La protección contra ransomware de Office 365 se está convirtiendo en una de las principales preocupaciones de las organizaciones de todo el mundo. La rápida transición al trabajo remoto y el uso cada vez mayor de los servicios en la nube han brindado a los ciberdelincuentes mayores oportunidades para expandir sus actividades en plataformas basadas en la nube, incluido Microsoft Office 365, una de las suites ofimáticas líderes en el mundo.
Este artículo analiza cómo el ransomware infecta los datos de Microsoft Office 365 y qué herramientas de protección puede usar para proteger sus datos.
Cómo Ransomware infecta los entornos de Office 365
El ransomware es un tipo de malware que encripta su computadora o entorno de TI hasta que paga un rescate. En 2020, el 84 % de las organizaciones encuestadas en todo el mundo fueron víctimas de ransomware o creían que su negocio pronto sufriría un ataque.
Ahora se ha determinado que el ransomware puede infectar los datos de Office 365 basados en la nube, ya sea mediante la sincronización del dispositivo o el acceso directo a la nube. Cuando se infecta un dispositivo local, los archivos dañados se sincronizan con OneDrive y SharePoint a través de la herramienta de sincronización del cliente.
En cuanto al acceso directo, el ransomware no puede ingresar sin su permiso. Aquí hay tres formas en que los delincuentes pueden engañarlo para que les dé acceso a su entorno de Office 365:
- El robo de identidad. En 2020, el 54% de los ataques de ransomware fueron causados por correos electrónicos de phishing con documentos maliciosos adjuntos o enlaces a sitios web maliciosos. Además, Microsoft encabeza la lista de las marcas más imitadas por ataques de phishing. En el segundo trimestre de 2021, el 45 % de todos los intentos de robo de identidad de marca disfrazados de Microsoft para robar credenciales de usuario, información personal e información de pago.
- Aplicaciones infectadas. Aunque Microsoft escanea constantemente AppSource en busca de malware, aún existe el riesgo de instalar una aplicación que infecte su entorno. Los delincuentes pueden aprovechar las vulnerabilidades de las aplicaciones existentes o crear nuevas aplicaciones que se vean y funcionen normalmente.
- Amenazas internas. Tus empleados pueden colaborar con delincuentes ajenos a la empresa y otorgarles los permisos de acceso necesarios o incluso instalar malware. Alternativamente, su empleado puede decidir hacerse rico de la noche a la mañana y comprar un kit de ransomware en la dark web.
A medida que los delincuentes se vuelven más astutos, identificar los intentos de ransomware puede ser una tarea difícil. Por ejemplo, un correo electrónico de phishing puede venir en forma de una solicitud de permiso que parece ser de Microsoft, pero cifrará su buzón de correo de Exchange Online cuando haga clic en el botón “Aceptar”.
Para garantizar la seguridad de su entorno en la nube, necesita una estrategia integral de protección contra ransomware para Office 365. Esta estrategia debe incluir técnicas de detección de ransomware, así como herramientas confiables de recuperación y protección de datos. Exploremos cada componente en detalle.
Conciencia de ransomware
Dado que los correos electrónicos de phishing siguen siendo la fuente más común de ransomware, la vulnerabilidad de su organización depende principalmente de la conciencia de los empleados sobre el ransomware. Los empleados deben comprender las amenazas de ransomware y saber cómo minimizarlas. Aquí hay unos ejemplos:
- Los empleados deben saber cómo configurar contraseñas seguras y actualizarlas periódicamente.
- Los empleados deben saber cómo reconocer correos electrónicos sospechosos y tener cuidado con los archivos adjuntos y enlaces.
- Al navegar por la web, los empleados deben prestar atención a la URL de la página y al símbolo del candado.
La concienciación sobre el ransomware no debe limitarse a la formación de los empleados. El modelo de responsabilidad compartida de Microsoft establece que la protección de datos, la recuperación y la administración de acceso son responsabilidad del usuario. Esto significa que debe conocer los posibles riesgos y vulnerabilidades de su entorno de Office 365.
Garantice actualizaciones periódicas de su sistema y dispositivo. Por lo general, las actualizaciones y los parches corrigen errores y problemas de seguridad, lo que mejora la resistencia de su sistema a los ataques de ransomware. Además, puede mejorar la protección nativa contra ransomware de Microsoft con un software antivirus que analizará regularmente su entorno en busca de posibles amenazas.
Protección original contra ransomware de Microsoft
Microsoft ofrece una serie de herramientas de protección de datos, que incluyen Exchange Online Protection (EOP), Microsoft Defender y la protección contra ransomware OneDrive para Office 365. Echemos un vistazo más de cerca a cada una.
Protección en línea de Exchange (EOP)
Exchange Online Protection (EOP) está habilitado de forma predeterminada. La herramienta le permite filtrar el correo electrónico entrante según la reputación del remitente, el dominio y la dirección IP, las palabras clave y los algoritmos de análisis de Microsoft. Puede configurar políticas y reglas de filtrado, crear listas de remitentes bloqueados, seleccionar tipos de archivos adjuntos no deseados y rechazar correos electrónicos escritos en otros idiomas.
Además, EOP filtra el correo electrónico saliente en busca de spam. Esto protege a la comunidad de Office 365 de los spammers y evita el uso de cuentas comprometidas para ataques de spam.
defensor de Microsoft
Microsoft Defender (también conocido como Advanced Threat Protection) permite a los usuarios detectar y corregir malware y correos electrónicos de phishing. La función solo está disponible en el paquete Office 365 E5.
A diferencia de los programas antivirus comunes que solo pueden identificar amenazas agregadas a la base de datos antivirus, Defender puede proteger contra nuevas muestras de ransomware desconocidas. La herramienta monitorea el comportamiento sospechoso y puede filtrar el correo electrónico entrante en busca de malware e intentos de phishing.
Microsoft Defender protege a los usuarios de dos técnicas comunes de phishing:
- Suplantación de correo electrónico o dominio. Una dirección falsificada se parece a la dirección real del remitente, pero no son lo mismo. Por ejemplo, [email protected] en cambio [email protected] o [email protected] en cambio [email protected]
- Suplantación de identidad por correo electrónico. Los delincuentes utilizan la suplantación de identidad para alterar los encabezados de los correos electrónicos de modo que se presente una dirección falsa al destinatario. Por ejemplo, [email protected] se mostrará como [email protected]
Defender también permite que la inteligencia del buzón construya una base de datos en torno a la rutina de comunicación del usuario para rastrear a los remitentes nuevos y sospechosos.
Protección OneDrive Ransomware
Microsoft supervisa sus datos de OneDrive en tiempo real en busca de ransomware y le notifica sobre archivos sospechosos. En caso de un intento de ransomware, tiene 30 días para restaurar sus archivos a una versión anterior no infectada.
Por otro lado, el ransomware puede eliminar el historial de versiones junto con el archivo original. Todavía existe la posibilidad de recuperar el archivo original de la papelera de reciclaje, pero la posibilidad no es algo en lo que pueda confiar. La mejor opción, en este caso, es tener copias de seguridad de terceros que permitan la recuperación de un punto en el tiempo y le permitan volver a un punto en el tiempo antes de que ocurriera el ataque.
Lea aquí cómo una solución de respaldo confiable puede llevar su protección contra ransomware de Office 365 a nuevas alturas.
Otras herramientas de protección
Microsoft le permite limitar los permisos y el acceso no autorizado con control de acceso basado en roles y autenticación de múltiples factores. De hecho, la autenticación multifactor puede evitar un intento de ransomware incluso si un usuario abre un correo electrónico o enlace de phishing, así que asegúrese de que esta característica esté habilitada.
Otra característica útil que debe habilitar es la auditoría. Microsoft supervisa los eventos y registra las actividades de los usuarios y administradores en los servicios de Office 365 en un registro de auditoría. La auditoría se diseñó originalmente con fines de cumplimiento, pero puede usarla para monitorear actividades sospechosas y monitorear el acceso, los permisos, las descargas, los cambios de contraseña y más.
A medida que los ataques se vuelven más sofisticados, es posible que las herramientas de Microsoft no sean suficientes para brindar protección de Office 365 contra el ransomware. En este caso, las soluciones de recuperación son útiles.
Soluciones de recuperación de ransomware de Office 365
La protección eficaz contra el ransomware de Office 365 debe incluir herramientas de recuperación de datos para garantizar la continuidad del negocio cuando el ransomware llega a su entorno. Puede usar herramientas de recuperación nativas de Microsoft (versión, políticas de retención y papeleras de reciclaje) junto con soluciones de copia de seguridad de terceros. Veamos cada uno de ellos.
Versionado
SharePoint le permite guardar hasta 50 000 versiones de bibliotecas de documentos y páginas y listas de SharePoint. Sin embargo, la herramienta está limitada para archivos de datos de aplicaciones avanzadas (puede habilitar el control de versiones para algunas aplicaciones, pero no para todas) y no está disponible para metadatos de sitios y subsitios. La protección de OneDrive y la recuperación de ransomware también dependen de la versión.
Tenga en cuenta que el control de versiones implica instantáneas completas (no incrementos) que ocupan mucho espacio de almacenamiento, y 1000 versiones aumentarán su uso de almacenamiento en 1000x. Esto hace que el control de versiones sea una solución costosa, ya que tendrá que pagar por almacenamiento adicional. A veces, los administradores desactivan el historial de versiones para ahorrar en el almacenamiento. Si esto sucede, la versión, y con ella la recuperación de la versión, deja de estar disponible.
Políticas de retención
Las directivas de retención están disponibles en Office 365 E3 y paquetes superiores. Le permiten conservar copias de los datos durante un período de tiempo determinado. Sin embargo, a diferencia de las copias de seguridad de terceros, las políticas de retención de Microsoft se basan en versiones que los usuarios no pueden programar. Esto puede conducir a la pérdida de datos.
Además, cualquier archivo retenido puede descargarse pero no restaurarse a su ubicación original. Entonces, si necesita restaurar muchos archivos a la vez, puede llevar mucho tiempo y esfuerzo.
Papelera de reciclaje
El basurero proporciona una retención estándar después de limpiarlo. Cuando un usuario elimina un archivo, se puede restaurar en un plazo de 93 días. Tenga en cuenta que las papeleras de reciclaje también se basan en el control de versiones, por lo que si el historial de versiones está desactivado, la recuperación se vuelve imposible.
Después de 93 días, aún puede recuperar archivos de las copias de seguridad diarias de Microsoft SharePoint Online durante los próximos 14 días. Si los archivos de OneDrive para la Empresa se almacenan en una colección de sitios de SharePoint, también puede restaurarlos. Para ello, debe ponerse en contacto con el soporte de Microsoft y solicitar una recuperación completa del sitio. Tenga en cuenta que, en algunos casos, la aprobación de su solicitud puede demorar varios días. Tampoco podrá recuperar versiones específicas o elementos individuales.
Después de 107 días, sus datos se eliminan de forma permanente y no se pueden recuperar a menos que tenga una copia de seguridad de un tercero.
Soluciones de copia de seguridad de terceros
Las herramientas de recuperación originales de Microsoft tienen limitaciones, incluido el tiempo de retención limitado y la ausencia de recuperación en un punto en el tiempo. El proceso de configuración y recuperación de la retención puede ser complicado y llevar mucho tiempo. Además, los archivos retenidos pueden ocupar mucho espacio de almacenamiento y aumentar el costo total de los servicios de Office 365.
La adopción de una solución de respaldo segura de terceros puede mejorar sus objetivos de tiempo de recuperación y reducir los daños causados por ransomware o errores humanos. Incluso Microsoft recomienda una solución de respaldo para mantener sus datos seguros.
Las soluciones de copia de seguridad actuales se basan en copias de seguridad incrementales que almacenan solo bloques de datos modificados y le permiten ahorrar espacio de almacenamiento. Las herramientas de automatización, la programación y los esquemas de rotación flexibles evitan la pérdida de datos y garantizan la continuidad del negocio. Finalmente, las soluciones de terceros le permiten almacenar copias de seguridad fuera de línea, lo que mejora su resistencia a los ataques de ransomware.
Para terminar
Las empresas pueden ser víctimas del ransomware incluso si sus datos están almacenados en la nube. Microsoft Office 365 cuenta con amplias herramientas para evitar el acceso no autorizado, el phishing y el malware. Sin embargo, a medida que los delitos cibernéticos se vuelven más sofisticados, necesita un enfoque más complejo para la protección contra el ransomware de Office 365.
Para reducir la pérdida de datos y mejorar su resiliencia frente a los ataques de ransomware, su estrategia de protección de datos debe consistir en capacitación de concientización sobre ransomware, uso de las soluciones de protección nativas de Microsoft y copias de seguridad de terceros.
Categories: How to
Source: HIS Education