Fase 2: Limitar el alcance del daño
En esta fase, evitará que los atacantes obtengan un gran ámbito de acceso para posibles daños a los datos y sistemas protegiendo roles privilegiados.
Estrategia de acceso privilegiado
Debe implementar una estrategia completa para reducir el riesgo de un riesgo de acceso privilegiado.
Todos los demás controles de seguridad pueden invalidarse fácilmente por un atacante con acceso privilegiado en su entorno. Los atacantes ransomware usan el acceso privilegiado como una ruta rápida para controlar todos los activos críticos de la organización para su extorsión.
Responsabilidades de los miembros del programa y del proyecto
En esta tabla se describe una estrategia de acceso con privilegios frente a ransomware en términos de una jerarquía de administración de proyectos/administración de programas/patrocinio para determinar e impulsar resultados.
| Cliente potencial | Implementor | Responsabilidad |
|---|---|---|
| CISO o CIO | Patrocinio ejecutivo | |
| Cliente potencial del programa | Impulsar resultados y colaboración entre equipos | |
| Arquitectos de seguridad y DE.IT | Priorizar la integración de componentes en arquitecturas | |
| Administración de identidades y claves | Implementar cambios de identidad | |
| CENTRAL IT Productividad / equipo de usuario final | Implementar cambios en dispositivos y Office 365 inquilino | |
| Directiva y estándares de seguridad | Actualizar estándares y documentos de directiva | |
| Administración de cumplimiento de seguridad | Supervisar para garantizar el cumplimiento normativo | |
| Equipo de educación para usuarios | Actualizar las instrucciones de contraseña | |
Lista de comprobación de implementación
Cree una estrategia de varias partes con las instrucciones https://aka.ms/SPA que incluye esta lista de comprobación.
| Listo | Tarea | Descripción |
|---|---|---|
| Exigir la seguridad de la sesión de un extremo a otro. | Valida explícitamente la confianza de los usuarios y dispositivos antes de permitir el acceso a las interfaces administrativas (Azure AD acceso condicional). | |
| Proteger y supervisar sistemas de identidad. | Evita los ataques de escalado de privilegios, incluidos los directorios, la administración de identidades, las cuentas de administrador y los grupos, y la configuración de la concesión de consentimiento. | |
| Mitigar el recorrido lateral. | Garantiza que comprometer un único dispositivo no conduce inmediatamente al control de muchos o todos los demás dispositivos que usan contraseñas de cuentas locales, contraseñas de cuenta de servicio u otros secretos. | |
| Garantizar una respuesta rápida a las amenazas. | Limita el acceso y el tiempo de un adversario en el entorno. Vea Detección y respuesta para obtener más información. | |
Resultados de la implementación y escalas de tiempo
Intente lograr estos resultados en 30-90 días:
- 100 % de los administradores necesarios para usar estaciones de trabajo seguras
- Contraseñas de estación de trabajo/servidor 100 % locales aleatorias
- Implementación 100 % de mitigaciones de escalado de privilegios
Detección y respuesta
Su organización necesita detección y corrección de ataques comunes a puntos de conexión, correo electrónico e identidades. Los minutos importan. Debe corregir rápidamente los puntos de entrada de ataque comunes para limitar el tiempo del atacante para atravesar lateralmente su organización.
Responsabilidades de los miembros del programa y del proyecto
En esta tabla se describe la mejora de la capacidad de detección y respuesta frente al ransomware en términos de una jerarquía de administración de proyectos/patrocinios/programas para determinar e impulsar resultados.
| Cliente potencial | Implementor | Responsabilidad |
|---|---|---|
| CISO o CIO | Patrocinio ejecutivo | |
| Cliente principal del programa de operaciones de seguridad | Impulsar resultados y colaboración entre equipos | |
| CENTRAL IT Equipo de infraestructura | Implementar características y agentes de cliente y servidor | |
| Operaciones de seguridad | Integrar las nuevas herramientas en los procesos de operaciones de seguridad | |
| CENTRAL IT Productividad / equipo de usuario final | Habilitar características para Defender para endpoint, Defender para Office 365, Defender para la identidad y Defender para aplicaciones en la nube | |
| CENTRAL IT Equipo de identidad | Implementar Azure AD seguridad y Defender para la identidad | |
| Arquitectos de seguridad | Asesor sobre configuración, estándares y herramientas | |
| Directiva y estándares de seguridad | Actualizar estándares y documentos de directiva | |
| Administración de cumplimiento de seguridad | Supervisar para garantizar el cumplimiento normativo | |
Lista de comprobación de implementación
Aplique estos procedimientos recomendados para mejorar la detección y la respuesta.
| Listo | Tarea | Descripción |
|---|---|---|
| Priorizar puntos de entrada comunes: - Use herramientas integradas de detección y respuesta extendida (XDR) como Microsoft 365 Defender para proporcionar alertas de alta calidad y minimizar la fricción y los pasos manuales durante la respuesta. - Supervisar intentos de fuerza bruta como el rociado con contraseña. |
Los operadores ransomware (y otros) prefieren puntos de conexión, correo electrónico, identidad y RDP como puntos de entrada. | |
| Supervisar si un adversario deshabilita la seguridad (a menudo forma parte de una cadena de ataques), como: - Borrado del registro de eventos, especialmente el registro de eventos de seguridad y los registros operativos de PowerShell. - Deshabilitación de herramientas y controles de seguridad (asociados a algunos grupos). |
Los atacantes se dirigirán a las instalaciones de detección de seguridad para continuar su ataque de forma más segura. | |
| No ignore el malware de productos básicos. | Los atacantes ransomware compran periódicamente acceso a organizaciones de destino de mercados oscuros. | |
| Integre expertos externos en procesos para complementar la experiencia, como el equipo de detección y respuesta de Microsoft (DART). | La experiencia cuenta para la detección y recuperación. | |
| Aislar rápidamente los equipos en peligro con Defender para el punto de conexión. | Windows 10 integración hace que esto sea fácil. | |
Paso siguiente
Continúe con la fase 3 para que sea difícil que un atacante pueda entrar en su entorno quitando riesgos de forma incremental.
Recursos de ransomware adicionales
Información clave de Microsoft:
- La creciente amenaza de ransomware, entrada de blog de Microsoft On the Issues el 20 de julio de 2021
- Ransomware operado por humanos
- Proteger rápidamente contra ransomware y extorsión
- Informe de defensa digital de Microsoft 2021 (vea las páginas 10-19)
- Ransomware: Un informe generalizado y continuo de análisis de amenazas en el portal Microsoft 365 Defender amenazas
- Método y procedimientos recomendados para ransomware DART de Microsoft
Microsoft 365:
- Implementar protección contra ransomware para su Microsoft 365 inquilino
- Maximizar resistencia a ransomware con Azure y Microsoft 365
- Recuperarse de un ataque ransomware
- Protección contra malware y ransomware
- Proteger el equipo Windows 10 de ransomware
- Administrar ransomware en SharePoint Online
- Informes de análisis de amenazas para ransomware en el Microsoft 365 Defender web
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximizar resistencia a ransomware con Azure y Microsoft 365
- Plan de copia de seguridad y restauración para protegerse contra ransomware
- Ayudar a proteger contra ransomware con Microsoft Azure copia de seguridad (vídeo de 26 minutos)
- Recuperarse de un compromiso de identidad sistémico
- Detección avanzada de ataques multietapas en Microsoft Sentinel
- Detección de fusión para ransomware en Microsoft Sentinel
Microsoft Defender para aplicaciones en la nube:
Entradas de blog del equipo de seguridad de Microsoft:
3 pasos para evitar y recuperarse del ransomware (septiembre de 2021)
Una guía para la lucha contra ransomware operado por humanos: Parte 1 (septiembre de 2021)
Pasos clave sobre cómo el equipo de detección y respuesta (DARDO) de Microsoft lleva a cabo investigaciones de incidentes de ransomware.
Una guía para la lucha contra ransomware operado por humanos: Parte 2 (septiembre de 2021)
Recomendaciones y procedimientos recomendados.
-
Vea la sección Ransomware.
Ataques de ransomware operados por humanos: un desastre prevenible (marzo de 2020)
Incluye análisis en cadena de ataques de ataques reales.
Respuesta ransomware: ¿pagar o no pagar? (Diciembre de 2019)
Norsk Hydro responde al ataque ransomware con transparencia (diciembre de 2019)