Protezione da Ransomware per Office 365

La maggior parte delle organizzazioni oggi si affida a Entra ID (precedentemente Azure AD) e Microsoft 365 (precedentemente Office 365) per le operazioni aziendali fondamentali. Ma quanto sono sicure queste piattaforme vitali contro i ransomware?

Questo articolo esplora le principali preoccupazioni in Entra ID e Microsoft 365 e dettaglia i principali controlli di sicurezza che offrono per bloccare, rilevare e recuperare da ransomware. Poi propone una soluzione robusta che può ulteriormente proteggere i tuoi dati e sistemi IT.

Preoccupazioni per la sicurezza in Entra ID

L'Active Directory on-premises è un principale obiettivo dei cybercriminali perché rimane il servizio di Identity Management primario per la maggior parte delle organizzazioni. Tuttavia, anche Entra ID può essere compromesso e sta diventando un bersaglio più comune. Ecco i principali fattori che lo rendono vulnerabile agli attacchi ransomware:

• Nessuna unità organizzativa (OU) — In AD on-prem, gli amministratori spesso utilizzano le OU per raggruppare utenti e dispositivi per una fornitura e monitoraggio più accurati ed efficienti. Ad esempio, mettere tutti gli account con privilegi elevati in una singola OU facilita l'applicazione di controlli di sicurezza più rigorosi su di essi. Tuttavia, Entra ID non supporta le unità organizzative. L'aumento del carico amministrativo risultante sui team IT può portare a errori che favoriscono le infezioni da ransomware.
• Nessuna Group Policy — In AD on-prem, gli amministratori tendono anche a fare affidamento in modo significativo su Group Policy per imporre la sicurezza. Group Policy non è supportata in Entra ID, il che rende molto più difficile gestire le impostazioni dei dispositivi, consentendo così l'installazione e l'esecuzione di ransomware.
• Protocollo difettoso per l'autenticazione unica (SSO) — L'SSO consente agli utenti di accedere a Entra ID senza inserire la loro password. Tuttavia, il protocollo SAML utilizzato per l'SSO presenta delle lacune, che permettono agli hacker di eseguire attacchi di forza bruta per compromettere gli account degli utenti. Sebbene l'autenticazione a più fattori (MFA) possa bloccare questi attacchi, richiedere l'MFA per tutti gli account non è praticabile poiché interferisce con compiti come fornire assistenza tramite Remote PowerShell. Gli hacker cercano spesso di compromettere account amministrativi senza MFA attivato. Esempi di alto profilo includono la violazione di Deloitte in cui gli hacker hanno compromesso il server di posta elettronica globale dell'azienda, e la violazione di Optus in cui la mancanza di autenticazione per la loro API pubblica ha portato all'esposizione di circa 10 milioni di record contenenti informazioni personali sensibili degli utenti.
• Punti ciechi negli ambienti ibridi — La maggior parte delle organizzazioni possiede un ambiente ibrido che combina AD on-prem e Entra ID. La complessità risultante nella gestione delle identità e degli accessi e nell'Endpoint Management può portare a punti ciechi che offrono opportunità ai pirati informatici per distribuire ransomware.

Come si comportano gli account Azure AD compromessi

Entra ID offre il controllo degli accessi basato sui ruoli (RBAC), quindi il ruolo o i ruoli assegnati a un utente influenzano ciò che un hacker può fare se compromette l'account. Ecco i principali ruoli predefiniti da conoscere:

• Lettore — Un hacker che compromette un account con questo ruolo può accedere a informazioni sensibili. Possono leggere Runbook e altre risorse che possono contenere credenziali hardcoded o ulteriori informazioni utili. Gli attori delle minacce inoltre tracciano nuovi obiettivi e spazi di indirizzamento attraverso reti virtuali.
• Proprietario— Il ruolo di Proprietario può modificare le risorse e concedere permessi per qualsiasi risorsa. Pertanto, questo ruolo è di grande interesse per gli attori delle minacce.
• Contributor— Gli utenti con questo ruolo possono caricare nuove cartelle e file, ma non possono rimuovere, spostare o copiare file. Di conseguenza, questo ruolo è meno utile per gli hacker.
• Amministratore dell'accesso utente — Attraverso questo ruolo, gli attori delle minacce possono concedere diritti di accesso ad altre risorse. Pertanto, si tratta anche di un ruolo potente che dovresti assegnare con attenzione.

Preoccupazioni per la sicurezza in Microsoft 365

Gli avversari possono sfruttare Microsoft 365 come punto di ingresso per il ransomware. Le principali preoccupazioni da difendere includono:

• Phishing — Gli avversari inviano email tramite Exchange Online per ingannare gli utenti a aprire allegati dannosi o visitare siti malevoli al fine di lanciare ransomware.
• Condivisione di file— SharePoint e Teams sono strumenti di collaborazione potenti che rendono molto facile per gli utenti condividere informazioni sia con colleghi interni che con parti esterne. Senza controlli adeguati e supervisione, ciò può permettere agli aggressori di caricare file dannosi o raccogliere informazioni utili per attacchi ransomware.
• Permessi gestiti in modo inappropriato — Microsoft 365 è una piattaforma molto complessa da gestire, quindi gli utenti possono finire per avere molti più diritti di accesso di quanti ne necessitino. Qualsiasi ransomware che opera con le loro credenziali eredita tali diritti, il che gli permette di causare più danni di quanti ne potrebbe causare se il principio del minimo privilegio fosse rigorosamente applicato.

Strumenti Microsoft per la difesa contro il ransomware

Per ridurre il rischio di ransomware, Office 365 ed Entra ID offrono una varietà di strumenti di sicurezza, tra cui i seguenti:

• Microsoft Defender offre funzionalità avanzate di rilevamento e protezione dalle minacce. Aiuta a scoprire e mitigare le vulnerabilità per ridurre la superficie di attacco, nonché a individuare e interrompere le minacce ransomware in corso.
• Microsoft Secure Score analizza la tua sicurezza e la confronta con la baseline di Microsoft, fornendo un punteggio numerico che puoi utilizzare per valutare l'efficacia della tua strategia di miglioramento della sicurezza.
• Microsoft Purview Compliance Managerti aiuta a valutare la tua conformità ai requisiti normativi e a capire quali azioni intraprendere per migliorare, il che può aiutarti a stare al passo sia con le nuove normative che con le nuove versioni di mandati esistenti.
• Microsoft Purview Data Loss Prevention ti aiuta a controllare e monitorare l'accesso ai dati per prevenire la condivisione, l'uso o il trasferimento non autorizzati di informazioni sensibili. Ad esempio, puoi definire livelli di riservatezza e determinare quali azioni sono permesse per le informazioni sensibili.
• Microsoft Conditional Access consente di definire politiche che determinano dinamicamente se consentire, bloccare o limitare l'accesso o richiedere un passaggio di verifica aggiuntivo, in base a fattori come dispositivo, posizione o rischio della sessione. Ad esempio, Conditional Access potrebbe bloccare un avversario che tenta di accedere utilizzando credenziali rubate da una posizione insolita aggiungendo un passaggio MFA, impedendo così di impiantare ransomware.
• Microsoft Purview Information Protection ti aiuta a scoprire, classificare e proteggere le informazioni sensibili ovunque si trovino o si muovano. Ad esempio, puoi garantire che le email inviate a qualsiasi utente siano crittografate in modo che solo i destinatari autorizzati possano leggerle.
• Microsoft Entra Identity Protection aiuta le organizzazioni a rilevare, indagare e rimediare ai rischi basati sull'identità. In particolare, può aiutarti a individuare comportamenti utente insoliti che potrebbero indicare un attore di ransomware che tenta di utilizzare credenziali rubate o una minaccia di ransomware in corso.
• Il recupero dei dati — Se un attacco ransomware dovesse avere successo, Microsoft offre alcune opzioni di recupero da ransomware per Entra ID e Office 365. Queste includono la funzionalità “Ripristina il tuo OneDrive”, il Cestino di OneDrive e il Cestino della raccolta siti di SharePoint. Tuttavia, le organizzazioni devono anche implementare una strategia di backup e recupero di qualità aziendale.

Come Netwrix Directory Manager può aiutare

Sebbene queste soluzioni Microsoft siano preziose, gestire correttamente il tuo ambiente ibrido o cloud è un compito complesso e qualsiasi errore o cattiva configurazione può aprire la porta a costose infezioni da ransomware. Una soluzione di terze parti può aiutare.

Netwrix Directory Manager è una potente soluzione di identity and access management (IAM) che riduce il carico di lavoro dei tuoi team IT migliorando al contempo sicurezza e conformità. Ti consente di:

• Razionalizza la gestione dei gruppi di sicurezza e distribuzione
• Identificare i proprietari del gruppo
• Delegare compiti di gestione dei gruppi
• Genera report intuitivi per una maggiore comprensione e controllo

FAQ

Microsoft Office 365 dispone di protezione antivirus?

Sì, Office 365 è dotato di robuste capacità antivirus e antimalware. Utilizza tecnologie avanzate di threat intelligence e di scansione per rilevare e fermare gli attacchi dei virus.

La protezione da ransomware è integrata in Office 365?

Sì, Microsoft 365 include funzionalità di protezione integrate contro il ransomware. Utilizza misure avanzate di protezione dalle minacce per rilevare e mitigare le minacce di ransomware all'interno della sua suite di applicazioni.

OneDrive dispone di protezione contro il ransomware?

Sì. OneDrive fa parte della suite Microsoft 365. Utilizza la versione dei file e il rilevamento intelligente delle minacce per aiutare a proteggere i tuoi file dagli attacchi ransomware e offre alcune capacità di backup e recupero.

Microsoft Defender protegge contro il ransomware?

Sì, Microsoft Defender offre protezione contro il ransomware. Utilizza meccanismi avanzati di protezione dalle minacce per rilevare, bloccare e rispondere alle minacce di ransomware.