Fase 3: Hacer que sea difícil entrar
En esta fase, los atacantes trabajan mucho más difícil para acceder a sus infraestructuras locales o en la nube quitando gradualmente los riesgos en los puntos de entrada.
Importante
Aunque muchas de ellas le serán familiares y/o fáciles de lograr rápidamente, es muy importante que su trabajo en la fase 3 no deba ralentizar el progreso en las fases 1 y 2.
Vea estas secciones:
Acceso remoto
Obtener acceso a la intranet de su organización a través de una conexión de acceso remoto es un vector de ataque para los atacantes ransomware. Una vez que una cuenta de usuario local está en peligro, un atacante puede deambular por una intranet para recopilar inteligencia, elevar privilegios e instalar código ransomware. El ciberataque reciente de Colonial Pipeline es un ejemplo.
Responsabilidades de los miembros del programa y del proyecto
En esta tabla se describe la protección general de la solución de acceso remoto frente al ransomware en términos de una jerarquía de administración de proyectos/patrocinios/programas para determinar e impulsar resultados.
| Cliente potencial | Implementor | Responsabilidad |
|---|---|---|
| CISO o CIO | Patrocinio ejecutivo | |
| Líder del programa en el equipo de red o infraestructura de TI central | Impulsar resultados y colaboración entre equipos | |
| Arquitectos de seguridad y DE.IT | Priorizar la integración de componentes en arquitecturas | |
| CENTRAL IT Equipo de identidad | Configurar Azure AD de acceso condicional y de acceso condicional | |
| CENTRAL IT Operaciones | Implementar cambios en el entorno | |
| Propietarios de cargas de trabajo | Ayudar con permisos de RBAC para la publicación de aplicaciones | |
| Directiva y estándares de seguridad | Actualizar estándares y documentos de directiva | |
| Administración de cumplimiento de seguridad | Supervisar para garantizar el cumplimiento normativo | |
| Equipo de educación para usuarios | Actualizar las instrucciones sobre los cambios en el flujo de trabajo y realizar la educación y la administración de cambios | |
Lista de comprobación de implementación
Aplique estos procedimientos recomendados para proteger su infraestructura de acceso remoto de los atacantes ransomware.
| Listo | Tarea | Descripción |
|---|---|---|
| Mantener actualizaciones de software y dispositivos. Evite perder o dejar de lado las protecciones del fabricante (actualizaciones de seguridad, estado admitido). | Los atacantes usan vulnerabilidades conocidas que aún no se han parcheado como vectores de ataque. | |
| Configure Azure AD para el acceso remoto existente mediante la aplicación de validación de dispositivos y usuarios de confianza cero con acceso condicional. | La confianza cero proporciona varios niveles para garantizar el acceso a su organización. | |
| Configure la seguridad de las soluciones VPN de terceros existentes (Cisco AnyConnect,Palo Alto Networks GlobalProtectCaptive Portal, Fortinet FortiGate SSL VPN,Citrix NetScaler,Zscaler Private Access (ZPA)y mucho más). | Aproveche la seguridad integrada de su solución de acceso remoto. | |
| Implemente azure point-to-site (P2S) VPN para proporcionar acceso remoto. | Aproveche la integración con Azure AD y sus suscripciones de Azure existentes. | |
| Publicar aplicaciones web locales con Azure AD de aplicación. | Las aplicaciones publicadas Azure AD proxy de aplicación no necesitan una conexión de acceso remoto. | |
| Acceso seguro a recursos de Azure con Azure Bastión. | Conéctese de forma segura y sin problemas a sus máquinas virtuales de Azure a través de SSL. | |
| Audite y supervise para buscar y corregir las desviaciones de la línea base y los posibles ataques (vea Detección y respuesta). | Reduce el riesgo de las actividades de ransomware que investigan las características y la configuración de seguridad de línea base. | |
Correo electrónico y colaboración
Implemente procedimientos recomendados para soluciones de colaboración y correo electrónico para que sea más difícil para los atacantes abusar de ellos, al tiempo que permite a sus trabajadores acceder de forma fácil y segura al contenido externo.
Los atacantes suelen entrar en el entorno transfiriendo contenido malintencionado con herramientas de colaboración autorizadas, como el correo electrónico y el uso compartido de archivos, y convenciendo a los usuarios para que lo ejecuten. Microsoft ha invertido en mitigaciones mejoradas que aumentan enormemente la protección contra estos vectores de ataque.
Responsabilidades de los miembros del programa y del proyecto
En esta tabla se describe la protección general de las soluciones de correo electrónico y colaboración frente a ransomware en términos de una jerarquía de administración de proyectos/patrocinios/programas para determinar e impulsar resultados.
| Cliente potencial | Implementor | Responsabilidad |
|---|---|---|
| CISO, CIO o Director de identidad | Patrocinio ejecutivo | |
| Guía del programa del equipo de arquitectura de seguridad | Impulsar resultados y colaboración entre equipos | |
| Arquitectos de IT | Priorizar la integración de componentes en arquitecturas | |
| Productividad en la nube o equipo de usuario final | Habilitar Defender para Office 365, ASR y AMSI | |
| Arquitectura de seguridadInfraestructura + punto de conexión | Asistencia para la configuración | |
| Equipo de educación para usuarios | Instrucciones de actualización sobre cambios en el flujo de trabajo | |
| Directiva y estándares de seguridad | Actualizar estándares y documentos de directiva | |
| Administración de cumplimiento de seguridad | Supervisar para garantizar el cumplimiento normativo | |
Lista de comprobación de implementación
Aplique estos procedimientos recomendados para proteger el correo electrónico y las soluciones de colaboración de los atacantes ransomware.
| Listo | Tarea | Descripción |
|---|---|---|
| Habilite AMSI para Office VBA. | Detectar Office de macros con herramientas de punto de conexión como Defender para punto de conexión. | |
| Implemente la seguridad avanzada de correo electrónico con Defender Office 365 una solución similar. | El correo electrónico es un punto de entrada común para los atacantes. | |
| Habilitar reglas de reducción de superficie de ataque (ASR) para bloquear técnicas de ataque comunes, como: - Abuso de puntos de conexión como robo de credenciales, actividad ransomware y uso sospechoso de PsExec y WMI. - Actividad de documentos Office, como la actividad de macros avanzada, el contenido ejecutable, la creación de procesos y la inyección de procesos iniciada por Office aplicaciones. Nota: Implemente estas reglas en el modo de auditoría primero, después evalúe cualquier impacto negativo y, a continuación, impleméntelas en modo de bloque. |
ASR proporciona capas adicionales de protección específicamente dirigidas a mitigar métodos de ataque comunes. | |
| Audite y supervise para buscar y corregir las desviaciones de la línea base y los posibles ataques (vea Detección y respuesta). | Reduce el riesgo de las actividades de ransomware que investigan las características y la configuración de seguridad de línea base. | |
Puntos de conexión
Implemente características de seguridad relevantes y siga rigurosamente los procedimientos recomendados de mantenimiento de software para equipos y aplicaciones, priorizando las aplicaciones y los sistemas operativos de servidor o cliente directamente expuestos al tráfico y al contenido de Internet.
Los puntos de conexión expuestos a Internet son un vector de entrada común que proporciona a los atacantes acceso a los activos de la organización. Priorice el bloqueo del sistema operativo común y la aplicación con controles preventivos para ralentizar o impedir que ejecuten las fases siguientes.
Responsabilidades de los miembros del programa y del proyecto
En esta tabla se describe la protección general de los puntos de conexión frente a ransomware en términos de una jerarquía de administración de proyectos/patrocinios/programas para determinar e impulsar resultados.
| Cliente potencial | Implementor | Responsabilidad |
|---|---|---|
| Liderazgo empresarial responsable del impacto empresarial tanto del tiempo de inactividad como del daño de ataques | Patrocinio ejecutivo (mantenimiento) | |
| CENTRAL IT Operaciones o CIO | Patrocinio ejecutivo (otros) | |
| Líder del programa del equipo de infraestructura de TI central | Impulsar resultados y colaboración entre equipos | |
| Arquitectos de seguridad y DE.IT | Priorizar la integración de componentes en arquitecturas | |
| CENTRAL IT Operaciones | Implementar cambios en el entorno | |
| Productividad en la nube o equipo de usuario final | Habilitar la reducción de superficie de ataque | |
| Propietarios de cargas de trabajo o aplicaciones | Identificar ventanas de mantenimiento para los cambios | |
| Directiva y estándares de seguridad | Actualizar estándares y documentos de directiva | |
| Administración de cumplimiento de seguridad | Supervisar para garantizar el cumplimiento normativo | |
Lista de comprobación de implementación
Aplique estos procedimientos recomendados a todos los Windows, Linux, MacOS, Android, iOS y otros puntos de conexión.
| Listo | Tarea | Descripción |
|---|---|---|
| Bloquee amenazas conocidas con reglas de reducción de superficie de ataque, protección contra manipulaciones y bloquee en el primer sitio. | No permita que la falta de uso de estas características de seguridad integradas sea la razón por la que un atacante ha entrado en su organización. | |
| Aplique líneas base de seguridad para Windows servidores y clientes y Office internet. | Proteja su organización con el nivel mínimo de seguridad y compilación desde allí. | |
| Mantenga el software para que sea: - Actualizado: Implementar rápidamente actualizaciones de seguridad críticas para sistemas operativos, exploradores, clientes & de correo electrónico - Compatible: Actualice sistemas operativos y software para versiones compatibles con sus proveedores. |
Los atacantes cuentan con que falta o que se olvidan de las actualizaciones y actualizaciones del fabricante. | |
| Aislar, deshabilitar o retirar sistemas y protocolos inseguros, incluidos los sistemas operativos no admitidos y los protocolos heredados. | Los atacantes usan vulnerabilidades conocidas de dispositivos, sistemas y protocolos heredados como puntos de entrada en su organización. | |
| Bloquee el tráfico inesperado con firewall basado en host y defensas de red. | Algunos ataques de malware responden al tráfico entrante no solicitado a los anfitriones como forma de realizar una conexión para un ataque. | |
| Audite y supervise para buscar y corregir las desviaciones de la línea base y los posibles ataques (vea Detección y respuesta). | Reduce el riesgo de las actividades de ransomware que investigan las características y la configuración de seguridad de línea base. | |
Cuentas
Al igual que las antiguas llaves de esqueleto no protegen una casa contra un ladrón moderno, las contraseñas no pueden proteger las cuentas contra ataques comunes que vemos hoy en día. Aunque la autenticación multifactor (MFA) fue una vez un paso adicional difícil, la autenticación sin contraseña mejora la experiencia de inicio de sesión con enfoques biométricos que no requieren que los usuarios recuerden o escriban una contraseña. Además, una infraestructura de confianza cero almacena información sobre dispositivos de confianza, lo que reduce las solicitudes de acciones de MFA fuera de banda molestas.
A partir de las cuentas de administrador de privilegios altos, siga estrictamente estos procedimientos recomendados para la seguridad de cuentas, incluido el uso de mfa o sin contraseña.
Responsabilidades de los miembros del programa y del proyecto
En esta tabla se describe la protección general de las cuentas contra ransomware en términos de una jerarquía de administración de proyectos/administración de programas/patrocinio para determinar e impulsar resultados.
| Cliente potencial | Implementor | Responsabilidad |
|---|---|---|
| CISO, CIO o Director de identidad | Patrocinio ejecutivo | |
| Líder del programa de los equipos de administración de claves y identidadeso arquitectura de seguridad | Impulsar resultados y colaboración entre equipos | |
| Arquitectos de seguridad y DE.IT | Priorizar la integración de componentes en arquitecturas | |
| Administración de identidades y claves o operaciones centrales de TI | Implementar cambios de configuración | |
| Directiva y estándares de seguridad | Actualizar estándares y documentos de directiva | |
| Administración de cumplimiento de seguridad | Supervisar para garantizar el cumplimiento normativo | |
| Equipo de educación para usuarios | Actualizar la contraseña o las instrucciones de inicio de sesión y realizar la educación y la administración de cambios | |
Lista de comprobación de implementación
Aplique estos procedimientos recomendados para proteger sus cuentas de los atacantes ransomware.
| Listo | Tarea | Descripción |
|---|---|---|
| Exigir una MFA segura o un inicio de sesión sin contraseña para todos los usuarios. Empiece con cuentas de administrador y de prioridad con una o varias de las siguientes: - Autenticación sin contraseña con Windows Hello o Microsoft Authenticator aplicación. - - . - Solución MFA de terceros. |
Dificulta que un atacante realice un compromiso de credenciales. | |
| Aumentar la seguridad de contraseña: - Para Azure AD cuentas, use Azure AD protección con contraseña para detectar y bloquear contraseñas débiles conocidas y términos débiles adicionales específicos de su organización. - Para las cuentas locales de Servicios de dominio de Active Directory (AD DS), amplíe Azure AD protección con contraseña a cuentas de AD DS. |
Asegúrese de que los atacantes no pueden determinar contraseñas o contraseñas comunes en función del nombre de su organización. | |
| Audite y supervise para buscar y corregir las desviaciones de la línea base y los posibles ataques (vea Detección y respuesta). | Reduce el riesgo de las actividades de ransomware que investigan las características y la configuración de seguridad de línea base. | |
Resultados de la implementación y escalas de tiempo
Intente obtener estos resultados en un plazo de 30 días:
- El 100 % de los empleados usan activamente MFA
- Implementación 100 % de mayor seguridad con contraseña
Recursos de ransomware adicionales
Información clave de Microsoft:
- La creciente amenaza de ransomware, entrada de blog de Microsoft On the Issues el 20 de julio de 2021
- Ransomware operado por humanos
- Proteger rápidamente contra ransomware y extorsión
- Informe de defensa digital de Microsoft 2021 (vea las páginas 10-19)
- Ransomware: Un informe generalizado y continuo de análisis de amenazas en el portal Microsoft 365 Defender amenazas
- Método y procedimientos recomendados para ransomware DART de Microsoft
Microsoft 365:
- Implementar protección contra ransomware para su Microsoft 365 inquilino
- Maximizar resistencia a ransomware con Azure y Microsoft 365
- Recuperarse de un ataque ransomware
- Protección contra malware y ransomware
- Proteger el equipo Windows 10 de ransomware
- Administrar ransomware en SharePoint Online
- Informes de análisis de amenazas para ransomware en el Microsoft 365 Defender web
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses for Ransomware Attack
- Maximizar resistencia a ransomware con Azure y Microsoft 365
- Plan de copia de seguridad y restauración para protegerse contra ransomware
- Ayudar a proteger contra ransomware con Microsoft Azure copia de seguridad (vídeo de 26 minutos)
- Recuperarse de un compromiso de identidad sistémico
- Detección avanzada de ataques multietapas en Microsoft Sentinel
- Detección de fusión para ransomware en Microsoft Sentinel
Microsoft Defender para aplicaciones en la nube:
Entradas de blog del equipo de seguridad de Microsoft:
3 pasos para evitar y recuperarse del ransomware (septiembre de 2021)
Una guía para la lucha contra ransomware operado por humanos: Parte 1 (septiembre de 2021)
Pasos clave sobre cómo el equipo de detección y respuesta (DARDO) de Microsoft lleva a cabo investigaciones de incidentes de ransomware.
Una guía para la lucha contra ransomware operado por humanos: Parte 2 (septiembre de 2021)
Recomendaciones y procedimientos recomendados.
-
Vea la sección Ransomware.
Ataques de ransomware operados por humanos: un desastre prevenible (marzo de 2020)
Incluye análisis en cadena de ataques de ataques reales.
Respuesta ransomware: ¿pagar o no pagar? (Diciembre de 2019)
Norsk Hydro responde al ataque ransomware con transparencia (diciembre de 2019)