Implementar rápidamente prevencións de ransomware
Nota:
Esta guía se actualizará a medida que hay nueva información disponible.
Proporcionar protección contra ransomware y mitigar los ataques de extorsión es una prioridad para las organizaciones grandes y pequeñas debido al alto impacto de estos ataques y la probabilidad creciente de que una organización experimente uno.
Nota:
Si necesita una definición de ransomware, lea la información general aquí.
Configuración de la protección contra ransomware ahora
Instrucciones concretas sobre cómo preparar mejor su organización de muchas formas de ransomware y extorsión.
Esta guía se organiza en fases prioritarias. Cada fase se vincula a un artículo independiente. El orden de prioridad está diseñado para asegurarse de reducir el riesgo lo más rápido posible con cada fase, basándose en una suposición de gran urgencia que invalidará la seguridad normal y las prioridades de TI, con el fin de evitar o mitigar estos ataques devastadores.
Es fundamental tener en cuenta que esta guía se estructura como fases de prioridad que debe seguir en el orden indicado. Para adaptar mejor esta guía a su situación, siga estas pautas:
Adherirse a las prioridades recomendadas
Use las fases como plan inicial para saber qué hacer primero, a continuación y después para obtener primero los elementos más afectados. Estas recomendaciones se han priorizado mediante el principio de Confianza cero de asumir una infracción. Esto le obliga a centrarse en minimizar el riesgo empresarial suponiendo que los atacantes puedan obtener acceso correctamente a su entorno a través de uno o varios métodos.
Ser proactivo y flexible (pero no omitir tareas importantes)
Examine las listas de comprobación de implementación de todas las secciones de las tres fases para ver si hay áreas y tareas que puede completar rápidamente antes (por ejemplo, ya tiene acceso a un servicio en la nube que no se ha utilizado, pero podría configurarse de forma rápida y sencilla). A medida que revise todo el plan, tenga mucho cuidado de que estas áreas y tareas posteriores no retrasen la finalización de áreas de importancia crítica, como las copias de seguridad y el acceso con privilegios.
Lleve a cabo algunos elementos en paralelo
Intentar hacer todo a la vez puede resultar abrumador, pero algunos elementos se pueden hacer de forma natural en paralelo. El personal de diferentes equipos puede estar trabajando en tareas al mismo tiempo (por ejemplo, equipo de copia de seguridad, equipo de punto de conexión, equipo de identidad), a la vez que impulsa la finalización de las fases en orden de prioridad.
Los elementos de las listas de comprobación de implementación están en el orden recomendado de clasificación por orden de prioridad, no en un orden de dependencia técnica. Use las listas de comprobación para confirmar y modificar la configuración existente según sea necesario y de manera que funcione en la organización. Por ejemplo, en el elemento de copia de seguridad más importante, puede hacer una copia de seguridad de algunos sistemas, pero quizás no se puedan desconectar ni sean inmutables, o tal vez no pueda probar todos los procedimientos de restauración de la empresa, o no tenga copias de seguridad de sistemas empresariales críticos o sistemas de TI críticos, como los controladores de dominio de Active Directory Domain Services (AD DS).
Nota:
Consulte la entrada de blog de seguridad de Microsoft en la que se indican tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021) para obtener un resumen adicional de este proceso.
Fase 1. Preparación de un plan de recuperación
Esta fase está diseñada para minimizar el incentivo económico de los atacantes de ransomware porque hace que resulte:
- Mucho más difícil acceder a los sistemas, interrumpirlos o cifrar o dañar los datos clave de la organización.
- Más fácil que su organización se recupere de un ataque sin pagar el rescate.
Nota:
Aunque restaurar muchos o todos los sistemas empresariales es un esfuerzo difícil, la alternativa de pagar a un atacante por una clave de recuperación que pueden ofrecer o no, y el uso de herramientas escritas por los atacantes para intentar recuperar sistemas y datos.
Fase 2. Limitar el ámbito del daño
Haga que a los atacantes les cueste mucho más trabajo obtener acceso a los sistemas críticos de la empresa mediante roles de acceso con privilegios. Limitar la capacidad del atacante para obtener acceso con privilegios hace que le sea mucho más difícil sacar provecho de un ataque a su organización y, por lo tanto, que sea más probable que desista y se vaya a otro lugar.
Fase 3. Dificultar la entrada
Este último conjunto de tareas es importante para dificultar la entrada, pero llevará tiempo en completarse como parte de un proceso de seguridad mayor. El objetivo de esta fase es que el trabajo de los atacantes sea mucho más difícil, ya que intentan obtener acceso a las infraestructuras locales o en la nube en los distintos puntos comunes de entrada. Estas son muchas tareas, por lo que es importante priorizar su trabajo aquí en función de la rapidez con la que puede realizar estas tareas con los recursos actuales.
Aunque muchos de estos serán familiares y fáciles de lograr rápidamente, es fundamental que su trabajo en la fase 3 no ralentice el progreso en las fases 1 y 2.
Protección contra ransomware de un vistazo
También puede ver información general de las fases y sus listas de comprobación de implementación como niveles de protección contra atacantes de ransomware con el cartel en el que se indica cómo proteger una organización frente al ransomware.
Paso siguiente
Comience con la fase 1 la preparación de su organización para que pueda recuperarse de un ataque sin tener que pagar el rescate.
Recursos adicionales del ransomware
Información clave de Microsoft:
- La creciente amenaza del ransomware, entrada de blog de Microsoft On the Issues del 20 de julio de 2021
- Ransomware controlado por personas
- Informe de 2021 sobre defensa digital de Microsoft (consulte las páginas 10 a 19)
- Ransomware: un informe generalizado y continuo de análisis de amenazas en el portal de Microsoft 365 Defender
- Enfoque de ransomware del equipo de detección y respuesta de Microsoft (DART) y caso práctico
Microsoft 365:
- Implementación de la protección contra ransomware en el inquilino de Microsoft 365
- Maximización de la resistencia al ransomware con Azure y Microsoft 365
- Recuperación en caso de un ataque de ransomware
- Protección contra malware y ransomware
- Proteger el PC contra el ransomware
- Control del ransomware en SharePoint Online
- Informes de análisis de amenazas para ransomware en el portal de Microsoft 365 Defender
Microsoft 365 Defender:
Microsoft Azure:
- Defensas de Azure ante ataques de ransomware
- Maximización de la resistencia al ransomware con Azure y Microsoft 365
- Plan de copia de seguridad y restauración para protegerse contra el ransomware
- Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo de 26 minutos)
- Recuperación de un riesgo de identidad sistemático
- Detección de un ataque avanzado de varias fases en Microsoft Sentinel
- Detección de fusiones para ransomware en Microsoft Sentinel
Microsoft Defender for Cloud Apps:
Entradas de blog del equipo de seguridad de Microsoft:
Tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021)
Una guía para combatir ransomware operado por humanos: Parte 1 (septiembre de 2021)
Pasos clave sobre cómo el equipo de detección y respuesta de Microsoft (DART) lleva a cabo investigaciones de incidentes de ransomware.
Una guía para combatir ransomware operado por humanos: Parte 2 (septiembre de 2021)
Recomendaciones y procedimientos recomendados.
-
Consulte la sección Ransomware.
Ataques de ransomware controlados por personas: Un desastre evitable (marzo de 2020)
Incluye el análisis de la cadena de ataques de los ataques reales.
Respuesta ransomware: ¿pagar o no pagar? (diciembre de 2019)
Norsk Hydro responde a un ataque de ransomware con transparencia (diciembre de 2019)