Obstaculización de los ataques de ransomware para que no entren en su organización

En esta fase, hará que los atacantes tengan que trabajar mucho más para acceder a los sistemas locales o en la nube mediante la eliminación gradual de los riesgos en los puntos de entrada.

Aunque muchos de estos cambios le resultarán familiares y fáciles de aplicar, es muy importante que su trabajo en esta parte de la estrategia no ralentice su progreso en el resto de partes críticas.

Estos son los vínculos para revisar el plan de ciberseguridad de tres partes:

Acceso remoto

Obtener acceso a la intranet de la organización mediante una conexión de acceso remoto es un vector de ataque para los atacantes de ransomware.

Una vez que una cuenta de usuario local se ve comprometida, un atacante puede desplazarse libremente por una intranet para recopilar inteligencia, elevar privilegios e instalar ransomware. El ciberataque de Colonial Pipeline en 2021 es un ejemplo.

Responsabilidades de los miembros del programa y del proyecto para acceso remoto

En esta tabla se describe la protección general de su solución de acceso remoto frente al ransomware en términos de una jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.

Lead Implementador Responsabilidad
CISO o CIO Patrocinio ejecutivo.
Responsable del programa en la infraestructura de TI central o equipo de red Impulsar los resultados y la colaboración entre equipos.
Arquitectos de TI y seguridad Priorizar la integración de componentes en arquitecturas.
Equipo de identidad de TI central Configuración de Microsoft Entra ID y directivas de acceso condicional
Operaciones de TI central Implementar cambios en el entorno.
Propietarios de cargas de trabajo Ayudar con los permisos de RBAC para la publicación de aplicaciones.
Directivas y estándares de seguridad Actualizar documentos de directivas y estándares
Administración del cumplimiento de la seguridad Supervisar para garantizar el cumplimiento
Equipo de educación de usuarios Actualizar las instrucciones con los cambios en el flujo de trabajo, impartir cursos y administrar los cambios.

Lista de comprobación de implementación para el acceso remoto

Aplique estos procedimientos recomendados para proteger su infraestructura de acceso remoto frente a atacantes de ransomware.

Listo Tarea Descripción
Llevar al día las actualizaciones de software y dispositivo. Evitar que se omitan o descuiden las protecciones del fabricante (actualizaciones de seguridad, estado admitido). Los atacantes usan vulnerabilidades conocidas que aún no se han clasificado como vectores de ataque.
Configurar Microsoft Entra ID para el acceso remoto existente mediante la aplicación de la validación de usuarios y dispositivos de Confianza cero con acceso condicional. Confianza cero proporciona varios niveles de protección al acceso a la organización.
Configurar la seguridad de las soluciones VPN de terceros existentes (Cisco AnyConnect, Palo Alto Networks GlobalProtect y Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA), entre otros). Aproveche la seguridad integrada de la solución de acceso remoto.
Implemente una VPN de punto a sitio (P2S) de Azure para proporcionar acceso remoto. Saque provecho de la integración con Microsoft Entra ID y las suscripciones de Azure existentes.
Publicar aplicaciones web en el entorno local con el proxy de aplicación de Microsoft Entra. Las aplicaciones publicadas con el proxy de aplicación de Microsoft Entra no necesitan una conexión de acceso remoto.
Proteger el acceso a los recursos de Azure con Azure Bastion. Conéctese de forma segura y eficaz a las máquinas virtuales de Azure a través de SSL.
Auditar y supervisar para corregir posibles desviaciones de la línea de base y posibles ataques (consulte Detección y respuesta). Reducción del riesgo de actividades de ransomware que sondean las características y la configuración de seguridad de la línea de base.

Correo electrónico y colaboración

Implemente procedimientos recomendados para el correo electrónico y las soluciones de colaboración para que les sea más difícil a los atacantes vulnerarlos, al tiempo que permite que los trabajadores accedan de forma fácil y segura a contenido externo.

Los atacantes suelen introducirse en el entorno mediante la transferencia de contenido malintencionado con herramientas de colaboración autorizadas, como el correo electrónico y el uso compartido de archivos, convenciendo a los usuarios para que lo ejecuten. Microsoft ha invertido en mitigaciones mejoradas que aumentan considerablemente la protección contra estos vectores de ataque.

Responsabilidades de los miembros del programa y del proyecto para correo electrónico y colaboración

En esta tabla se describe la protección general de las soluciones de correo electrónico y colaboración frente al ransomware en términos de una jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.

Lead Implementador Responsabilidad
CISO, CIO o Director de identidad Patrocinio ejecutivo.
Liderazgo del programa del equipo de arquitectura de seguridad Impulsar los resultados y la colaboración entre equipos.
Arquitectos de TI Priorizar la integración de componentes en arquitecturas.
Productividad en la nube o equipo de usuario final Habilitar Defender para Office 365, ASR y AMSI
Arquitectura de seguridad / Infraestructura y punto de conexión Ayuda para la configuración
Equipo de educación de usuarios Actualización de instrucciones sobre los cambios de flujo de trabajo
Directivas y estándares de seguridad Actualizar documentos de directivas y estándares
Administración del cumplimiento de la seguridad Supervisar para garantizar el cumplimiento

Lista de comprobación de implementación para correo electrónico y colaboración

Aplique estos procedimientos recomendados para proteger el correo electrónico y las soluciones de colaboración contra los atacantes de ransomware.

Listo Tarea Descripción
Habilite AMSI para Office VBA. Detecte ataques de macro de Office con herramientas de punto de conexión como Defender para punto de conexión.
Implemente seguridad avanzada para correo electrónico mediante Defender para Office 365 o una solución similar. El correo electrónico suele ser un punto de entrada para los atacantes.
Implementar reglas de reducción de la superficie expuesta a ataques (ASR) para bloquear técnicas de ataque comunes, entre las que se incluyen:

- Abuso de puntos de conexión, como el robo de credenciales, la actividad de ransomware y el uso sospechoso de PsExec y WMI.

- Actividad malintencionada de documentos de Office, como la actividad de macro avanzada, contenido ejecutable, creación de procesos y la inserción de procesos iniciada por aplicaciones de Office.

Nota: Implemente primero estas reglas en modo auditoría, evalúe cualquier impacto negativo y, a continuación, impleméntelas en modo bloque.
ASR proporciona capas adicionales de protección específicamente destinadas a mitigar los métodos de ataque comunes.
Auditar y supervisar para corregir posibles desviaciones de la línea de base y posibles ataques (consulte Detección y respuesta). Reduce el riesgo de actividades de ransomware que sondean las características y la configuración de seguridad de la línea de base.

Puntos de conexión

Implemente las características de seguridad pertinentes y siga rigurosamente los procedimientos recomendados de mantenimiento de software para puntos de conexión (dispositivos) y aplicaciones, clasificando por orden de prioridad los sistemas operativos de aplicaciones y de servidor o cliente expuestos directamente al tráfico y contenido de Internet.

Los puntos de conexión expuestos a Internet son un vector de entrada común que proporciona a los atacantes acceso a los recursos de la organización. Dé prioridad al bloqueo de vulnerabilidades comunes del sistema operativo y las aplicaciones con controles preventivos para ralentizar o impedir que ejecuten las fases siguientes.

Responsabilidades de los miembros del programa y del proyecto para puntos de conexión

En esta tabla se describe la protección general de los puntos de conexión frente al ransomware en términos de una jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.

Lead Implementador Responsabilidad
Liderazgo empresarial responsable del impacto empresarial tanto del tiempo de inactividad como de los daños causados por ataques Patrocinio ejecutivo (mantenimiento).
Operaciones de TI central o CIO Patrocinio ejecutivo (otros)
Liderazgo del programa del equipo de infraestructura de TI central Impulsar los resultados y la colaboración entre equipos.
Arquitectos de TI y seguridad Priorizar la integración de componentes en arquitecturas.
Operaciones de TI central Implementar cambios en el entorno.
Productividad en la nube o equipo de usuario final Habilitar la reducción de la superficie expuesta a ataques.
Propietarios de cargas de trabajo y aplicaciones Identificar ventanas de mantenimiento para cambios.
Directivas y estándares de seguridad Actualizar documentos de directivas y estándares
Administración del cumplimiento de la seguridad Supervisar para garantizar el cumplimiento

Lista de comprobación de implementación para puntos de conexión

Aplique estos procedimientos recomendados a Windows, Linux, MacOS, Android, iOS y a otros puntos de conexión.

Listo Tarea Descripción
Bloquear las amenazas conocidas con reglas de reducción de la superficie expuesta a ataques, protección contra alteraciones y bloqueo en el primer sitio. No permita que la falta de uso de estas características de seguridad integradas sea la razón por la que un atacante se introduzca en su organización.
Aplicar líneas de base de seguridad para fortalecer los servidores y clientes de Windows y las aplicaciones de Office accesibles desde Internet. Proteja su organización con el mínimo nivel de seguridad y auméntela a partir de ahí.
Mantener el software al día para que esté:

- Actualizado: implemente rápidamente actualizaciones de seguridad críticas para sistemas operativos, exploradores y clientes de correo electrónico.

- Compatible: actualice las versiones de los sistemas operativos y el software para que sus proveedores los admitan.
Los atacantes cuentan con que se omitan o descuiden las actualizaciones del fabricante.
Aislar, deshabilitar o retirar los sistemas y protocolos no seguros, incluidos los sistemas operativos no admitidos y los protocolos heredados. Los atacantes usan vulnerabilidades conocidas de dispositivos, sistemas y protocolos heredados como puntos de entrada a la organización.
Bloquear el tráfico inesperado con firewalls basados en hosts y defensas de red. Algunos ataques de malware responden al tráfico entrante no solicitado a los hosts como una manera de realizar una conexión para un ataque.
Auditar y supervisar para corregir posibles desviaciones de la línea de base y posibles ataques (consulte Detección y respuesta). Reduce el riesgo de actividades de ransomware que sondean las características y la configuración de seguridad de la línea de base.

Cuentas

Del mismo modo que las antiguas llaves maestras no servirán para proteger una casa de los ladrones de hoy en día, las contraseñas no pueden proteger las cuentas contra los ataques comunes que se producen en la actualidad. Mientras que la autenticación multifactor (MFA) fue una vez un molesto paso adicional, hoy en día la autenticación sin contraseña mejora la experiencia de inicio de sesión mediante enfoques biométricos que no requieren que los usuarios recuerden o escriban una contraseña. Además, la infraestructura de Confianza cero almacena información sobre los dispositivos de confianza, lo cual reduce la solicitud de molestas acciones de autenticación multifactor fuera de banda.

Empiece por las cuentas de administrador con privilegios elevados y siga rigurosamente estos procedimientos recomendados para la seguridad de las cuentas, incluido el uso de autenticación sin contraseña o MFA.

Responsabilidades de los miembros del programa y del proyecto para cuentas

En esta tabla se describe la protección general de las cuentas frente al ransomware en términos de una jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.

Lead Implementador Responsabilidad
CISO, CIO o Director de identidad Patrocinio ejecutivo.
Responsable del programa de los equipos de administración de identidades y claves o arquitectura de seguridad Impulsar los resultados y la colaboración entre equipos.
Arquitectos de TI y seguridad Priorizar la integración de componentes en arquitecturas.
Administración de identidades y claves u operaciones de TI central Implementar cambios de configuración.
Directivas y estándares de seguridad Actualizar documentos de directivas y estándares
Administración del cumplimiento de la seguridad Supervisar para garantizar el cumplimiento
Equipo de educación de usuarios Actualizar las contraseñas o instruir sobre el inicio de sesión, impartir cursos y administrar los cambios.

Lista de comprobación de implementación para cuentas

Aplique estos procedimientos recomendados para proteger sus cuentas frente a atacantes de ransomware.

Listo Tarea Descripción
Aplicar MFA o inicio de sesión sin contraseña seguros para todos los usuarios. Comience por las cuentas de administrador y de prioridad mediante una o varias de las siguientes opciones:

- Autenticación sin contraseña con Windows Hello o la aplicación Microsoft Authenticator.

- Autenticación multifactor de Azure.

- Una solución MFA de terceros.
Aumento de la dificultad para un atacante a la hora de robar credenciales mediante la simple determinación de una contraseña de cuenta de usuario.
Aumentar la seguridad de las contraseñas:

- Para las cuentas de Microsoft Entra, use la protección de contraseñas de Microsoft Entra para detectar y bloquear contraseñas no seguras conocidas y términos no seguros adicionales específicos de su organización.

- Para las cuentas en el entorno local de Active Directory Domain Services (AD DS), amplíe la protección de contraseñas de Microsoft Entra a las cuentas de AD DS.
Asegúrese de que los atacantes no puedan determinar contraseñas comunes o contraseñas basadas en el nombre de la organización.
Auditar y supervisar para corregir posibles desviaciones de la línea de base y posibles ataques (consulte Detección y respuesta). Reduce el riesgo de actividades de ransomware que sondean las características y la configuración de seguridad de la línea de base.

Plazos y resultados de la implementación

Intente lograr estos resultados en un plazo de 30 días:

  • El 100 % de los empleados usan la autenticación multifactor de forma activa.
  • Implementación completa de una mayor seguridad de contraseñas.

Recursos adicionales del ransomware

Información clave de Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Entradas de blog del equipo de seguridad de Microsoft: