Microsoft rilascia Windows 11 2022 Update con una funzionalità anti-ransomware, grazie all’integrazione della nuova versione di Microsoft Defender for Endpoint.
La funzionalità permette di difendere il sistema da ransomware e altre cyber minacce in grado di compromettere la sicurezza del sistema operativo, esponendo dati personali e/o sensibili a malintenzionati.
“Le organizzazioni devono sapere che non possono semplicemente pagare per uscire da un attacco ransomware”, commenta Sam Curry, Chief Security Officer, Cybereason.
Indice degli argomenti
Microsoft Defender for Endpoint su Windows 11: mai più ransomware
Windows 11 2022 Update è la prima major release per il sistema operativo dell’azienda di Redmond. Microsoft ha reso pubbliche le nuove build (22621.450 e 22622.450) del sistema operativo sul canale Beta, dedicate ai membri del programma Insider.
I nuovi aggiornamenti si concentrano sul blocco degli attacchi ransomware da parte di Microsoft Defender for Endpoint. Amanda Langowski e Brandon LeBlanc di Microsoft hanno commentato così l’integrazione: “Abbiamo migliorato la capacità di Microsoft Defender for Endpoint di identificare e intercettare ransomware e attacchi avanzati“. L’azienda di Redmond, infatti, aveva già aggiunto una prima versione di questa funzionalità nel marzo 2019 alla sua piattaforma enterprise di endpoint security.
L’opzione anti ransomware: come funziona e perché è cruciale
La funzionalità blocca le modifiche all’opzione chiave di sicurezza e impedisce ad attaccanti o tool malevoli di disabilitare la soluzione antimalware o di cancellare gli aggiornamenti di sicurezza.
Blocca anche altre app da modifiche dei setting per la protezione real-time e cloud-delivered, monitoraggio del comportamento, e componenti di Defender come IOfficeAntivirus (IOAV) che gestisce il rilevamento di file sospetti scaricati da Internet.
Ora “è necessaria una preparazione avanzata per assicurarsi di avere delle protezioni adeguate per fermare gli attacchi prima che gli hacker distribuiscano il payload del ransomware”, continua Sam Curry: “A tal proposito, esistono numerose soluzioni di rilevamento e risposta degli endpoint (EDR) e di rilevamento e risposta estesa (XDR) molto efficaci nel fermare la piaga del ransomware”.
Le 4 best practice per fermare i ransomware
Per fermare i ransomware esistono quattro best practice che è utile mettere in pratica, è il consiglio dell’analista di Cybereason. Bisogna, innanzitutto, “praticare una buona igiene della sicurezza implementando un programma di sensibilizzazione alla sicurezza per i dipendenti, assicurando che i sistemi operativi e altri software siano regolarmente aggiornati e corretti”.
Inoltre, occorre “condurre esercitazioni a tavolino e drilling, e includere anche risorse al di fuori del team di sicurezza, provenienti dal team legale, delle risorse umane, del supporto IT e fino agli Executive: è la chiave per una risposta efficace agli incidenti. Garantire che siano in atto pratiche di isolamento chiare per fermare qualsiasi ulteriore ingresso nella rete o la diffusione del ransomware ad altri dispositivi. I team dovrebbero essere esperti in attività come la disconnessione di un host, il blocco di un account compromesso e il blocco di un dominio malevolo eccetera. È consigliabile testare queste procedure con esercitazioni pianificate o non pianificate almeno ogni trimestre”.
Infine, conviene “implementare soluzioni EDR su tutti gli endpoint. Secondo Peter Firstbrook di Gartner, il rimedio più rapido alla piaga del ransomware per le aziende del settore pubblico e privato è l’implementazione dell’EDR sugli endpoint. Eppure, Firstbrook afferma che solo il 40% degli endpoint ha soluzioni EDR implementate”.
