Implementar rápidamente prevencións de ransomware

Nota

Esta guía se actualizará a medida que hay nueva información disponible.

Proporcionar protección contra ransomware y mitigar los ataques de extorsión es una prioridad para las organizaciones grandes y pequeñas debido al alto impacto de estos ataques y la probabilidad creciente de que una organización experimente una.

Nota

Si necesita una definición de ransomware, lea la información general aquí.

Configurar la protección contra ransomware ahora

Instrucciones concretas sobre cómo preparar mejor su organización de muchas formas de ransomware y extorsión.

Esta guía se organiza en fases prioritarias. Cada fase se vincula a un artículo independiente. El orden de prioridad está diseñado para asegurarse de reducir el riesgo lo más rápido posible con cada fase, basándose en una suposición de gran urgencia que invalidará la seguridad normal y las prioridades de TI, con el fin de evitar o mitigar estos ataques devastadores.

The three phases to protecting against ransomware

Es fundamental tener en cuenta que esta guía se estructura como fases de prioridad que debe seguir en el orden indicado. Para adaptar mejor esta guía a su situación, siga estas pautas:

  1. Adherirse a las prioridades recomendadas

    Use las fases como plan inicial para saber qué hacer primero, a continuación y después para obtener primero los elementos más afectados. Estas recomendaciones se han priorizado mediante el principio de confianza cero de suponiendo una infracción. Esto le obliga a centrarse en minimizar el riesgo empresarial suponiendo que los atacantes puedan obtener acceso correctamente al entorno a través de uno o varios métodos.

  2. Ser proactivo y flexible (pero no omitir tareas importantes)

    Examine las listas de comprobación de implementación de todas las secciones de las tres fases para ver si hay áreas y tareas que puede completar rápidamente antes (por ejemplo, ya tiene acceso a un servicio en la nube que no se ha utilizado, pero podría configurarse rápidamente y fácilmente). A medida que revise todo el plan, tenga mucho cuidado de que estas áreas y tareas posteriores no retrasen la finalización de áreas de importancia crítica, como las copias de seguridad y el acceso con privilegios.

  3. Lleve a cabo algunos elementos en paralelo

    Intentar hacer todo a la vez puede resultar abrumador, pero algunos elementos se pueden hacer de forma natural en paralelo. El personal de diferentes equipos puede trabajar en tareas al mismo tiempo (por ejemplo, equipo de copia de seguridad, equipo de punto de conexión, equipo de identidad), al mismo tiempo que impulsa la finalización de las fases en orden de prioridad.

Los elementos de las listas de comprobación de implementación están en el orden recomendado de clasificación por orden de prioridad, no en un orden de dependencia técnica. Use las listas de comprobación para confirmar y modificar la configuración existente según sea necesario y de manera que funcione en la organización. Por ejemplo, en el elemento de copia de seguridad más importante, puede hacer una copia de seguridad de algunos sistemas, pero quizás no se puedan desconectar ni sean inmutables, o tal vez no pueda probar todos los procedimientos de restauración de la empresa, o no tenga copias de seguridad de sistemas empresariales críticos o sistemas de TI críticos, como los controladores de dominio de Active Directory Domain Services (AD DS).

Nota

Consulte la entrada de blog de seguridad de Microsoft en la que se indican tres pasos para evitar el ransomware y recuperarse de él (septiembre de 2021) para obtener un resumen adicional de este proceso.

Fase 1. Preparación de un plan de recuperación

Esta fase está diseñada para minimizar el incentivo económico de los atacantes de ransomware porque hace que resulte:

  • Mucho más difícil acceder a los sistemas, interrumpirlos o cifrar o dañar los datos clave de la organización.
  • Más fácil que su organización se recupere de un ataque sin pagar el rescate.

Nota

Aunque restaurar muchos o todos los sistemas empresariales es un esfuerzo difícil, la alternativa de pagar a un atacante por una clave de recuperación que pueden entregar o no, y usar herramientas escritas por los atacantes para intentar recuperar sistemas y datos.

Fase 2. Limitar el ámbito del daño

Haga que los atacantes trabajen mucho más duro para obtener acceso a varios sistemas críticos para la empresa a través de roles de acceso con privilegios. Limitar la capacidad del atacante para obtener acceso con privilegios hace que le sea mucho más difícil sacar provecho de un ataque a su organización y, por lo tanto, que sea más probable que desista y se vaya a otro lugar.

Fase 3. Dificultar la entrada

Este último conjunto de tareas es importante para dificultar la entrada, pero llevará tiempo en completarse como parte de un proceso de seguridad mayor. El objetivo de esta fase es hacer que el trabajo de los atacantes sea mucho más difícil, ya que intenta obtener acceso a las infraestructuras locales o en la nube en los distintos puntos comunes de entrada. Estas son muchas tareas, por lo que es importante priorizar su trabajo aquí en función de la rapidez con la que puede realizar estas tareas con los recursos actuales.

Aunque muchos de estos serán familiares y fáciles de lograr rápidamente, es fundamental que su trabajo en la fase 3 no desacelere el progreso en las fases 1 y 2.

Protección contra ransomware de un vistazo

También puede ver información general de las fases y sus listas de comprobación de implementación como niveles de protección contra atacantes de ransomware con el cartel en el que se indica cómo proteger una organización frente al ransomware.

The

Siguiente paso

Phase 1. Prepare your recovery plan

Comience con la fase 1 la preparación de su organización para que pueda recuperarse de un ataque sin tener que pagar el rescate.

Recursos adicionales del ransomware

Información clave de Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Entradas de blog del equipo de seguridad de Microsoft: