La protección contra el ransomware de Office 365 se está convirtiendo en la principal preocupación de las organizaciones de todo el mundo. El rápido cambio hacia el trabajo remoto y el uso cada vez mayor de los servicios en la nube han brindado a los ciberdelincuentes mayores oportunidades para expandir sus actividades en plataformas basadas en la nube, incluido Microsoft Office 365, una de las suites ofimáticas líderes en el mundo.
Este artículo cubrirá cómo el ransomware infecta los datos de Microsoft Office 365 y qué herramientas de protección puede usar para mantener sus datos seguros.
Cómo el ransomware infecta los entornos de Office 365
El ransomware es un tipo de malware que encripta su computadora o entorno de TI hasta que paga un rescate. En 2020, el 84 % de las organizaciones encuestadas en todo el mundo fueron víctimas de ransomware o creían que su negocio sufriría un ataque pronto.
Ahora se ha establecido que el ransomware puede infectar los datos de Office 365 basados en la nube, ya sea mediante la sincronización de dispositivos o el acceso directo a la nube. Cuando un dispositivo local se infecta, los archivos dañados se sincronizan con OneDrive y SharePoint a través de la herramienta de sincronización del cliente.
En cuanto al acceso directo, el ransomware no puede ingresar sin su permiso. Aquí hay tres formas en que los delincuentes pueden engañarlo para que les permita acceder a su entorno de Office 365:
- Suplantación de identidad. En 2020, el 54% de los ataques de ransomware fueron causados por correos electrónicos de phishing con documentos maliciosos adjuntos o enlaces a sitios web maliciosos. Además, Microsoft encabeza la lista de las marcas más imitadas en ataques de phishing. En el segundo trimestre de 2021, el 45 % de todos los intentos de phishing de marca se hicieron pasar por Microsoft para robar credenciales de usuario, información personal y de pago.
- Aplicaciones infectadas. Aunque Microsoft escanea constantemente AppSource en busca de malware, aún existe el riesgo de instalar una aplicación que infecte su entorno. Los delincuentes pueden utilizar las vulnerabilidades de las aplicaciones existentes o crear nuevas aplicaciones que se vean y funcionen como las normales.
- Amenazas internas. Sus empleados pueden colaborar con delincuentes externos a la empresa y otorgarles los permisos de acceso necesarios o incluso instalar malware. Alternativamente, su empleado puede decidir hacerse rico de la noche a la mañana y comprar un kit de ransomware en la dark web.
A medida que los delincuentes se vuelven más astutos, identificar un intento de ransomware puede ser una tarea difícil. Por ejemplo, un correo electrónico de phishing puede venir en forma de una solicitud de permiso que aparentemente proviene de Microsoft, pero cifrará su buzón de correo de Exchange Online una vez que presione el botón “Aceptar”.
Para garantizar la seguridad de su entorno en la nube, necesita una estrategia integral de protección contra ransomware de Office 365. Esta estrategia debe incluir técnicas para aumentar el conocimiento del ransomware, así como herramientas confiables para la protección y recuperación de datos. Exploremos cada componente en detalle.
Conciencia de ransomware
Dado que los correos electrónicos de phishing siguen siendo la fuente más común de ransomware, la vulnerabilidad de su organización depende ante todo de la conciencia de ransomware de los empleados. Los empleados deben comprender las amenazas de ransomware y saber cómo minimizarlas. Aquí están algunos ejemplos:
- Los empleados deben saber cómo configurar contraseñas seguras y actualizarlas regularmente.
- Los empleados deben poder reconocer correos electrónicos sospechosos y tener cuidado con los archivos adjuntos y los enlaces.
- Al navegar por la web, los empleados deben prestar atención a la URL de la página y al símbolo del candado.
La concienciación sobre el ransomware no debe limitarse únicamente a la formación de los empleados. El modelo de responsabilidad compartida de Microsoft establece que la protección de datos, la recuperación y la administración de acceso son responsabilidad del usuario. Esto significa que debe conocer los posibles riesgos y vulnerabilidades de su entorno de Office 365.
Garantice actualizaciones periódicas de su sistema y dispositivos. Por lo general, las actualizaciones y los parches corrigen errores y problemas de seguridad, lo que mejora la resistencia de su sistema a los ataques de ransomware. Además, puede mejorar la protección nativa contra ransomware de Microsoft con un software antivirus que analizará regularmente su entorno en busca de posibles amenazas.
Protección nativa contra ransomware de Microsoft
Microsoft proporciona una variedad de herramientas de protección de datos, que incluyen Exchange Online Protection (EOP), Microsoft Defender y OneDrive ransomware para Office 365. Echemos un vistazo más de cerca a cada uno de ellos.
Protección en línea de Exchange (EOP)
Exchange Online Protection (EOP) está habilitado de forma predeterminada. La herramienta le permite filtrar los correos electrónicos entrantes según la reputación del remitente, el dominio y las direcciones IP, las palabras clave y los algoritmos de análisis de Microsoft. Puede configurar políticas y reglas de filtrado, crear listas de bloqueo de remitentes, elegir tipos de archivos adjuntos no deseados y rechazar correos electrónicos escritos en otros idiomas.
Además, EOP filtra los correos electrónicos salientes en busca de spam. Esto protege a la comunidad de Office 365 de los spammers y evita el uso de cuentas corruptas para ataques de spam.
defensor de Microsoft
Microsoft Defender (también conocido como Advanced Threat Protection) permite a los usuarios detectar y corregir malware y correos electrónicos de phishing. La función solo está disponible en el plan Office 365 E5.
A diferencia de los antivirus comunes que solo pueden identificar las amenazas agregadas a la base de datos antivirus, Defender puede proteger contra nuevos patrones de ransomware desconocidos. La herramienta monitorea el comportamiento sospechoso y puede filtrar los correos electrónicos entrantes en busca de malware e intentos de phishing.
Microsoft Defender protege a los usuarios de dos técnicas comunes de phishing:
- Suplantación de correo electrónico o dominio. Una dirección suplantada se parece a la dirección de un remitente real, pero no son iguales. Por ejemplo, [email protected] en lugar de [email protected] o [email protected] en lugar de [email protected]
- Suplantación de identidad por correo electrónico. Los delincuentes utilizan la suplantación de identidad para modificar los encabezados de los correos electrónicos de modo que se muestre una dirección falsa al receptor. Por ejemplo, [email protected] se mostrará como [email protected]
El defensor también permite que la inteligencia del buzón construya una base de datos en torno a la rutina de comunicación del usuario para realizar un seguimiento de los remitentes nuevos y sospechosos.
Protección contra ransomware de OneDrive
Microsoft supervisa sus datos de OneDrive en busca de ransomware en tiempo real y le notifica sobre archivos sospechosos. En caso de un intento de ransomware, tiene 30 días para revertir sus archivos a una versión anterior no infectada.
El inconveniente es que el ransomware puede eliminar el historial de versiones junto con el archivo original. Todavía existe la posibilidad de restaurar el archivo original de la papelera de reciclaje, pero la posibilidad no es algo en lo que pueda confiar únicamente. La mejor opción, en este caso, es tener copias de seguridad de terceros que permitan la recuperación de un punto en el tiempo y le permitan volver al punto en el tiempo antes de que ocurriera el ataque.
Lea aquí cómo una solución de respaldo confiable puede llevar su protección contra ransomware de Office 365 a nuevas alturas.
Otras herramientas de protección
Microsoft le permite limitar los permisos y el acceso no autorizado con control de acceso basado en funciones y autenticación multifactor. De hecho, la autenticación multifactor puede evitar un intento de ransomware incluso si el usuario abre un correo electrónico o enlace de phishing, así que asegúrese de que esta función esté habilitada.
Otra característica útil que debe habilitar es la auditoría. Microsoft realiza un seguimiento de los eventos y registra las actividades de los usuarios y administradores en los servicios de Office 365 en el registro de auditoría. La auditoría se diseñó originalmente con fines de cumplimiento, pero puede usarla para monitorear actividades sospechosas y realizar un seguimiento de los accesos, permisos, descargas, cambios de contraseña y más.
A medida que los ataques se vuelven más sofisticados, es posible que las herramientas de Microsoft no sean suficientes para garantizar la protección contra el ransomware de Office 365. En este caso, las soluciones de recuperación son útiles.
Soluciones de recuperación de ransomware de Office 365
La protección eficaz de Office 365 contra el ransomware debe incluir herramientas para la recuperación de datos a fin de garantizar la continuidad del negocio cuando el ransomware llega a su entorno. Puede utilizar las herramientas de recuperación nativas de Microsoft (control de versiones, políticas de retención y papeleras de reciclaje) junto con soluciones de copia de seguridad de terceros. Echemos un vistazo a cada uno de ellos.
Versionado
SharePoint le permite guardar hasta 50 000 versiones de bibliotecas de documentos y páginas y listas de SharePoint. Sin embargo, la herramienta está limitada para archivos de datos de aplicaciones avanzadas (puede habilitar el control de versiones para algunas aplicaciones, pero no para todas) y no está disponible para sitios y metadatos de subsitios. La protección y recuperación de OneDrive ransomware también se basan en el control de versiones.
Tenga en cuenta que el control de versiones implica instantáneas completas (no incrementos) que consumen una gran cantidad de espacio de almacenamiento, y 1000 versiones aumentarán su uso de almacenamiento en 1000 veces. Esto hace que el control de versiones sea una solución costosa, ya que deberá pagar por almacenamiento adicional. A veces, los administradores desactivan el historial de versiones para ahorrar en el almacenamiento. Si esto sucede, el control de versiones y, junto con él, la recuperación de la versión no estarán disponibles.
Políticas de retención
Las políticas de retención están disponibles en Office 365 E3 y planes superiores. Le permiten conservar copias de datos durante un tiempo específico. Sin embargo, a diferencia de las copias de seguridad de terceros, las políticas de retención de Microsoft se basan en versiones que los usuarios no pueden programar. Esto puede provocar la pérdida de datos.
Además, todos los archivos retenidos pueden descargarse pero no restaurarse a la ubicación inicial. Entonces, si necesita restaurar muchos archivos a la vez, puede llevar mucho tiempo y esfuerzo.
Recipientes de reciclaje
Las papeleras de reciclaje proporcionan la retención estándar posterior a la eliminación. Cuando un usuario elimina un archivo, se puede recuperar en 93 días. Tenga en cuenta que las papeleras de reciclaje también se basan en el control de versiones, por lo que si el historial de versiones está desactivado, la recuperación se vuelve imposible.
Después de 93 días, aún puede recuperar los archivos de las copias de seguridad diarias de Microsoft SharePoint Online durante los próximos 14 días. Si los archivos de OneDrive para la Empresa se almacenan en una colección de sitios de SharePoint, también puede restaurarlos. Para ello, debe ponerse en contacto con el soporte de Microsoft y solicitar la recuperación completa del sitio. Tenga en cuenta que, en algunos casos, la aprobación de su solicitud puede demorar varios días. Tampoco podrá recuperar versiones específicas o elementos separados.
Después de 107 días, sus datos se eliminan de forma permanente y no se pueden restaurar a menos que tenga una copia de seguridad de un tercero.
Soluciones de copia de seguridad de terceros
Las herramientas de recuperación nativas de Microsoft tienen limitaciones, incluido el tiempo de retención limitado y la ausencia de recuperación en un momento dado. El proceso de configuración y recuperación de la retención puede ser complicado y prolongado. Además, los archivos retenidos pueden consumir mucho espacio de almacenamiento y aumentar el costo total de los servicios de Office 365.
La adopción de una solución de respaldo segura de terceros puede mejorar sus objetivos de tiempo de recuperación y reducir el daño causado por ransomware o errores humanos. Incluso Microsoft recomienda tener una solución de respaldo para mantener sus datos seguros.
Las soluciones de copia de seguridad actuales se basan en copias de seguridad incrementales que almacenan solo bloques de datos modificados y le permiten ahorrar espacio de almacenamiento. Las herramientas de automatización, la programación y los esquemas de rotación flexibles evitan la pérdida de datos y garantizan la continuidad de su negocio. Finalmente, las soluciones de terceros le permiten almacenar copias de seguridad fuera de línea y, por lo tanto, mejorar su resistencia a los ataques de ransomware.
Terminando
Las empresas pueden ser víctimas del ransomware incluso si sus datos están almacenados en la nube. Microsoft Office 365 tiene herramientas integrales para evitar el acceso no autorizado, el phishing y el malware. Sin embargo, a medida que los delitos cibernéticos se vuelven más sofisticados, necesita un enfoque más complejo para la protección de Office 365 contra el ransomware.
Para minimizar la pérdida de datos y mejorar su resiliencia frente a los ataques de ransomware, su estrategia de protección de datos debe consistir en capacitación de concientización sobre ransomware, el uso de soluciones de protección nativas de Microsoft y copias de seguridad de terceros.
Categories: How to
Source: vtt.edu.vn