ma richiede tempo per il completamento nell'ambito di un percorso di sicurezza più ampio. L'obiettivo di questo passaggio è rendere molto più difficile il lavoro degli utenti malintenzionati quando tentano di ottenere l'accesso alle infrastrutture locali o cloud nei vari punti di ingresso comuni. Ci sono molte attività, quindi è importante assegnare priorità al lavoro qui in base alla velocità con cui è possibile eseguire queste operazioni con le risorse correnti.
Anche se molti di questi saranno familiari e facili da eseguire rapidamente, è fondamentale che il lavoro sul passaggio 3 non debba rallentare i progressi nei passaggi 1 e 2.
È anche possibile visualizzare una panoramica dei passaggi e dei relativi elenchi di controllo di implementazione come livelli di protezione contro gli utenti malintenzionati ransomware con il poster Proteggere l'organizzazione da ransomware.
Classificare in ordine di priorità la mitigazione ransomware a livello di macro. Configurare l'ambiente dell'organizzazione per la protezione da ransomware.
Iniziare con il passaggio 1 per preparare l'organizzazione a recuperare da un attacco senza dover pagare il riscatto.
Informazioni chiave di Microsoft:
- La crescente minaccia di ransomware, Microsoft On the Issues post di blog il 20 luglio 2021
- Ransomware gestito dall'uomo
- Report sulla difesa digitale Microsoft 2021 (vedere le pagine 10-19)
- Ransomware: un report di analisi delle minacce permanente e diffuso nel portale di Microsoft Defender
- Approccio ransomware e case study per il team di risposta agli eventi imprevisti Microsoft (in precedenza DART/CRSP)
Microsoft 365:
- Distribuire la protezione ransomware per il tenant di Microsoft 365
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Recuperare da un attacco ransomware
- Protezione da malware e ransomware
- Proteggere il PC Windows 10 da ransomware
- Gestione di ransomware in SharePoint Online
- Report di analisi delle minacce per ransomware nel portale di Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Difesa di Azure per attacchi ransomware
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Piano di backup e ripristino per la protezione da ransomware
- Proteggere dal ransomware con Microsoft Backup di Azure (video di 26 minuti)
- Ripristino da compromissione dell'identità sistemica
- Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
- Rilevamento fusion per ransomware in Microsoft Sentinel
app Microsoft Defender per il cloud:
Post di blog del team di Microsoft Security:
3 passaggi per evitare e recuperare dal ransomware (settembre 2021)
Una guida per combattere il ransomware gestito dall'uomo: Parte 1 (settembre 2021)
Passaggi chiave su come Microsoft Incident Response esegue indagini sugli eventi imprevisti ransomware.
Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)
Consigli e procedure consigliate.
-
Vedere la sezione Ransomware .
Attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)
Include analisi della catena di attacchi sugli attacchi effettivi.
Risposta ransomware: per pagare o non pagare? (dicembre 2019)
Norsk Hydro risponde all'attacco ransomware con trasparenza (dicembre 2019)