NAKIVO > Blog

Strategia per proteggere OneDrive dal ransomware

Pubblicato: Agosto 3, 2021

Written by: NAKIVO Team

<> & Molti utenti considerano OneDrive come un archivio di backup su cloud. Tendono a pensare che i file archiviati in OneDrive siano immuni da perdita e danneggiamento. In altre parole, alcuni credono che i file archiviati in un cloud pubblico non possano essere danneggiati dal ransomware, a differenza dei file archiviati su unità disco di computer locali e server on-premise. Questo non è del tutto vero! I file archiviati in OneDrive possono essere attaccati dal ransomware, crittografati e, di conseguenza, persi.

La popolarità degli attacchi ransomware cresce ogni anno. Tuttavia, se si seguono le raccomandazioni e si osservano le politiche di sicurezza, è possibile mantenere i dati al sicuro anche quando vengono archiviati in OneDrive. Questo post del blog tratta le strategie per proteggere i dati in OneDrive e spiega come proteggersi dagli attacchi ransomware.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

Informazioni su OneDrive e ransomware

Il ransomware può infettare OneDrive? Sì, i file archiviati su OneDrive possono essere infettati e crittografati con ransomware nei seguenti casi:

  • OneDrive è montato su una Cartella locale su un computer locale e i file archiviati in OneDrive vengono sincronizzati con la Cartella locale associata. Se un computer locale viene infettato da ransomware, il ransomware effettua la crittografia di tutti i file accessibili, inclusi i file archiviati nella Cartella sincronizzata con OneDrive. Di conseguenza, se si accede a OneDrive in un’interfaccia web, si vedranno file crittografati (in altre parole, danneggiati). Il ransomware può iniziare a crittografare One Drive, quindi crittografa altre unità e tutte le ubicazioni di storage accessibili.
  • Se un aggressore ottiene le tue credenziali, i file accessibili dal tuo account utente possono essere crittografati con il ransomware.
  • Fare clic sui link di phishing provoca il download e l’esecuzione di virus, malware e ransomware sul computer della vittima. Il ransomware danneggia i file a cui ha accesso.
  • I componenti aggiuntivi e le estensioni dannosi che richiedono l’autorizzazione per accedere a OneDrive sono pericolosi e possono costituire punti di ingresso per un’infezione da ransomware. Leggi attentamente la descrizione dei componenti aggiuntivi e delle estensioni e verifica il vendor prima di installarli.

Quanto è sicuro OneDrive? OneDrive è sicuro? Quanto è sicuro OneDrive? Queste domande sono molto frequenti tra i nuovi utenti Microsoft 365. OneDrive è abbastanza sicuro. Tuttavia, è necessario sapere come proteggersi dagli attacchi ransomware, seguire le raccomandazioni di sicurezza e sapere cosa fare se OneDrive viene hackerato. Microsoft ha presentato una nuova funzione integrata di rilevamento dei ransomware, che rileva attività sospette come cancellazioni di massa o crittografia di file archiviati in OneDrive. L’utente viene avvisato con un messaggio di avviso sul dispositivo e tramite e-mail. Viene inoltre visualizzato un elenco di raccomandazioni. Ma ciò che si desidera è evitare che il ransomware di OneDrive danneggi i file. Leggi come proteggere le cartelle dal ransomware nella sezione avanzata di questo post del blog.

Come proteggere OneDrive da un attacco ransomware

In questa sezione spiego come proteggersi dal ransomware e definisco le strategie di protezione dai ransomware per OneDrive. Seguire queste raccomandazioni riduce il rischio di essere infettati dal ransomware e di perdere i dati.

Proteggere le credenziali

Proteggere le credenziali dell’account amministratore di Microsoft 365. Rubando le credenziali di un amministratore, un aggressore può rubare e danneggiare tutti i dati di un’organizzazione archiviati in OneDrive (compresi tutti i dati di tutti gli utenti dell’organizzazione).

Proteggi le credenziali degli utenti. Rubando gli account degli utenti, gli aggressori possono accedere ai loro dati personali e condivisi, distribuire ransomware e infettare i file. Quando i file archiviati nell’archivio condiviso OneDrive vengono infettati, anche gli altri utenti che accedono all’archivio condiviso possono essere infettati.

Abilita l’autenticazione a due fattori (2FA). Microsoft 365 supporta l’autenticazione a più fattori. Questo ulteriore livello di sicurezza può aiutare gli utenti a proteggere i propri account da compromissioni e furti delle credenziali. Si consiglia di utilizzare l’autenticazione a più fattori o l’autenticazione a due fattori (2FA) per proteggere gli account Microsoft 365 con autorizzazioni di amministrazione. Ecco un post sul blog relativo all’autenticazione a due fattori (2FA) per Microsoft 365.

Proteggi ogni computer

Proteggi i computer della tua organizzazione. Installa e configura software antivirus e antimalware. Seguire questa raccomandazione riduce il rischio che il ransomware infetti i computer degli utenti e i file archiviati nelle cartelle OneDrive sincronizzate su questi computer (archiviazione OneDrive mappata su cartelle locali). Non dimenticare i server e le VM.

Blocca l’esecuzione dei file archiviati in %appdata%, %localappdata%. Per impostazione predefinita, queste directory vengono utilizzate dalle applicazioni in Windows per archiviare i dati. I file temporanei e i dati scaricati possono essere trovati lì. Quando i file ransomware vengono scaricati, possono essere mascherati e nascosti in queste cartelle, per poi essere eseguiti.

Blocca le macro nei documenti Microsoft Office. Le macro sono raramente utilizzate per attività aziendali, ma sono origine di gravi problemi. Un metodo di infezione ampiamente utilizzato è la distribuzione di documenti con macro dannose, che lanciano un attacco ransomware per infettare un computer e poi si diffondono in rete per infettare altri computer.

Aggiornare il software e installare le patch di sicurezza per correggere le vulnerabilità note del software che possono essere utilizzate dal ransomware per penetrare e infettare un sistema. È possibile abilitare gli aggiornamenti automatici del software per Windows e le applicazioni. Se la configurazione di sicurezza non è perfetta, gli aggressori possono utilizzare le vulnerabilità del software non corrette per avviare un attacco ransomware. Ecco perché è importante installare le patch.

Educare gli utenti

Educare gli utenti a riconoscere gli attacchi di phishing. Gli aggressori spesso presumono che gli utenti non siano esperti e che scarichino tutti i file allegati alle e-mail, aprano i file e clicchino su tutti i link. Il nostro compito è quello di informare gli utenti sulle minacce e insegnare loro come identificare i contenuti sospetti.

Il vettore di attacco ransomware più diffuso è l’invio di e-mail di phishing agli utenti. Un link dannoso è progettato per sembrare un link legittimo, ma reindirizza l’utente al download e all’installazione del ransomware. Passa il mouse sul link e controlla l’ortografia nell’indirizzo URL. Se anche un solo carattere è sbagliato, evitate di cliccare sul link. L’indirizzo e-mail di un mittente, analogamente ai link, può essere falsificato. Se non conoscete un mittente e non volete ricevere messaggi da lui, è meglio ignorare o rifiutare l’e-mail da questo mittente. Non scaricate e non aprite i file allegati ai messaggi e-mail. Ricordate il pericolo di aprire documenti Word/Excel con macro.

I link dannosi nei messaggi e-mail e le pagine web false sono pericolosi. Gli aggressori possono creare pagine false e inviare link in messaggi e-mail a queste pagine false. Una pagina falsa sembra la pagina originale, ma cliccare su elementi della pagina o inserire credenziali può portare alla perdita di un account o all’infezione con ransomware.

Anche se l’indirizzo del sito web è reale e legittimo, tenete presente che gli aggressori possono hackerare i siti web e inserire elementi dannosi in quel sito. Dopo aver visitato un sito web di questo tipo, un utente può essere infettato da ransomware. Un buon software antivirus aggiornato può prevenire l’infezione in questo caso.

Un hacker può utilizzare tecniche di ingegneria sociale ed etichette come “urgente”, “importante”, ecc. nei messaggi e-mail per mettere fretta alla vittima e distogliere la sua attenzione dal controllo del contenuto. Prestare attenzione quando si ricevono messaggi da Skype e altri servizi. Tenere presente che un hacker può hackerare un account utente e inviare messaggi da quell’utente. In questo caso l’account utente è reale, ma un link o un file inviato dall’account hackerato può costituire una minaccia.

Quando gli utenti sono addestrati a riconoscere i contenuti sospetti, i rischi di un attacco ransomware tramite e-mail di phishing sono significativamente inferiori. È sempre meglio prevenire gli attacchi ransomware su OneDrive piuttosto che ripristinare i file danneggiati.

Utilizza sistemi di protezione della posta elettronica

Utilizza Exchange Online Protection. Questo strumento nativo di Microsoft 365 consente di configurare filtri di protezione aggiuntivi, come il filtro dei collegamenti sicuri e il filtro degli allegati sicuri.

Configurare criteri anti-phishing. Exchange Online Protection è in grado di determinare mittenti affidabili, mittenti sospetti, file allegati che costituiscono una minaccia e collegamenti contraffatti e dannosi a siti infetti. I mittenti contraffatti e le e-mail indesiderate possono essere bloccati nelle impostazioni.

Blocca i contenuti attivi nei file allegati, come le macro nei documenti Word/Excel, VBScript e JavaScript. Leggi il post sul blog relativo a Exchange Online Protection per ulteriori informazioni su questa funzione.

Utilizza i sistemi di protezione cloud

Abilita Microsoft 365 Defender nel tuo ambiente Microsoft 365. Microsoft 365 Defender è il nuovo nome di Office 365 Advanced Threat Protection (Microsoft Defender per Office 365). Questa funzione consente di ridurre il rischio di infezione da ransomware per gli utenti Microsoft 365 dell’organizzazione. Le caratteristiche principali di Microsoft 365 Defender sono il rilevamento intelligente delle minacce, l’analisi automatizzata e la protezione integrata contro sofisticati attacchi ransomware. Microsoft 365 Defender può essere configurato nel centro sicurezza di Microsoft 365. Quando gli utenti sono istruiti e il software intelligente è abilitato, il livello di protezione è molto più elevato.

Utilizza il controllo delle versioni

Abilita il controllo delle versioni (cronologia delle versioni) nelle impostazioni di OneDrive. Se il ransomware crittografa gli oggetti archiviati in OneDrive, solo l’ultima versione dei file viene crittografata. È possibile selezionare una versione precedente del file e ripristinare i file necessari. Non dimenticare che prima di procedere al ripristino dei file, è necessario rimuovere il ransomware dai computer infetti per evitare che i file vengano nuovamente crittografati. Tieni presente che il ripristino di migliaia di file tramite le versioni precedenti richiede molto tempo e che in questo caso un backup adeguato di OneDrive ti consentirà di risparmiare tempo e risorse. La cronologia delle versioni di OneDrive ti consente di ripristinare i file archiviati in OneDrive a qualsiasi versione modificata negli ultimi 30 giorni. Controlla le impostazioni di conservazione per i file eliminati (file archiviati nel cestino) per OneDrive.

Configura i criteri di conservazione. Microsoft 365 I criteri di conservazione definiscono per quanto tempo i dati vengono conservati dopo essere stati eliminati prima di essere eliminati definitivamente. Si noti che l’archiviazione dei dati conservati nel cloud utilizza spazio di storage, il che può comportare costi aggiuntivi.

Eseguire il backup dei dati archiviati in OneDrive

Eseguire il backup dei dati archiviati in OneDrive. Alcune delle opzioni sopra indicate potrebbero non essere disponibili per tutti i piani di abbonamento a Microsoft 365 e probabilmente sono disponibili solo per i piani di abbonamento di fascia alta. Microsoft consente di richiedere supporto e ripristinare tutti i dati nell’storage sul cloud di Office 365 entro due settimane da un incidente di perdita di dati, ma non è disponibile alcuna opzione per il ripristino granulare e non è possibile selezionare gli oggetti necessari da ripristinare.

Archiviare i backup nel cloud o on-premise in un luogo sicuro. Un repository di backup deve essere ben protetto e non condiviso con altri utenti (deve essere accessibile solo dal software di backup e dagli amministratori).

Eseguire il backup dei dati con NAKIVO Backup & Replication

Utilizzare NAKIVO Backup & Replication per proteggere OneDrive. NAKIVO Backup & Replication & Replication supporta il backup dei dati di Microsoft 365 , inclusi i dati residenti in OneDrive, Exchange Online e SharePoint Online. È possibile eseguire il backup dei dati di OneDrive e creare fino a 4.000 punti di ripristino, per poi ripristinare le versioni necessarie dei file utilizzando tali punti di ripristino. Il ripristino granulare consente di ripristinare file e cartelle personalizzati degli utenti nella posizione originale o in una posizione personalizzata. Un’istanza di NAKIVO Backup & Replication può proteggere migliaia di account utente di Office 365. I dati di OneDrive vengono sottoposti a backup in repository di backup locali archiviati su server locali. La configurazione viene eseguita nell’intuitiva interfaccia web.

Leggi altri post sul blog su il ripristino da ransomware, gli attacchi ransomware ai dispositivi NAS per scoprire di più sul principio di funzionamento e sulla protezione dai ransomware.

Come ripristinare i file OneDrive

Se i tuoi file sono stati crittografati da un ransomware, non pagare mai il riscatto. Il pagamento di un riscatto incentiva gli aggressori a lanciare ulteriori attacchi per ottenere più denaro. Se paghi il riscatto, non hai alcuna garanzia di ripristinare i tuoi file in tutto o in parte. Se ti accorgi che i tuoi file OneDrive sono stati crittografati dopo un attacco ransomware, dovresti recuperare i dati utilizzando gli strumenti nativi di Microsoft o da un backup utilizzando un software di protezione dei dati di terze parti.

Prima di tutto, rimuovi il ransomware installato su tutti i computer della tua organizzazione. Se le funzioni native di Microsoft 365 sono abilitate per gli account utente della tua organizzazione, recupera i file OneDrive dalle versioni precedenti o dal cestino (incluso il cestino di seconda fase). Se si dispone di un backup, ripristinare i dati da esso.

Maggiori informazioni sul backup e il ripristino di OneDrive con NAKIVO Backup & Replication & Replica in questo post del blog.

Conclusione

Questo post del blog ha trattato le strategie per proteggere OneDrive dagli attacchi ransomware e ha fornito alcuni consigli di alto livello che possono aiutare a prevenire gli attacchi ransomware a OneDrive. È necessario proteggere i dati a livello tecnico, configurando le impostazioni di sicurezza per tutti i software utilizzati su tutti i computer e configurando il backup dei dati. Inoltre, è necessario istruire gli utenti su come riconoscere i possibili tentativi di attacchi ransomware, poiché gli aggressori utilizzano spesso uno dei pochi metodi disponibili per avviare attacchi ransomware su OneDrive tramite utenti regolari.

Il backup è il metodo più affidabile per ripristinare i dati se il ransomware danneggia i tuoi file. Utilizza NAKIVO Backup & Replication per proteggere i tuoi dati archiviati in OneDrive.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Le persone leggono anche

Picture
Guida all’installazione di Proxmox
Picture
Panoramica dettagliata dei piani aziendali di Office 365
Picture
Spiegazione dei backup incrementali permanenti