Partilhar via

Proteção contra ransomware no Microsoft 365

  • Artigo

A Microsoft criou defesas e controlos que utiliza para mitigar os riscos de um ataque de ransomware contra a sua organização e os respetivos recursos. Os recursos podem ser organizados por domínio, com cada domínio a ter o seu próprio conjunto de mitigações de risco.

Domínio 1: controlos ao nível do inquilino

O primeiro domínio são as pessoas que compõem a sua organização e a infraestrutura e os serviços detidos e controlados pela sua organização. As seguintes funcionalidades no Microsoft 365 estão ativadas por predefinição, ou podem ser configuradas, para ajudar a mitigar o risco e recuperar de um compromisso bem-sucedido dos recursos neste domínio.

Exchange Online

  • Com a recuperação de itens únicos e a retenção da caixa de correio, os clientes podem recuperar itens numa caixa de correio após eliminação prematura inadvertida ou maliciosa. Os clientes podem reverter as mensagens de correio eliminadas no prazo de 14 dias por predefinição, configuráveis até 30 dias.

  • As configurações adicionais dos clientes destas políticas de retenção no serviço Exchange Online permitem:

    • retenção configurável a aplicar (1 ano/10 ano+)
    • copiar na proteção de escrita a aplicar
    • a capacidade para a política de retenção ser bloqueada de forma a que a imutabilidade possa ser alcançada

  • A Proteção do Exchange Online analisa os e-mails e anexos recebidos em tempo real ao entrar e sair do sistema. Esta opção está ativada por predefinição e tem personalizações de filtragem disponíveis. As mensagens que contêm ransomware ou outro software maligno conhecido ou suspeito são eliminadas. Pode configurar os administradores para receberem notificações quando isto ocorrer.

SharePoint e OneDrive Protection

O SharePoint e o OneDrive Protection têm funcionalidades incorporadas que ajudam a proteger contra ataques de ransomware.

Controlo de versões: uma vez que o controlo de versões mantém um mínimo de 500 versões de um ficheiro por predefinição e pode ser configurado para reter mais, se o ransomware editar e encriptar um ficheiro, uma versão anterior do ficheiro pode ser recuperada.

Reciclagem: se o ransomware criar uma nova cópia encriptada do ficheiro e eliminar o ficheiro antigo, os clientes têm 93 dias para restaurá-lo a partir da reciclagem.

Biblioteca de Suspensão de Preservação: os ficheiros armazenados em sites do SharePoint ou do OneDrive podem ser retidos através da aplicação de definições de retenção. Quando um documento com versões está sujeito às definições de retenção, as versões são copiadas para a biblioteca Preservação de Suspensão e existem como um item separado. Se um utilizador suspeitar que os ficheiros foram comprometidos, pode investigar as alterações de ficheiro ao rever a cópia retida. Em seguida, o Restauro de Ficheiros pode ser utilizado para recuperar ficheiros nos últimos 30 dias.

Teams

As conversas do Teams são armazenadas em caixas de correio de utilizadores do Exchange Online e os ficheiros são armazenados no SharePoint ou no OneDrive. Os dados do Microsoft Teams estão protegidos pelos controlos e mecanismos de recuperação disponíveis nestes serviços.

Domínio 2: controlos de nível de serviço

O segundo domínio são as pessoas que compõem a Microsoft a organização e a infraestrutura empresarial detida e controlada pela Microsoft para executar as funções organizacionais de uma empresa.

A abordagem da Microsoft para proteger o seu património empresarial é a Confiança Zero, implementada com os nossos próprios produtos e serviços com defesas em todo o nosso património digital. Pode encontrar mais detalhes sobre os princípios da Confiança Zero aqui: Arquitetura de Confiança Zero.

As funcionalidades adicionais no Microsoft 365 expandem as mitigações de risco disponíveis no domínio 1 para proteger ainda mais os recursos neste domínio.

SharePoint e OneDrive Protection

Controlo de versões: se o ransomware encriptar um ficheiro no local, como uma edição, o ficheiro pode ser recuperado até à data inicial de criação do ficheiro com as capacidades do histórico de versões geridas pela Microsoft.

Reciclagem: se o ransomware criou uma nova cópia encriptada do ficheiro e eliminou o ficheiro antigo, os clientes têm 93 dias para restaurá-lo a partir da reciclagem. Após 93 dias, existe uma janela de 14 dias onde a Microsoft ainda pode recuperar os dados. Após esta janela, os dados são eliminados permanentemente.

Teams

As mitigações de risco para o Teams descritas no Domínio 1 também se aplicam ao Domínio 2.

Domínio 3: Programadores & infraestrutura de serviço

O terceiro domínio são as pessoas que desenvolvem e operam o serviço Microsoft 365, o código e a infraestrutura que fornece o serviço e o armazenamento e processamento dos seus dados.

Os investimentos da Microsoft que protegem a plataforma do Microsoft 365 e mitigam os riscos neste domínio focam-se nestas áreas:

  • Avaliação contínua e validação da postura de segurança do serviço
  • Criar ferramentas e arquitetura que protegem o serviço de comprometimento
  • Criar a capacidade de detetar e responder a ameaças se ocorrer um ataque

Avaliação contínua e validação da postura de segurança

  • A Microsoft mitiga os riscos associados às pessoas que desenvolvem e operam o serviço Microsoft 365 com o princípio de menor privilégio. Isto significa que o acesso e as permissões aos recursos estão limitados apenas ao que é necessário para realizar uma tarefa necessária.
    • Um modelo Just-In-Time (JIT), Just-Enough-Access (JEA) é utilizado para fornecer privilégios temporários aos engenheiros da Microsoft.
    • Os engenheiros têm de submeter um pedido de uma tarefa específica para adquirir privilégios elevados.
    • Os pedidos são geridos através do Lockbox, que utiliza o controlo de acesso baseado em funções (RBAC) do Azure para limitar os tipos de pedidos de elevação JIT que os engenheiros podem fazer.
  • Além dos acima referidos, todos os candidatos à Microsoft são pré-selecionados antes de iniciarem o emprego na Microsoft. Os funcionários que mantêm os serviços online da Microsoft nos Estados Unidos têm de ser submetidos a uma Verificação de Fundo do Microsoft Cloud como pré-requisito para aceder a sistemas de serviços online.
  • Todos os colaboradores da Microsoft são obrigados a concluir a formação básica de sensibilização de segurança, juntamente com a formação Padrões de Conduta Empresarial.

Ferramentas e arquitetura que protegem o serviço

  • O Ciclo de Vida de Desenvolvimento de Segurança (SDL) da Microsoft centra-se no desenvolvimento de software seguro para melhorar a segurança das aplicações e reduzir as vulnerabilidades. Para obter mais informações, veja Descrição geral do desenvolvimento e operações de Segurança e Segurança.
  • O Microsoft 365 restringe a comunicação entre diferentes partes da infraestrutura de serviço apenas para o que é necessário operar.
  • O tráfego de rede é protegido através de firewalls de rede adicionais em pontos de limite para ajudar a detetar, prevenir e mitigar ataques de rede.
  • Os serviços do Microsoft 365 são arquitetados para funcionar sem que os engenheiros necessitem de acesso aos dados do cliente, a menos que sejam explicitamente solicitados e aprovados pelo cliente. Para obter mais informações, veja Como é que a Microsoft recolhe e processa os dados dos clientes.

Capacidades de deteção e resposta

  • O Microsoft 365 envolve o monitoramento contínuo de segurança de seus sistemas para detectar e responder a ameaças aos Microsoft 365 Services.
  • O registo centralizado recolhe e analisa eventos de registo para atividades que possam indicar um incidente de segurança. Os dados de registo são analisados à medida que são carregados para o nosso sistema de alertas e produzem alertas quase em tempo real.
  • As ferramentas baseadas na cloud permitem-nos responder rapidamente a ameaças detetadas. Estas ferramentas permitem a remediação com ações acionadas automaticamente.
  • Quando a remediação automática não é possível, os alertas são enviados para os engenheiros de serviço adequados, que estão equipados com um conjunto de ferramentas que lhes permitem agir em tempo real para mitigar ameaças detetadas.

Recuperar de um ataque de ransomware

Para obter os passos para recuperar de um ataque de ransomware no Microsoft 365, consulte Recuperar de um ataque de ransomware no Microsoft 365.