Protección contra malware y ransomware en Microsoft 365

Protección de datos de clientes frente a malware

El malware consiste en virus, spyware y otro software malintencionado. Microsoft 365 incluye mecanismos de protección para evitar que el malware se introduzca en Microsoft 365 un cliente o un servidor Microsoft 365 cliente. El uso de software antimalware es un mecanismo principal para proteger Microsoft 365 activos contra software malintencionado. El software antimalware detecta y evita que los virus informáticos, malware, rootkits, gusanos y otro software malintencionado se introduzcan en cualquier sistema de servicio. El software antimalware proporciona control preventivo y de detective sobre el software malintencionado.

Cada solución antimalware en su lugar realiza un seguimiento de la versión del software y las firmas que se están ejecutando. La descarga automática y la aplicación de actualizaciones de firma al menos diariamente desde el sitio de definición de virus del proveedor se administra de forma centralizada mediante la herramienta antimalware adecuada para cada equipo de servicio. Las siguientes funciones se administran de forma centralizada mediante la herramienta antimalware adecuada en cada extremo de cada equipo de servicio:

  • Exámenes automáticos del entorno
  • Exámenes periódicos del sistema de archivos (al menos semanalmente)
  • Exámenes en tiempo real de archivos a medida que se descargan, abren o ejecutan
  • Descarga automática y aplicación de actualizaciones de firma al menos diariamente desde el sitio de definición de virus del proveedor
  • Alerta, limpieza y mitigación de malware detectado

Cuando las herramientas antimalware detectan malware, bloquean el malware y generan una alerta al personal del equipo de servicio de Microsoft 365, Microsoft 365 Security y/o al equipo de seguridad y cumplimiento de la organización de Microsoft que opera nuestros centros de datos. El personal de recepción inicia el proceso de respuesta a incidentes. Se realiza un seguimiento y resolución de incidentes y se realiza un análisis posterior a la mortem.

Exchange Online Protection contra malware

Todos los mensajes de correo electrónico de Exchange Online viajan a través de Exchange Online Protection (EOP), que pone en cuarentena y examina en tiempo real todos los datos adjuntos de correo electrónico y correo electrónico que entran y salen del sistema en busca de virus y otro malware. Los administradores no necesitan configurar ni mantener las tecnologías de filtrado; están habilitadas de forma predeterminada. Sin embargo, los administradores pueden realizar personalizaciones de filtrado específicas de la empresa mediante Exchange centro de administración.

Gracias al uso de varios motores antimalware, EOP ofrece una protección de varias capas diseñadas para detectar todo el malware conocido. Los mensajes que se transportan a través del servicio se examinan en busca de malware (incluidos virus y spyware). Si se detecta malware, se elimina el mensaje. También se pueden enviar notificaciones a los remitentes o administradores cuando un mensaje infectado se elimina y no se entrega. También puede elegir sustituir los datos adjuntos infectados por mensajes predeterminados o personalizados que informan a los remitentes de la detección del malware.

Lo siguiente ayuda a proporcionar protección contra malware:

  • Defensas por capas contra malware: varios motores de examen antimalware usados en EOP ayudan a proteger contra amenazas conocidas y desconocidas. Dichos motores incluyen potente detección heurística que ofrece protección aún durante las primeras etapas de un ataque de malware. Se ha comprobado que este método multimotor brinda mucha más protección que el uso de un solo motor de antimalware.
  • Respuesta a amenazas en tiempo real: durante algunos brotes, el equipo antimalware puede tener suficiente información sobre un virus u otra forma de malware para escribir reglas de directiva sofisticadas que detecten la amenaza incluso antes de que una definición esté disponible en cualquiera de los motores usados por el servicio. Esas reglas se publican en la red global cada 2 horas a fin de proporcionar a la organización una capa adicional de protección contra ataques.
  • Implementación rápida de definiciones de antimalware: el equipo antimalware mantiene relaciones estrechas con socios que desarrollan motores antimalware. Como resultado, el servicio puede recibir e integrar definiciones y revisiones de malware antes de que se lancen al público. Nuestra conexión con esos socios a menudo también nos permite desarrollar nuestras propias soluciones. El servicio busca definiciones actualizadas en todos los motores de antimalware cada hora.

Microsoft Defender para Office 365

Microsoft Defender para Office 365 es un servicio de filtrado de correo electrónico que proporciona protección adicional contra tipos específicos de amenazas avanzadas, incluidos malware y virus. Exchange Online Protection usa actualmente una protección antivirus sólida y por capas con varios motores contra malware y virus conocidos. Microsoft Defender para Office 365 amplía esta protección a través de una característica denominada datos adjuntos de Caja fuerte, que protege contra malware y virus desconocidos, y proporciona una mejor protección de día cero para proteger el sistema de mensajería. Todos los mensajes y datos adjuntos que no tienen una firma de virus o malware conocida se enruta a un entorno de hipervisor especial, donde se realiza un análisis de comportamiento con una variedad de técnicas de aprendizaje automático y análisis para detectar intenciones malintencionadas. Si no se detecta ninguna actividad sospechosa, se libera el mensaje para su entrega al buzón de correo.

Exchange Online Protection también examina cada mensaje en tránsito en Microsoft 365 y proporciona tiempo de protección de entrega, bloqueando los hipervínculos malintencionados de un mensaje. Los atacantes a veces intentan ocultar direcciones URL malintencionadas con vínculos aparentemente seguros que un servicio de reenvío redirige a sitios no seguros después de recibir el mensaje. Caja fuerte Los vínculos protegen proactivamente a los usuarios si hacen clic en dicho vínculo. Esa protección permanece cada vez que hacen clic en el vínculo y los vínculos malintencionados se bloquean dinámicamente mientras se puede acceder a vínculos buenos.

Microsoft Defender para Office 365 también ofrece funciones enriquecciones de informes y seguimiento, por lo que puede obtener información crítica sobre quién está recibiendo el objetivo en su organización y la categoría de ataques a los que se enfrenta. Los informes y el seguimiento de mensajes permiten investigar los mensajes bloqueados debido a un virus o malware desconocidos, mientras que la funcionalidad de seguimiento de direcciones URL permite realizar un seguimiento de vínculos malintencionados individuales en los mensajes en los que se ha hecho clic.

Para obtener más información acerca de Microsoft Defender para Office 365, vea Exchange Online Protection y Microsoft Defender para Office 365.

SharePoint Protección en línea y OneDrive para la Empresa contra ransomware

Hay muchas formas de ataques de ransomware, pero una de las formas más comunes es donde un individuo malintencionado cifra los archivos importantes de un usuario y, a continuación, exige algo al usuario, como dinero o información, a cambio de la clave para descifrarlos. Los ataques de ransomware están en aumento, especialmente los que cifran los archivos almacenados en el almacenamiento en la nube del usuario. Para obtener más información acerca del ransomware, consulte el sitio de inteligencia de seguridad de Microsoft Defender.

El control de versiones ayuda a proteger SharePoint Listas en línea y bibliotecas SharePoint Online y OneDrive para la Empresa de algunos de estos tipos de ataques de ransomware, pero no todos. El control de versiones está habilitado de forma predeterminada en OneDrive para la Empresa y SharePoint Online. Dado que el control de versiones está habilitado SharePoint listas de sitios en línea, puede buscar versiones anteriores y recuperarlas, si es necesario. Esto le permite recuperar versiones de elementos que pre-fechan su cifrado por el ransomware. Algunas organizaciones también conservan varias versiones de elementos en sus listas por motivos legales o fines de auditoría.

SharePoint Papeleras de reciclaje OneDrive para la Empresa línea

SharePoint Los administradores en línea pueden restaurar una colección de sitios eliminada mediante el SharePoint de administración en línea. SharePoint Los usuarios en línea tienen una Papelera de reciclaje donde se almacena el contenido eliminado. Si lo necesitan, pueden acceder a ella para recuperar listas y documentos eliminados. Los elementos de la Papelera de reciclaje se conservan durante 93 días. La papelera de reciclaje captura los siguientes tipos de datos:

  • Colecciones de sitios
  • Sitios
  • Listas
  • Bibliotecas
  • Carpetas
  • Elementos de lista
  • Documentos
  • Páginas de elementos web

La papelera de reciclaje no captura las personalizaciones de sitios hechas con SharePoint Designer. Para obtener más información, vea Restaurar elementos eliminados de la papelera dereciclaje de la colección de sitios . Vea también Restaurar una colección de sitios eliminada.

El control de versiones no protege contra ataques de ransomware que copian archivos, los cifran y, a continuación, eliminan los archivos originales. Sin embargo, los usuarios finales pueden aprovechar la Papelera de reciclaje para recuperar OneDrive para la Empresa archivos después de que se produzca un ataque de ransomware.

En la siguiente sección se detallan más detalles sobre las defensas y controles que Microsoft usa para mitigar el riesgo de ciberataque contra su organización y sus activos.

Cómo Mitiga Microsoft los riesgos de un ataque de ransomware

Microsoft ha integrado defensas y controles que usa para mitigar los riesgos de un ataque de ransomware contra su organización y sus activos. Los activos se pueden organizar por dominio y cada dominio tiene su propio conjunto de mitigaciones de riesgos.

Dominio 1: controles de nivel de inquilino

El primer dominio son las personas que pertenecen a la organización y la infraestructura y los servicios que pertenecen y controlan la organización. Las siguientes características de Microsoft 365 están de forma predeterminada, o se pueden configurar, para ayudar a mitigar el riesgo y recuperarse de un compromiso correcto de los activos de este dominio.

Exchange Online

  • Con la recuperación de elementos únicos y la retención de buzones de correo, los clientes pueden recuperar elementos en un buzón al eliminar prematuramente de forma involuntaria o malintencionada. Los clientes pueden revertir mensajes de correo eliminados en 14 días de forma predeterminada, configurables hasta 30 días.

  • Las configuraciones adicionales de cliente de estas directivas de retención dentro del servicio Exchange Online permiten:

    • retención configurable que se aplicará (1 año/10 años+)
    • copia en la protección de escritura que se aplicará
    • la capacidad de bloquear la directiva de retención de forma que se pueda lograr la inmutabilidad
  • Exchange Online Protection el correo electrónico entrante y los datos adjuntos en tiempo real, tanto al entrar como al salir del sistema. Esto está habilitado de forma predeterminada y tiene personalizaciones de filtrado disponibles. Los mensajes que contienen ransomware u otro malware conocido o sospechoso se eliminan. Puede configurar los administradores para que reciban notificaciones cuando esto ocurra.

SharePoint Protección en línea y OneDrive para la Empresa web

SharePoint Online y OneDrive para la Empresa protection han integrado características que ayudan a proteger contra ataques de ransomware.

Control de versiones: como el control de versiones conserva un mínimo de 500 versiones de un archivo de forma predeterminada y se puede configurar para conservar más, si el ransomware edita y cifra un archivo, se puede recuperar una versión anterior del archivo.

Papelera de reciclaje: si el ransomware crea una nueva copia cifrada del archivo y elimina el archivo antiguo, los clientes tienen 93 días para restaurarlo desde la papelera de reciclaje.

Biblioteca de conservación: los archivos almacenados en SharePoint o OneDrive pueden conservarse aplicando la configuración de retención. Cuando un documento con versiones está sujeto a la configuración de retención, las versiones se copian en la biblioteca de conservación y existen como un elemento independiente. Si un usuario sospecha que sus archivos se han visto comprometidos, puede investigar los cambios en los archivos revisando la copia retenida. La restauración de archivos se puede usar para recuperar archivos en los últimos 30 días.

Teams

Teams los chats se almacenan en Exchange Online buzones de usuario y los archivos se almacenan en SharePoint Online o OneDrive para la Empresa. Microsoft Teams datos están protegidos por los controles y los mecanismos de recuperación disponibles en estos servicios.

Dominio 2: controles de nivel de servicio

El segundo dominio son las personas que pertenecen a Microsoft la organización y la infraestructura corporativa propiedad y controlada por Microsoft para ejecutar las funciones organizativas de una empresa.

El enfoque de Microsoft para proteger su patrimonio corporativo es Zero Trust, implementado con nuestros propios productos y servicios con defensas en toda nuestra propiedad digital. Puede encontrar más detalles sobre los principios de La confianza cero aquí: Arquitectura de confianza cero.

Las características adicionales Microsoft 365 las mitigaciones de riesgos disponibles en el dominio 1 para proteger aún más los activos de este dominio.

SharePoint Protección en línea y OneDrive para la Empresa web

Control de versiones: si ransomware cifra un archivo en su lugar, como una edición, el archivo se puede recuperar hasta la fecha inicial de creación de archivos mediante las capacidades de historial de versiones administradas por Microsoft.

Papelera de reciclaje: si el ransomware creó una nueva copia cifrada del archivo y eliminó el archivo antiguo, los clientes tienen 93 días para restaurarlo desde la papelera de reciclaje. Después de 93 días, hay una ventana de 14 días en la que Microsoft aún puede recuperar los datos. Después de esta ventana, los datos se eliminan permanentemente.

Exchange Online

Los grupos de disponibilidad de bases de datos (DAG) ayudan a proteger contra daños en los datos de buzones Exchange Online. Exchange Online 4 grupos de disponibilidad de bases de datos, 4 activos y 1 atrasados por 14 días de registros de transacciones retrasadas.

Si un ataque de ransomware afecta al servidor de buzones de correo que hospeda la copia activa de una transacción de correo, se produce la conmutación por error a otro DAG activo, transparente para los clientes. Las tres copias de una transacción de correo en las bases de datos activas tendrían que verse afectadas por el ataque de ransomware para volver al DAG atestado. Los mecanismos de aislamiento de errores reducen el radio de explosión de un ataque de ransomware.

Teams: las mitigaciones de riesgos para Teams descritas en el dominio 1 también se aplican al dominio 2.

Dominio 3: desarrolladores & infraestructura de servicio

El tercer dominio son las personas que desarrollan y operan el servicio Microsoft 365, el código y la infraestructura que proporciona el servicio y el almacenamiento y procesamiento de los datos.

Las inversiones de Microsoft que protegen Microsoft 365 plataforma y mitigan los riesgos de este dominio se centran en estas áreas:

  • Evaluación continua y validación de la posición de seguridad del servicio
  • Herramientas de creación y arquitectura que protegen el servicio de los compromisos
  • Creación de la capacidad para detectar y responder a amenazas si se produce un ataque

Evaluación continua y validación de la posición de seguridad

  • Microsoft mitiga los riesgos asociados con las personas que desarrollan y operan el servicio Microsoft 365 con el principio de privilegio mínimo. Esto significa que el acceso y los permisos a los recursos solo se limitan a lo necesario para realizar una tarea necesaria.
    • Se usa un modelo Just-In-Time (JIT), Just-Enough-Access (JEA) para proporcionar privilegios temporales a los ingenieros de Microsoft.
    • Los ingenieros deben enviar una solicitud para una tarea específica para adquirir privilegios elevados.
    • Las solicitudes se administran a través de Lockbox, que usa el control de acceso basado en roles (RBAC) de Azure para limitar los tipos de solicitudes de elevación de JIT que los ingenieros pueden realizar.
  • Además de lo anterior, todos los candidatos de Microsoft se preselección antes de comenzar el empleo en Microsoft. Los empleados que mantienen servicios en línea de Microsoft en los Estados Unidos deben someterse a una comprobación en segundo plano de Microsoft Cloud como requisito previo para obtener acceso a los sistemas de servicios en línea.
  • Se requiere que todos los empleados de Microsoft completen la formación básica de reconocimiento de seguridad junto con el aprendizaje de Estándares de conducta empresarial.

Herramientas y arquitectura que protegen el servicio

  • El ciclo de vida de desarrollo de seguridad (SDL) de Microsoft se centra en desarrollar software seguro para mejorar la seguridad de las aplicaciones y reducir las vulnerabilidades. Para obtener más información, vea Security and Security development and operations overview.
  • Microsoft 365 limita la comunicación entre diferentes partes de la infraestructura de servicio a solo lo necesario para funcionar.
  • El tráfico de red está protegido mediante firewalls de red adicionales en puntos de límite para ayudar a detectar, evitar y mitigar los ataques de red.
  • Microsoft 365 los servicios se diseñan para funcionar sin que los ingenieros requieran acceso a los datos del cliente, a menos que el cliente lo solicite y apruebe explícitamente. Para obtener más información, vea How does Microsoft collect and process customer data.

Capacidades de detección y respuesta

  • Microsoft 365 participa en la supervisión de seguridad continua de sus sistemas para detectar amenazas y responder a ellas a Microsoft 365 Services.
  • El registro centralizado recopila y analiza eventos de registro para las actividades que pueden indicar un incidente de seguridad. Los datos de registro se analizan a medida que se cargan en nuestro sistema de alertas y producen alertas casi en tiempo real.
  • Las herramientas basadas en la nube nos permiten responder rápidamente a las amenazas detectadas. Estas herramientas habilitan la corrección mediante acciones desencadenadas automáticamente.
  • Cuando la corrección automática no es posible, las alertas se envían a los ingenieros de llamada adecuados, que están equipados con un conjunto de herramientas que les permiten actuar en tiempo real para mitigar las amenazas detectadas.

Recuperarse de un ataque de ransomware

Para ver los pasos para recuperarse de un ataque de ransomware en Microsoft 365, vea Recover from a ransomware attack in Microsoft 365.

Recursos ransomware adicionales

Información clave de Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Cloud App Security:

Entradas del blog del equipo de Seguridad de Microsoft: