Prepararse para un ataque por ransomware

En este artículo se proporcionan instrucciones específicas de Azure para preparar su organización para defenderse frente a ataques ransomware y recuperarse de ellos.

Sugerencia

Este artículo se centra en la preparación específica de Azure. Para obtener instrucciones completas, consulte Protección de su organización contra ransomware y extorsión.

Adopción de un marco de ciberseguridad

Un buen punto de partida es usar el punto de referencia de seguridad en la nube de Microsoft (MSCB) para proteger el entorno de Azure. El punto de referencia de seguridad en la nube de Microsoft es el marco de control de la seguridad de Azure creado a partir de los marcos de control de seguridad del sector, como SP800-53 de NIST o CIS Controls v7.1.

Recorte de pantalla del control de seguridad NS-1: Establecer límites de segmentación de red

El punto de referencia de seguridad en la nube de Microsoft proporciona a las organizaciones instrucciones para configurar Azure y los servicios de Azure, así como para implementar los controles de seguridad. Las organizaciones pueden usar Microsoft Defender para la nube para supervisar el estado de su entorno de Azure en directo con todos los controles de MCSB.

En última instancia, el marco está destinado a reducir y administrar mejor los riesgos de ciberseguridad.

Punto de referencia de seguridad en la nube de Microsoft
Seguridad de red (NS)
Administración de identidades (IM)
Acceso con privilegios (PA)
Protección de datos (DP)
Administración de recursos (AM)
Registro y detección de amenazas (LT)
Respuesta a los incidentes (IR)
Administración de posiciones y vulnerabilidades (PV)
Seguridad del punto de conexión (ES)
Copia de seguridad y recuperación (BR)
Seguridad de DevOps (DS)
Gobernanza y estrategia (GS)

Controles técnicos de Azure para la protección contra ransomware

Azure proporciona una amplia variedad de controles técnicos nativos para proteger, detectar y responder a incidentes de ransomware con énfasis en la prevención. Las organizaciones que ejecutan cargas de trabajo en Azure deben aprovechar estas funcionalidades nativas de Azure:

Herramientas de detección y prevención para Azure

  • Microsoft Defender para la nube : administración unificada de seguridad que proporciona protección contra amenazas para cargas de trabajo de Azure, incluidas máquinas virtuales, contenedores, bases de datos y almacenamiento
  • Azure Firewall Premium : firewall de última generación con funcionalidades de IDPS para detectar y bloquear las comunicaciones de C&C de ransomware
  • Microsoft Sentinel : plataforma SIEM/SOAR nativa de la nube con análisis de detección de ransomware integrados y respuesta automatizada
  • Azure Network Watcher : supervisión de red y diagnósticos para detectar patrones de tráfico anómalos
  • Microsoft Defender para punto de conexión : para máquinas virtuales de Azure que ejecutan Windows o Linux

Protección de datos para recursos de Azure

  • Azure Backup con inmutabilidad y borrado suave para máquinas virtuales de Azure, bases de datos SQL y comparticiones de archivos
  • Blobs inmutables de Azure Storage : almacenamiento WORM (Escribir una vez, leer muchos) que no se puede modificar o eliminar
  • Control de acceso basado en rol (RBAC) de Azure : principio de privilegios mínimos para el acceso a recursos de Azure
  • Azure Policy : aplicación de directivas de copia de seguridad y configuraciones de seguridad en suscripciones de Azure
  • Comprobación periódica de la copia de seguridad mediante Azure Site Recovery para pruebas de recuperación ante desastres

Para obtener instrucciones completas sobre el control de incidentes, consulte Preparar el plan de recuperación de ransomware.

Funcionalidades de copia de seguridad y recuperación de Azure

Asegúrese de que tiene los procesos y procedimientos adecuados en vigor para las cargas de trabajo de Azure. Casi todos los incidentes de ransomware tienen como resultado la necesidad de restaurar sistemas en peligro. Los procesos de copia de seguridad y restauración adecuados y probados deben estar en vigor para los recursos de Azure, junto con estrategias de contención adecuadas para impedir que el ransomware se propague.

La plataforma Azure proporciona varias opciones de copia de seguridad y recuperación a través de Azure Backup y funcionalidades integradas dentro de varios servicios de datos y cargas de trabajo de Azure:

Copias de seguridad aisladas con Azure Backup

Azure Backup proporciona copias de seguridad inmutables y aisladas con eliminación reversible y protección con autenticación multifactor (MFA) para:

  • Azure Virtual Machines
  • Bases de datos en máquinas virtuales de Azure: SQL, SAP HANA
  • Base de Datos de Azure para PostgreSQL
  • Servidores de Windows locales (copia de seguridad en la nube mediante el agente de MARS)

Copias de seguridad operativas

  • Azure Files : uso compartido de instantáneas con restauración a un momento dado
  • Blobs de Azure : eliminación temporal, control de versiones e almacenamiento inmutable
  • Azure Disks : instantáneas incrementales

Copias de seguridad integradas de los servicios de datos de Azure

Los servicios de datos como Azure SQL Database, Azure Database for MySQL/MariaDB/PostgreSQL, Azure Cosmos DB y Azure NetApp Files ofrecen funcionalidades de copia de seguridad integradas con programaciones automatizadas.

Para obtener instrucciones detalladas, consulte Plan de copia de seguridad y restauración para proteger contra ransomware.

Pasos siguientes

Para obtener instrucciones completas de protección contra ransomware en todas las plataformas y servicios de Microsoft, consulte Protección de su organización contra ransomware y extorsión.

Otros artículos de ransomware de Azure:

  • Last updated on