Protección contra ransomware en Microsoft 365

Microsoft ha integrado defensas y controles que usa para mitigar los riesgos de un ataque de ransomware contra su organización y sus recursos. Los recursos se pueden organizar por dominio y cada dominio tiene su propio conjunto de mitigaciones de riesgo.

Dominio 1: controles de nivel de inquilino

El primer dominio son las personas que componen su organización y la infraestructura y los servicios propiedad y controlados por su organización. Las siguientes características de Microsoft 365 están activadas de forma predeterminada, o se pueden configurar, para ayudar a mitigar el riesgo y recuperarse de un compromiso correcto de los recursos de este dominio.

Exchange Online

• Con la recuperación de elementos únicos y la retención del buzón de correo, los clientes pueden recuperar elementos de un buzón tras una eliminación prematura involuntaria o malintencionada. Los clientes pueden revertir los mensajes de correo eliminados en 14 días de forma predeterminada, configurables hasta 30 días.

• Las configuraciones adicionales del cliente de estas directivas de retención dentro del servicio Exchange Online permiten:

  • retención configurable que se va a aplicar (1 año/10 año+)
  • copia en la protección de escritura que se va a aplicar
  • la capacidad de bloquear la directiva de retención para que se pueda lograr la inmutabilidad

• Exchange Online Protection examina el correo electrónico entrante y los datos adjuntos en tiempo real, tanto al entrar como a salir del sistema. Esto está habilitado de forma predeterminada y tiene personalizaciones de filtrado disponibles. Se eliminan los mensajes que contienen ransomware u otro malware conocido o sospechoso. Puede configurar los administradores para que reciban notificaciones cuando esto ocurra.

Protección de SharePoint y OneDrive

SharePoint y OneDrive Protection tienen características integradas que ayudan a protegerse frente a ataques de ransomware.

Control de versiones: como el control de versiones conserva un mínimo de 500 versiones de un archivo de forma predeterminada y se puede configurar para conservar más, si el ransomware edita y cifra un archivo, se puede recuperar una versión anterior del archivo.

Papelera de reciclaje: si el ransomware crea una nueva copia cifrada del archivo y elimina el archivo antiguo, los clientes tienen 93 días para restaurarlo desde la papelera de reciclaje.

Biblioteca de suspensión de conservación: los archivos almacenados en sitios de SharePoint o OneDrive se pueden conservar aplicando la configuración de retención. Cuando un documento con versiones está sujeto a la configuración de retención, las versiones se copian en la biblioteca de suspensión de conservación y existen como un elemento independiente. Si un usuario sospecha que sus archivos se han puesto en peligro, puede investigar los cambios de archivo revisando la copia retenida. La restauración de archivos se puede usar para recuperar archivos en los últimos 30 días.

Teams

Los chats de Teams se almacenan en buzones de usuario de Exchange Online y los archivos se almacenan en SharePoint o OneDrive. Los datos de Microsoft Teams están protegidos por los controles y mecanismos de recuperación disponibles en estos servicios.

Dominio 2: controles de nivel de servicio

El segundo dominio son las personas que componen Microsoft la organización y la infraestructura corporativa propiedad y controlada por Microsoft para ejecutar las funciones organizativas de una empresa.

El enfoque de Microsoft para proteger su patrimonio corporativo es Confianza cero, implementado mediante nuestros propios productos y servicios con defensas en nuestro patrimonio digital. Puede encontrar más detalles sobre los principios de Confianza cero aquí: Arquitectura de confianza cero.

Las características adicionales de Microsoft 365 amplían las mitigaciones de riesgo disponibles en el dominio 1 para proteger aún más los recursos de este dominio.

Protección de SharePoint y OneDrive

Control de versiones: si ransomware cifró un archivo en su lugar, como edición, el archivo se puede recuperar hasta la fecha de creación inicial del archivo mediante las funcionalidades del historial de versiones administradas por Microsoft.

Papelera de reciclaje: si el ransomware creó una nueva copia cifrada del archivo y eliminó el archivo antiguo, los clientes tienen 93 días para restaurarlo desde la papelera de reciclaje. Después de 93 días, hay una ventana de 14 días en la que Microsoft todavía puede recuperar los datos. Después de esta ventana, los datos se eliminan permanentemente.

Teams

Las mitigaciones de riesgo para Teams descritas en dominio 1 también se aplican al dominio 2.

Dominio 3: Desarrolladores & infraestructura de servicio

El tercer dominio son las personas que desarrollan y operan el servicio de Microsoft 365, el código y la infraestructura que ofrece el servicio, así como el almacenamiento y el procesamiento de los datos.

Las inversiones de Microsoft que protegen la plataforma microsoft 365 y mitigan los riesgos de este dominio se centran en estas áreas:

• Evaluación y validación continuas de la posición de seguridad del servicio
• Creación de herramientas y arquitectura que protegen el servicio frente a riesgos
• Creación de la funcionalidad para detectar y responder a amenazas si se produce un ataque

Evaluación y validación continuas de la posición de seguridad

• Microsoft mitiga los riesgos asociados a las personas que desarrollan y operan el servicio microsoft 365 mediante el principio de privilegios mínimos. Esto significa que el acceso y los permisos a los recursos se limitan solo a lo necesario para realizar una tarea necesaria.
  • Un modelo Just-In-Time (JIT), Just-Enough-Access (JEA) se usa para proporcionar a los ingenieros de Microsoft privilegios temporales.
  • Los ingenieros deben enviar una solicitud para que una tarea específica adquiera privilegios elevados.
  • Las solicitudes se administran a través de La caja de seguridad, que usa el control de acceso basado en rol (RBAC) de Azure para limitar los tipos de solicitudes de elevación JIT que pueden realizar los ingenieros.
• Además de lo anterior, todos los candidatos de Microsoft se examinan previamente antes de empezar a trabajar en Microsoft. Los empleados que mantienen servicios en línea de Microsoft en Estados Unidos deben someterse a una comprobación de fondo en la nube de Microsoft como requisito previo para el acceso a los sistemas de servicios en línea.
• Todos los empleados de Microsoft deben completar la formación básica de reconocimiento de la seguridad junto con la formación de estándares de conducta empresarial.

Herramientas y arquitectura que protegen el servicio

• El ciclo de vida de desarrollo de seguridad (SDL) de Microsoft se centra en desarrollar software seguro para mejorar la seguridad de las aplicaciones y reducir las vulnerabilidades. Para obtener más información, vea Security and Security development and operations overview (Introducción al desarrollo y las operaciones de seguridad y seguridad).
• Microsoft 365 restringe la comunicación entre diferentes partes de la infraestructura de servicio a solo lo necesario para funcionar.
• El tráfico de red se protege mediante firewalls de red adicionales en los puntos límites para ayudar a detectar, prevenir y mitigar ataques de red.
• Los servicios de Microsoft 365 están diseñados para funcionar sin ingenieros que requieran acceso a los datos del cliente, a menos que el cliente lo solicite y apruebe explícitamente. Para obtener más información, consulte Cómo recopila y procesa Microsoft los datos de los clientes.

Capacidades de detección y respuesta

• Microsoft 365 participa en la supervisión de seguridad continua de sus sistemas para detectar amenazas y responder a ellas a Microsoft 365 Services.
• El registro centralizado recopila y analiza los eventos de registro de las actividades que podrían indicar un incidente de seguridad. Los datos de registro se analizan a medida que se cargan en nuestro sistema de alertas y generan alertas casi en tiempo real.
• Las herramientas basadas en la nube nos permiten responder rápidamente a las amenazas detectadas. Estas herramientas permiten la corrección mediante acciones desencadenadas automáticamente.
• Cuando no es posible la corrección automática, se envían alertas a los ingenieros de guardia adecuados, que están equipados con un conjunto de herramientas que les permiten actuar en tiempo real para mitigar las amenazas detectadas.

Recuperarse de un ataque de ransomware

Para conocer los pasos para recuperarse de un ataque de ransomware en Microsoft 365, consulte Recuperación de un ataque de ransomware en Microsoft 365.