Trace Id is missing

L'igiene informatica di base previene il 99% degli attacchi

Un computer e uno smartphone su una superficie blu

Nell'era digitale di oggi, le aziende si affidano sempre di più alle tecnologie e ai sistemi online per portare avanti le loro attività. Di conseguenza, soddisfare gli standard minimi per l'igiene informatica è fondamentale per proteggersi dalle minacce informatiche, ridurre al minimo i rischi e garantire l'efficienza del business.

L'igiene della sicurezza di base protegge ancora dal 98% degli attacchi.1

Grafico della curva a campana dell'igiene informatica tratta dal Report sulla difesa digitale Microsoft (MDDR) 2022

Gli standard minimi che ogni organizzazione dovrebbe adottare sono i seguenti:

  • Richiedere l'autenticazione a più fattori (MFA) a prova di phishing
  • Applicare i principi di Zero Trust
  • Usare antimalware moderni
  • Mantenere aggiornati i sistemi
  • Proteggere i dati

Vuoi ridurre gli attacchi contro i tuoi account? Attiva la MFA. L'autenticazione a più fattori, come suggerito dal nome stesso, richiede due o più fattori di verifica. La compromissione di più fattori di autenticazione rappresenta una grande sfida per gli utenti malintenzionati perché conoscere (o craccare) una password non sarebbe sufficiente per accedere a un sistema. Con la MFA abilitata, puoi prevenire il 99,9% degli attacchi ai tuoi account.2

Rendere la MFA molto ma molto più semplice

Anche se l'autenticazione a più fattori implica dei passaggi aggiuntivi, dovresti provare a scegliere l'opzione di MFA più semplice possibile (ad esempio, usando la biometria nei dispositivi o fattori di conformità FIDO2 come chiavi di sicurezza Yubico e Feitan) per i tuoi dipendenti.

Snellisci la MFA.

Scegli la MFA quando l'autenticazione aggiuntiva può contribuire alla protezione dei dati sensibili e dei sistemi critici, non applicarla a ogni singola interazione.

La MFA non deve essere complicata per l'utente finale. Usa i criteri di accesso condizionale, che consentono di attivare la verifica in due passaggi in base al rilevamento di rischi, oltre all'autenticazione pass-through e a Single Sign On (SSO). In questo modo, gli utenti finali non devono superare troppi passaggi per accedere a condivisioni di file o calendari non critici sulla rete aziendale se i loro dispositivi sono dotati degli ultimi aggiornamenti software. Inoltre, gli utenti non dovranno reimpostare la password entro 90 giorni, il che migliorerà notevolmente la loro esperienza.

Attacchi di phishing comuni

In un attacco di phishing, i criminali sfruttano le tattiche di ingegneria sociale per convincere gli utenti a fornire le loro credenziali di accesso o a rivelare informazioni sensibili. Ecco alcuni attacchi di phishing comuni:

Immagine che descrive gli attacchi di phishing comuni (e-mail, content injection, manipolazione di link, spear phishing e man-in-the-middle)

Zero Trust è la colonna portante di qualunque piano di resilienza limitando l'impatto sull'organizzazione. Un modello Zero Trust è un approccio alla sicurezza proattivo integrato in tutti i livelli del patrimonio digitale che verifica in modo esplicito e continuo ogni transazione, afferma l'accesso con privilegi minimi e si basa sull'intelligence, sul rilevamento avanzato e sulla risposta in tempo reale alle minacce.

Quando si adotta un approccio Zero Trust, diventa possibile:
  • Supportare il lavoro remoto e ibrido
  • Prevenire o ridurre i danni al business dovuti a una violazione
  • Identificare e proteggere dati e identità aziendali sensibili
  • Aumentare la fiducia nei programmi e nella postura di sicurezza dell'azienda tra team dirigenziali, dipendenti, partner, stakeholder e clienti
Ecco i principi di Zero Trust:
  • Ipotesi di violazione  Presupporre che utenti malintenzionati siano in grado e riescano ad attaccare qualsiasi cosa (identità, rete, dispositivo, app, infrastruttura, ecc.) e definire un piano di conseguenza. Ciò consente di monitorare costantemente l'ambiente per individuare possibili attacchi.
  • Verifica esplicita Assicurarsi che utenti e dispositivi siano in buono stato prima di consentire loro di accedere alle risorse. Proteggere le risorse dal controllo di un utente malintenzionato verificando esplicitamente che tutte le decisioni relative ad attendibilità e sicurezza si basino sulla telemetria e sulle informazioni disponibili pertinenti.
  • Uso dell'accesso con privilegi minimi Limitare l'accesso di una risorsa potenzialmente compromessa con just-in-time e just-enough-access (JIT/JEA) e criteri basati sui rischi come il controllo di accesso adattivo. Si dovrebbero consentire solo i privilegi necessari per l'accesso a una risorsa.

Livelli di sicurezza Zero Trust

Screenshot della schermata di un computer

La vera sicurezza sta nel giusto mezzo

Una sicurezza eccessiva, che risulti cioè troppo restrittiva per l'utente comune, può far ottenere lo stesso risultato di un ambiente senza difese sufficienti: rischi maggiori.

Processi di sicurezza rigorosi possono rendere difficili le attività degli utenti. Ancora peggio, possono spingere le persone a trovare soluzioni alternative in stile shadow IT, incoraggiandole a bypassare interamente la sicurezza (a volte con i propri dispositivi, l'e-mail e la risorsa di archiviazione) e utilizzare sistemi che (paradossalmente) sono meno sicuri e presentano un rischio maggiore per l'azienda.

Usa funzionalità di rilevamento e reazione estese antimalware. Implementa software per rilevare e bloccare automaticamente gli attacchi e per fornire informazioni dettagliate sulle operazioni per la sicurezza.

Monitorare le informazioni dettagliate da sistemi di rilevamento delle minacce è essenziale per riuscire a rispondere tempestivamente.

Procedure consigliate per l'orchestrazione e l'automazione della sicurezza

Affidarsi il più possibile ai sistemi di rilevamento

Seleziona e distribuisci sensori che automatizzano, correlano e connettono i risultati ottenuti prima di inviarli a un analista.

Automatizzare la raccolta avvisi

L'analista delle operazioni per la sicurezza deve avere tutto il necessario per valutare e rispondere a un avviso senza effettuare un'ulteriore raccolta di informazioni, ad esempio eseguendo query sui sistemi che potrebbero essere offline o meno o raccogliendo informazioni da origini aggiuntive come sistemi di gestione delle risorse o dispositivi di rete.

Automatizzare la prioritizzazione degli avvisi

L'analisi in tempo reale deve essere sfruttata per classificare in ordine di priorità gli eventi in base ai feed dell'intelligence sulle minacce, alle informazioni sulle risorse e agli indicatori di attacco. Gli analisti e gli addetti alla risposta agli incidenti devono concentrarsi sugli avvisi di massima gravità.

Automatizzare attività e processi

Gestisci prima i processi amministrativi comuni, ripetitivi e dispendiosi in termini di tempo e standardizza le procedure di risposta. Dopo aver standardizzato la risposta, automatizza il flusso di lavoro dell'analista delle operazioni per la sicurezza per rimuovere l'intervento umano ove possibile, affinché possa concentrarsi su attività più critiche.

Miglioramento continuo

Monitora le metriche chiave e fai in modo che sensori e flussi di lavoro promuovano cambiamenti graduali.

Prevenire, rilevare e rispondere alle minacce

Difenditi dalle minacce in tutti i carichi di lavoro attraverso strumenti di prevenzione, rilevamento e reazione complete con funzionalità di rilevamento e reazione estese (XDR) e funzionalità di gestione di eventi e informazioni di sicurezza (SIEM) integrate.

Accesso remoto

Gli utenti malintenzionati prendono di mira soluzioni di accesso remoto (RDP, VDI, VPN, ecc.) per introdursi in un ambiente ed eseguire operazioni per danneggiare le risorse interne.
Ecco cosa fare per impedire l'accesso agli utenti malintenzionati:
  • Tenere sempre aggiornati software e applicazioni
  • Applicare la convalida di dispositivi e utenti Zero Trust
  • Configurare la sicurezza per soluzioni VPN di terze parti
  • Pubblicare app Web locali

Software di e-mail e collaborazione

Un'altra tattica comune per accedere agli ambienti consiste nel trasferire contenuti dannosi con e-mail o strumenti di condivisione di file per poi convincere gli utenti a usarli.
Ecco cosa fare per impedire l'accesso agli utenti malintenzionati:
  • Implementare una soluzione di sicurezza dell'e-mail avanzata
  • Abilitare regole di riduzione della superficie di attacco per bloccare le tecniche di attacco comuni
  • Analizzare gli allegati per individuare eventuali minacce basate su macro

Endpoint

Gli endpoint esposti a Internet sono tra i vettori di accesso preferiti perché consentono agli utenti malintenzionati di accedere alle risorse di un'organizzazione.
Ecco cosa fare per impedire l'accesso agli utenti malintenzionati:
  • Bloccare le minacce note con regole di riduzione della superficie di attacco che facciano fronte a determinati comportamenti dei software, ad esempio l'avvio di script e file eseguibili che tentano di scaricare o eseguire file, l'esecuzione di script offuscati o altrimenti sospetti oppure l'attuazione di comportamenti che le app in genere non avviano nelle normali attività quotidiane.
  • Fare in modo che il software sia sempre aggiornato e supportato
  • Isolare, disabilitare o ritirare protocolli e sistemi non sicuri
  • Bloccare il traffico imprevisto con strumenti di protezione della rete e firewall basati su host

Mantenere una vigilanza costante

Usa funzionalità XDR e SIEM integrate per fornire avvisi di qualità elevata e ridurre al minimo i problemi e i passaggi manuali durante la risposta.

Garantire la protezione di sistemi legacy

I sistemi meno recenti senza controlli di sicurezza come soluzioni antivirus e di rilevamento e reazione dagli endpoint (EDR) possono permettere agli utenti malintenzionati di eseguire l'intera catena di attacchi di esfiltrazione e ransomware da un singolo sistema.

Non è possibile configurare gli strumenti di sicurezza nel sistema legacy, quindi occorre isolare il sistema fisicamente (attraverso un firewall) o logicamente (rimuovendo la sovrapposizione di credenziali con altri sistemi).

Non ignorare i commodity malware

I ransomware automatizzati classici possono non avere la complessità degli attacchi hands-on-keyboard, ma ciò non li rende meno pericolosi.

Fare attenzione agli antagonisti che disabilitano le soluzioni di sicurezza

Monitora l'ambiente per individuare eventuali antagonisti che disabilitano le soluzioni di sicurezza (spesso nell'ambito di una catena di attacchi), ad esempio cancellando il registro eventi, in particolare il log degli eventi di sicurezza e i log operativi di PowerShell, e disabilitando gli strumenti e i controlli di sicurezza (associati ad alcuni gruppi).

Avere sistemi senza patch e obsoleti è uno dei motivi principali per cui molte organizzazioni cadono vittime di un attacco. Assicurati che tutti i sistemi siano aggiornati, inclusi firmware, sistema operativo e applicazioni.

Procedure consigliate
  • Assicurati che i dispositivi siano protetti applicando patch, cambiando le password predefinite e le porte SSH predefinite.
  • Riduci la superficie di attacco eliminando porte aperte e connessioni Internet superflue, limitando l'accesso remoto bloccando le porte, negando l'accesso remoto e usando servizi VPN.
  • Utilizza una soluzione di rilevamento e reazione dalla rete (NDR) basata su IoT (Internet delle cose) e OT (Tecnologia operativa) e una soluzione di gestione degli eventi e informazioni di sicurezza (SIEM)/orchestrazione della sicurezza e risposta (SOAR) per monitorare i dispositivi e rilevare eventuali comportamenti anomali o non autorizzati, come la comunicazione con host sconosciuti.
  • Segmenta le reti per ridurre le possibilità che un utente malintenzionato riesca a spostarsi lateralmente e compromettere le risorse dopo l'intrusione iniziale. I dispositivi IoT e le reti OT devono essere isolati dalle reti IT aziendali tramite firewall.
  • Assicurati che i protocolli ICS non siano direttamente esposti a Internet.
  • Ottieni una visibilità più approfondita sui dispositivi IoT/OT nella tua rete e classificali in ordine di priorità in base al rischio che rappresenterebbero per l'azienda qualora fossero compromessi.
  • Usa gli strumenti di analisi del firmware per esaminare i potenziali punti deboli della sicurezza e collabora con i fornitori per capire come mitigare i rischi per i dispositivi ad alto rischio.
  • Influenza positivamente la sicurezza dei dispositivi IoT/OT richiedendo l'adozione di procedure consigliate sicure per il ciclo di vita dello sviluppo ai tuoi fornitori.
  • Evita di trasferire file che contengono definizioni di sistema tramite canali non sicuri o a personale non essenziale.
  • Quando il trasferimento di tali file è inevitabile, assicurati di monitorare le attività sulla rete e accertati della protezione delle risorse.
  • Proteggi le stazioni di controllo monitorandole con soluzioni di rilevamento e reazione dagli endpoint (EDR).
  • Conduci una risposta agli incidenti proattiva per le reti OT.
  • Implementa un monitoraggio continuo con soluzioni come Microsoft Defender per IoT.

Conoscere i propri dati importanti, sapere dove si trovano e sapere se vengono implementati i sistemi giusti è fondamentale per una protezione appropriata.

Le sfide della sicurezza dei dati includono:
  • Riduzione e gestione del rischio di errori degli utenti
  • Classificazione manuale degli utenti inattuabile su larga scala
  • Necessità di proteggere i dati al di fuori della rete
  • Necessità di una strategia completa per conformità e sicurezza
  • Necessità di soddisfare requisiti di conformità sempre più rigorosi
5 pilastri di un approccio defense-in-depth alla sicurezza dei dati
Le aree di lavoro ibride di oggi richiedono l'accesso ai dati da più dispositivi, app e servizi in tutto il mondo. Con un numero così elevato di piattaforme e punti di accesso, è necessario disporre di misure di protezione avanzate contro il furto e la perdita di dati. Per l'ambiente di oggi, un approccio defense-in-depth offre la protezione migliore per rafforzare la sicurezza dei dati. Questa strategia è formata da cinque componenti, tutti attuabili in qualsiasi ordine a seconda delle esigenze specifiche di un'organizzazione e dei possibili requisiti normativi.
  • Identificare il panorama dei dati
    Per poter proteggere i dati sensibili, devi scoprire dove si trovano e come accedervi. Questo richiede una visibilità completa nel tuo intero patrimonio di dati, che sia locale, ibrido o multi-cloud.
  • Proteggere i dati sensibili Oltre a creare una mappa olistica, devi proteggere i tuoi dati, inattivi e in movimento. È qui che entrano in gioco l'applicazione di etichette e la classificazione dei dati, in modo da ottenere dati analitici su come questi vengono aperti, archiviati e condivisi. Un monitoraggio preciso dei dati contribuirà a impedire violazioni e perdite di dati.
  • Gestire i rischi Anche quando i dati sono mappati ed etichettati correttamente, bisogna prendere in considerazione il contesto dell'utente dell'account in merito ai dati e alle attività che potrebbero causare potenziali incidenti di sicurezza, tra cui minacce interne. L'approccio migliore per far fronte ai rischi Insider si basa sulle persone giuste, oltre ai processi, alla formazione e agli strumenti appropriati.
  • Impedire la perdita di dati Non dimenticare l'uso non autorizzato dei dati, oltre alla perdita. Una soluzione di protezione dalla perdita di dati efficace richiede un equilibrio tra sicurezza e produttività. È fondamentale garantire la presenza dei controlli di accesso opportuni e l'impostazione di criteri che impediscano azioni come il salvataggio, l'archiviazione o la stampa inappropriati di dati sensibili.
  • Gestire il ciclo di vita dei dati Per quanto riguarda la governance dei dati, i team aziendali stanno progressivamente diventando gestori dei propri dati, quindi è importante che le organizzazioni creino un approccio unico nell'azienda. Questo tipo di gestione del ciclo di vita proattiva offre una migliore sicurezza dei dati e aiuta a garantire che i dati siano accessibili a tutti gli utenti in modo responsabile, ottenendo un potenziale valore di business.

Anche se gli attori di minacce continuano a evolvere e diventare più sofisticati, vale la pena di ripetere un'ovvietà della cybersecurity: l'igiene informatica di base (abilitare la MFA, applicare i principi di Zero Trust, tenere i sistemi aggiornati, usare antimalware moderni e proteggere i dati) previene il 98% degli attacchi.

Per proteggersi dalle minacce informatiche, ridurre al minimo i rischi e garantire l'efficienza del business, è fondamentale soddisfare gli standard minimi per l'igiene informatica.

Articoli correlati

Aumento del 61% degli attacchi di phishing: cose da sapere sulla superficie di attacco.

Per gestire una superficie di attacco sempre più complessa, le organizzazioni devono sviluppare un approccio alla sicurezza completo. Con sei aree principali della superficie di attacco, questo report mostra come la giusta intelligence sulle minacce può giocare a favore dei difensori.

Il Cybercrime-as-a-Service (CaaS) causa il 38% di aumento delle frodi relative alla posta elettronica aziendale

La compromissione della posta elettronica aziendale (BEC) è in crescita oggi che i criminali informatici possono oscurare l'origine dei propri attacchi per essere ancora più efferati. Scopri di più su CaaS e come può aiutarti a proteggere la tua organizzazione.

Sicurezza incentrata sul cloud: in che modo i CISO colmano le lacune relative alla copertura

I responsabili della sicurezza informatica a livello centrale (CISO) parlano delle priorità relative alla sicurezza in continua evoluzione mentre le loro organizzazioni adottano modelli incentrati sul cloud e descrivono le sfide relative alla gestione del loro intero patrimonio digitale.

Segui Microsoft Security