Defensa contra ataques de ransomware
En esta fase, los actores de amenazas trabajan mucho más para acceder a los sistemas locales o en la nube mediante la eliminación gradual de los riesgos en los puntos de entrada.
Aunque muchos de estos cambios te resultarán familiares y fáciles de implementar, es muy importante que el trabajo que realices en esta parte de la estrategia no ralentice tu progreso en el resto de partes críticas.
Estos son los vínculos para revisar el plan de prevención de ransomware de tres partes:
Acceso remoto
Obtener acceso a la intranet de la organización mediante una conexión de acceso remoto es un vector de ataque para actores de amenazas de ransomware.
Una vez comprometida una cuenta de usuario local, un actor de amenazas puede aprovechar una intranet para recopilar información, elevar privilegios e instalar ransomware. El ciberataque de Colonial Pipeline en 2021 es un ejemplo.
Responsabilidades de los miembros del programa y del proyecto para acceso remoto
En esta tabla se describe la protección general de su solución de acceso remoto frente al ransomware en términos de una jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.
| Lead | Implementador | Responsabilidad |
|---|---|---|
| CISO o CIO | Patrocinio ejecutivo. | |
| Responsable del programa en la infraestructura de TI central o equipo de red | Impulsar los resultados y la colaboración entre equipos. | |
| Arquitectos de TI y seguridad | Priorizar la integración de componentes en arquitecturas. | |
| Equipo de identidad de TI central | Configuración de Microsoft Entra ID y directivas de acceso condicional | |
| Operaciones de TI central | Implementar cambios en el entorno. | |
| Propietarios de cargas de trabajo | Ayudar con los permisos de RBAC para la publicación de aplicaciones. | |
| Directivas y estándares de seguridad | Actualizar documentos de directivas y estándares | |
| Administración del cumplimiento de la seguridad | Supervisar para garantizar el cumplimiento | |
| Equipo de educación de usuarios | Actualizar las instrucciones con los cambios en el flujo de trabajo, impartir cursos y administrar los cambios. |
Lista de comprobación de implementación para el acceso remoto
Aplique estos procedimientos recomendados para proteger su infraestructura de acceso remoto frente a actores de amenazas de ransomware.
| Listo | Tarea | Descripción |
|---|---|---|
| Llevar al día las actualizaciones de software y dispositivo. Evitar que se omitan o descuiden las protecciones del fabricante (actualizaciones de seguridad, estado admitido). | Los actores de amenazas usan vulnerabilidades conocidas que aún no se han clasificado como vectores de ataque. | |
| Configurar Microsoft Entra ID para el acceso remoto existente mediante la aplicación de la validación de usuarios y dispositivos de Confianza cero con acceso condicional. | Confianza cero proporciona varios niveles de protección al acceso a la organización. | |
| Configurar la seguridad de las soluciones VPN de terceros existentes (Cisco AnyConnect, Palo Alto Networks GlobalProtect y Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA), entre otros). | Aproveche la seguridad integrada de la solución de acceso remoto. | |
| Implemente una VPN de punto a sitio (P2S) de Azure para proporcionar acceso remoto. | Saque provecho de la integración con Microsoft Entra ID y las suscripciones de Azure existentes. | |
| Publicar aplicaciones web en el entorno local con el proxy de aplicación de Microsoft Entra. | Las aplicaciones publicadas con el proxy de aplicación de Microsoft Entra no necesitan una conexión de acceso remoto. | |
| Proteger el acceso a los recursos de Azure con Azure Bastion. | Conéctese de forma segura y eficaz a las máquinas virtuales de Azure a través de SSL. | |
| Auditar y supervisar para corregir posibles desviaciones de la línea de base y posibles ataques (consulte Detección y respuesta). | Reducción del riesgo de actividades de ransomware que sondean las características y la configuración de seguridad de la línea de base. |
Correo electrónico y colaboración
Implemente los procedimientos recomendado para el correo electrónico y las soluciones de colaboración para que a los actores de amenazas les resulte más difícil vulnerarlos, al tiempo que deja que sus trabajadores accedan a contenidos externos de forma fácil y segura.
Con frecuencia, los actores de amenazas entran en el entorno introduciendo contenido malicioso camuflado dentro de herramientas de colaboración autorizadas, como el correo electrónico y el uso compartido de archivos, y convenciendo a los usuarios para que ejecuten el contenido. Microsoft ha invertido en mitigaciones mejoradas que aumentan considerablemente la protección contra estos vectores de ataque.
Responsabilidades de los miembros del programa y del proyecto para correo electrónico y colaboración
En esta tabla se describe la protección general de las soluciones de correo electrónico y colaboración frente al ransomware en términos de una jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.
| Lead | Implementador | Responsabilidad |
|---|---|---|
| CISO, CIO o Director de identidad | Patrocinio ejecutivo. | |
| Liderazgo del programa del equipo de arquitectura de seguridad | Impulsar los resultados y la colaboración entre equipos. | |
| Arquitectos de TI | Priorizar la integración de componentes en arquitecturas. | |
| Productividad en la nube o equipo de usuario final | Habilitar Defender para Office 365, Azure Site Recovery y AMSI | |
| Arquitectura de seguridad / Infraestructura y punto de conexión | Ayuda para la configuración | |
| Equipo de educación de usuarios | Actualización de instrucciones sobre los cambios de flujo de trabajo | |
| Directivas y estándares de seguridad | Actualizar documentos de directivas y estándares | |
| Administración del cumplimiento de la seguridad | Supervisar para garantizar el cumplimiento |
Lista de comprobación de implementación para correo electrónico y colaboración
Aplique estos procedimientos recomendados para proteger el correo electrónico y las soluciones de colaboración contra los actores de amenazas
| Listo | Tarea | Descripción |
|---|---|---|
| Habilite AMSI para Office VBA. | Detecte ataques de macro de Office con herramientas de punto de conexión como Defender para punto de conexión. | |
| Implemente seguridad avanzada para correo electrónico mediante Defender para Office 365 o una solución similar. | El correo electrónico es un punto de entrada común para los actores de amenazas. | |
| Implemente reglas de reducción de la superficie expuesta a ataques (Azure Site Recovery) para bloquear técnicas comunes de ataque, entre las que se incluyen: - Abuso de puntos de conexión, como el robo de credenciales, la actividad de ransomware y el uso sospechoso de PsExec y WMI. - Actividad malintencionada de documentos de Office, como la actividad de macro avanzada, contenido ejecutable, creación de procesos y la inserción de procesos iniciada por aplicaciones de Office. Nota: Implemente primero estas reglas en modo auditoría, evalúe cualquier impacto negativo y, a continuación, impleméntelas en modo bloque. |
Azure Site Recovery proporciona capas adicionales de protección específicamente destinadas a mitigar los métodos de ataque comunes. | |
| Auditar y supervisar para corregir posibles desviaciones de la línea de base y posibles ataques (consulte Detección y respuesta). | Reduce el riesgo de actividades de ransomware que sondean las características y la configuración de seguridad de la línea de base. |
Puntos de conexión
Implemente las características de seguridad pertinentes y siga rigurosamente los procedimientos recomendados de mantenimiento de software para puntos de conexión (dispositivos) y aplicaciones, clasificando por orden de prioridad los sistemas operativos de aplicaciones y de servidor o cliente expuestos directamente al tráfico y contenido de Internet.
Los puntos de conexión expuestos a Internet son un vector de entrada común que proporciona a los actores de amenazas acceso a los recursos de la organización. Dé prioridad al bloqueo de vulnerabilidades del sistema operativo y aplicación comunes con controles preventivos para ralentizar o impedir que realicen las fases siguientes.
Responsabilidades de los miembros del programa y del proyecto para los puntos de conexión
En esta tabla se describe la protección general de los puntos de conexión frente al ransomware en términos de una jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.
| Lead | Implementador | Responsabilidad |
|---|---|---|
| Liderazgo empresarial responsable del impacto empresarial tanto del tiempo de inactividad como de los daños causados por ataques | Patrocinio ejecutivo (mantenimiento). | |
| Operaciones de TI central o CIO | Patrocinio ejecutivo (otros) | |
| Liderazgo del programa del equipo de infraestructura de TI central | Impulsar los resultados y la colaboración entre equipos. | |
| Arquitectos de TI y seguridad | Priorizar la integración de componentes en arquitecturas. | |
| Operaciones de TI central | Implementar cambios en el entorno. | |
| Productividad en la nube o equipo de usuario final | Habilitar la reducción de la superficie expuesta a ataques. | |
| Propietarios de cargas de trabajo y aplicaciones | Identificar ventanas de mantenimiento para cambios. | |
| Directivas y estándares de seguridad | Actualizar documentos de directivas y estándares | |
| Administración del cumplimiento de la seguridad | Supervisar para garantizar el cumplimiento |
Lista de comprobación de implementación para puntos de conexión
Aplique estos procedimientos recomendados a Windows, Linux, macOS, Android, iOS y a otros puntos de conexión.
| Listo | Tarea | Descripción |
|---|---|---|
| Bloquear las amenazas conocidas con reglas de reducción de la superficie expuesta a ataques, protección contra alteraciones y bloqueo a primera vista. | No permita que la falta de uso de estas características de seguridad integradas sea la razón por la que un atacante se introduzca en su organización. | |
| Aplicar líneas de base de seguridad para fortalecer los servidores y clientes de Windows y las aplicaciones de Office accesibles desde Internet. | Proteja su organización con el mínimo nivel de seguridad y auméntela a partir de ahí. | |
| Mantener el software al día para que esté: - Actualizado: implemente rápidamente actualizaciones de seguridad críticas para sistemas operativos, exploradores y clientes de correo electrónico. - Compatible: actualice las versiones de los sistemas operativos y el software para que sus proveedores los admitan. |
Los atacantes cuentan con que se omitan o descuiden las actualizaciones del fabricante. | |
| Aislar, deshabilitar o retirar los sistemas y protocolos no seguros, incluidos los sistemas operativos no admitidos y los protocolos heredados. | Los atacantes usan vulnerabilidades conocidas de dispositivos, sistemas y protocolos heredados como puntos de entrada a la organización. | |
| Bloquear el tráfico inesperado con firewalls basados en hosts y defensas de red. | Algunos ataques de malware responden al tráfico entrante no solicitado a los hosts como una manera de realizar una conexión para un ataque. | |
| Auditar y supervisar para corregir posibles desviaciones de la línea de base y posibles ataques (consulte Detección y respuesta). | Reduce el riesgo de actividades de ransomware que sondean las características y la configuración de seguridad de la línea de base. |
Cuentas
Del mismo modo que las antiguas llaves maestras no servirán para proteger una casa de los ladrones de hoy en día, las contraseñas no pueden proteger las cuentas contra los ataques comunes que se producen en la actualidad. Mientras que la autenticación multifactor (MFA) fue una vez un molesto paso adicional, hoy en día la autenticación sin contraseña mejora la experiencia de inicio de sesión mediante enfoques biométricos que no requieren que los usuarios recuerden o escriban una contraseña. Además, la infraestructura de Confianza cero almacena información sobre los dispositivos de confianza, lo cual reduce la solicitud de molestas acciones de autenticación multifactor fuera de banda.
Empiece por las cuentas de administrador con privilegios elevados y siga rigurosamente estos procedimientos recomendados para la seguridad de las cuentas, incluido el uso de autenticación sin contraseña o MFA.
Responsabilidades de los miembros del programa y del proyecto para cuentas
En esta tabla se describe la protección general de las cuentas frente al ransomware en términos de una jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.
| Lead | Implementador | Responsabilidad |
|---|---|---|
| CISO, CIO o Director de identidad | Patrocinio ejecutivo. | |
| Responsable del programa de los equipos de administración de identidades y claves o arquitectura de seguridad | Impulsar los resultados y la colaboración entre equipos. | |
| Arquitectos de TI y seguridad | Priorizar la integración de componentes en arquitecturas. | |
| Administración de identidades y claves u operaciones de TI central | Implementar cambios de configuración. | |
| Directivas y estándares de seguridad | Actualizar documentos de directivas y estándares | |
| Administración del cumplimiento de la seguridad | Supervisar para garantizar el cumplimiento | |
| Equipo de educación de usuarios | Actualizar las contraseñas o instruir sobre el inicio de sesión, impartir cursos y administrar los cambios. |
Lista de comprobación de implementación para cuentas
Aplique estos procedimientos recomendados para proteger sus cuentas frente a atacantes de ransomware.
| Listo | Tarea | Descripción |
|---|---|---|
| Aplicar MFA o inicio de sesión sin contraseña seguros para todos los usuarios. Comience por las cuentas de administrador y de prioridad mediante una o varias de las siguientes opciones: - Autenticación sin contraseña con Windows Hello o la aplicación Microsoft Authenticator. - Autenticación multifactor. - Una solución MFA de terceros. |
Aumento de la dificultad para un atacante a la hora de robar credenciales mediante la simple determinación de una contraseña de cuenta de usuario. | |
| Aumentar la seguridad de las contraseñas: - Para las cuentas de Microsoft Entra, use la protección de contraseñas de Microsoft Entra para detectar y bloquear contraseñas no seguras conocidas y términos no seguros adicionales específicos de su organización. - Para las cuentas en el entorno local de Active Directory Domain Services (AD DS), amplíe la protección de contraseñas de Microsoft Entra a las cuentas de AD DS. |
Asegúrese de que los atacantes no puedan determinar contraseñas comunes o contraseñas basadas en el nombre de la organización. | |
| Auditar y supervisar para corregir posibles desviaciones de la línea de base y posibles ataques (consulte Detección y respuesta). | Reduce el riesgo de actividades de ransomware que sondean las características y la configuración de seguridad de la línea de base. |
Plazos y resultados de la implementación
Intente lograr estos resultados en un plazo de 30 días:
La totalidad de los empleados usan la autenticación multifactor de forma activa
Implementación completa de una mayor seguridad de contraseñas
Recursos adicionales del ransomware
Información clave de Microsoft:
Moonstone Sleet surge como nuevo actor de amenazas de Corea del Norte con nuevos trucos, Blog de Microsoft, mayo de 2024
Informe de 2023 sobre defensa digital de Microsoft (consulte las páginas 17 a 26)
Ransomware: un informe generalizado y continuo de análisis de amenazas en el portal de Microsoft Defender
Enfoque y caso práctico del ransomware del equipo de Respuesta a los incidentes de Microsoft (anteriormente DART)
Microsoft 365:
- Implementación de la protección contra ransomware en el inquilino de Microsoft 365
- Maximización de la resistencia al ransomware con Azure y Microsoft 365
- Recuperación en caso de un ataque de ransomware
- Protección contra malware y ransomware
- Proteger el PC contra el ransomware
- Control del ransomware en SharePoint Online
- Informes de análisis de amenazas para ransomware en el portal de Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Defensas de Azure ante ataques de ransomware
- Maximización de la resistencia al ransomware con Azure y Microsoft 365
- Plan de copia de seguridad y restauración para protegerse contra el ransomware
- Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo de 26 minutos)
- Recuperación de un riesgo de identidad sistemático
- Detección de un ataque avanzado de varias fases en Microsoft Sentinel
- Detección de fusión para ransomware en Microsoft Sentinel
Microsoft Defender for Cloud Apps:
Entradas de blog del equipo de seguridad de Microsoft:
Tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021)
Guía para combatir ransomware operado por humanos: Parte 1 (septiembre de 2021)
Pasos clave sobre cómo el equipo de detección y respuesta (DART) de Microsoft lleva a cabo investigaciones de incidentes de ransomware.
Guía para combatir ransomware operado por humanos: Parte 2 (septiembre de 2021)
Sugerencias y procedimientos recomendados
-
Consulte la sección Ransomware.
Ataques de ransomware controlados por personas: Un desastre evitable (marzo de 2020)
Incluye el análisis de la cadena de ataques de los ataques reales.
Respuesta al ransomware: ¿pagar o no pagar? (diciembre de 2019)
Norsk Hydro responde a un ataque de ransomware con transparencia (diciembre de 2019)