Proteger la organización frente a ransomwareProtecting your organization from ransomware

En el ataque de ransomware masivo más reciente, WannaCry asestó un duro golpe al mundo cibernético, ya que infectó aproximadamente 200 000 equipos en 150 países.In latest massive ransomware attack, WannaCry hit the cyber world hard, infecting an estimated 200,000 computers across 150 countries. Con el aumento de los ataques de ransomware en los últimos años, con una media de 25 000 ataques al mes en 2015 y 56 000 en 2016, es imprescindible para la ciberseguridad ser proactivos a la hora de asegurarse de que la red y la nube no están en peligro.With the increase of ransomware attacks over the last few years, an average of 25,000 attacks per month in 2015 and 56,000 in 2016, it's becoming a cybersecurity necessity to be proactive about making sure your network and your cloud aren't at risk. En este artículo se explica cómo se puede usar Cloud App Security para supervisar la nube, detectar y mitigar las amenazas y aplicar los procedimientos recomendados para proteger el entorno contra el ransomware.This article explains how you can use Cloud App Security to monitor your cloud, detect and mitigate threats and apply best practices for protecting your environment against ransomware.

¿Qué es el ransomware?What is ransomware?

El ransomware es un ataque cibernético en el que el atacante envía un archivo que puede bloquear el acceso al equipo y cifrar los archivos.Ransomware is a cyber attack in which the attacker sends you a file that can block you from accessing your computer and encrypt your own files. A menudo, el atacante conserva los archivos para pedir un rescate y no los descifra hasta que recibe el pago, tras lo cual restaura el acceso al equipo, los archivos o aplicaciones LOB críticas.The files are sometimes held for ransom and aren't decrypted until you pay the attacker to restore access to your computer, files or critical LOB apps. Los ataques de ransomware pueden afectar a cualquier equipo, hogar, oficina, red o servidor.Ransomware attacks can affect any computer, home, office, network or server. De hecho, dado que las grandes organizaciones están integradas por numerosos usuarios que pueden abrir accidentalmente un archivo que libera ransomware en la red, son estas las que corren un mayor riesgo de tener que pagar al atacante para detener el ransomware y restaurar el acceso a los archivos o los equipos.In fact, because large organizations are made up of many users who may inadvertently open a file that unleashes ransomware across your network, organizations are at even greater risk of being forced to pay the attacker to stop the ransomware and restore access to computers or files.

Nota

Este caso de uso se aplica a Office 365, G Suite, Box y Dropbox.This use case applies to Office 365, G Suite, Box and Dropbox.

LA AMENAZATHE THREAT

Un usuario de la organización es víctima de un ataque de ransomware.A user in your organization is the target of a ransomware attack. Es posible que, sin saberlo, el usuario haya abierto un correo electrónico infectado y haya ejecutado ransomware que infecta todos sus archivos, incluidos los archivos sincronizados en la nube.The user might unknowingly open an email infected and run ransomware which infects the all of his files, including the files synced to the cloud.

LA SOLUCIÓNTHE SOLUTION

Detecte el posible ransomware en el entorno en la nube. Para ello, cree una directiva para notificarle en caso de que detecte actividad sospechosa y configure acciones automatizadas para impedir que los archivos de ransomware se guarden en la nube.Detect potential ransomware on your cloud environment by creating a policy to update you when suspicious activity is detected, and set up automated actions to prevent ransomware files from being saved to your cloud.

Requisitos previosPrerequisites

Conecte al menos una aplicación en la nube (Office 365, G Suite, Box y Dropbox) con Cloud App Security.Connect at least one cloud app (Office 365, G Suite, Box and Dropbox) to Cloud App Security.

Configuración de la supervisiónSetting up monitoring

  1. De forma predeterminada, Cloud App Security examina la red para establecer una base de referencia. Esto permite identificar los patrones de actividad habitual de sus usuarios en la nube, tanto el hecho en sí como el momento en el que actúen.By default, Cloud App Security scans your network to establish a baseline, wherein it learns patterns of what your users ordinarily do in your cloud, when they do it and what they commonly do.

  2. Además, es importante empezar a supervisar las aplicaciones en la nube mediante la configuración de una directiva que detecte descargas masivas en las aplicaciones en la nube y le avise si sucede algo inusual:In addition, it is important to start monitoring your cloud apps by setting up a policy that will watch your cloud apps for massive downloads and alert you if something out of the ordinary happens:

    1. En la pestaña Control, haga clic en Plantillas.On the Control tab, click Templates.

    2. En la lista Plantilla de directiva, seleccione Actividad potencial de ransomware.From the Policy template list, choose Potential ransomware activity. plantilla de ransomwaretemplate ransomware

    3. Esta plantilla está diseñada para que busque de forma predeterminada la actividad típica de los ataques de ransomware, así como los archivos y las carpetas asociados al ransomware conocido.This template is designed out-of-the-box to search for activity typical of ransomware attacks, and files and folders associated with known ransomware. Opcionalmente, puede establecer el tipo de alerta que recibirá (correo electrónico y mensaje de texto) cuando se produce una coincidencia con la directiva.Optionally, you can set the type of alert you receive (email and text message) when the policy is matched. plantilla de ransomwaretemplate ransomware
    4. Haga clic en Crear.Click Create.
  3. Investigación de las coincidenciasInvestigating your matches

    1. En la página Directivas, haga clic en el nombre de directiva para ir a Informe la directiva y revise las coincidencias que se activaron para la directiva.In the Policies page, click on the policy name to go to the Policy report and review the matches that were triggered for the policy.

    2. Puede investigar la coincidencia haciendo clic en una específica para abrir el cajón de actividad.You can investigate the match by clicking on a specific match to open the activity drawer. En el cajón, puede ver las otras directivas que coinciden con esta actividad.In the drawer, you can see the other policies that this activity matched.

Validación de la directivaValidating your policy

  1. Para simular una alerta, cambie la extensión de 30 archivos a .wncry y cárguelos en el sitio de SharePoint.To simulate an alert, change the extension of 30 files to .wncry and upload them to your SharePoint site.
  2. Vaya al informe de directiva.Go to the policy report. Al cabo de poco tiempo, debería mostrarse una coincidencia de directiva de actividad.An activity policy match should appear shortly.
  3. Puede hacer clic en la coincidencia para ver qué archivos se han descargado.You can click on the match to see which files were downloaded. La propia coincidencia se enmascarará para proteger los datos confidenciales.The match itself will be masked to protect the sensitive data.

Corregir ataques y evitar el riesgoRemediating attacks and preventing risk

Una vez validada y perfeccionada la directiva, quite posibles falsos positivos que puedan haber coincidido con la directiva.After you've validated it and fine-tuned the policy, remove possible false positives that may have matched your policy. Luego, haga lo siguiente:Then, do the following:

  1. Cuando se produce una coincidencia con una directiva de ransomware, puede corregirlo mediante el establecimiento de acciones de gobierno automatizadas.When a ransomware policy is matched, you can remediate it by setting automated governance actions.

  2. Para evitar ataques futuros, establezca la directiva de modo que realice acciones de gobierno automáticas.To prevent future attacks, setting the policy to perform automatic governance actions. Por ejemplo, en SharePoint y OneDrive, puede establecer la directiva de modo que se suspenda el usuario automáticamente.For example, in SharePoint and OneDrive you can set the policy to automatically Suspend user.

    Consulte tambiénSee Also

    Actividades diarias para proteger el entorno de nube Daily activities to protect your cloud environment
    Para obtener soporte técnico, visite la página de soporte técnico asistido de Cloud App Security. For technical support, please visit the Cloud App Security assisted support page.
    Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.