Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, obtendrá información sobre cómo puede ayudarle Azure Firewall Premium a protegerse contra ransomware.
¿Qué es el ransomware?
El ransomware es un tipo de software malintencionado diseñado para bloquear el acceso al sistema informático hasta que se paga una suma de dinero. Normalmente, el atacante aprovecha una vulnerabilidad existente en el sistema para penetrar en la red y ejecutar el software malintencionado en el host de destino.
El ransomware se suele propagar a través de correos electrónicos de suplantación de identidad (phishing) que contienen datos adjuntos malintencionados o mediante la descarga oculta. La descarga oculta por se produce cuando un usuario visita sin saberlo un sitio web infectado y, a continuación, se descarga e instala el malware sin que el usuario lo sepa.
Protección frente a actividades malintencionadas de red
Sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.
Azure Firewall Premium proporciona IDPS basado en firma donde cada paquete se inspecciona exhaustivamente, incluidos todos sus encabezados y la carga, para identificar una actividad malintencionada y evitar que penetre en la red.
Las firmas IDPS son aplicables al tráfico de nivel de aplicación y de red (capas 4-7), son totalmente administradas y contienen más de 65 000 firmas en más de 50 categorías diferentes. Para mantenerlas actualizadas (¿las firmas IDPS?) con el panorama dinámico de ataques en constante cambio:
- Azure Firewall dispone de acceso anticipado a la información de vulnerabilidades del Programa de protecciones activas de Microsoft (MAPP) y el Centro de respuestas de seguridad de Microsoft (MSRC).
- Azure Firewall publica de 30 a 50 nuevas firmas cada día.
En la actualidad, el cifrado moderno (SSL/TLS) se usa globalmente para proteger el tráfico de Internet. Los atacantes usan el cifrado para llevar su software malintencionado a la red de la víctima. Por lo tanto, los clientes deben inspeccionar su tráfico cifrado igual que cualquier otro tráfico.
IDPS de Azure Firewall Premium permite detectar ataques en todos los puertos y protocolos para el tráfico no cifrado. Sin embargo, cuando hay que inspeccionar el tráfico HTTPS, Azure Firewall puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y detectar con precisión las actividades malintencionadas.
Una vez instalado el ransomware en la máquina de destino, este puede intentar cifrar los datos de la máquina. El ransomware requiere una clave de cifrado y puede usar el comando y el control (C&C) para obtener la clave de cifrado del servidor C&C hospedado por el atacante. CryptoLocker, WannaCry, TeslaCrypt, Cerber y Locky son algunos de los ransomwares que usan C&C para capturar las claves de cifrado necesarias.
Azure Firewall Premium tiene cientos de firmas diseñadas para detectar la conectividad de C&C y bloquearla para evitar que el atacante cifre los datos. En el diagrama siguiente se muestra la protección de Azure Firewall contra un ataque de ransomware mediante el canal C&C.
Protección contra ataques de ransomware
Se recomienda un enfoque holístico para evitar ataques de ransomware. Azure Firewall funciona en un modo de denegación predeterminado y bloquea el acceso a menos que el administrador lo permita explícitamente. La habilitación de la característica Inteligencia sobre amenazas (TI) en modo de alerta o denegación bloquea el acceso a los dominios y las direcciones IP malintencionados conocidos. La fuente de Intel sobre amenazas de Microsoft se actualiza continuamente en función de las amenazas nuevas y emergentes.
Se puede usar la directiva de firewall para la configuración centralizada de los firewalls. Esto ayuda a responder rápidamente a las amenazas. Los clientes pueden habilitar la fuente de Intel sobre amenazas e IDPS en varios firewalls con solo unos clics. Las categorías web permiten a los administradores permitir o denegar el acceso de los usuarios a categorías de sitios web como, por ejemplo, sitios web de apuestas, de redes sociales u otros. El filtrado de direcciones URL proporciona acceso con ámbito a sitios externos y puede reducir aún más el riesgo. En otras palabras, Azure Firewall tiene todo lo necesario para que las empresas se defiendan de forma integral contra malware y ransomware.
La detección es igualmente importante que la prevención. La solución de Azure Firewall para Azure Sentinel permite la detección y prevención en forma de una solución fácil de implementar. La combinación de prevención y detección le permite asegurarse de evitar amenazas sofisticadas cuando sea posible, al tiempo que mantiene una "mentalidad de asunción de brechas" para detectar y responder rápidamente a los ciberataques.
Pasos siguientes
Consulte Protección contra ransomware en Azure para más información sobre las defensas contra ataques de ransomware en Azure y para obtener instrucciones sobre cómo proteger proactivamente los recursos.
Para más información sobre Azure Firewall Premium, consulte: