Protección contra malware y ransomware en Microsoft 365

Protección de datos de clientes frente a malware

El malware consta de virus, spyware y otro software malintencionado. Microsoft 365 incluye mecanismos de protección para evitar que un cliente o un servidor de Microsoft 365 introduzca malware en Microsoft 365. El uso de software antimalware es un mecanismo principal para proteger los recursos de Microsoft 365 frente a software malintencionado. El software antimalware detecta e impide que virus informáticos, malware, rootkits, gusanos y otro software malintencionado se introduzcan en cualquier sistema de servicio. El software antimalware proporciona control preventivo y detective sobre software malintencionado.

Cada solución antimalware en su lugar realiza un seguimiento de la versión del software y de las firmas que se ejecutan. La descarga automática y la aplicación de actualizaciones de firmas al menos diariamente desde el sitio de definición de virus del proveedor se administran de forma centralizada mediante la herramienta antimalware adecuada para cada equipo de servicio. Las siguientes funciones se administran de forma centralizada mediante la herramienta antimalware adecuada en cada punto de conexión para cada equipo de servicio:

• Exámenes automáticos del entorno
• Exámenes periódicos del sistema de archivos (al menos semanalmente)
• Exámenes en tiempo real de los archivos a medida que se descargan, abren o ejecutan
• Descarga automática y aplicación de actualizaciones de firma al menos diariamente desde el sitio de definición de virus del proveedor
• Alertas, limpieza y mitigación de malware detectado

Cuando las herramientas antimalware detectan malware, bloquean el malware y generan una alerta al personal del equipo de servicio de Microsoft 365, a Microsoft 365 Security o al equipo de seguridad y cumplimiento de la organización de Microsoft que opera nuestros centros de datos. El personal receptor inicia el proceso de respuesta a incidentes. Se realiza un seguimiento de los incidentes y se resuelven, y se realiza un análisis posterior a la autopsia.

Exchange Online Protection contra malware

Todos los mensajes de correo electrónico de Exchange Online viajan a través de Exchange Online Protection (EOP), que pone en cuarentena y examina en tiempo real todos los datos adjuntos de correo electrónico y correo electrónico que entran y salen del sistema en busca de virus y otro malware. Los administradores no necesitan configurar ni mantener las tecnologías de filtrado; están habilitados de forma predeterminada. Sin embargo, los administradores pueden realizar personalizaciones de filtrado específicas de la empresa mediante el Centro de administración de Exchange.

Gracias al uso de varios motores antimalware, EOP ofrece una protección de varias capas diseñadas para detectar todo el malware conocido. Los mensajes transportados a través del servicio se examinan en busca de malware (incluidos virus y spyware). Si se detecta malware, se elimina el mensaje. También se pueden enviar notificaciones a los remitentes o administradores cuando un mensaje infectado se elimina y no se entrega. También puede elegir sustituir los datos adjuntos infectados por mensajes predeterminados o personalizados que informan a los remitentes de la detección del malware.

Lo siguiente ayuda a proporcionar protección contra malware:

• Defensas en capas contra malware : varios motores de examen antimalware usados en EOP ayudan a protegerse frente a amenazas conocidas y desconocidas. Dichos motores incluyen potente detección heurística que ofrece protección aún durante las primeras etapas de un ataque de malware. Se ha comprobado que este método multimotor brinda mucha más protección que el uso de un solo motor de antimalware.
• Respuesta a amenazas en tiempo real : durante algunos brotes, el equipo antimalware puede tener suficiente información sobre un virus u otra forma de malware para escribir reglas de directiva sofisticadas que detecten la amenaza incluso antes de que una definición esté disponible en cualquiera de los motores utilizados por el servicio. Esas reglas se publican en la red global cada 2 horas a fin de proporcionar a la organización una capa adicional de protección contra ataques.
• Implementación rápida de definiciones de antimalware : el equipo antimalware mantiene relaciones estrechas con los asociados que desarrollan motores antimalware. Como resultado, el servicio puede recibir e integrar definiciones y revisiones de malware antes de que se lancen al público. Nuestra conexión con esos socios a menudo también nos permite desarrollar nuestras propias soluciones. El servicio busca definiciones actualizadas en todos los motores de antimalware cada hora.

Microsoft Defender para Office 365

Microsoft Defender para Office 365 es un servicio de filtrado de correo electrónico que proporciona protección adicional contra tipos específicos de amenazas avanzadas, incluidos malware y virus. Exchange Online Protection actualmente usa una protección antivirus sólida y en capas con tecnología de varios motores contra malware y virus conocidos. Microsoft Defender para Office 365 amplía esta protección a través de una característica denominada Datos adjuntos seguros, que protege contra malware y virus desconocidos, y proporciona una mejor protección de día cero para proteger el sistema de mensajería. Todos los mensajes y datos adjuntos que no tienen una firma de virus o malware conocida se enrutan a un entorno especial de hipervisor, donde se realiza un análisis de comportamiento mediante una variedad de técnicas de aprendizaje automático y análisis para detectar intenciones malintencionadas. Si no se detecta ninguna actividad sospechosa, se libera el mensaje para su entrega al buzón de correo.

Exchange Online Protection también examina cada mensaje en tránsito en Microsoft 365 y proporciona tiempo de protección de entrega, bloqueando los hipervínculos malintencionados de un mensaje. A veces, los atacantes intentan ocultar direcciones URL malintencionadas con vínculos aparentemente seguros que un servicio de reenvío redirige a sitios no seguros después de recibir el mensaje. Vínculos seguros protege proactivamente a los usuarios si seleccionan dicho vínculo. Esa protección permanece cada vez que seleccionan el vínculo y los vínculos malintencionados se bloquean dinámicamente mientras se puede acceder a los vínculos correctos.

Microsoft Defender para Office 365 también ofrece funcionalidades enriquecidas de generación de informes y seguimiento, por lo que puede obtener información crítica sobre quién se dirige a su organización y la categoría de ataques a los que se enfrenta. El seguimiento de informes y mensajes le permite investigar los mensajes que se han bloqueado debido a un virus o malware desconocido, mientras que la funcionalidad de seguimiento de direcciones URL le permite realizar un seguimiento de vínculos malintencionados individuales en los mensajes en los que se ha hecho clic.

Para obtener más información sobre Microsoft Defender para Office 365, consulte Exchange Online Protection y Microsoft Defender para Office 365.

SharePoint Online y OneDrive para la Empresa Protección contra ransomware

Hay muchas formas de ataques de ransomware, pero una de las formas más comunes es donde un individuo malintencionado cifra los archivos importantes de un usuario y luego exige algo al usuario, como dinero o información, a cambio de la clave para descifrarlos. Los ataques de ransomware están en aumento, especialmente los que cifran los archivos almacenados en el almacenamiento en la nube del usuario. Para obtener más información sobre ransomware, vea el sitio de inteligencia de seguridad de Microsoft Defender.

El control de versiones ayuda a proteger las listas de SharePoint Online y las bibliotecas de SharePoint Online y OneDrive para la Empresa de algunos, pero no todos, de estos tipos de ataques de ransomware. El control de versiones está habilitado de forma predeterminada en OneDrive para la Empresa y SharePoint Online. Dado que el control de versiones está habilitado en las listas de sitios de SharePoint Online, puede examinar versiones anteriores y recuperarlas, si es necesario. Esto le permite recuperar versiones de elementos que pre-fechan su cifrado por el ransomware. Algunas organizaciones también conservan varias versiones de los elementos de sus listas por motivos legales o con fines de auditoría.

Contenedores de reciclaje de SharePoint Online y OneDrive para la Empresa

Los administradores de SharePoint Online pueden restaurar una colección de sitios eliminada mediante el Centro de administración de SharePoint Online. Los usuarios de SharePoint Online tienen una papelera de reciclaje donde se almacena el contenido eliminado. Si lo necesitan, pueden acceder a ella para recuperar listas y documentos eliminados. Los elementos de la Papelera de reciclaje se conservan durante 93 días. La papelera de reciclaje captura los siguientes tipos de datos:

• Colecciones de sitios
• Sitios
• Listas
• Bibliotecas
• Carpetas
• Elementos de lista
• Documentos
• Páginas de elementos web

La Papelera de reciclaje no captura las personalizaciones de sitio realizadas a través de sharePoint Designer. Para obtener más información, consulte Restauración de elementos eliminados desde la papelera de reciclaje de la colección de sitios. Consulte también Restauración de una colección de sitios eliminada.

El control de versiones no protege frente a ataques de ransomware que copian archivos, los cifran y, a continuación, eliminan los archivos originales. Sin embargo, los usuarios finales pueden aprovechar la Papelera de reciclaje para recuperar OneDrive para la Empresa archivos después de que se produzca un ataque de ransomware.

En la sección siguiente se detallan más las defensas y controles que Microsoft usa para mitigar el riesgo de ciberataque contra su organización y sus recursos.

Cómo Microsoft mitiga los riesgos de un ataque de ransomware

Microsoft ha integrado defensas y controles que usa para mitigar los riesgos de un ataque de ransomware contra su organización y sus recursos. Los recursos se pueden organizar por dominio y cada dominio tiene su propio conjunto de mitigaciones de riesgo.

Dominio 1: controles de nivel de inquilino

El primer dominio son las personas que componen su organización y la infraestructura y los servicios propiedad y controlados por su organización. Las siguientes características de Microsoft 365 están activadas de forma predeterminada, o se pueden configurar, para ayudar a mitigar el riesgo y recuperarse de un compromiso correcto de los recursos de este dominio.

Exchange Online

• Con la recuperación de elementos únicos y la retención del buzón de correo, los clientes pueden recuperar elementos de un buzón tras una eliminación prematura involuntaria o malintencionada. Los clientes pueden revertir los mensajes de correo eliminados en 14 días de forma predeterminada, configurables hasta 30 días.

• Las configuraciones adicionales del cliente de estas directivas de retención dentro del servicio Exchange Online permiten:

  • retención configurable que se va a aplicar (1 año/10 año+)
  • copia en la protección de escritura que se va a aplicar
  • la capacidad de bloquear la directiva de retención para que se pueda lograr la inmutabilidad

• Exchange Online Protection examina el correo electrónico entrante y los datos adjuntos en tiempo real, tanto al entrar como a salir del sistema. Esto está habilitado de forma predeterminada y tiene personalizaciones de filtrado disponibles. Se eliminan los mensajes que contienen ransomware u otro malware conocido o sospechoso. Puede configurar los administradores para que reciban notificaciones cuando esto ocurra.

SharePoint Online y OneDrive para la Empresa Protection

SharePoint Online y OneDrive para la Empresa Protection tienen características integradas que ayudan a protegerse frente a ataques de ransomware.

Control de versiones: como el control de versiones conserva un mínimo de 500 versiones de un archivo de forma predeterminada y se puede configurar para conservar más, si el ransomware edita y cifra un archivo, se puede recuperar una versión anterior del archivo.

Papelera de reciclaje: si el ransomware crea una nueva copia cifrada del archivo y elimina el archivo antiguo, los clientes tienen 93 días para restaurarlo desde la papelera de reciclaje.

Biblioteca de suspensión de conservación: los archivos almacenados en sitios de SharePoint o OneDrive se pueden conservar aplicando la configuración de retención. Cuando un documento con versiones está sujeto a la configuración de retención, las versiones se copian en la biblioteca de suspensión de conservación y existen como un elemento independiente. Si un usuario sospecha que sus archivos se han puesto en peligro, puede investigar los cambios de archivo revisando la copia retenida. La restauración de archivos se puede usar para recuperar archivos en los últimos 30 días.

Teams

Los chats de Teams se almacenan en Exchange Online buzones de usuario y los archivos se almacenan en SharePoint Online o OneDrive para la Empresa. Los datos de Microsoft Teams están protegidos por los controles y mecanismos de recuperación disponibles en estos servicios.

Dominio 2: controles de nivel de servicio

El segundo dominio son las personas que componen Microsoft la organización y la infraestructura corporativa propiedad y controlada por Microsoft para ejecutar las funciones organizativas de una empresa.

El enfoque de Microsoft para proteger su patrimonio corporativo es Confianza cero, implementado mediante nuestros propios productos y servicios con defensas en nuestro patrimonio digital. Puede encontrar más detalles sobre los principios de Confianza cero aquí: arquitectura de Confianza cero.

Las características adicionales de Microsoft 365 amplían las mitigaciones de riesgo disponibles en el dominio 1 para proteger aún más los recursos de este dominio.

SharePoint Online y OneDrive para la Empresa Protection

Control de versiones: si ransomware cifró un archivo en su lugar, como edición, el archivo se puede recuperar hasta la fecha de creación inicial del archivo mediante las funcionalidades del historial de versiones administradas por Microsoft.

Papelera de reciclaje: si el ransomware creó una nueva copia cifrada del archivo y eliminó el archivo antiguo, los clientes tienen 93 días para restaurarlo desde la papelera de reciclaje. Después de 93 días, hay una ventana de 14 días en la que Microsoft todavía puede recuperar los datos. Después de esta ventana, los datos se eliminan permanentemente.

Teams

Las mitigaciones de riesgo para Teams descritas en dominio 1 también se aplican al dominio 2.

Dominio 3: Desarrolladores & infraestructura de servicio

El tercer dominio son las personas que desarrollan y operan el servicio de Microsoft 365, el código y la infraestructura que ofrece el servicio, así como el almacenamiento y el procesamiento de los datos.

Las inversiones de Microsoft que protegen la plataforma microsoft 365 y mitigan los riesgos de este dominio se centran en estas áreas:

• Evaluación y validación continuas de la posición de seguridad del servicio
• Creación de herramientas y arquitectura que protegen el servicio frente a riesgos
• Creación de la funcionalidad para detectar y responder a amenazas si se produce un ataque

Evaluación y validación continuas de la posición de seguridad

• Microsoft mitiga los riesgos asociados a las personas que desarrollan y operan el servicio microsoft 365 mediante el principio de privilegios mínimos. Esto significa que el acceso y los permisos a los recursos se limitan solo a lo necesario para realizar una tarea necesaria.
  • Un modelo Just-In-Time (JIT), Just-Enough-Access (JEA) se usa para proporcionar a los ingenieros de Microsoft privilegios temporales.
  • Los ingenieros deben enviar una solicitud para que una tarea específica adquiera privilegios elevados.
  • Las solicitudes se administran a través de La caja de seguridad, que usa el control de acceso basado en rol (RBAC) de Azure para limitar los tipos de solicitudes de elevación JIT que pueden realizar los ingenieros.
• Además de lo anterior, todos los candidatos de Microsoft se examinan previamente antes de empezar a trabajar en Microsoft. Los empleados que mantienen Microsoft servicios en línea en el Estados Unidos deben someterse a una comprobación de antecedentes en la nube de Microsoft como requisito previo para el acceso a servicios en línea sistemas.
• Todos los empleados de Microsoft deben completar la formación básica de reconocimiento de la seguridad junto con la formación de estándares de conducta empresarial.

Herramientas y arquitectura que protegen el servicio

• El ciclo de vida de desarrollo de seguridad (SDL) de Microsoft se centra en desarrollar software seguro para mejorar la seguridad de las aplicaciones y reducir las vulnerabilidades. Para obtener más información, vea Security and Security development and operations overview (Introducción al desarrollo y las operaciones de seguridad y seguridad).
• Microsoft 365 restringe la comunicación entre diferentes partes de la infraestructura de servicio a solo lo necesario para funcionar.
• El tráfico de red se protege mediante firewalls de red adicionales en los puntos límites para ayudar a detectar, prevenir y mitigar ataques de red.
• Los servicios de Microsoft 365 están diseñados para funcionar sin ingenieros que requieran acceso a los datos del cliente, a menos que el cliente lo solicite y apruebe explícitamente. Para obtener más información, consulte Cómo recopila y procesa Microsoft los datos de los clientes.

Capacidades de detección y respuesta

• Microsoft 365 participa en la supervisión de seguridad continua de sus sistemas para detectar amenazas y responder a ellas a Microsoft 365 Services.
• El registro centralizado recopila y analiza los eventos de registro de las actividades que podrían indicar un incidente de seguridad. Los datos de registro se analizan a medida que se cargan en nuestro sistema de alertas y generan alertas casi en tiempo real.
• Las herramientas basadas en la nube nos permiten responder rápidamente a las amenazas detectadas. Estas herramientas permiten la corrección mediante acciones desencadenadas automáticamente.
• Cuando no es posible la corrección automática, se envían alertas a los ingenieros de guardia adecuados, que están equipados con un conjunto de herramientas que les permiten actuar en tiempo real para mitigar las amenazas detectadas.

Recuperarse de un ataque de ransomware

Para conocer los pasos para recuperarse de un ataque de ransomware en Microsoft 365, consulte Recuperación de un ataque de ransomware en Microsoft 365.

Recursos adicionales de ransomware

Información clave de Microsoft

• La creciente amenaza de ransomware, entrada de blog de Microsoft On the Issues del 20 de julio de 2021
• Ransomware operado por humanos
• Protéjase contra ransomware y extorsión de manera rápida
• El informe de inteligencia de seguridad de Microsoft más reciente (vea las páginas 22-24)
• Ransomware: un informe de amenazas generalizado y continuo en el nodo Análisis de amenazas del portal de Microsoft Defender (consulte estos requisitos de licencia)

Microsoft 365

• Implementar la protección contra ransomware para el inquilino de Microsoft 365
• Recuperarse de un ataque de ransomware
• Proteger su equipo con Windows 10 de los ataques de ransomware
• Control de ransomware en SharePoint Online

Microsoft Defender XDR

• Buscar ransomware con la búsqueda avanzada de amenazas

Microsoft Azure

• Defensas de Azure para los ataques de ransomware
• Plan de restauración y copia de seguridad para la protección contra ransomware
• Ayuda para la protección contra ransomware con Microsoft Azure Backup (vídeo de 26 minutos)
• Recuperación de una identidad en peligro
• Detección avanzada de ataques de varias fases en Microsoft Sentinel
• Detección de difusión para ransomware en Microsoft Sentinel
• Protección contra ransomware en Azure
• Preparación para un ataque de ransomware
• Detección y respuesta a ataques de ransomware
• Características de Azure & recursos que le ayudan a proteger, detectar y responder
• Plan de copia de seguridad y restauración de Azure para protegerse contra ransomware

Microsoft Defender for Cloud Apps

• Crear directivas de detección de anomalías en Defender para aplicaciones en la nube

Entradas de blog del equipo de seguridad de Microsoft

• 3 pasos para evitar y recuperarse del ransomware (septiembre de 2021)

• Camino a la resistencia al comprender los riesgos de ciberseguridad: Parte 4 — Navegación por las amenazas actuales (mayo de 2021)

  Consulte la sección Ransomware.

• Ataques de ransomware operados por humanos: Un desastre evitable (marzo de 2020)

  Incluye análisis de cadenas de ataques, de ataques reales.

• Respuesta de ransomware: ¿pagar o no pagar? (diciembre de 2019)

• Norsk Hydro responde ante ataques de ransomware con transparencia (diciembre de 2019)