Paso 2. Preparación para la recuperación de ransomware

Debe preparar su organización para que tenga una alternativa viable al pago del rescate que exigen los atacantes ransomware. Mientras que los atacantes que controlan tu organización tienen una variedad de formas de presionarte para que pagues, las demandas se centran principalmente en dos categorías:

  • Pagar para recuperar el acceso

    Los atacantes exigen un pago bajo la amenaza de que no te devolverán el acceso a tus sistemas y datos. Esto se hace con más frecuencia mediante el cifrado de sus sistemas y datos y el pago de la clave de descifrado.

    Importante

    Pagar el rescate no es tan simple y limpio de una solución como puede parecer. Debido a que usted está tratando con criminales que sólo están motivados por el pago (y a menudo operadores relativamente amateur que están utilizando un kit de herramientas proporcionado por otra persona), hay una gran cantidad de incertidumbre acerca de lo bien que pagará el rescate realmente funcionará. No hay ninguna garantía legal de que proporcionarán una clave que descifra el 100% de sus sistemas y datos, o incluso proporcionar una clave en absoluto. El proceso para descifrar estos sistemas utiliza herramientas de atacantes de crecimiento en el hogar, que a menudo es un proceso torpe y manual.

  • Pagar para evitar divulgación

    Los atacantes exigen el pago a cambio de no liberar datos sensibles o embarazosos a la web oscura (otros criminales) o al público en general.

Para evitar ser obligado a pagar (la situación rentable para los atacantes), la acción más inmediata y eficaz que puede tomar es asegurarse de que su organización puede restaurar toda su empresa de un almacenamiento inmutable que no ha sido infectado o cifrado por un ataque de ransomware, que ni el atacante ni usted pueden modificar.

Identificar los activos más sensibles y protegerlos en un nivel más alto de garantía también es críticamente importante, pero es un proceso más largo y difícil de ejecutar. No queremos que mantenga otras áreas, pero le recomendamos que empiece el proceso reuniendo a las partes interesadas de negocios, TI y seguridad para formular y responder preguntas como:

  • ¿Qué activos empresariales serían los más perjudiciales si se veían comprometidos? Por ejemplo, ¿qué activos estarían dispuestos los líderes empresariales a pagar una demanda de extorsión si los atacantes los controlaban?
  • ¿Cómo se traducen estos activos empresariales a activos de TI como archivos, aplicaciones, bases de datos y servidores?
  • ¿Cómo podemos proteger o aislar estos activos para que los atacantes con acceso al entorno de TI general no puedan acceder a ellos?

Copias de seguridad seguras

Debe asegurarse de que los sistemas críticos y sus datos están respaldados y son inmutables para protegerse contra la eliminación deliberada o el cifrado por parte de un atacante. Las copias de seguridad no deben haber sido ya infectados o cifrados por un ataque de ransomware, de lo contrario, estás restaurando un conjunto de archivos que podría contener puntos de entrada para que los atacantes puedan aprovechar después de la recuperación.

Los ataques a las copias de seguridad se centran en paralizar la capacidad de su organización de responder sin pagar, con frecuencia se dirigen a copias de seguridad y documentación clave necesaria para que la recuperación le oblige a pagar las demandas de extorsión.

La mayoría de las organizaciones no protegen los procedimientos de copia de seguridad y restauración frente a este nivel de segmentación intencionada.

Nota

Esta preparación también mejora la resistencia a desastres naturales y ataques rápidos como WannaCry y (Not)Petya.

El plan de copia de seguridad y restauración para protegerse frente a ransomware aborda lo que debe hacer antes de un ataque para proteger sus sistemas empresariales críticos y durante un ataque, con el fin de garantizar una recuperación rápida de sus operaciones empresariales con Azure Backup y otros servicios en la nube de Microsoft. Si usa una solución de copia de seguridad externa proporcionada por un tercero, consulte su documentación.

Responsabilidades de los miembros del programa y del proyecto

En esta tabla se describe la protección general de los datos contra ransomware en términos de jerarquía de patrocinio/administración de programas/administración de proyectos para determinar e impulsar los resultados.

Conducir Propietario Responsabilidad
Operaciones centrales de TI o CIO Patrocinador ejecutivo
Desarrollo del programa desde la infraestructura de TI central Resultados de la unidad y colaboración entre equipos
Ingeniero de infraestructura/copia de seguridad Habilitar copia de seguridad de infraestructura
administradores de Microsoft 365 Implementar cambios en Microsoft 365 espacio empresarial para OneDrive y Carpetas protegidas
Ingeniero de seguridad Informar sobre la configuración y los estándares
Administrador de TI Actualizar estándares y documentos de directivas
Gobierno de seguridad o administrador de TI Supervisar para garantizar el cumplimiento normativo
Equipo de Educación para usuarios Garantizar la orientación para los usuarios recomienda el uso de OneDrive y carpetas protegidas

Objetivos de implementación

Cumpla estos objetivos de implementación para proteger la infraestructura de copia de seguridad.

Hecho Objetivo de implementación Propietario
1. Proteja los documentos auxiliares necesarios para la recuperación, como los documentos de procedimiento de restauración, la base de datos de administración de configuración (CMDB) y los diagramas de red. Arquitecto o implementador de TI
2. Establezca el proceso para hacer copias de seguridad de todos los sistemas críticos automáticamente en un horario regular y monitorear la adhesión. Administrador de copias de seguridad de TI
3. Establezca un proceso y programe regularmente el ejercicio de su plan de continuidad del negocio/recuperación ante desastres (BC/DR). Arquitecto de TI
4. Incluya la protección de copias de seguridad contra la eliminación deliberada y el cifrado en su plan de copia de seguridad:

- Protección segura: requiere pasos fuera de banda (como la autenticación multifactor o un PIN) antes de modificar las copias de seguridad en línea (por ejemplo, Azure Backup).

- Strongest Protection: almacena copias de seguridad en almacenamiento inmutable en línea (por ejemplo , Blob de Azure) y/o completamente sin conexión o fuera del sitio.
Administrador de copias de seguridad de TI
5. Haga que los usuarios configuren OneDrive copia de seguridad y carpetas protegidas. Microsoft 365 administrador de productividad

Siguiente paso

Continúe con la iniciativa de datos, cumplimiento y gobernanza con el Paso 3. Datos.