Protección y recuperación contra el ransomware de Office 365: Una visión completa
Hoy en día, el ransomware se considera una de las mayores amenazas para las empresas modernas, ya que puede afectar a todo tipo de datos, incluidos los archivos y documentos de Microsoft 365. De hecho, en 2020 se produjeron más de 304 millones de ataques en todo el mundo, y el pago medio por rescate ascendió a 812.360 dólares. Y los métodos de infiltración son cada año más sofisticados.
De acuerdo con su Modelo de Responsabilidad Compartida, Microsoft pone a disposición de los usuarios diversas herramientas de protección contra el ransomware de Office 365. Sin embargo, las organizaciones que utilizan Office 365 son responsables de configurar estas herramientas para salvaguardar sus datos de las amenazas, así como de utilizar herramientas de terceros para garantizar su recuperabilidad.
Este artículo detalla las funciones integradas de protección contra el ransomware y recuperación de Microsoft que le permiten proteger su entorno y restaurar sus datos tras un ataque de ransomware.
Opciones nativas de protección contra el ransomware de Office 365
Las suscripciones de Microsoft incluyen varias funciones integradas que le permiten proteger a su inquilino y mitigar los riesgos en caso de incidente de seguridad. Gracias a las herramientas de Exchange Online Protection (EOP ) y Microsoft Defender, podrá detectar, supervisar y disuadir los ataques antes de que se infiltren y propaguen por su red.
Tenga en cuenta que las funciones de protección contra el ransomware de Microsoft tienen limitaciones y no ofrecen inmunidad completa contra las infecciones, especialmente cuando se trata de malware iniciado por el usuario, por ejemplo.
Microsoft 365 Defender
La mayoría de las herramientas de seguridad y robo de identidad que necesita se pueden encontrar en Microsoft 365 Defender y Microsoft Defender para Office 365, ya que combinan numerosas funciones de supervisión y protección. Además, puede utilizar Microsoft Defender for Identity y Microsoft Defender for Endpoint para encontrar dispositivos comprometidos que puedan ser el origen de una infracción.
A continuación se enumeran las funciones más importantes de protección contra el ransomware de Office 365 incluidas en Microsoft Defender.
- Investigación y respuesta a las amenazas
Se trata de un conjunto de funciones que ayudan a los administradores a analizar su entorno y recopilar datos sobre posibles amenazas. El flujo de trabajo de investigación y respuesta ante amenazas recopila información mediante rastreadores de amenazas de distintas fuentes, como ordenadores infectados, incidentes anteriores, actividad de los usuarios, etc. A continuación, se implementan las acciones de respuesta necesarias para abordar los riesgos en OneDrive para la Empresa, SharePoint Online, Exchange Online y Microsoft Teams.
- Protección antiphishing
Los esquemas de ingeniería social, como los ataques de phishing, son los principales vectores de ataque del ransomware. Microsoft Defender para Office 365 utiliza algoritmos avanzados y un conjunto de funciones para detectar automáticamente los ataques de suplantación de identidad y proteger los datos de Office 365.
Inteligencia de suplantación de identidad: Esta información le permite detectar y restringir automáticamente los remitentes falsos en los mensajes procedentes de dominios internos o externos. También puede permitir o bloquear manualmente remitentes identificados en la Lista de inquilinos permitidos/bloqueados.
Políticas antiphishing: Configure varios ajustes como la protección contra la suplantación de identidad, la inteligencia de buzón y los umbrales avanzados de phishing. Además, puede especificar la acción para los remitentes falsos bloqueados.
Autenticación implícita de correo electrónico: Identifique a los remitentes falsos comprobando el correo electrónico entrante mediante técnicas avanzadas como la reputación del remitente, el historial del remitente, el análisis del comportamiento, etc.
Vistas de campaña: Detecte y analice los mensajes que participan en campañas de phishing coordinadas.
Formación en simulación de ataques: Los administradores pueden crear mensajes de phishing falsos y compartirlos con los usuarios de su red para poner a prueba su preparación y llevar a cabo una formación de concienciación sobre el ransomware.
- Protección antimalware
La protección contra malware multicapa de EOP detecta automáticamente distintos tipos de malware entrante y saliente, como virus, spyware y ransomware. Para ello se utilizan las siguientes funciones:
Defensas en capas contra el malware: Varios motores de análisis antimalware protegen su organización frente a amenazas conocidas y desconocidas. Estos motores proporcionan protección contra el ransomware de Office 365 incluso durante las primeras fases de un brote.
Respuesta a amenazas en tiempo real: Su equipo de seguridad puede reunir suficiente información sobre un virus o malware para crear reglas de directivas específicas y publicarlas inmediatamente en toda la red.
Rápida instalación de definiciones antimalware: Los motores antimalware se actualizan constantemente para incluir nuevos parches y definiciones de malware.
- Acceso controlado a carpetas
Al activar la protección en tiempo real en Microsoft Defender Antivirus, puede administrar los ajustes de Acceso controlado a carpetas para proteger los archivos y datos de Office 365 de aplicaciones maliciosas y ransomware. Esta función coteja las aplicaciones con una lista de aplicaciones conocidas y permite que sólo las de confianza accedan a las carpetas protegidas. En caso de actividades maliciosas, recibes una notificación que te indica qué aplicación ha intentado realizar cambios no deseados en un documento protegido.
- Microsoft Defender para aplicaciones en la nube
El paso a la nube introduce nuevos riesgos de seguridad que podrían poner en peligro tus datos durante el almacenamiento o los desplazamientos. Microsoft Defender for Cloud Apps proporciona a los planes de Microsoft Enterprise un control avanzado, una potente visibilidad y una sólida detección de ciberamenazas en los servicios en la nube de Microsoft y de terceros.
Las principales capacidades que garantizan la protección contra el ransomware de Office 365 son:
Descubrir y controlar el uso de Shadow IT: Identificar las apps y servicios en la nube utilizados por su organización, investigar los patrones de uso y evaluar la preparación del negocio frente a múltiples riesgos.
Proteger la información sensible en la nube: Implemente políticas y procesos automatizados para controlar y salvaguardar los datos confidenciales en tiempo real en todas las aplicaciones en la nube.
Disuada las ciberamenazas y las anomalías: Detecte comportamientos inusuales, ransomware, ordenadores comprometidos y aplicaciones maliciosas. Analice los patrones de uso de alto riesgo y corrija automáticamente las amenazas.
Evalúe la conformidad de las aplicaciones en la nube: Asegúrese de que sus aplicaciones cumplen los requisitos reglamentarios y las normas del sector.
- Microsoft Defender SmartScreen
Microsoft Defender SmartScreen ofrece protección contra aplicaciones y sitios web maliciosos o de suplantación de identidad. Los archivos potencialmente maliciosos se bloquean automáticamente y se notifica al usuario. Las páginas web visitadas se analizan y cotejan con una lista de sitios maliciosos y de suplantación de identidad. Mientras que las aplicaciones descargadas o los instaladores de aplicaciones se cotejan con una lista de programas maliciosos conocidos por ser inseguros.
Protección de la información de Microsoft Purview
La protección contra el ransomware de Office 365 no consiste únicamente en prevenir los ataques. Unos procesos óptimos de gobernanza de datos también pueden reducir la amenaza de pérdida de datos por ransomware. Mediante distintas funciones de Microsoft Purview Information Protection, puede identificar, clasificar y proteger datos confidenciales, en vuelo o en reposo.
- Prevención de pérdida de datos (DLP)
La definición y aplicación de políticas de DLP impiden que los usuarios compartan indebidamente datos confidenciales con personal no autorizado y limitan el riesgo de pérdida de datos. Y lo que es más importante, DLP permite supervisar las actividades de los usuarios en elementos sensibles. Estos elementos también se pueden mover y bloquear en una ubicación de cuarentena segura para impedir que las infecciones de ransomware lleguen a ellos.
- Etiquetas de sensibilidad
Configura y aplica etiquetas de sensibilidad a los datos que consideres potencialmente rescatables, como correos electrónicos o documentos sensibles. Proteja los archivos de Office 365 marcando el contenido o cifrando los datos para asegurarse de que solo los usuarios autorizados pueden acceder a ellos.
Herramientas adicionales de protección contra el ransomware de Office 365
Microsoft proporciona más funciones que mitigan el riesgo de ransomware y limitan la pérdida de datos:
- Ajustes del correo electrónico de Exchange: Los correos electrónicos de phishing son el principal método utilizado en un ataque de ransomware. La configuración de los ajustes de correo electrónico de Exchange reduce la vulnerabilidad de su organización a un ataque basado en el correo electrónico al detener el acceso inicial a su inquilino.
- Autenticación multifactor: Habilitar la autenticación moderna en Office 365 añade una segunda capa de protección al proceso de inicio de sesión y reduce drásticamente la posibilidad de que las credenciales se vean comprometidas.
- Puntuación de seguridad de Microsoft: Esta herramienta mide continuamente la postura de seguridad de su organización y sugiere mejoras para ayudarle a proteger los datos de Office 365.
- Reglas de reducción de la superficie de ataque: Disminuye tus vulnerabilidades ante ciberataques configurando los ajustes necesarios. Bloquee las actividades sospechosas antes de que infecten toda su red.
Métodos de recuperación del ransomware de Microsoft
A veces, todas las opciones de protección fallan y usted sufre un ataque de ransomware. En este caso, debe detener inmediatamente la sincronización de OneDrive en todos los dispositivos conectados y desconectar los dispositivos infectados de la red. Si se hace a tiempo, hay muchas posibilidades de que los archivos infectados aún tengan copias sin cifrar almacenadas en otras unidades.
Control de versiones
Cuando está activado, el control de versiones permite guardar automáticamente varias versiones del mismo documento en SharePoint Online, Exchange Online y OneDrive para la Empresa. Por defecto, el número de versiones está limitado a 500, pero puede aumentarlo hasta 50.000.
Puede volver a versiones anteriores creadas antes del ataque de ransomware y restaurarlas cuando lo necesite. Ten en cuenta que el control de versiones no ofrece una protección completa contra el ransomware, ya que algunas infecciones también pueden cifrar todas las versiones de un documento.
Nota: El almacenamiento de varias versiones requiere espacio de almacenamiento adicional.
Papelera de reciclaje
En algunos casos, los ataques de ransomware eliminan el archivo original y crean una nueva versión cifrada que no puedes utilizar. La papelera de reciclaje puede utilizarse como herramienta de recuperación del ransomware de Microsoft, ya que le ayuda a restaurar los archivos eliminados en un plazo de 93 días.
Incluso después de que expire este periodo y el elemento se elimine de las dos fases de la papelera de reciclaje, dispone de un plazo de 14 días para ponerse en contacto con el servicio de compatibilidad con Microsoft y solicitar la recuperación de datos. Una vez cerrada esta ventana, los datos se borran definitivamente.
Políticas de retención de conformidad
Cree reglas que definan durante cuánto tiempo debe conservar los archivos y documentos de Office 365. Permite configurar qué datos pueden borrarse y cuándo. Puede automatizar este proceso estableciendo políticas de retención para tipos de contenido específicos.
Nota: Las directivas de retención de cumplimiento sólo están disponibles para los planes de suscripción de Microsoft 365 E5, A5 y G5.
Biblioteca Preservation Hold
Aplicando ajustes de retención, los datos sincronizados con OneDrive o SharePoint pueden almacenarse durante un periodo de tiempo determinado en la biblioteca de retención de preservación. La función de retención local garantiza que una copia permanezca inalterada y no se vea afectada por la infección de ransomware. Tras un ataque, el usuario puede acceder a la biblioteca y exportar los archivos necesarios.
Soluciones de backup de terceros
Hay diferentes métodos de recuperación de Office 365 ransomware que puede utilizar para restaurar los datos infectados. Tenga en cuenta que, al igual que las funciones de protección contra el ransomware de Microsoft, estas herramientas tienen sus limitaciones y podrían no garantizar la recuperabilidad de los datos.
Microsoft no hace backup de los datos de Office 365, pero en su lugar ofrece políticas de retención para Exchange Online, SharePoint Online y OneDrive para la Empresa. Por otro lado, las modernas soluciones de backup para SaaS proporcionan una protección de datos y una seguridad óptimas en caso de ciberviolación. Sus datos pueden almacenarse en repositorios seguros y recuperarse rápidamente tras un ataque.
Conclusión
Hoy en día, los ataques de ransomware son la amenaza más peligrosa para las organizaciones, ya que pueden afectar a cualquier tipo de datos, incluidos los documentos y archivos de Office 365. Por suerte, Microsoft proporciona herramientas integradas de protección contra el ransomware y recuperación de Office 365 que supervisan y protegen continuamente su entorno.
Sin embargo, estas herramientas nativas tienen sus limitaciones y es necesario recurrir a una solución de backup de terceros para recuperar los datos de forma segura tras una infección. Descargue NAKIVO Backup for Office 365 Free Edition para comprobar todas las herramientas y funciones avanzadas que le ayudarán a garantizar la recuperabilidad de los datos.
