Prepararsi a un attacco ransomware

Questo articolo fornisce indicazioni specifiche di Azure per preparare l'organizzazione a difendersi dagli attacchi ransomware e ripristinarlo.

Adottare un Cybersecurity Framework

Un buon punto di partenza consiste nell'adottare microsoft cloud security benchmark (MCSB) per proteggere l'ambiente Azure. Microsoft Cloud Security Benchmark (MCSB) è il framework di controllo della sicurezza di Azure, basato su framework di controllo di sicurezza del settore, ad esempio NIST SP800-53, Controlli CIS v7.1.

Microsoft Cloud Security Benchmark (MCSB) fornisce alle organizzazioni indicazioni su come configurare Azure e Servizi di Azure, e come implementare i controlli di sicurezza. Le organizzazioni possono usare Microsoft Defender for Cloud per monitorare lo stato dell'ambiente Azure attivo con tutti i controlli MCSB.

In definitiva, il framework mira a ridurre e gestire meglio i rischi per la cybersecurity.

Assegnare le priorità alla mitigazione

In base all'esperienza con gli attacchi ransomware sugli ambienti Azure, si scopre che la definizione delle priorità deve concentrarsi su:

1. Preparare: disporre di backup e piani di ripristino per le risorse di Azure
2. Limite - Proteggere l'accesso con privilegi alle risorse di Azure
3. Prevent - Protezione avanzata dei controlli di sicurezza di Azure

Ciò può sembrare controintuitivo, poiché la maggior parte delle persone desidera prevenire un attacco e proseguire. Purtroppo occorre dare per scontate le violazioni (un principio Zero Trust chiave) e concentrarsi innanzitutto su un’affidabile mitigazione dei danni più gravi. Questa definizione delle priorità è critica a causa dell'elevata probabilità di uno scenario peggiore con ransomware. Anche se la verità è spiacevole da accettare, ci si trova di fronte a utenti malintenzionati creativi e motivati, abili a trovare un modo per controllare gli ambienti reali complessi in cui si lavora. Alla luce di questa realtà, è importante prepararsi al peggio e stabilire framework per contenere e impedire agli utenti malintenzionati di ottenere ciò che cercano.

Anche se queste priorità riguardano le operazioni da eseguire per prime, è consigliabile che le organizzazioni eseguano passaggi in parallelo, ove possibile, inclusa l’attuazione delle soluzioni rapide dal passaggio 1.

Per indicazioni complete sull'approccio in tre fasi alla protezione ransomware, vedere Proteggere l'organizzazione da ransomware ed estorsione.

Rendere più difficile l'accesso

Impedire a un attaccante ransomware di entrare nell'ambiente Azure e rispondere rapidamente agli incidenti per rimuovere l'accesso dell'attaccante prima che possa rubare e crittografare i dati. In tal modo, gli intenti degli utenti malintenzionati falliscono rapidamente e con maggiore frequenza, e il profitto dei loro attacchi viene meno. Anche se la prevenzione è il risultato preferito, è un percorso continuo e potrebbe non essere possibile ottenere 100% prevenzione e risposta rapida in un complesso multipiattaforma e multicloud di un'organizzazione reale con responsabilità IT distribuite.

A tale scopo, le organizzazioni devono identificare e attuare successi rapidi per rafforzare i controlli di sicurezza per le risorse di Azure, impedendo l'ingresso e rilevando/rimuovendo rapidamente gli attaccanti, mentre implementano un programma sostenuto che le aiuti a mantenere la sicurezza. Microsoft consiglia alle organizzazioni di seguire i principi descritti nella strategia Zero Trust. In particolare, per le risorse di Azure, le organizzazioni devono definire le priorità:

• Miglioramento dell'igiene della sicurezza concentrando gli sforzi sulla riduzione della superficie di attacco e sulla gestione delle minacce e delle vulnerabilità per le risorse di Azure.
• Implementazione dei controlli protezione, rilevamento e risposta per carichi di lavoro di Azure che possono proteggersi dalle minacce avanzate e dalle materie prime, fornire visibilità e avvisi sulle attività degli utenti malintenzionati e rispondere alle minacce attive.

Per indicazioni complete su come rendere più difficile per gli utenti malintenzionati di accedere all'ambiente, vedere Difendersi dagli attacchi ransomware.

Limitare l'ambito dei danni

Assicurarsi di disporre di controlli sicuri (impedire, rilevare, rispondere) per gli account con privilegi con accesso alle risorse di Azure, ad esempio amministratori IT e altri ruoli con il controllo dei sistemi business critical. Questo rallenta e/o impedisce agli utenti malintenzionati di ottenere l'accesso completo alle risorse di Azure per rubarle e crittografarle. L’eliminazione della possibilità che gli utenti malintenzionati usino account di amministratore IT come collegamento alle risorse riduce drasticamente le probabilità che abbiano successo attaccando l'utente e chiedendo pagamenti/benefici.

Le organizzazioni devono avere una sicurezza elevata per gli account con privilegi con accesso ad Azure (proteggere, monitorare attentamente e rispondere rapidamente agli eventi imprevisti correlati a questi ruoli). Vedere il piano di modernizzazione rapida della sicurezza di Microsoft, che copre:

• Sicurezza della sessione end-to-end, inclusa l'autenticazione a più fattori (MFA) per gli amministratori
• Proteggere e monitorare i sistemi di identità
• Mitigare l'attraversamento laterale
• Rispondere rapidamente alle minacce

Per indicazioni complete sulla limitazione dell'ambito dei danni, vedere Limitare l'impatto degli attacchi ransomware.

Prepararsi al peggio

Pianificare lo scenario peggiore, aspettandosi che accada (a tutti i livelli dell'organizzazione). In questo modo, l'organizzazione e gli altri utenti nel mondo su cui ci si basa possono:

• Limitare i danni per lo scenario peggiore: mentre il ripristino di tutti i sistemi dai backup è estremamente problematico per l’attività, è più efficace ed efficiente rispetto al tentativo di ripristino usando strumenti di decrittografia (di bassa qualità) forniti da utenti malintenzionati dopo aver pagato per ottenere la chiave. Nota: pagare è un percorso incerto: non si ha alcuna garanzia formale o legale che la chiave funzioni su tutti i file, che gli strumenti funzionino in modo efficace o che l'utente malintenzionato (che potrebbe essere un dilettante che usa un toolkit professionale) agisca in buona fede.
• Limitare il ritorno finanziario per gli utenti malintenzionati: se un'organizzazione può ripristinare le attività aziendali senza pagare gli utenti malintenzionati, l'attacco non riesce e il ritorno dell’investimento (ROI) per gli utenti malintenzionati sarà pari a zero. In questo modo, è meno probabile che in futuro l’organizzazione sarà bersaglio degli utenti malintenzionati, che saranno anche privati di ulteriori fondi per attaccare altri.

Gli utenti malintenzionati possono comunque tentare estorsioni all'organizzazione tramite la divulgazione di dati oppure l'abuso o la vendita di dati sottratti, ma ciò riduce il fattore leva rispetto al caso in cui gli utenti malintenzionati possano accedere ai dati e ai sistemi.

A tale scopo, le organizzazioni devono:

• Registrare il rischio: aggiungere i ransomware al rischio registrato come scenario ad alta probabilità e ad alto impatto. Tenere traccia dello stato di mitigazione tramite il ciclo di valutazione ERM (Enterprise Risk Management).
• Definire ed eseguire il backup di asset aziendali critici: definire i sistemi necessari per le attività aziendali critiche ed eseguirne automaticamente il backup in base a una pianificazione regolare, incluso il backup corretto di dipendenze critiche come Active Directory; proteggere i backup da cancellazioni e crittografia intenzionali con archiviazione offline, archiviazione non modificabile e/o passaggi fuori banda (MFA o PIN) prima di modificare/cancellare i backup online.
• Testare lo scenario di ripristino da zero: eseguire test per accertarsi che la continuità operativa o il ripristino di emergenza (BC/DR) consentano di ripristinare rapidamente le attività aziendali critiche online dalla funzionalità zero (tutti i sistemi fuori uso). Condurre esercizi pratici per convalidare processi e procedure tecniche tra i team, incluse comunicazioni con clienti e dipendenti fuori banda (presupporre che tutte le funzionalità e-mail, chat ecc. siano fuori uso).
  È fondamentale proteggere (o stampare) documenti e sistemi di supporto necessari per il ripristino, inclusi documenti di procedure di ripristino, CMDB, diagrammi di rete, istanze SolarWinds e così via. Gli utenti malintenzionati distruggono regolarmente queste risorse.
• Ridurre l'esposizione locale: spostando i dati nei servizi cloud di Azure con backup automatico e rollback self-service.

Per indicazioni complete su come prepararsi allo scenario peggiore, compresa il training sulla consapevolezza e l’idoneità del centro operazioni per la sicurezza, vedere Elaborare un piano di recupero contro i ransomware.

Controlli tecnici specifici di Azure per la protezione ransomware

Azure offre un'ampia gamma di controlli tecnici nativi per proteggere, rilevare e rispondere a eventi imprevisti ransomware con particolare attenzione alla prevenzione. Le organizzazioni che eseguono carichi di lavoro in Azure devono sfruttare queste funzionalità native di Azure:

Strumenti di rilevamento e prevenzione per Azure

• Microsoft Defender for Cloud - Gestione unificata della sicurezza che fornisce la protezione dalle minacce per i carichi di lavoro di Azure, tra cui macchine virtuali, contenitori, database e archiviazione
• Firewall Premium di Azure - Firewall di nuova generazione con funzionalità IDPS per rilevare e bloccare le comunicazioni C&C ransomware
• Microsoft Sentinel - Piattaforma SIEM/SOAR nativa del cloud con l'analisi predefinita del rilevamento ransomware e la risposta automatizzata
• Azure Network Watcher - Monitoraggio della rete e diagnostica per rilevare modelli di traffico anomali
• Microsoft Defender per endpoint - Per le macchine virtuali di Azure che eseguono Windows o Linux

Protezione dei dati per le risorse di Azure

• Backup di Azure con immutabilità ed eliminazione temporanea per macchine virtuali di Azure, database SQL di Azure e condivisioni file
• BLOB non modificabili di Azure Storage - archiviazione WORM (Write Once, Read Many) che non può essere modificata o eliminata
• Controllo degli accessi in base al ruolo di Azure - Principio dei privilegi minimi per l'accesso alle risorse di Azure
• Criteri di Azure - Applicare criteri di backup e configurazioni di sicurezza tra sottoscrizioni di Azure
• Verifica regolare del backup con Azure Site Recovery per i test di ripristino di emergenza

Per indicazioni complete sulla gestione degli eventi imprevisti, vedere Preparare il piano di ripristino ransomware.

Funzionalità di backup e ripristino di Azure

Assicurarsi di disporre di processi e procedure appropriati per i carichi di lavoro di Azure. Quasi tutti gli incidenti causati da ransomware implicano la necessità del ripristino dei sistemi compromessi. I processi di backup e ripristino appropriati e testati devono essere applicati per le risorse di Azure, insieme alle strategie di contenimento appropriate per impedire la diffusione del ransomware.

La piattaforma Azure offre più opzioni di backup e ripristino tramite Backup di Azure e funzionalità predefinite all'interno di vari servizi dati e carichi di lavoro di Azure:

Backup isolati con Backup di Azure

Backup di Azure offre backup non modificabili e isolati con eliminazione temporanea e protezione MFA per:

• Macchine virtuali di Azure
• Database in VM Azure: SQL, SAP HANA
• Database di Azure per PostgreSQL
• Server di Windows locali (backup nel cloud con agente MARS)

Backup operativi

• File di Azure - Condividere snapshot con il ripristino temporizzato
• BLOB di Azure - Eliminazione temporanea, controllo delle versioni e archiviazione non modificabile
• Dischi di Azure - Snapshot incrementali

Backup integrati nei servizi dati di Azure

I servizi dati come database SQL di Azure, Database di Azure per MySQL/MariaDB/PostgreSQL, Azure Cosmos DB e Azure NetApp Files offrono funzionalità di backup predefinite con pianificazioni automatizzate.

Per indicazioni dettagliate, vedere Backup e piano di ripristino per la protezione da ransomware.

Passaggi successivi

Per indicazioni complete sulla protezione ransomware in tutte le piattaforme e i servizi Microsoft, vedere Proteggere l'organizzazione da ransomware ed estorsione.

Consulta il documento tecnico: Difese di Azure per gli attacchi ransomware.

Altri articoli ransomware di Azure:

• Protezione ransomware in Azure
• Rilevare e rispondere all'attacco ransomware
• Funzionalità e risorse di Azure che consentono di proteggere, rilevare e rispondere
• Migliorare le difese di sicurezza per gli attacchi ransomware con Firewall di Azure Premium