Guida all'igiene Cyber Resilience

Nell'era digitale di oggi, le aziende si affidano sempre di più alle tecnologie e ai sistemi online per portare avanti le loro attività. Di conseguenza, soddisfare gli standard minimi per l'igiene informatica è fondamentale per proteggersi dalle minacce informatiche, ridurre al minimo i rischi e garantire l'efficienza del business.

L'igiene della sicurezza di base protegge ancora dal 98% degli attacchi.¹

Grafico della curva a campana dell'igiene informatica tratta dal Report sulla difesa digitale Microsoft (MDDR) 2022

Gli standard minimi che ogni organizzazione dovrebbe adottare sono i seguenti:

Richiedere l'autenticazione a più fattori (MFA) a prova di phishing
Applicare i principi di Zero Trust
Usare antimalware moderni
Mantenere aggiornati i sistemi
Proteggere i dati

Vuoi ridurre gli attacchi contro i tuoi account? Attiva la MFA. L'autenticazione a più fattori, come suggerito dal nome stesso, richiede due o più fattori di verifica. La compromissione di più fattori di autenticazione rappresenta una grande sfida per gli utenti malintenzionati perché conoscere (o craccare) una password non sarebbe sufficiente per accedere a un sistema. Con la MFA abilitata, puoi prevenire il 99,9% degli attacchi ai tuoi account.²

Rendere la MFA molto ma molto più semplice

Anche se l'autenticazione a più fattori implica dei passaggi aggiuntivi, dovresti provare a scegliere l'opzione di MFA più semplice possibile (ad esempio, usando la biometria nei dispositivi o fattori di conformità FIDO2 come chiavi di sicurezza Yubico e Feitan) per i tuoi dipendenti.

Snellisci la MFA.

Scegli la MFA quando l'autenticazione aggiuntiva può contribuire alla protezione dei dati sensibili e dei sistemi critici, non applicarla a ogni singola interazione.

La MFA non deve essere complicata per l'utente finale. Usa i criteri di accesso condizionale, che consentono di attivare la verifica in due passaggi in base al rilevamento di rischi, oltre all'autenticazione pass-through e a Single Sign On (SSO). In questo modo, gli utenti finali non devono superare troppi passaggi per accedere a condivisioni di file o calendari non critici sulla rete aziendale se i loro dispositivi sono dotati degli ultimi aggiornamenti software. Inoltre, gli utenti non dovranno reimpostare la password entro 90 giorni, il che migliorerà notevolmente la loro esperienza.

Attacchi di phishing comuni

In un attacco di phishing, i criminali sfruttano le tattiche di ingegneria sociale per convincere gli utenti a fornire le loro credenziali di accesso o a rivelare informazioni sensibili. Ecco alcuni attacchi di phishing comuni:

Se vuoi sapere di più su password e identità, dai un'occhiata alle risorse Microsoft seguenti.

Zero Trust è la colonna portante di qualunque piano di resilienza limitando l'impatto sull'organizzazione. Un modello Zero Trust è un approccio alla sicurezza proattivo integrato in tutti i livelli del patrimonio digitale che verifica in modo esplicito e continuo ogni transazione, afferma l'accesso con privilegi minimi e si basa sull'intelligence, sul rilevamento avanzato e sulla risposta in tempo reale alle minacce.

Quando si adotta un approccio Zero Trust, diventa possibile:

Supportare il lavoro remoto e ibrido
Prevenire o ridurre i danni al business dovuti a una violazione
Identificare e proteggere dati e identità aziendali sensibili
Aumentare la fiducia nei programmi e nella postura di sicurezza dell'azienda tra team dirigenziali, dipendenti, partner, stakeholder e clienti

Ecco i principi di Zero Trust:

Ipotesi di violazione Presupporre che utenti malintenzionati siano in grado e riescano ad attaccare qualsiasi cosa (identità, rete, dispositivo, app, infrastruttura, ecc.) e definire un piano di conseguenza. Ciò consente di monitorare costantemente l'ambiente per individuare possibili attacchi.
Verifica esplicita Assicurarsi che utenti e dispositivi siano in buono stato prima di consentire loro di accedere alle risorse. Proteggere le risorse dal controllo di un utente malintenzionato verificando esplicitamente che tutte le decisioni relative ad attendibilità e sicurezza si basino sulla telemetria e sulle informazioni disponibili pertinenti.
Uso dell'accesso con privilegi minimi Limitare l'accesso di una risorsa potenzialmente compromessa con just-in-time e just-enough-access (JIT/JEA) e criteri basati sui rischi come il controllo di accesso adattivo. Si dovrebbero consentire solo i privilegi necessari per l'accesso a una risorsa.

Livelli di sicurezza Zero Trust

Screenshot della schermata di un computer

La vera sicurezza sta nel giusto mezzo

Una sicurezza eccessiva, che risulti cioè troppo restrittiva per l'utente comune, può far ottenere lo stesso risultato di un ambiente senza difese sufficienti: rischi maggiori.

Processi di sicurezza rigorosi possono rendere difficili le attività degli utenti. Ancora peggio, possono spingere le persone a trovare soluzioni alternative in stile shadow IT, incoraggiandole a bypassare interamente la sicurezza (a volte con i propri dispositivi, l'e-mail e la risorsa di archiviazione) e utilizzare sistemi che (paradossalmente) sono meno sicuri e presentano un rischio maggiore per l'azienda.

Se vuoi sapere di più su Zero Trust, dai un'occhiata alle risorse seguenti.

Perché Zero Trust
Post del blog 5 motivi per adottare una strategia di sicurezza Zero Trust per la tua azienda di Vasu Jakkal, Microsoft
Valutazione della postura di sicurezza Zero Trust

Usa funzionalità di rilevamento e reazione estese antimalware. Implementa software per rilevare e bloccare automaticamente gli attacchi e per fornire informazioni dettagliate sulle operazioni per la sicurezza.

Monitorare le informazioni dettagliate da sistemi di rilevamento delle minacce è essenziale per riuscire a rispondere tempestivamente.

Procedure consigliate per l'orchestrazione e l'automazione della sicurezza

Affidarsi il più possibile ai sistemi di rilevamento

Seleziona e distribuisci sensori che automatizzano, correlano e connettono i risultati ottenuti prima di inviarli a un analista.

Automatizzare la raccolta avvisi

L'analista delle operazioni per la sicurezza deve avere tutto il necessario per valutare e rispondere a un avviso senza effettuare un'ulteriore raccolta di informazioni, ad esempio eseguendo query sui sistemi che potrebbero essere offline o meno o raccogliendo informazioni da origini aggiuntive come sistemi di gestione delle risorse o dispositivi di rete.

Automatizzare la prioritizzazione degli avvisi

L'analisi in tempo reale deve essere sfruttata per classificare in ordine di priorità gli eventi in base ai feed dell'intelligence sulle minacce, alle informazioni sulle risorse e agli indicatori di attacco. Gli analisti e gli addetti alla risposta agli incidenti devono concentrarsi sugli avvisi di massima gravità.

Automatizzare attività e processi

Gestisci prima i processi amministrativi comuni, ripetitivi e dispendiosi in termini di tempo e standardizza le procedure di risposta. Dopo aver standardizzato la risposta, automatizza il flusso di lavoro dell'analista delle operazioni per la sicurezza per rimuovere l'intervento umano ove possibile, affinché possa concentrarsi su attività più critiche.

Miglioramento continuo

Monitora le metriche chiave e fai in modo che sensori e flussi di lavoro promuovano cambiamenti graduali.

Prevenire, rilevare e rispondere alle minacce

Difenditi dalle minacce in tutti i carichi di lavoro attraverso strumenti di prevenzione, rilevamento e reazione complete con funzionalità di rilevamento e reazione estese (XDR) e funzionalità di gestione di eventi e informazioni di sicurezza (SIEM) integrate.

Accesso remoto

Gli utenti malintenzionati prendono di mira soluzioni di accesso remoto (RDP, VDI, VPN, ecc.) per introdursi in un ambiente ed eseguire operazioni per danneggiare le risorse interne.

Ecco cosa fare per impedire l'accesso agli utenti malintenzionati:

Tenere sempre aggiornati software e applicazioni
Applicare la convalida di dispositivi e utenti Zero Trust
Configurare la sicurezza per soluzioni VPN di terze parti
Pubblicare app Web locali

Software di e-mail e collaborazione

Un'altra tattica comune per accedere agli ambienti consiste nel trasferire contenuti dannosi con e-mail o strumenti di condivisione di file per poi convincere gli utenti a usarli.

Ecco cosa fare per impedire l'accesso agli utenti malintenzionati:

Implementare una soluzione di sicurezza dell'e-mail avanzata
Abilitare regole di riduzione della superficie di attacco per bloccare le tecniche di attacco comuni
Analizzare gli allegati per individuare eventuali minacce basate su macro

Endpoint

Gli endpoint esposti a Internet sono tra i vettori di accesso preferiti perché consentono agli utenti malintenzionati di accedere alle risorse di un'organizzazione.

Ecco cosa fare per impedire l'accesso agli utenti malintenzionati:

Bloccare le minacce note con regole di riduzione della superficie di attacco che facciano fronte a determinati comportamenti dei software, ad esempio l'avvio di script e file eseguibili che tentano di scaricare o eseguire file, l'esecuzione di script offuscati o altrimenti sospetti oppure l'attuazione di comportamenti che le app in genere non avviano nelle normali attività quotidiane.
Fare in modo che il software sia sempre aggiornato e supportato
Isolare, disabilitare o ritirare protocolli e sistemi non sicuri
Bloccare il traffico imprevisto con strumenti di protezione della rete e firewall basati su host

Mantenere una vigilanza costante

Usa funzionalità XDR e SIEM integrate per fornire avvisi di qualità elevata e ridurre al minimo i problemi e i passaggi manuali durante la risposta.

Garantire la protezione di sistemi legacy

I sistemi meno recenti senza controlli di sicurezza come soluzioni antivirus e di rilevamento e reazione dagli endpoint (EDR) possono permettere agli utenti malintenzionati di eseguire l'intera catena di attacchi di esfiltrazione e ransomware da un singolo sistema.

Non è possibile configurare gli strumenti di sicurezza nel sistema legacy, quindi occorre isolare il sistema fisicamente (attraverso un firewall) o logicamente (rimuovendo la sovrapposizione di credenziali con altri sistemi).

Non ignorare i commodity malware

I ransomware automatizzati classici possono non avere la complessità degli attacchi hands-on-keyboard, ma ciò non li rende meno pericolosi.

Fare attenzione agli antagonisti che disabilitano le soluzioni di sicurezza

Monitora l'ambiente per individuare eventuali antagonisti che disabilitano le soluzioni di sicurezza (spesso nell'ambito di una catena di attacchi), ad esempio cancellando il registro eventi, in particolare il log degli eventi di sicurezza e i log operativi di PowerShell, e disabilitando gli strumenti e i controlli di sicurezza (associati ad alcuni gruppi).

Se vuoi sapere di più sull'uso di antimalware moderni, dai un'occhiata alle risorse Microsoft seguenti.

Strumento di autovalutazione delle operazioni di sicurezza
Post del blog 4 principi di Microsoft per un centro operazioni per la sicurezza efficace di Jonathan Trull, Microsoft
Post del blog Le migliori 5 procedure consigliate per automatizzare le operazioni per la sicurezza di Jonathan Trull, Microsoft

Avere sistemi senza patch e obsoleti è uno dei motivi principali per cui molte organizzazioni cadono vittime di un attacco. Assicurati che tutti i sistemi siano aggiornati, inclusi firmware, sistema operativo e applicazioni.

Procedure consigliate

Assicurati che i dispositivi siano protetti applicando patch, cambiando le password predefinite e le porte SSH predefinite.
Riduci la superficie di attacco eliminando porte aperte e connessioni Internet superflue, limitando l'accesso remoto bloccando le porte, negando l'accesso remoto e usando servizi VPN.
Utilizza una soluzione di rilevamento e reazione dalla rete (NDR) basata su IoT (Internet delle cose) e OT (Tecnologia operativa) e una soluzione di gestione degli eventi e informazioni di sicurezza (SIEM)/orchestrazione della sicurezza e risposta (SOAR) per monitorare i dispositivi e rilevare eventuali comportamenti anomali o non autorizzati, come la comunicazione con host sconosciuti.
Segmenta le reti per ridurre le possibilità che un utente malintenzionato riesca a spostarsi lateralmente e compromettere le risorse dopo l'intrusione iniziale. I dispositivi IoT e le reti OT devono essere isolati dalle reti IT aziendali tramite firewall.
Assicurati che i protocolli ICS non siano direttamente esposti a Internet.
Ottieni una visibilità più approfondita sui dispositivi IoT/OT nella tua rete e classificali in ordine di priorità in base al rischio che rappresenterebbero per l'azienda qualora fossero compromessi.
Usa gli strumenti di analisi del firmware per esaminare i potenziali punti deboli della sicurezza e collabora con i fornitori per capire come mitigare i rischi per i dispositivi ad alto rischio.
Influenza positivamente la sicurezza dei dispositivi IoT/OT richiedendo l'adozione di procedure consigliate sicure per il ciclo di vita dello sviluppo ai tuoi fornitori.
Evita di trasferire file che contengono definizioni di sistema tramite canali non sicuri o a personale non essenziale.
Quando il trasferimento di tali file è inevitabile, assicurati di monitorare le attività sulla rete e accertati della protezione delle risorse.
Proteggi le stazioni di controllo monitorandole con soluzioni di rilevamento e reazione dagli endpoint (EDR).
Conduci una risposta agli incidenti proattiva per le reti OT.
Implementa un monitoraggio continuo con soluzioni come Microsoft Defender per IoT.

Se vuoi saperne di più, dai un'occhiata alle risorse Microsoft seguenti.

Post del blog 7 modi per rafforzare l'ambiente contro le compromissioni di Alan Johnstone e Patrick Strijkers, Microsoft
Post del blog Diventare resilienti comprendendo i rischi per la cybersecurity: Parte 4, scoprire le attuali minacce di Mark Simos e Sarah Armstrong-Smith, Microsoft

Conoscere i propri dati importanti, sapere dove si trovano e sapere se vengono implementati i sistemi giusti è fondamentale per una protezione appropriata.

Le sfide della sicurezza dei dati includono:

Riduzione e gestione del rischio di errori degli utenti
Classificazione manuale degli utenti inattuabile su larga scala
Necessità di proteggere i dati al di fuori della rete
Necessità di una strategia completa per conformità e sicurezza
Necessità di soddisfare requisiti di conformità sempre più rigorosi

5 pilastri di un approccio defense-in-depth alla sicurezza dei dati

Le aree di lavoro ibride di oggi richiedono l'accesso ai dati da più dispositivi, app e servizi in tutto il mondo. Con un numero così elevato di piattaforme e punti di accesso, è necessario disporre di misure di protezione avanzate contro il furto e la perdita di dati. Per l'ambiente di oggi, un approccio defense-in-depth offre la protezione migliore per rafforzare la sicurezza dei dati. Questa strategia è formata da cinque componenti, tutti attuabili in qualsiasi ordine a seconda delle esigenze specifiche di un'organizzazione e dei possibili requisiti normativi.

Identificare il panorama dei dati
Per poter proteggere i dati sensibili, devi scoprire dove si trovano e come accedervi. Questo richiede una visibilità completa nel tuo intero patrimonio di dati, che sia locale, ibrido o multi-cloud.
Proteggere i dati sensibili Oltre a creare una mappa olistica, devi proteggere i tuoi dati, inattivi e in movimento. È qui che entrano in gioco l'applicazione di etichette e la classificazione dei dati, in modo da ottenere dati analitici su come questi vengono aperti, archiviati e condivisi. Un monitoraggio preciso dei dati contribuirà a impedire violazioni e perdite di dati.
Gestire i rischi Anche quando i dati sono mappati ed etichettati correttamente, bisogna prendere in considerazione il contesto dell'utente dell'account in merito ai dati e alle attività che potrebbero causare potenziali incidenti di sicurezza, tra cui minacce interne. L'approccio migliore per far fronte ai rischi Insider si basa sulle persone giuste, oltre ai processi, alla formazione e agli strumenti appropriati.
Impedire la perdita di dati Non dimenticare l'uso non autorizzato dei dati, oltre alla perdita. Una soluzione di protezione dalla perdita di dati efficace richiede un equilibrio tra sicurezza e produttività. È fondamentale garantire la presenza dei controlli di accesso opportuni e l'impostazione di criteri che impediscano azioni come il salvataggio, l'archiviazione o la stampa inappropriati di dati sensibili.
Gestire il ciclo di vita dei dati Per quanto riguarda la governance dei dati, i team aziendali stanno progressivamente diventando gestori dei propri dati, quindi è importante che le organizzazioni creino un approccio unico nell'azienda. Questo tipo di gestione del ciclo di vita proattiva offre una migliore sicurezza dei dati e aiuta a garantire che i dati siano accessibili a tutti gli utenti in modo responsabile, ottenendo un potenziale valore di business.

Se vuoi sapere di più sulla protezione dei dati, dai un'occhiata alle risorse Microsoft seguenti.

Post del blog 3 strategie per creare un programma di protezione delle informazioni del team Microsoft Security
Post del blog 3 strategie per avviare un piano di governance dei dati efficace di Erica Toelle e Anna Chiang, Microsoft

Anche se gli attori di minacce continuano a evolvere e diventare più sofisticati, vale la pena di ripetere un'ovvietà della cybersecurity: l'igiene informatica di base (abilitare la MFA, applicare i principi di Zero Trust, tenere i sistemi aggiornati, usare antimalware moderni e proteggere i dati) previene il 98% degli attacchi.

Per proteggersi dalle minacce informatiche, ridurre al minimo i rischi e garantire l'efficienza del business, è fondamentale soddisfare gli standard minimi per l'igiene informatica.

Superficie di attacco Phishing Zero Trust

L'igiene informatica di base previene il 99% degli attacchi

Gli standard minimi che ogni organizzazione dovrebbe adottare sono i seguenti:

Rendere la MFA molto ma molto più semplice

Attacchi di phishing comuni

Livelli di sicurezza Zero Trust

La vera sicurezza sta nel giusto mezzo

Prevenire, rilevare e rispondere alle minacce

Accesso remoto

Software di e-mail e collaborazione

Endpoint

Articoli correlati

Aumento del 61% degli attacchi di phishing: cose da sapere sulla superficie di attacco.

Per gestire una superficie di attacco sempre più complessa, le organizzazioni devono sviluppare un approccio alla sicurezza completo. Con sei aree principali della superficie di attacco, questo report mostra come la giusta intelligence sulle minacce può giocare a favore dei difensori.

Il Cybercrime-as-a-Service (CaaS) causa il 38% di aumento delle frodi relative alla posta elettronica aziendale

La compromissione della posta elettronica aziendale (BEC) è in crescita oggi che i criminali informatici possono oscurare l'origine dei propri attacchi per essere ancora più efferati. Scopri di più su CaaS e come può aiutarti a proteggere la tua organizzazione.

Sicurezza incentrata sul cloud: in che modo i CISO colmano le lacune relative alla copertura

I responsabili della sicurezza informatica a livello centrale (CISO) parlano delle priorità relative alla sicurezza in continua evoluzione mentre le loro organizzazioni adottano modelli incentrati sul cloud e descrivono le sfide relative alla gestione del loro intero patrimonio digitale.

Segui Microsoft