Elenco di controllo RaMP: conformità al ripristino ransomware

Questo elenco di controllo RaMP (Rapid Modernization Plan) consente di preparare l'organizzazione in modo da avere un'alternativa praticabile a pagare il riscatto richiesto dagli utenti malintenzionati ransomware. Anche se gli utenti malintenzionati che controllano l'organizzazione hanno a disposizione una diversi metodi per forzare il pagamento, le richieste rientrano principalmente in due categorie:

  • Pagare per riottenere l'accesso

    Gli utenti malintenzionati richiedono un pagamento minacciando di bloccare l'accesso ai sistemi e ai dati. Nella maggior parte dei casi, questo avviene criptando i sistemi e i dati dell'utente e richiedendo il pagamento per la chiave di decrittografia.

    Importante

    Tuttavia, accettare di pagare il riscatto non è una soluzione tanto semplice e priva di rischi come potrebbe sembrare. Dato che si interagisce con criminali che mirano unicamente al pagamento, e spesso si tratta di dilettanti che usano kit di strumenti forniti da terzi, esiste una notevole incertezza riguardo all'effettiva utilità dell'adempimento del pagamento del riscatto. Non esiste alcuna garanzia che forniscano una chiave in grado di decrittografare il 100% dei sistemi e dei dati, né che la forniscano affatto. Il processo per decrittografare questi sistemi usa strumenti creati autonomamente dagli utenti malintenzionati, rendendo spesso il processo intricato e manuale.

  • Pagare per evitare la divulgazione

    Gli utenti malintenzionati richiedono un pagamento promettendo di non divulgare i dati sensibili o compromettenti nel Dark Web (ad altri criminali) o al pubblico in generale.

Per evitare di essere costretti a effettuare il pagamento (la situazione redditizia per gli utenti malintenzionati), l'azione più immediata ed efficace che è possibile intraprendere è garantire che l'organizzazione possa ripristinare l'intera azienda da una risorsa di archiviazione non modificabile che non è già stata infettata o crittografata da un attacco ransomware, che né l'utente malintenzionato né è possibile modificare.

Identificare le risorse più sensibili e proteggerle con un livello di sicurezza superiore è anche di vitale importanza. Tuttavia, rappresenta un processo più lungo e complesso da implementare. Non vogliamo che si tengano presenti altre aree, ma è consigliabile iniziare il processo raggruppando gli stakeholder aziendali, IT e della sicurezza per porre e rispondere a domande come:

  • Quali asset aziendali sono i più vulnerabili se compromessi? Ad esempio, quali asset sarebbero disposti a pagare una richiesta di estorsione se gli utenti malintenzionati li controllavano?
  • In che modo questi asset aziendali si traducono in asset IT, ad esempio file, applicazioni, database e server?
  • Come è possibile proteggere o isolare questi asset in modo che gli utenti malintenzionati con accesso all'ambiente IT generale non possano accedervi?

Backup sicuri

È necessario assicurarsi che venga eseguito il backup dei sistemi critici e dei relativi dati e che non siano modificabili per proteggersi dalla cancellazione intenzionale o dalla crittografia da parte di un utente malintenzionato. I backup non devono essere già stati infettati o crittografati da un attacco ransomware. In caso contrario, si sta ripristinando un set di file che potrebbero contenere punti di ingresso per gli utenti malintenzionati da sfruttare dopo il ripristino.

Gli attacchi ai backup hanno l'obiettivo di compromettere la capacità di risposta dell'organizzazione, prendendo di mira in particolare i backup e la documentazione essenziale per il ripristino, costringendo in questo modo l’utente a cedere alle richieste di estorsione.

La maggior parte delle organizzazioni non mette in sicurezza le procedure di backup e ripristino da questo tipo di attacco mirato.

Nota

Adottare tali misure di sicurezza accresce la capacità dell'organizzazione di resistere sia a calamità naturali sia a minacce informatiche rapide, come WannaCry e (Non)Petya.

Il piano di backup e ripristino per proteggere da ransomware risolve le operazioni da eseguire prima di un attacco per proteggere i sistemi aziendali critici e durante un attacco per garantire un rapido ripristino delle operazioni aziendali usando Backup di Azure e altri servizi cloud Microsoft. Se si usa una soluzione di backup fuori sede fornita da terze parti, consultare la relativa documentazione.

Responsabilità dei membri del programma e del progetto

Questa tabella descrive la strategia complessiva di protezione dei dati da ransomware in base alla gerarchia di sponsorizzazione, gestione del programma e gestione dei progetti per determinare e guidare i risultati.

Lead Proprietario Responsabilità
Operazioni di IT centrale o CIO Sponsorizzazione dei dirigenti
Responsabile del programma dell'infrastruttura IT centrale Guidare i risultati e la collaborazione tra team
Infrastruttura/Backup Engineer Abilitare il backup dell'infrastruttura
Amministrazione Microsoft 365 Implementare le modifiche apportate al tenant di Microsoft 365 per OneDrive e Cartelle protette
Ingegnere della sicurezza Consigliare su configurazione e standard
Amministratore IT Aggiornare gli standard e i documenti dei criteri
Governance della sicurezza e/o Amministrazione IT Monitorare per garantire la conformità
Team di formazione utenti Assicurarsi che le indicazioni per gli utenti consigliano l'uso di OneDrive e cartelle protette

Obiettivi di distribuzione

Soddisfare questi obiettivi di distribuzione per proteggere l'infrastruttura di backup.

Fatto Obiettivo di distribuzione Proprietario
1. Proteggere i documenti di supporto necessari per il ripristino, ad esempio i documenti delle procedure di ripristino, il database di gestione della configurazione (CMDB) e i diagrammi di rete. Architetto IT o implementatore
2. Stabilire un processo per eseguire automaticamente il backup di tutti i sistemi critici in base a una pianificazione regolare e monitorare l'adesione. Amministratore di backup IT
3. Stabilire un processo e una pianificazione per esercitare regolarmente il piano di continuità aziendale/ripristino di emergenza (BCDR). Architetto IT
4. Includere la protezione dei backup contro la cancellazione intenzionale e la crittografia nel piano di backup:

- Protezione avanzata: richiedere passaggi fuori banda (ad esempio l'autenticazione a più fattori o un PIN) prima di modificare i backup online (ad esempio Backup di Azure).

- Protezione più avanzata: archiviare i backup in una risorsa di archiviazione non modificabile online (ad esempio BLOB di Azure) e/o in modalità completamente offline o in una località esterna.
Amministratore di backup IT
5. Chiedere agli utenti di configurare il backup di OneDrive e le cartelle protette. Amministratore della produttività di Microsoft 365

Passaggio successivo

Continuare l'iniziativa di dati, conformità e governance con il passaggio 3. Dati.