Funzionalità e risorse di Azure che consentono di proteggere, rilevare e rispondere agli attacchi ransomware

Microsoft ha investito in funzionalità di sicurezza native di Azure che le organizzazioni possono sfruttare per sconfiggere le tecniche di attacco ransomware presenti sia in attacchi ad alto volume che in attacchi quotidiani e attacchi mirati sofisticati.

Le funzionalità principali includono:

• Rilevamento nativo delle minacce: Microsoft Defender per il cloud offre funzionalità di alta qualità per il rilevamento e la risposta alle minacce, denominate anche funzionalità di rilevamento e reazione estese. In questo modo è possibile:
  • Evitare di sprecare tempo e talento delle limitate risorse di sicurezza per creare avvisi personalizzati usando log di attività grezzi.
  • Garantire un monitoraggio efficace della sicurezza, che spesso consente ai team di sicurezza di approvare rapidamente l'uso dei servizi di Azure.
• Autenticazione senza password e a più fattori: l'autenticazione a più fattori Microsoft Entra, l'app Microsoft Entra Authenticator e Windows Hello offrono queste funzionalità. Ciò consente di proteggere gli account da comuni attacchi password (che rappresentano il 99,9% del volume di attacchi di identità visualizzati in Microsoft Entra ID). Anche se nessuna sicurezza è perfetta, l'eliminazione di vettori di attacco solo password riduce notevolmente il rischio di attacco ransomware alle risorse di Azure.
• Firewall nativo e sicurezza di rete: Microsoft ha creato mitigazioni native degli attacchi DDoS, Firewall, Web application firewall e molti altri controlli in Azure. Queste funzionalità di sicurezza "in quanto servizi" ("as a service") consentono di semplificare la configurazione e l'implementazione dei controlli di sicurezza. Queste offrono alle organizzazioni la scelta di usare servizi nativi o versioni di appliance virtuali di funzionalità del fornitore familiari per semplificare la sicurezza di Azure.

Microsoft Defender per il cloud

Microsoft Defender per il Cloud è uno strumento predefinito che fornisce la protezione dalle minacce per i carichi di lavoro in esecuzione in Azure, in locale e in altri cloud. Protegge i dati ibridi, i servizi nativi del cloud e i server da ransomware e altre minacce; e si integra con i flussi di lavoro di sicurezza esistenti come la soluzione SIEM e l'ampia intelligence sulle minacce di Microsoft per semplificare la mitigazione delle minacce.

Microsoft Defender per il Cloud offre protezione per tutte le risorse direttamente all'interno dell'esperienza di Azure ed estende la protezione alle macchine virtuali locali e multi-cloud e ai database SQL tramite Azure Arc:

• Protegge i servizi di Azure
• Protegge i carichi di lavoro ibridi
• Semplifica la sicurezza con l'intelligenza artificiale e l'automazione
• Rileva e blocca malware e minacce avanzate per i server Linux e Windows in qualsiasi cloud
• Protegge i servizi nativi del cloud dalle minacce
• Protegge i servizi dati da attacchi ransomware
• Protegge i dispositivi IoT e OT gestiti e non gestiti, con l'individuazione continua degli asset, la gestione delle vulnerabilità e il monitoraggio delle minacce

Microsoft Defender per il Cloud offre gli strumenti per rilevare e bloccare ransomware, malware avanzato e minacce per le risorse

Mantenere al sicuro le risorse è il risultato della collaborazione tra il provider di servizi cloud, Azure, e il cliente. È necessario assicurarsi che i carichi di lavoro siano sicuri man mano che si passa al cloud e, allo stesso tempo, quando si passa a IaaS (Infrastruttura distribuita come servizio) il cliente si assume più responsabilità rispetto a PaaS (Piattaforma distribuita come servizio) e SaaS (Software come un servizio). Microsoft Defender per il cloud offre gli strumenti necessari per la protezione avanzata della rete e dei servizi e per verificare che la sicurezza sia la massima possibile.

Microsoft Defender per il cloud è un sistema di gestione della sicurezza delle infrastrutture unificato che rafforza la sicurezza dei data center e fornisce protezione avanzata dalle minacce per i carichi di lavoro ibridi su cloud, di Azure o meno, e in locale.

La protezione dalle minacce di Defender per il cloud consente di rilevare ed evitare possibili minacce al livello IaaS (infrastruttura distribuita come servizio), dei server non Azure e PaaS (piattaforme distribuite come servizio) in Azure.

La protezione dalle minacce di Defender per il Cloud include un'analisi di fusione della kill-chain, che correla automaticamente gli avvisi nel tuo ambiente basandosi sull'analisi della cyber kill-chain, per aiutarti a comprendere meglio la storia completa di una campagna di attacco, da dove è iniziata e che tipo di impatto ha avuto sulle tue risorse.

Funzionalità essenziali:

• Valutazione continua della sicurezza: identificare i computer Windows e Linux con aggiornamenti della sicurezza mancanti o impostazioni del sistema operativo non sicure e configurazioni vulnerabili di Azure. Aggiungere watchlist o eventi facoltativi da monitorare.
• Raccomandazioni attuabili: correggere rapidamente le vulnerabilità di sicurezza con raccomandazioni di sicurezza con priorità e attuabili.
• Gestione centralizzata dei criteri: garantisce la conformità con i requisiti di sicurezza normativi o aziendali tramite la gestione centralizzata dei criteri di sicurezza in tutti i carichi di lavoro cloud ibridi.
• Intelligence sulle minacce più estesa del settore: sfrutta Microsoft Intelligent Security Graph, che usa miliardi di segnali provenienti da sistemi e dai servizi Microsoft di tutto il mondo per identificare minacce nuove e in continua evoluzione.
• Analisi avanzata e Machine Learning: usare l'analisi comportamentale predefinita e l'apprendimento automatico per identificare modelli di attacco noti e attività post-violazione.
• Controllo applicativo adattivo: blocca malware e altre applicazioni indesiderate applicando le raccomandazioni della lista di elementi consentiti adattate ai tuoi specifici carichi di lavoro e potenziate dall'intelligenza artificiale.
• Avvisi e sequenze temporali degli attacchi con priorità: concentrarsi prima sulle minacce più critiche con avvisi e eventi imprevisti con priorità mappati in una singola campagna di attacco.
• Indagine semplificata: analizzare rapidamente l'ambito e l'impatto di un attacco con un'esperienza visiva e interattiva. Usa query ad hoc per un'esplorazione più approfondita dei dati di sicurezza.
• Automazione e orchestrazione: automatizzare i flussi di lavoro di sicurezza comuni per affrontare rapidamente le minacce usando l'integrazione predefinita con App per la logica di Azure. Creare playbook di sicurezza in grado di indirizzare le notifiche al sistema di ticketing esistente o attivare azioni di risposta agli incidenti.

Microsoft Sentinel

Microsoft Sentinel consente di creare una visualizzazione completa di una kill chain

Con Sentinel, è possibile connettersi a qualsiasi origine di sicurezza usando connettori predefiniti e standard di settore e quindi sfruttare l'intelligenza artificiale per correlare più segnali a bassa fedeltà che si estendono su più origini per creare una visualizzazione completa di una kill chain ransomware e avvisi con priorità in modo che i difensori possano accelerare il loro tempo per rimuovere gli avversari.

Microsoft Sentinel offre una panoramica immediata per tutta l'azienda, alleviando il carico associato ad attacchi sempre più sofisticati, volume crescente degli avvisi e lunghi tempi di risoluzione.

Raccogliere dati su scala cloud per tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, in locale e in più cloud.

Rileva minacce precedentemente non individuate e riduce al minimo i falsi positivi usando le sofisticate funzionalità di analisi e intelligence sulle minacce di Microsoft.

Analizza le minacce con l'intelligenza artificiale e individua le attività sospette su larga scala, sfruttando i vantaggi di anni di esperienza di Microsoft a livello di cybersecurity.

Rispostarapida agli eventi imprevisti con funzionalità integrate di orchestrazione e automazione delle attività comuni.

Prevenzione delle minacce nativa con Microsoft Defender per il Cloud

Microsoft Defender per il Cloud analizza le macchine virtuali in una sottoscrizione di Azure e consiglia di distribuire Endpoint Protection in cui non viene rilevata una soluzione esistente. È possibile accedere a questa raccomandazione tramite la sezione Raccomandazioni:

Microsoft Defender per il cloud fornisce avvisi di sicurezza e protezione avanzata dalle minacce per macchine virtuali, database SQL, contenitori, applicazioni Web, rete e altro ancora. Quando Microsoft Defender per il Cloud rileva una minaccia in qualsiasi area dell'ambiente, genera un avviso di sicurezza. Questi avvisi descrivono in dettaglio le risorse interessate, le procedure di correzione suggerite e, in alcuni casi, rendono disponibile un'opzione per attivare un'app per la logica in risposta.

Questo avviso è un esempio di avviso ransomware Petya rilevato:

La soluzione di backup nativa di Azure protegge i dati

Un modo importante che le organizzazioni possono aiutare a proteggersi dalle perdite in un attacco ransomware è avere un backup di informazioni critiche per l'azienda nel caso in cui altre difese abbiano esito negativo. Poiché gli utenti malintenzionati ransomware hanno investito molto nella neutralizzazione delle applicazioni di backup e delle funzionalità del sistema operativo come la copia shadow del volume, è fondamentale avere backup inaccessibili a un utente malintenzionato. Con una soluzione flessibile di continuità aziendale e ripristino di emergenza, strumenti di protezione e sicurezza leader del settore, il cloud di Azure offre servizi sicuri per proteggere i dati:

• Backup di Azure: il servizio Backup di Azure offre una soluzione semplice, sicura e conveniente per eseguire il backup della macchina virtuale di Azure. Attualmente Backup di Azure supporta il backup di tutti i dischi (sistema operativo e dischi dati) in una macchina virtuale usando la soluzione di backup per la macchina virtuale di Azure.
• Ripristino di emergenza di Azure: con il ripristino di emergenza dal locale al cloud o da un cloud a un altro, è possibile evitare tempi di inattività e mantenere le applicazioni in esecuzione.
• Sicurezza e gestione predefinita in Azure: per avere successo nell'era del cloud, le aziende devono avere visibilità/metriche e controlli su ogni componente per individuare in modo efficiente, ottimizzare e ridimensionare in modo efficace i problemi, garantendo al tempo stesso la sicurezza, la conformità e i criteri per garantire la velocità.

Accesso garantito e protetto ai dati

Azure ha un lungo periodo di esperienza nella gestione dei data center globali, che sono supportati dall'investimento di 15 miliardi di dollari di infrastruttura di Microsoft che è in fase di valutazione e miglioramento continui, con investimenti e miglioramenti continui, naturalmente.

Funzionalità essenziali:

• Microsoft Azure include l'archiviazione con ridondanza locale (LRS), in cui i dati vengono archiviati localmente, nonché l'archiviazione con ridondanza geografica (GRS) in una seconda regione.
• Tutti i dati archiviati in Azure sono protetti da un processo di crittografia avanzata e tutti i data center Microsoft hanno l'autenticazione a due livelli, i lettori di accesso alle schede proxy, gli scanner biometrici
• Azure dispone di più certificazioni rispetto a qualsiasi altro provider di cloud pubblico sul mercato, tra cui ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 e molte specifiche internazionali

Risorse aggiuntive

• Microsoft Cloud Adoption Framework per Azure
• Creare soluzioni d'impatto con Microsoft Azure Well-Architected Framework
• Procedure consigliate per la sicurezza di Azure
• Baseline di sicurezza
• Centro di risorse di Microsoft Azure
• Guida alla migrazione ad Azure
• Gestione della conformità alla sicurezza
• Controllo della sicurezza di Azure - Risposta agli incidenti
• Centro di Consulenza Zero Trust
• Web application firewall di Azure
• Gateway VPN di Azure
• Autenticazione a più fattori (MFA) di Microsoft Entra
• Microsoft Entra ID Protection
• Accesso condizionale a Microsoft Entra
• Documentazione relativa a Microsoft Defender for Cloud

Conclusione

Microsoft si concentra principalmente sulla sicurezza del cloud e offre i controlli di sicurezza necessari per proteggere i carichi di lavoro cloud. In qualità di leader nella cybersecurity, abbracciamo la nostra responsabilità di rendere il mondo un posto più sicuro. Questo si riflette nel nostro approccio completo alla prevenzione e al rilevamento di ransomware nel nostro framework di sicurezza, progettazioni, prodotti, sforzi legali, partnership del settore e servizi.

Non vediamo l'ora di collaborare con voi per affrontare la protezione ransomware, il rilevamento e la prevenzione in modo olistico.

Connettiti con noi:

• AskAzureSecurity@microsoft.com
• www.microsoft.com/services

Per informazioni dettagliate su come Microsoft protegge il cloud, visitare il Service Trust Portal.

E adesso

Per indicazioni complete sulla protezione ransomware in tutte le piattaforme e i servizi Microsoft, vedere Proteggere l'organizzazione da ransomware ed estorsione.

Vedi il white paper: White paper sulle difese di Azure contro gli attacchi ransomware.

Altri articoli ransomware di Azure:

• Protezione ransomware in Azure
• Prepararsi a un attacco ransomware
• Rilevare e rispondere a un attacco ransomware
• Migliorare le difese di sicurezza per gli attacchi ransomware con Firewall di Azure Premium