Protezione dai ransomware e ripristino in Office 365: panoramica completa
Al giorno d’oggi, il ransomware è considerato una delle maggiori minacce per le aziende moderne, poiché può colpire tutti i tipi di dati, compresi i file e i documenti di Microsoft 365. Infatti, nel 2020 si sono verificati oltre 304 milioni di attacchi a livello globale, con un riscatto medio pagato pari a 812.360 dollari. E i metodi di infiltrazione diventano ogni anno più sofisticati.
In base al suo modello di responsabilità condivisa, Microsoft fornisce agli utenti vari strumenti di protezione dai ransomware per Office 365. Tuttavia, le organizzazioni che utilizzano Office 365 sono responsabili della configurazione di questi strumenti per proteggere i propri dati dalle minacce, nonché dell’utilizzo di strumenti di terze parti per garantirne la recuperabilità.
Questo post descrive in dettaglio le funzioni integrate di protezione dai ransomware e di ripristino di Microsoft che consentono di proteggere l’ambiente e ripristinare i dati dopo un attacco ransomware.
Opzioni native di protezione dai ransomware di Office 365
Gli abbonamenti Microsoft includono diverse funzioni integrate che consentono di proteggere il tenant e mitigare i rischi in caso di incidenti di sicurezza. Utilizzando gli strumenti disponibili in Exchange Online Protection (EOP) e Microsoft Defender, è possibile rilevare, effettuare il monitoraggio e scoraggiare gli attacchi prima che si infiltrino e si diffondano nella rete.
Tenere presente che le funzioni di protezione dai ransomware di Microsoft hanno dei limiti e non offrono una protezione completa contro le infezioni, in particolare quando si tratta di malware avviato dall’utente, ad esempio.
Microsoft 365 Defender
La maggior parte degli strumenti di sicurezza efurto di identitànecessari sono disponibili in Microsoft 365 Defender e Microsoft Defender per Office 365, poiché combinano numerose funzionalità di monitoraggio e protezione. Inoltre, è possibile utilizzare Microsoft Defender for Identity e Microsoft Defender for Endpoint per individuare i dispositivi compromessi che potrebbero essere l’origine di una violazione.
Di seguito sono elencate le più importanti funzioni di protezione dai ransomware di Office 365 incluse in Microsoft Defender.
- Indagine e risposta alle minacce
Si tratta di un insieme di funzioni che aiutano gli amministratori a eseguire la scansione del proprio ambiente e a raccogliere dati sulle potenziali minacce. Il flusso di lavoro di indagine e risposta alle minacce raccoglie informazioni utilizzando strumenti di tracciamento delle minacce da diverse origini, quali computer infetti, incidenti precedenti, attività degli utenti e altro ancora. Vengono quindi implementate le azioni di risposta necessarie per affrontare i rischi in OneDrive for Business, SharePoint Online, Exchange Online e Microsoft Teams.
- Protezione anti-phishing
Gli schemi di ingegneria sociale come gli attacchi di phishing sono i vettori di attacco ransomware numero uno. Microsoft Defender per Office 365 utilizza algoritmi avanzati e una serie di funzioni per effettuare il rilevamento automatico degli attacchi di phishing e proteggere i dati di Office 365.
Informazioni sull’inganno: queste informazioni consentono di rilevare e limitare automaticamente i mittenti falsificati nei messaggi da domini interni o esterni. È inoltre possibile consentire o bloccare manualmente i mittenti identificati nell’elenco dei mittenti consentiti/bloccati del tenant.
Criteri anti-phishing: configurare varie impostazioni, quali la protezione dall’usurpazione di identità, l’intelligence della cassetta postale e le soglie avanzate di phishing. Inoltre, è possibile specificare l’azione da intraprendere per i mittenti contraffatti bloccati.
Autenticazione implicita delle e-mail: Identifica i mittenti contraffatti controllando le e-mail in entrata utilizzando tecniche avanzate come la reputazione del mittente, la cronologia del mittente, l’analisi comportamentale e altro ancora.
Visualizzazioni delle campagne: Rileva e analizza i messaggi coinvolti in campagne di phishing coordinate.
Formazione con simulazione di attacchi: Gli amministratori possono creare messaggi di phishing falsi e condividerli con gli utenti all’interno della loro rete per testare la loro preparazione e condurre corsi di formazione sulla consapevolezza del ransomware.
- Protezione anti-malware
La protezione multi-livello contro il malware in EOP effettua il rilevamento automatico di diversi tipi di malware in entrata e in uscita, inclusi virus, spyware e ransomware. Ciò avviene tramite le seguenti funzioni:
Difese multistrato contro il malware: Diversi motori di scansione anti-malware proteggono la vostra organizzazione dalle minacce note e sconosciute. Questi motori forniscono protezione dai ransomware di Office 365 anche nelle prime fasi di un’epidemia.
Risposta alle minacce in tempo reale: Il team di sicurezza può raccogliere informazioni sufficienti su un virus o un malware per creare regole specifiche e pubblicarle immediatamente sulla rete.
Implementazione rapida delle definizioni anti-malware: I motori anti-malware vengono costantemente aggiornati per includere nuove patch e definizioni di malware.
- Accesso controllato alle cartelle
Abilitando la protezione in tempo reale in Microsoft Defender Antivirus, è possibile gestire le impostazioni di accesso controllato alle cartelle per proteggere i file e i dati di Office 365 da app dannose e ransomware. Questa funzione controlla le applicazioni rispetto a un elenco di app note e consente solo a quelle affidabili di accedere alle cartelle protette. In caso di attività dannose, riceverai una notifica che ti mostrerà quale app ha tentato di apportare modifiche indesiderate a un documento protetto.
- Microsoft Defender per le app cloud
Il passaggio al cloud introduce nuovi rischi per la sicurezza che potrebbero mettere in pericolo i tuoi dati durante l’storage o il trasferimento. Microsoft Defender per le app cloud offre piani Microsoft Enterprise con controllo avanzato, visibilità potente e rilevamento affidabile delle minacce informatiche nei servizi cloud Microsoft e di terze parti.
Le funzionalità principali che garantiscono la protezione dai ransomware di Office 365 sono:
Rileva e controlla l’uso dello Shadow IT: Identifica le app e i servizi cloud utilizzati dalla tua organizzazione, analizza i modelli di utilizzo e valuta la preparazione aziendale rispetto a molteplici rischi.
Proteggi le informazioni sensibili nel cloud: Implementa criteri e processi automatizzati per controllare e salvaguardare i dati sensibili in tempo reale in tutte le app cloud.
Scoraggia le minacce informatiche e le anomalie: Rileva comportamenti insoliti, ransomware, computer compromessi e applicazioni dannose. Analizza i modelli di utilizzo ad alto rischio e risolvi automaticamente le minacce.
Valuta la conformità delle app cloud: Assicurati che le tue applicazioni soddisfino i requisiti di conformità normativa e gli standard di settore.
- Microsoft Defender SmartScreen
Microsoft Defender SmartScreen offre protezione contro malware o applicazioni e siti web di phishing. I file potenzialmente dannosi vengono bloccati automaticamente e l’utente viene avvisato. Le pagine web visitate vengono analizzate e confrontate con un elenco di siti di phishing e dannosi segnalati. Le app scaricate o gli installer delle app vengono invece confrontati con un elenco di programmi dannosi segnalati e noti per essere pericolosi.
Microsoft Purview Information Protection
La protezione dai ransomware di Office 365 non si limita a prevenire gli attacchi. Processi ottimali di governance dei dati possono anche ridurre la minaccia di perdita di dati tramite ransomware. Utilizzando diverse funzioni di Microsoft Purview Information Protection, è possibile identificare, classificare e proteggere i dati sensibili, sia in transito che a riposo.
- Prevenzione della perdita di dati (DLP)
La definizione e l’applicazione di criteri DLP impediscono agli utenti di condividere in modo inappropriato dati sensibili con personale non autorizzato e limitano il rischio di perdita di dati. Ancora più importante, DLP consente il monitoraggio delle attività degli utenti su elementi sensibili. Questi elementi possono anche essere spostati e bloccati in una ubicazione di quarantena sicura per impedire che le infezioni da ransomware li raggiungano.
- Etichette di riservatezza
Configurare e applicare etichette di riservatezza ai dati che si ritengono potenzialmente soggetti a ransomware, come e-mail o documenti sensibili. Proteggi i file di Office 365 contrassegnando il contenuto o tramite crittografia per garantire che solo gli utenti autorizzati possano accedervi.
Strumenti aggiuntivi di protezione dai ransomware per Office 365
Microsoft offre ulteriori funzioni che riducono il rischio di ransomware e limitano la perdita di dati:
- Impostazioni e-mail di Exchange: Le e-mail di phishing sono il metodo principale utilizzato negli attacchi ransomware. La configurazione delle impostazioni e-mail di Exchange riduce la vulnerabilità della tua organizzazione agli attacchi basati sulle e-mail, bloccando l’accesso iniziale al tuo tenant.
- Autenticazione a più fattori: L’abilitazione dell’autenticazione moderna in Office 365 aggiunge un secondo livello di protezione al processo di accesso e riduce drasticamente la possibilità di compromissione delle credenziali.
- Punteggio di sicurezza per la sicurezza Microsoft: Questo strumento misura continuamente lo stato di sicurezza della tua organizzazione e suggerisce miglioramenti per aiutarti a proteggere i dati di Office 365.
- Regole di riduzione della superficie di attacco: Riduci le tue vulnerabilità agli attacchi informatici configurando le impostazioni necessarie. Blocca le attività sospette prima che infettino l’intera rete.
Metodi di ripristino da ransomware Microsoft
A volte, tutte le opzioni di protezione falliscono e si viene colpiti da un attacco ransomware. In questo caso, è necessario interrompere immediatamente la sincronizzazione di OneDrive su tutti i dispositivi collegati e scollegare i dispositivi infetti dalla rete. Se lo si fa in tempo, c’è un’alta probabilità che i file infetti abbiano ancora copie non crittografate memorizzate su altre unità.
Controllo delle versioni
Quando è abilitato, il controllo delle versioni consente di salvare automaticamente più versioni dello stesso documento in SharePoint Online, Exchange Online e OneDrive for Business. Per impostazione predefinita, il numero di versioni è limitato a 500, ma è possibile aumentarlo fino a 50.000.
È possibile ripristinare le versioni precedenti create prima dell’attacco ransomware e ripristinarle quando necessario. Tenere presente che il controllo delle versioni non offre una protezione completa contro il ransomware, poiché alcune infezioni possono crittografare anche tutte le versioni di un documento.
Nota: L’archiviazione di più versioni richiede spazio di storage aggiuntivo.
Cestino
In alcuni casi, gli attacchi ransomware rimuovono il file originale e creano una nuova versione crittografata che non è possibile utilizzare. Il cestino può essere utilizzato come strumento di ripristino del ransomware Microsoft poiché consente di ripristinare i file eliminati entro un periodo di 93 giorni.
Anche dopo la scadenza di questo periodo e la rimozione dell’elemento da entrambe le fasi del cestino, si dispone di un periodo di 14 giorni per contattare il supporto Microsoft e richiedere il ripristino dei dati. Una volta scaduto questo periodo, i dati vengono eliminati in modo definitivo.
Criteri di conservazione per la conformità
Crea regole che definiscono per quanto tempo conservare i file e i documenti di Office 365. Ciò consente di configurare quali dati possono essere eliminati e quando. È possibile automatizzare questo processo impostando criteri di conservazione per tipi di contenuto specifici.
Nota: I criteri di conservazione per la conformità sono disponibili solo per i piani di abbonamento Microsoft 365 E5, A5 e G5.
Libreria di conservazione
Applicando le impostazioni di conservazione, i dati sincronizzati su OneDrive o SharePoint possono essere archiviati per un periodo di tempo specificato nella Libreria di conservazione. La funzione di blocco sul posto garantisce che una copia rimanga invariata e non sia influenzata dall’infezione da ransomware. A seguito di un attacco, l’utente può accedere alla libreria ed esportare i file necessari.
Soluzioni di backup di terze parti
Esistono diversi metodi di ripristino da ransomware di Office 365 che è possibile utilizzare per ripristinare i dati infetti. Tenete presente che, analogamente alle funzioni di protezione dai ransomware di Microsoft, questi strumenti hanno i loro limiti e potrebbero non garantire il recupero dei dati.
Microsoft non esegue il backup dei dati di Office 365, ma offre invece criteri di conservazione per Exchange Online, SharePoint Online e OneDrive for Business. D’altra parte, le moderne soluzioni di backup per SaaS forniscono una protezione e una sicurezza ottimali dei dati in caso di violazione informatica. I tuoi dati possono essere archiviati in repository sicuri e ripristinati rapidamente dopo un attacco.
Conclusioni
Al giorno d’oggi, gli attacchi ransomware sono la minaccia più pericolosa per le organizzazioni, poiché possono colpire qualsiasi tipo di dati, inclusi i documenti e i file di Office 365. Fortunatamente, Microsoft fornisce strumenti integrati di protezione dai ransomware e di ripristino per Office 365 che effettuano il monitoraggio e la protezione continua del vostro ambiente.
Tuttavia, questi strumenti nativi hanno i loro limiti ed è necessaria una soluzione di backup di terze parti per ripristinare in modo sicuro i dati dopo un’infezione. Scaricate NAKIVO Backup for Office 365 Edizione Free per scoprire tutti gli strumenti e le funzionalità avanzate che vi aiutano a garantire la recuperabilità dei dati.
