Límite del ámbito e impacto de los ataques de ransomware
El siguiente paso para evitar ataques de ransomware es proteger los roles con privilegios, es decir, el tipo de trabajos en los que las personas controlan una gran cantidad de información privilegiada en una organización.
Esta fase de prevención del ransomware tiene como objetivo evitar que los atacantes cibernéticos obtengan mucho acceso a sus sistemas.
Cuanto más acceso tenga un ciberdelincuente a su organización y dispositivos, mayor será el daño potencial a los datos y los sistemas.
Importante
Consultar la serie de prevención de ransomware y hacer que la organización sea un objetivo difícil para ataques cibernéticos.
Crear una "estrategia de acceso con privilegios" para el ransomware
Debe aplicar una estrategia exhaustiva y completa para reducir el riesgo de comprometer el acceso con privilegios.
Un atacante con acceso con privilegios en su entorno puede invalidar fácilmente todos los demás controles de seguridad que usted aplique. Los atacantes de ransomware usan el acceso con privilegios como una ruta de acceso rápida para controlar todos los recursos críticos de la organización para el ataque y su posterior extorsión.
Quién es responsable en el programa o proyecto
En esta tabla se describe una estrategia de acceso con privilegios para prevenir el ransomware en términos de una jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.
| Lead | Implementador | Responsabilidad |
|---|---|---|
| CISO o CIO | Patrocinio ejecutivo. | |
| Liderazgo del programa | Impulsar los resultados y la colaboración entre equipos. | |
| Arquitectos de seguridad y TI | Priorizar la integración de los componentes en arquitecturas. | |
| Administración de identidades y claves | Implementar los cambios de identidad. | |
| Productividad de TI central y equipo de usuarios finales | Implementar cambios en dispositivos e inquilinos de Office 365. | |
| Directivas y estándares de seguridad | Actualizar documentos de directivas y estándares | |
| Administración del cumplimiento de la seguridad | Supervisar para garantizar el cumplimiento | |
| Equipo de educación de usuarios | Actualizar las guías sobre contraseñas. | |
Lista de comprobación de una "estrategia de acceso con privilegios" para el ransomware
Cree una estrategia de varias partes con la guía de https://aka.ms/SPA que incluye esta lista de comprobación.
| Listo | Tarea | Descripción |
|---|---|---|
| Aplicar la seguridad de sesión de un extremo a otro. | Valida explícitamente la confianza de usuarios y dispositivos antes de permitir el acceso a las interfaces administrativas (con el acceso condicional de Microsoft Entra). | |
| Proteger y supervisar los sistemas de identidad. | Evita ataques de elevación de privilegios, incluidos directorios, administración de identidades, cuentas y grupos de administrador, y configuración de consentimiento. | |
| Mitigación del recorrido lateral. | Garantiza que, si hay un único dispositivo en riesgo, no provoque inmediatamente el control todos los demás dispositivos mediante contraseñas de cuenta local, contraseñas de cuenta de servicio u otros secretos. | |
| Garantizar una respuesta rápida a las amenazas. | Limita el acceso y el tiempo de un adversario en el entorno. Consulte Detección y respuesta para obtener más información. | |
Plazos y resultados de la implementación
Intente lograr estos resultados en un plazo de 30 a 90 días:
- Se requiere que el 100 % de los administradores utilicen estaciones de trabajo seguras.
- Se aleatoriza el 100 % de las contraseñas de servidor o estación de trabajo local.
- Se implementan mitigaciones de escalación de privilegios del 100 %.
Detección del ransomware y respuesta al mismo
Su organización necesita detección y corrección con capacidad de respuesta de ataques comunes en puntos de conexión, correo electrónico e identidades. El tiempo importa.
Debe corregir rápidamente los puntos de entrada de ataque comunes para limitar el tiempo que tiene el atacante para recorrer lateralmente la organización.
Quién es responsable en el programa o proyecto
En esta tabla se describe la mejora de la capacidad de detección y respuesta frente al ransomware en términos de una jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.
| Lead | Implementador | Responsabilidad |
|---|---|---|
| CISO o CIO | Patrocinio ejecutivo. | |
| Liderazgo del programa de operaciones de seguridad | Impulsar los resultados y la colaboración entre equipos. | |
| Equipo de infraestructura de TI central | Implementación de agentes y características de cliente y servidor | |
| Operaciones de seguridad | Integración de nuevas herramientas en procesos de operaciones de seguridad | |
| Productividad de TI central y equipo de usuarios finales | Habilitación de características para aplicaciones de Defender para puntos de conexión, Defender para Office 365, Defender para Identity y Defender for Cloud | |
| Equipo de identidad de TI central | Implementación de la seguridad de Microsoft Entra y Defender for Identity | |
| Arquitectos de seguridad | Asesoramiento sobre configuración, estándares y herramientas | |
| Directivas y estándares de seguridad | Actualizar documentos de directivas y estándares | |
| Administración del cumplimiento de la seguridad | Supervisar para garantizar el cumplimiento | |
Lista de comprobación de la detección del ransomware y respuesta al mismo
Aplique estos procedimientos recomendados para mejorar la detección y respuesta.
| Listo | Tarea | Descripción |
|---|---|---|
| Priorizar los puntos de entrada comunes: - Usar herramientas integradas de detección y respuesta extendida (XDR) como Microsoft Defender XDR para proporcionar alertas de alta calidad y minimizar la fricción y los pasos manuales durante la respuesta. - Supervisar los intentos de fuerza bruta, como la difusión de contraseñas. |
Los operadores de ransomware (y otros) favorecen el punto de conexión, el correo electrónico, la identidad y RDP como puntos de entrada. | |
| Supervisar que un adversario no deshabilite la seguridad (a menudo forma parte de una cadena de ataques), como: - Borrado del registro de eventos, especialmente el registro de eventos de seguridad y los registros de operación de PowerShell. - Deshabilitación de herramientas y controles de seguridad. |
Los atacantes tienen como objetivo las instalaciones de detección de seguridad para continuar con su ataque de forma más segura. | |
| No olvidarse del malware básico. | Los atacantes de ransomware periódicamente compran en los mercados ocultos acceso a las organizaciones que tienen como objetivo. | |
| Integrar profesionales externos en los procesos para complementarlos, como el Equipo de detección y respuesta de Microsoft (DART). | La experiencia es importante para la detección y recuperación. | |
| Aislar rápidamente los equipos en riesgo mediante Defender for EndPoint. | La integración en Windows 11 y 10 facilita esta tarea. | |
Paso siguiente
Continúe con la fase 3 para dificultar al atacante la entrada en su entorno mediante la eliminación incremental de los riesgos.
Recursos adicionales del ransomware
Información clave de Microsoft:
- La creciente amenaza del ransomware, entrada de blog de Microsoft On the Issues del 20 de julio de 2021
- Ransomware controlado por personas
- Protección rápida frente al ransomware y la extorsión
- Informe de 2021 sobre defensa digital de Microsoft (consulte las páginas 10 a 19)
- Ransomware: un informe generalizado y continuo de análisis de amenazas en el portal de Microsoft Defender
- Enfoque y caso práctico de ransomware del equipo de detección y respuesta (DART) de Microsoft
Microsoft 365:
- Implementación de la protección contra ransomware en el inquilino de Microsoft 365
- Maximización de la resistencia al ransomware con Azure y Microsoft 365
- Recuperación en caso de un ataque de ransomware
- Protección contra malware y ransomware
- Proteger el PC contra el ransomware
- Control del ransomware en SharePoint Online
- Informes de análisis de amenazas para ransomware en el portal de Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Defensas de Azure ante ataques de ransomware
- Maximización de la resistencia al ransomware con Azure y Microsoft 365
- Plan de copia de seguridad y restauración para protegerse contra el ransomware
- Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo de 26 minutos)
- Recuperación de un riesgo de identidad sistemático
- Detección de un ataque avanzado de varias fases en Microsoft Sentinel
- Detección de fusión para ransomware en Microsoft Sentinel
Microsoft Defender for Cloud Apps:
Entradas de blog del equipo de seguridad de Microsoft:
Tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021)
Guía para combatir ransomware operado por humanos: Parte 1 (septiembre de 2021)
Pasos clave sobre cómo el equipo de detección y respuesta (DART) de Microsoft lleva a cabo investigaciones de incidentes de ransomware.
Guía para combatir ransomware operado por humanos: Parte 2 (septiembre de 2021)
Sugerencias y procedimientos recomendados
-
Consulte la sección Ransomware.
Ataques de ransomware controlados por personas: Un desastre evitable (marzo de 2020)
Incluye el análisis de la cadena de ataques de los ataques reales.
Respuesta al ransomware: ¿pagar o no pagar? (diciembre de 2019)
Norsk Hydro responde a un ataque de ransomware con transparencia (diciembre de 2019)
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de