L'intensità dell'attacco del ransomware WannaCrypt si è dissipata, ma la paura incombe ancora. In quanto tale, molte organizzazioni hanno emesso un avviso in risposta a questa minaccia. Credono che aiuterà le organizzazioni a gestire un'infrastruttura sicura per i loro clienti e proteggerà la loro organizzazione da tali attacchi in futuro. Anche la Microsoft suggerisce che i suoi clienti esercitino prudenza e seguano gli 8 passaggi delineati in a Microsoft Azure post sul blog per rimanere protetto contro l'attacco ransomware, WannaCrypt.
L'advisory si rivolge agli utenti che sono lenti a rispondere o compiacenti alla sicurezza. Microsoft ritiene che tutti i clienti di Azure dovrebbero seguire questi 8 passaggi come strategia di precauzione e mitigazione.
Passi per i clienti di Azure per scongiurare la minaccia di WannaCrypt Ransomware
I risultati preliminari rivelano che il malware WannaCrypt sfrutta una vulnerabilità Service Message Block (SMB) (CVE-2017-0145) trovata nel sistema operativo dei computer. In quanto tale, i clienti dovrebbero installare MS17-010 subito per risolvere questa vulnerabilità.
Secondo, per prevenire qualsiasi evento di sfortuna, esaminare tutte le sottoscrizioni di Azure che hanno esposti endpoint SMB a Internet, comunemente associato alle porte TCP 139, TCP 445, UDP 137, UDP 138. Microsoft mette in guardia dall'apertura di qualsiasi porta a Internet che non sia essenziale per le operazioni. Per disabilitare il protocollo SMBv1, eseguire i seguenti comandi:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Sfrutta la capacità di Azure Security Center di verificare che siano antimalware e altri controlli di sicurezza critici correttamente configurato per tutte le macchine virtuali di Azure e sono in condizione di funzionamento. Per visualizzare lo stato di sicurezza delle risorse, accedere alla sezione 'Prevenzione visibile nella schermata' Panoramica 'di Azure Security Center.
Successivamente, è possibile controllare l'elenco di tali problemi in raccomandazioni tessera come mostrato nello screenshot qui sotto.
La migliore strategia per rimanere protetti contro qualsiasi minaccia indesiderata è aggiorna regolarmente la tua macchina. Gli utenti Windows possono accedere a Windows Update per verificare eventuali nuovi aggiornamenti di sicurezza disponibili e installarli immediatamente per mantenere aggiornate le proprie macchine. Per gli utenti che eseguono Servizi cloud di Azure, gli aggiornamenti automatici sono abilitati per impostazione predefinita, quindi non è richiesta alcuna azione da parte loro. Inoltre, tutte le versioni del sistema operativo guest rilasciate il 14 marzo 2017 e successive presentano l'aggiornamento MS17-010. L'aggiornamento risolve qualsiasi vulnerabilità rilevata nel server SMB (destinazione principale per WannaCrypt ransomware).
Se necessario, è possibile visualizzare lo stato di aggiornamento delle risorse su base continua tramite Centro sicurezza di Azure. Il centro monitora continuamente il tuo ambiente in cerca di minacce. Combina l'intelligenza e l'esperienza delle minacce globali di Microsoft con approfondimenti sugli eventi relativi alla sicurezza del cloud nelle distribuzioni di Azure, mantenendo così tutte le risorse di Azure protette e protette. È anche possibile utilizzare il centro per raccogliere e monitorare i registri degli eventi e il traffico di rete alla ricerca di potenziali attacchi.
NSG a.k.a. come gruppi di sicurezza di rete contengono un elenco di Elenco di controllo di accesso (ACL) regole che consentono o negano il traffico di rete alle istanze VM in una rete virtuale. Quindi, puoi usare Gruppi di sicurezza di rete (NSG) per limitare l'accesso alla rete. Questo, a sua volta, può aiutarti a ridurre l'esposizione agli attacchi e configurare NSG con regole in entrata che limitano l'accesso alle sole porte richieste. Oltre al Centro sicurezza di Azure, è possibile utilizzare firewall di rete di rinomate aziende di sicurezza per fornire un ulteriore livello di sicurezza.
Se hai installato altro anti-malware, verifica che sia distribuito correttamente e aggiornato regolarmente. Per gli utenti che si affidano a Windows Defender, Microsoft ha rilasciato un aggiornamento la scorsa settimana che rileva questa minaccia come Ransom: Win32 / WannaCrypt. Altri utenti di software anti-malware dovrebbero confermare con il loro provider per fornire sicurezza 24 ore su 24.
Infine, è spesso una notevole capacità di recupero che mostra la propria determinazione nel recupero da condizioni avverse come il processo di recupero da qualsiasi compromesso. Questo può essere rafforzato dall'avere un forte soluzione di backup a posto. Pertanto, è essenziale configurare i backup con l'autenticazione multifactor. Fortunatamente, se stai usando Backup di Azure, puoi recuperare i dati quando i tuoi server vengono attaccati da ransomware. Tuttavia, solo gli utenti con credenziali Azure valide possono accedere ai backup archiviati in Azure. Abilitare Autenticazione multi-fattore di Azure per fornire un ulteriore livello di sicurezza ai backup in Azure!
Sembra Microsoft si preoccupa molto della sicurezza dei dati dei propri clienti. Quindi, prima di questo, la società ha anche rilasciato una guida del cliente agli utenti del suo sistema operativo Windows XP dopo che molti dei suoi clienti sono stati vittime dell'attacco software globale WannaCrypt.
