Approccio ransomware e procedure consigliate per il team di risposta agli eventi imprevisti Microsoft
Il ransomware gestito dall'uomo non è un problema dannoso del software- è un problema criminale umano. Le soluzioni usate per risolvere i problemi relativi alle materie prime non sono sufficienti per prevenire una minaccia più simile a un attore di minaccia di stato nazionale che:
- Disabilita o disinstalla il software antivirus prima di crittografare i file
- Disabilita i servizi di sicurezza e la registrazione per evitare il rilevamento
- Individua e danneggia o elimina i backup prima di inviare una richiesta di riscatto
Queste azioni vengono spesso eseguite usando programmi legittimi, ad esempio quick assist nel maggio 2024, che potrebbero essere già presenti nell'ambiente per scopi amministrativi. In mani criminali, questi strumenti vengono usati per condurre attacchi.
Rispondere alla crescente minaccia di ransomware richiede una combinazione di configurazione aziendale moderna, up-to-date prodotti di sicurezza e personale di sicurezza addestrato per rilevare e rispondere alle minacce prima che i dati vengano persi.
Il team microsoft incident response (in precedenza DART/CRSP) risponde alle compromissioni della sicurezza per aiutare i clienti a diventare cyber-resilienti. Microsoft Incident Response offre risposte reattive in loco e indagini proattive remote. Microsoft Incident Response usa le partnership strategiche di Microsoft con le organizzazioni di sicurezza di tutto il mondo e i gruppi di prodotti Microsoft interni per fornire la più completa e approfondita indagine possibile. Gli esperti di risposta agli incidenti danno priorità alla proattività, usando intelligence sulle minacce e segnali giornalieri e per individuare le minacce in ogni ambiente del cliente. Microsoft incoraggia i clienti a stabilire anche un proprio team di risposta agli incidenti per garantire il massimo monitoraggio interno.
Questo articolo descrive in che modo Microsoft Incident Response gestisce gli attacchi ransomware per aiutare i clienti Microsoft nelle procedure consigliate per il playbook delle operazioni di sicurezza. Per informazioni su come Microsoft utilizza l'intelligenza artificiale più recente per la mitigazione dei ransomware, leggere l'articolo sulla difesa di Microsoft Security Copilot contro gli attacchi ransomware.
Come Microsoft Incident Response usa i servizi di sicurezza Microsoft
Microsoft Incident Response si basa principalmente sui dati per tutte le indagini e usa servizi di sicurezza Microsoft come Microsoft Defender per Office 365, Microsoft Defender per endpoint, Microsoft Defender per identitàe Microsoft Defender for Cloud Apps.
Per gli aggiornamenti più recenti delle misure di sicurezza del team di Risposta agli incidenti di Microsoft, consultare il Ninja Hub.
Microsoft Defender per endpoint
Defender per endpoint è la piattaforma di sicurezza degli endpoint aziendali di Microsoft progettata per aiutare gli analisti della sicurezza di rete aziendali a prevenire, rilevare, analizzare e rispondere alle minacce avanzate. Defender per endpoint può rilevare gli attacchi usando analisi comportamentali avanzate e Machine Learning. Gli analisti possono usare Defender per endpoint per valutare l'analisi comportamentale degli attori delle minacce.
Gli analisti possono anche eseguire query di ricerca avanzate per identificare gli indicatori di compromissione (IOC) o cercare il comportamento noto degli attori delle minacce.
Defender for Endpoint offre l'accesso in tempo reale al monitoraggio e all'analisi degli esperti Microsoft Defender Experts di attività sospette in corso. È anche possibile collaborare con esperti su richiesta per ottenere maggiori informazioni sugli avvisi e sugli eventi imprevisti.
Microsoft Defender per identità
Defender per l'identità esamina gli account compromessi noti per identificare altri account potenzialmente compromessi nell'organizzazione. Defender for Identity invia avvisi per attività dannose note, ad esempio attacchi DCSync, tentativi di esecuzione remota del codice e attacchi pass-the-hash.
Microsoft Defender for Cloud Apps
Defender for Cloud Apps (noto in precedenza come Microsoft Cloud App Security) consente all'analista di rilevare comportamenti insoliti nelle applicazioni cloud per identificare ransomware, utenti compromessi o applicazioni non autorizzate. Defender for Cloud Apps è la soluzione CASB (Cloud Access Security Broker) di Microsoft che consente il monitoraggio dei servizi cloud e dei dati a cui accedono gli utenti nei servizi cloud.
Punteggio di sicurezza Microsoft
I servizi XDR di Microsoft Defender forniscono raccomandazioni per la correzione in tempo reale per ridurre la superficie di attacco. Microsoft Secure Score è una misura del comportamento di sicurezza di un'organizzazione, con un numero più elevato che indica che sono state eseguite altre azioni di miglioramento. leggi la documentazione relativa al punteggio di sicurezza per altre informazioni su come l'organizzazione può usare questa funzionalità per classificare in ordine di priorità le azioni di correzione per il proprio ambiente.
L'approccio di Risposta agli eventi imprevisti Microsoft per condurre indagini sugli eventi imprevisti ransomware
Determinare il modo in cui un attore di minacce ha ottenuto l'accesso all'ambiente è fondamentale per identificare le vulnerabilità, condurre la mitigazione degli attacchi e prevenire attacchi futuri. In alcuni casi, l'attore della minaccia adotta misure per coprire le tracce e distruggere le prove, quindi è possibile che l'intera catena di eventi non sia evidente.
Di seguito sono riportati tre passaggi chiave nelle indagini ransomware di Risposta agli eventi imprevisti Microsoft:
| Procedi | Obiettivo | Domande iniziali |
|---|---|---|
| 1. Valutare la situazione attuale | Comprendere l'ambito | Cosa ti ha reso inizialmente consapevole di un attacco ransomware? Qual è l'ora o la data in cui si è appreso per la prima volta l'evento imprevisto? Quali log sono disponibili e indica che l'attore sta attualmente accedendo ai sistemi? |
| 2. Identificare le app line-of-business interessate | Ottenere i sistemi online | L'applicazione richiede un'identità? I backup dell'applicazione, della configurazione e dei dati sono disponibili? Il contenuto e l'integrità dei backup vengono verificati regolarmente usando un esercizio di ripristino? |
| 3. Determinare il processo di recupero compromesso (CR) | Rimuovere l'attore di minacce dall'ambiente | N/D |
Passaggio 1: Valutare la situazione corrente
Una valutazione della situazione attuale è fondamentale per comprendere l'ambito dell'evento imprevisto e per determinare le persone migliori per assistere e pianificare e definire l'ambito delle attività di indagine e correzione. Porre le domande iniziali seguenti è fondamentale per determinare l'origine e l'entità della situazione.
Come hai identificato l'attacco ransomware?
Se il personale IT ha identificato la minaccia iniziale, ad esempio backup eliminati, avvisi antivirus, rilevamento degli endpoint e risposta (EDR) o modifiche sospette del sistema, è spesso possibile adottare misure rapide decisive per contrastare l'attacco. Queste misure comportano in genere la disabilitazione di tutte le comunicazioni Internet in ingresso e in uscita. Anche se questa misura potrebbe influire temporaneamente sulle operazioni aziendali, in genere queste sarebbero molto meno interessate rispetto a un'implementazione riuscita di ransomware.
Se una chiamata utente al supporto tecnico IT ha identificato la minaccia, potrebbe esserci un avviso abbastanza avanzato per adottare misure difensive per prevenire o ridurre al minimo gli effetti dell'attacco. Se un'entità esterna, ad esempio l'applicazione della legge o un istituto finanziario, ha identificato la minaccia, è probabile che il danno sia già stato fatto. A questo punto, l'attore di minaccia potrebbe avere il controllo amministrativo della rete. Questa prova può variare dalle note ransomware alle schermate bloccate alle richieste di riscatto.
Quale data/ora ha appreso per la prima volta l'evento imprevisto?
Definire la data e l'ora dell'attività iniziale è importante per limitare l'ambito del triage iniziale per l'attività di attori malevoli. Altre domande possono includere:
- Quali aggiornamenti mancavano in quella data? È importante identificare eventuali vulnerabilità sfruttate.
- Quali account sono stati usati in quella data?
- Quali nuovi account sono stati creati da tale data?
Quali log sono disponibili e indica che l'attore sta attualmente accedendo ai sistemi?
I log, ad esempio antivirus, EDR e rete privata virtuale (VPN), possono mostrare prove di compromissione sospetta. Le domande di completamento possono includere:
- I log vengono aggregati in una soluzione SIEM (Security Information and Event Management), ad esempio Microsoft Sentinel, Splunk, ArcSight e altri elementi e versioni correnti? Qual è il periodo di conservazione di questi dati?
- Ci sono sistemi sospetti compromessi che riscontrano attività insolite?
- Ci sono account compromessi sospetti che sembrano essere sotto il controllo attivo degli autori delle minacce?
- Esistono prove di comandi e controlli attivi (C2) in EDR, firewall, VPN, proxy Web e altri log?
Per valutare la situazione, potrebbe essere necessario un controller di dominio Active Directory Domain Services (AD DS) che non è stato compromesso, un backup recente di un controller di dominio o un controller di dominio recente portato offline per la manutenzione o gli aggiornamenti. Determinare anche se è stata richiesta l'autenticazione a più fattori (MFA) per tutti gli utenti dell'azienda e se è stato usato l'ID Microsoft Entra.
Passaggio 2: Identificare le app line-of-business non disponibili a causa dell'evento imprevisto
Questo passaggio è fondamentale per determinare il modo più rapido per riportare i sistemi online ottenendo le prove necessarie.
L'applicazione richiede un'identità?
- Come viene eseguita l'autenticazione?
- In che modo le credenziali, ad esempio i certificati o i segreti, vengono archiviati e gestiti?
Sono disponibili backup testati dell'applicazione, della configurazione e dei dati?
- Il contenuto e l'integrità dei backup vengono verificati regolarmente usando un esercizio di ripristino? Questo controllo è importante dopo le modifiche alla gestione della configurazione o gli aggiornamenti della versione.
Passaggio 3: Determinare il processo di ripristino compromesso
Questo passaggio potrebbe essere necessario se il piano di controllo, che è tipicamente AD DS (Servizi di dominio Active Directory), è stato compromesso.
L'indagine deve sempre fornire output che si inserisce direttamente nel processo di richiesta di modifica. CR è il processo che rimuove il controllo degli attori malintenzionati da un ambiente e aumenta tatticamente la postura di sicurezza entro un determinato periodo. CR si verifica dopo la violazione della sicurezza. Per altre informazioni su CR, leggere l'articolo crsp del team Microsoft Compromise Recovery Security Practice: the emergency team fighting cyber attacks (CSP: Il team di emergenza che combatte gli attacchi informatici accanto ai clienti ).
Dopo aver raccolto le risposte alle domande nei passaggi 1 e 2, è possibile compilare un elenco di attività e assegnare proprietari. Per una risposta efficace agli incidenti, è necessario un impegno che includa una documentazione approfondita e dettagliata di ciascun elemento di lavoro, come ad esempio il proprietario, lo stato, i risultati, la data e l'ora, per compilare i risultati.
Consigli e procedure consigliate per la risposta agli eventi imprevisti Microsoft
Ecco le raccomandazioni e le procedure consigliate di Microsoft Incident Response per le attività di contenimento e post-evento imprevisto.
Containment
Il contenimento può verificarsi solo dopo aver determinato ciò che deve essere contenuto. Nel caso di ransomware, l'attore di minaccia mira a ottenere le credenziali per il controllo amministrativo su un server a disponibilità elevata e quindi distribuire il ransomware. In alcuni casi, l'attore della minaccia identifica i dati sensibili ed esfiltra i dati in una posizione che controlla.
Il ripristino tattico è unico per l'ambiente, il settore e il livello di esperienza IT dell'organizzazione. I passaggi descritti di seguito sono consigliati per il contenimento tattico e a breve termine. Per altre informazioni sulle linee guida a lungo termine, vedere Protezione dell'accesso con privilegi. Per una visione completa di come difendersi da ransomware ed estorsione, vedere Ransomware gestito dall'uomo.
I passaggi di contenimento seguenti possono essere eseguiti man mano che vengono individuati nuovi vettori di minaccia.
Passaggio 1: Valutare l'ambito della situazione
- Quali account utente sono stati compromessi?
- Quali dispositivi sono interessati?
- Quali applicazioni sono interessate?
Passaggio 2: Mantenere i sistemi esistenti
- Disabilitare tutti gli account utente con privilegi, ad eccezione di un numero ridotto di account usati dagli amministratori per ripristinare l'integrità dell'infrastruttura di Active Directory Domain Services. Se si ritiene che un account utente sia compromesso, disabilitarlo immediatamente.
- Isolare i sistemi compromessi dalla rete, ma non disattivarli.
- In ogni dominio, isolare almeno un controller di dominio noto e valido, idealmente due. Disconnetterli dalla rete o disattivarli per impedire la diffusione del ransomware ai sistemi critici, assegnando priorità all'identità come vettore di attacco più vulnerabile. Se tutti i controller di dominio sono virtuali, assicurarsi che il backup delle unità dati e del sistema della piattaforma di virtualizzazione venga eseguito su supporti esterni offline non connessi alla rete.
- Isolare i server applicativi critici e validi noti, come SAP, il database di gestione della configurazione (CMDB), i sistemi di fatturazione e contabilità.
Questi due passaggi possono essere eseguiti simultaneamente man mano che vengono individuati nuovi vettori di minaccia. Per isolare la minaccia dalla rete, disabilitare i vettori di minaccia e quindi cercare un sistema noto non compromesso.
Altre azioni di contenimento tattico includono:
Reimpostare la password krbtgt due volte in rapida successione. Prendere in considerazione l'uso di un processo ripetibile con script. Questo script consente di reimpostare la password dell'account krbtgt e le chiavi correlate riducendo al minimo la probabilità di problemi di autenticazione Kerberos. Per ridurre al minimo i problemi, la durata di krbtgt può essere ridotta una o più volte prima della prima reimpostazione della password per completare rapidamente questi passaggi. Tutti i controller di dominio che si prevede di mantenere nell'ambiente devono essere online.
Distribuire un criterio di gruppo all'intero dominio che impedisce l'accesso ai privilegi (Domain Admins), tranne che per i controller di dominio e le workstation amministrative privilegiate (se presenti).
Installare tutti gli aggiornamenti della sicurezza mancanti per sistemi operativi e applicazioni. Ogni aggiornamento mancante è un potenziale vettore di minaccia che gli attori ransomware possono identificare e usare rapidamente. La gestione delle minacce e delle vulnerabilità di Microsoft Defender per Endpoint offre un modo semplice per vedere esattamente cosa manca e l'impatto degli aggiornamenti mancanti.
Per i dispositivi Windows 10 (o versione successiva), verificare che la versione corrente (o n-1) sia in esecuzione in ogni dispositivo.
Distribuire regole di riduzione della superficie di attacco (ASR) per prevenire l'infezione da malware.
Abilita tutte le funzionalità di sicurezza di Windows 10.
Verificare che ogni applicazione esterna, incluso l'accesso VPN, sia protetta dall'autenticazione a più fattori (MFA), preferibilmente usando un'applicazione di autenticazione in esecuzione in un dispositivo protetto.
Per i dispositivi che non usano Defender per endpoint come software antivirus principale, eseguire un'analisi completa con Microsoft Safety Scanner su sistemi sicuri noti isolati prima di riconnetterli alla rete.
Per tutti i sistemi operativi legacy, eseguire l'aggiornamento a un sistema operativo supportato o rimuovere tali dispositivi. Se queste opzioni non sono disponibili, prendere tutte le misure possibili per isolare questi dispositivi, tra cui isolamento rete/VLAN, regole di sicurezza del protocollo Internet (IPsec) e restrizioni di accesso. Questi passaggi consentono di garantire che questi sistemi siano accessibili solo dagli utenti/dispositivi per garantire la continuità aziendale.
Le configurazioni più rischiose sono costituite dall'esecuzione di sistemi cruciali su sistemi operativi legacy precedenti come Windows NT 4.0 e applicazioni, tutti su hardware legacy. Non solo questi sistemi operativi e applicazioni sono insicuri e vulnerabili, ma se l'hardware si guasta, i backup generalmente non possono essere ripristinati su hardware moderno. Queste applicazioni non possono funzionare senza hardware legacy. Considerate fortemente di convertire queste applicazioni per essere eseguite sui sistemi operativi e sull'hardware attuali.
Attività post-evento imprevisto
Microsoft Incident Response consiglia di implementare le raccomandazioni e le procedure consigliate per la sicurezza seguenti dopo ogni evento imprevisto.
Assicurarsi che siano adottate le migliori pratiche per soluzioni di posta elettronica e collaborazione, per impedire ai malintenzionati di usarle, consentendo comunque agli utenti interni di accedere al contenuto esterno in modo semplice e sicuro.
Seguire le procedure consigliate per la sicurezza Zero Trust per le soluzioni di accesso remoto alle risorse aziendali interne.
Iniziando dagli amministratori con ruoli critici, seguire le procedure consigliate per la sicurezza degli account, inclusi l'uso di autenticazione senza password o autenticazione a più fattori (MFA).
Implementare una strategia completa per ridurre il rischio di compromissione dell'accesso con privilegi.
Per l'accesso amministrativo cloud e foresta/dominio, usare il modello di accesso con privilegi microsoft (PAM).
Per la gestione amministrativa degli endpoint, usare la soluzione di password amministrativa locale (LAPS).
Implementare la protezione dei dati per bloccare le tecniche ransomware e confermare un ripristino rapido e affidabile da un attacco.
Esaminare i sistemi critici. Verificare la protezione e i backup contro la rimozione o la crittografia da parte degli autori delle minacce. Esaminare, testare e verificare periodicamente questi backup.
Garantire il rilevamento rapido e la correzione di attacchi comuni contro endpoint, posta elettronica e identità.
Individuare e migliorare continuamente il comportamento di sicurezza dell'ambiente.
Aggiornare i processi organizzativi per gestire gli eventi ransomware principali e semplificare l'esternalizzazione per evitare attriti.
PAM
L'uso di PAM (noto in precedenza come modello di amministrazione a livelli) migliora il comportamento di sicurezza di Microsoft Entra ID, che comporta:
Suddividere gli account amministrativi in un ambiente "pianificato", ovvero un account per ogni livello (in genere quattro livelli):
Piano di controllo (in precedenza livello 0): amministrazione dei controller di dominio e di altri servizi di identità cruciali, ad esempio Active Directory Federation Services (ADFS) o Microsoft Entra Connect. Sono incluse anche applicazioni server che richiedono autorizzazioni amministrative per Servizi di dominio Active Directory, ad esempio Exchange Server.
I due piani successivi erano precedentemente di livello 1:
Piano di gestione: gestione degli asset, monitoraggio e sicurezza.
Piano dati/carico di lavoro: applicazioni e server applicazioni.
I due piani successivi erano precedentemente di livello 2:
Accesso utente: diritti di accesso per gli utenti ,ad esempio gli account.
Accesso alle app: diritti di accesso per le applicazioni.
Ognuno di questi piani dispone di una workstation amministrativa separata per ogni piano e ha accesso solo ai sistemi in tale piano. L'accesso alle workstation e ai server di piani diversi viene negato agli account di altri piani tramite l'assegnazione di diritti utente su tali dispositivi.
La PAM garantisce:
Un account utente compromesso ha accesso solo al proprio piano.
Gli account utente più sensibili non possono accedere a workstation e server con un livello di sicurezza inferiore. Ciò consente di evitare lo spostamento laterale dell'attore di minacce.
LAPS
Per impostazione predefinita, Microsoft Windows e Active Directory Domain Services non dispongono di una gestione centralizzata degli account amministrativi locali nelle workstation e nei server membri. Questa mancanza di gestione può comportare una password comune per tutti questi account locali o almeno per i gruppi di dispositivi. Questa situazione consente agli attori di minaccia di compromettere un account amministratore locale per accedere ad altre workstation o server nell'organizzazione.
Microsoft LAPS attenua questa minaccia utilizzando un'estensione lato client dei Criteri di gruppo che modifica la password amministrativa locale a intervalli regolari su workstation e server secondo i criteri impostati. Ognuna di queste password è diversa e archiviata come attributo nell'oggetto computer di Active Directory Domain Services. Questo attributo può essere recuperato da una semplice applicazione client, a seconda delle autorizzazioni assegnate a tale attributo.
LAPS richiede l'estensione dello schema di Active Directory Domain Services per consentire l'aggiunta dell'attributo aggiuntivo, l'installazione dei modelli di Criteri di gruppo LAPS, e l'installazione di una piccola estensione lato client su ogni workstation e server membro per fornire funzionalità lato client.
Puoi scaricare LAPS dal Microsoft Download Center .
Risorse ransomware aggiuntive
Le risorse Microsoft seguenti consentono di rilevare gli attacchi ransomware e proteggere gli asset dell'organizzazione:
Report sulla difesa digitale Microsoft 2023 (vedere le pagine 17-26)
Ransomware: un report di analisi delle minacce permanente e diffuso nel portale di Microsoft Defender
Case study ransomware di Risposta agli eventi imprevisti Microsoft
Microsoft 365:
- Distribuire la protezione ransomware per il tenant di Microsoft 365
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Recupero da un attacco ransomware
- Malware e protezione ransomware
- Proteggere il PC Windows 10 da ransomware
- Gestione di ransomware in SharePoint Online
- Report di analisi delle minacce per ransomware nel portale di Microsoft Defender
- Sfruttare l'intelligenza artificiale per difendersi da ransomware con Microsoft Security Copilot
Microsoft Defender XDR:
Microsoft Azure:
- Difesa di Azure per attacchi ransomware
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Backup e ripristino del piano per la protezione da ransomware
- Aiutare a proteggere da ransomware con Backup di Microsoft Azure (video di 26 minuti)
- Recupero da una compromissione sistemica dell'identità
- Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
- Rilevamento fusion per ransomware in Microsoft Sentinel
app Microsoft Defender per il cloud: