Prepararse para un ataque por ransomware

En este artículo se proporcionan instrucciones específicas de Azure para preparar su organización para defenderse frente a ataques ransomware y recuperarse de ellos.

Sugerencia

Este artículo se centra específicamente en las funcionalidades y procedimientos recomendados de Azure. Para obtener instrucciones completas de preparación de ransomware en todas las plataformas y servicios de Microsoft, consulte Preparar su plan de recuperación de ransomware.

Adopción de un marco de ciberseguridad

Un buen punto de partida es usar el punto de referencia de seguridad en la nube de Microsoft (MSCB) para proteger el entorno de Azure. El punto de referencia de seguridad en la nube de Microsoft es el marco de control de la seguridad de Azure creado a partir de los marcos de control de seguridad del sector, como SP800-53 de NIST o CIS Controls v7.1.

El punto de referencia de seguridad en la nube de Microsoft proporciona a las organizaciones instrucciones para configurar Azure y los servicios de Azure, así como para implementar los controles de seguridad. Las organizaciones pueden usar Microsoft Defender for Cloud para supervisar el estado de su entorno de Azure en directo con todos los controles de MCSB.

En última instancia, el marco está destinado a reducir y administrar mejor los riesgos de ciberseguridad.

Punto de referencia de seguridad en la nube de Microsoft
Seguridad de red (NS)
Administración de identidades (IM)
Acceso con privilegios (PA)
Protección de datos (DP)
Administración de recursos (AM)
Registro y detección de amenazas (LT)
Respuesta a los incidentes (IR)
Administración de posiciones y vulnerabilidades (PV)
Seguridad del punto de conexión (ES)
Copia de seguridad y recuperación (BR)
Seguridad de DevOps (DS)
Gobernanza y estrategia (GS)

Clasificación por orden de prioridad de la mitigación

En función de nuestra experiencia con ataques de ransomware en entornos de Azure, encontramos que la priorización debe centrarse en:

1. Preparación: tener copias de seguridad y planes de recuperación para los recursos de Azure
2. Límite: protección del acceso con privilegios a los recursos de Azure
3. Prevención: protección de los controles de seguridad de Azure

Esto puede parecer contradictorio, ya que la mayoría de la gente quiere evitar un ataque y seguir adelante. Por desgracia, debemos asumir las infracciones (un principio clave de la Confianza cero) y centrarnos primero en mitigar el mayor daño de forma confiable. Esta clasificación por orden de prioridad es fundamental debido a la alta probabilidad de que se produzca un escenario con ransomware en el peor de los casos. Aunque no es una verdad agradable de aceptar, nos enfrentamos a atacantes humanos creativos y motivados que son expertos en encontrar una manera de controlar los complejos entornos del mundo real en los que operamos. Frente a esta realidad, es importante prepararse para lo peor y establecer marcos para contener e impedir que los atacantes consigan lo que buscan.

Aunque estas prioridades deben regir lo que se hace en primer lugar, animamos a las organizaciones a que ejecuten pasos en paralelo siempre que sea posible, incluida la extracción de los beneficios rápidos del el paso 1 siempre que se pueda.

Para obtener instrucciones completas sobre el enfoque de tres fases para la protección contra ransomware, consulte Protección de su organización contra ransomware y extorsión.

Dificultar el acceso

Evite que un atacante ransomware entre en su entorno de Azure y responda rápidamente a incidentes para quitar el acceso del atacante antes de que pueda robar y cifrar datos. Esto hace que los atacantes fracasen antes y más a menudo y que disminuya el beneficio de sus ataques. Aunque la prevención es el resultado preferido, es un recorrido continuo y es posible que no sea posible lograr el 100% de prevención y respuesta rápida en un entorno complejo multiplataforma y multinube de una organización real con responsabilidades de TI repartidas.

Para ello, las organizaciones deben identificar y ejecutar resultados rápidos para reforzar los controles de seguridad de sus recursos de Azure para evitar la entrada y detectar o expulsar rápidamente a los atacantes al implementar un programa sostenido que les ayude a mantenerse seguro. Microsoft recomienda que las organizaciones sigan los principios descritos en la estrategia de confianza cero. En concreto, para los recursos de Azure, las organizaciones deben priorizar:

• Mejorar la higiene de la seguridad al centrar los esfuerzos en la reducción de la superficie expuesta a ataques y la administración de amenazas y vulnerabilidades para los recursos de Azure.
• Implementar controles de protección, detección y respuesta para cargas de trabajo de Azure que pueden protegerse frente a amenazas avanzadas y de productos básicos, proporcionar visibilidad y alertas sobre la actividad del atacante y responder a amenazas activas.

Para obtener instrucciones completas sobre cómo dificultar el acceso de los atacantes a su entorno, consulte Defender contra ataques de ransomware.

Limitar el ámbito de los daños

Asegúrese de que tiene controles seguros (evitar, detectar y responder) para cuentas con privilegios con acceso a los recursos de Azure, como administradores de TI y otros roles con el control de los sistemas críticos para la empresa. Esto ralentiza o impide que los atacantes obtengan acceso completo a los recursos de Azure para robarlos y cifrarlos. Si se elimina la capacidad de los atacantes de utilizar las cuentas de administración de TI como un acceso directo a los recursos, se reducen drásticamente las probabilidades de que tengan éxito en el ataque y en la exigencia de pago o beneficio.

Las organizaciones deben tener una seguridad elevada para las cuentas con privilegios con acceso a Azure (protección estrecha, supervisión y respuesta rápida a incidentes relacionados con estos roles). Consulte el plan de modernización rápida de seguridad de Microsoft, que abarca:

• Seguridad de sesión de un extremo a otro (incluida la autenticación multifactor (MFA) para administradores)
• Protección y supervisión de los sistemas de identidad
• Mitigación del recorrido lateral
• Respuesta rápida frente a amenazas

Para obtener instrucciones completas sobre cómo limitar el ámbito de los daños, consulte Limitar el impacto de los ataques de ransomware.

Preparación para lo peor

Elabore un plan con el peor escenario posible y espere que ocurra (en todos los niveles de la organización). Esto ayuda a su organización y a otros usuarios del mundo en el que depende:

• Limite los daños para el peor de los casos: aunque restaurar todos los sistemas a partir de las copias de seguridad es muy perjudicial para la empresa, es más eficaz y eficiente que intentar hacerlo utilizando herramientas de descifrado (de baja calidad) proporcionadas por el atacante después de pagar para obtener la clave. Nota: Pagar es un camino incierto. Usted no tiene ninguna garantía formal o jurídica de que la clave funcione en todos los archivos, de que las herramientas funcionen eficazmente o de que el atacante (que puede ser un afiliado aficionado que utiliza un conjunto de herramientas profesionales) actúe de buena fe.
• Limitar la rentabilidad financiera de los atacantes: si una organización puede restaurar las operaciones de negocio sin pagar a los atacantes, el ataque fracasa y resulta en una rentabilidad de la inversión (ROI) cero para los atacantes. Esto hace que sea menos probable que ataquen a la organización en el futuro (y les priva de más financiación para atacar a otros).

Los atacantes pueden seguir intentando extorsionar a la organización mediante la divulgación de datos o el abuso o la venta de los datos robados, pero esto les da menos ventaja que si tienen la única vía de acceso a sus datos y sistemas.

Para conseguirlo, las organizaciones deben asegurarse de tomar las siguientes medidas:

• Registrar los riesgos: agregue ransomware al registro de riesgos como escenario de alta probabilidad y alto impacto. Haga un seguimiento del estado de mitigación a través del ciclo de evaluación de administración de riesgos empresariales (ERM).
• Definir y hacer copias de seguridad de los recursos críticos de la empresa: defina los sistemas necesarios para las operaciones críticas de la empresa y haga copias de seguridad automáticas según una programación regular (incluida la copia de seguridad correcta de las dependencias críticas, como Active Directory). Proteja las copias de seguridad contra el borrado y el cifrado deliberados con el almacenamiento sin conexión, el almacenamiento inmutable o los pasos fuera de banda (MFA o PIN) antes de modificar o borrar las copias de seguridad en línea.
• Probar el escenario de "recuperación desde cero": pruébelo para garantizar que su continuidad de negocio/recuperación ante desastres (BC/DR) pueda poner en línea rápidamente las operaciones críticas del negocio desde la funcionalidad cero (todos los sistemas están fuera de servicio). Llevar a cabo ejercicios prácticos para validar los procesos y procedimientos técnicos de todos los equipos, incluidas las comunicaciones con los empleados y los clientes fuera de banda (suponiendo que todo el correo electrónico/chat/etc. no funciona).
  Es fundamental proteger (o imprimir) los documentos y sistemas adicionales necesarios para la recuperación, incluidos los documentos del procedimiento de restauración, las CMDB, los diagramas de red, las instancias de SolarWinds, etc. Los atacantes los destruyen regularmente.
• Reduzca la exposición local mediante; para ello, mueva los datos a servicios en la nube de Azure con copias de seguridad automáticas y reversión de autoservicio.

Para obtener instrucciones completas sobre cómo prepararse para el peor de los casos, incluido el entrenamiento de concienciación y la preparación de SOC, consulte Preparación del plan de recuperación de ransomware.

Controles técnicos específicos de Azure para la protección contra ransomware

Azure proporciona una amplia variedad de controles técnicos nativos para proteger, detectar y responder a incidentes de ransomware con énfasis en la prevención. Las organizaciones que ejecutan cargas de trabajo en Azure deben aprovechar estas funcionalidades nativas de Azure:

Herramientas de detección y prevención para Azure

• Microsoft Defender for Cloud : administración unificada de seguridad que proporciona protección contra amenazas para cargas de trabajo de Azure, incluidas máquinas virtuales, contenedores, bases de datos y almacenamiento
• Azure Firewall Premium : firewall de última generación con funcionalidades de IDPS para detectar y bloquear las comunicaciones de C&C de ransomware
• Microsoft Sentinel : plataforma SIEM/SOAR nativa de la nube con análisis de detección de ransomware integrados y respuesta automatizada
• Azure Network Watcher : supervisión de red y diagnósticos para detectar patrones de tráfico anómalos
• Microsoft Defender para punto de conexión : para máquinas virtuales de Azure que ejecutan Windows o Linux

Protección de datos para recursos de Azure

• Azure Backup con inmutabilidad y borrado suave para máquinas virtuales de Azure, bases de datos SQL y comparticiones de archivos
• Blobs inmutables de Azure Storage : almacenamiento WORM (Escribir una vez, leer muchos) que no se puede modificar o eliminar
• Control de acceso basado en rol (RBAC) de Azure : principio de privilegios mínimos para el acceso a recursos de Azure
• Azure Policy : aplicación de directivas de copia de seguridad y configuraciones de seguridad en suscripciones de Azure
• Comprobación periódica de la copia de seguridad mediante Azure Site Recovery para pruebas de recuperación ante desastres

Para obtener instrucciones completas sobre el control de incidentes, consulte Preparar el plan de recuperación de ransomware.

Funcionalidades de copia de seguridad y recuperación de Azure

Asegúrese de que tiene los procesos y procedimientos adecuados en vigor para las cargas de trabajo de Azure. Casi todos los incidentes de ransomware tienen como resultado la necesidad de restaurar sistemas en peligro. Los procesos de copia de seguridad y restauración adecuados y probados deben estar en vigor para los recursos de Azure, junto con estrategias de contención adecuadas para impedir que el ransomware se propague.

La plataforma Azure proporciona varias opciones de copia de seguridad y recuperación a través de Azure Backup y funcionalidades integradas dentro de varios servicios de datos y cargas de trabajo de Azure:

Copias de seguridad aisladas con Azure Backup

Azure Backup proporciona copias de seguridad inmutables y aisladas con eliminación reversible y protección con autenticación multifactor (MFA) para:

• Azure Virtual Machines
• Bases de datos en máquinas virtuales de Azure: SQL, SAP HANA
• Base de Datos de Azure para PostgreSQL
• Servidores de Windows locales (copia de seguridad en la nube mediante el agente de MARS)

Copias de seguridad operativas

• Azure Files : uso compartido de instantáneas con restauración a un momento dado
• Blobs de Azure : eliminación temporal, control de versiones e almacenamiento inmutable
• Azure Disks : instantáneas incrementales

Copias de seguridad integradas de los servicios de datos de Azure

Los servicios de datos como Azure SQL Database, Azure Database for MySQL/MariaDB/PostgreSQL, Azure Cosmos DB y Azure NetApp Files ofrecen funcionalidades de copia de seguridad integradas con programaciones automatizadas.

Para obtener instrucciones detalladas, consulte Plan de copia de seguridad y restauración para proteger contra ransomware.

Pasos siguientes

Para obtener instrucciones completas de protección contra ransomware en todas las plataformas y servicios de Microsoft, consulte Protección de su organización contra ransomware y extorsión.

Consulte las notas del producto: Defensas de Azure para los ataques de ransomware.

Otros artículos de ransomware de Azure:

• Protección contra ransomware en Azure
• Detección y respuesta a ataques de ransomware
• Características y recursos de Azure que le ayudan a proteger, detectar y responder
• Mejora de las defensas de seguridad para ataques de ransomware con Azure Firewall Premium