Cómo protegerse contra ransomware en Microsoft Office 365

Ransomware es actualmente la mayor amenaza de ciberseguridad para las organizaciones.

Según una nueva investigación realizada por CyberEdge, entre 1200 profesionales de TI, el 62 % de las organizaciones se vieron afectadas por ransomware en 2020. De esas empresas afectadas, el 57 % pagó el rescate.

Ahora, podría pensar, «bueno, al menos recuperaron sus datos». Desafortunadamente, pagar el rescate no es una garantía de que recuperará sus datos. Un sorprendente 33% de las empresas que pagó el rescate aún perdió los datos.

SharePoint y OneDrive vienen con un par de soluciones para proteger sus archivos.

Estas soluciones vienen en forma de control de versiones y papeleras de reciclaje de primera y segunda etapa y algunos planes de Microsoft 365 tienen políticas de retención de cumplimiento.

OneDrive incluso tiene incorporado detección de ransomware y le avisará cuando se cambien muchos archivos, lo que le permitirá restaurarlos rápidamente.

protección contra ransomware onedrive

Por lo tanto, almacenar sus archivos en línea en OneDrive o SharePoint puede sentirse seguro con el control de versiones y las papeleras de reciclaje, pero sin un solución de copia de seguridad adecuada, sigue siendo vulnerable a la pérdida de datos.

Uno de los problemas es que algunos programas maliciosos son capaces de eliminar el historial de versiones (copiando los archivos y eliminando los originales), por lo que restaurar los archivos puede ser todo un desafío.

Cuando hablamos de proteger los datos en Office 365, muchas personas confían únicamente en el control de versiones de archivos y la papelera de reciclaje de primera y segunda etapa.

Estas herramientas son excelentes para la acción de restauración ocasional, pero cuando se trata de restaurar una gran cantidad de archivos, pronto se encontrará con limitaciones.

¿Alguna vez ha intentado restaurar una biblioteca de documentos completa desde la papelera de reciclaje de la primera etapa?

No puede simplemente seleccionar la carpeta y presionar restaurar. Tendrá que seleccionar todos los archivos y subcarpetas también.

Por supuesto, podemos usar PowerShell en estos casos para acelerar el proceso de restauración, pero seguirá siendo mucho trabajo y propenso a errores.

Entonces, la pregunta es, ¿cómo podemos proteger nuestros datos en Office 365 contra el ransomware? ¿Y qué opciones tenemos cuando se trata de la recuperación?

¿Cómo puede Ransomware infectar archivos en OneDrive o SharePoint?

Antes de echar un vistazo a lo que puede hacer para protegerse contra el ransomware, primero echemos un vistazo más de cerca a cómo se pueden infectar los archivos en OneDrive o SharePoint.

La mayoría de la gente asume que los archivos almacenados en línea no pueden infectarse.

Sin embargo, el problema es que casi todos los OneDrive están sincronizados con un dispositivo local e incluso con SharePoint, vemos que muchos usuarios sincronizan las bibliotecas de documentos con sus dispositivos.

Es más fácil trabajar con archivos almacenados localmente, pero también están expuestos a ataques de ransomware.

Cuando un dispositivo se infecta con ransomware, los archivos cifrados simplemente se sincronizan con OneDrive o SharePoint.

Otras formas de infectar archivos

Incluso si no sincroniza los archivos, el ransomware aún tiene formas de cifrarlos en OneDrive o SharePoint.

Los atacantes pueden obtener acceso a su entorno de Microsoft 365 después de un ataque de phishing exitoso, encriptando todos sus archivos de OneDrive.

Los enlaces de malware o phishing que solicitan permiso para acceder a su OneDrive también son una forma para que un atacante obtenga acceso a sus archivos.

Recuperación de ransomware de Office 365

Cuando recibe un ataque de ransomware, lo primero que debe hacer es detener la sincronización de OneDrive en todas las computadoras y eliminar la máquina infectada de la red.

Al deshabilitar la sincronización de OneDrive, es posible que pueda recuperar los archivos infectados de las otras máquinas (aún no) infectadas.

Versionado

En primer lugar, puede intentar restaurar sus archivos volviendo a una versión anterior del archivo.

El problema con SharePoint es que no puede hacer esto para una carpeta completa a la vez, tendrá que hacerlo por archivo.

Por supuesto, podría intentar usar PowerShell para esto. los biblioteca pnp tiene un cmdlet para revertir la versión del archivo, pero primero deberá escribir y probar un script.

Con OneDrive es un poco más fácil. Puede revertir todo su OneDrive hasta 30 días:

  1. Abierto OneDrive en el navegador y vaya a ajustes
  2. Seleccione Restaura tu OneDrive
  3. Seleccione un fecha y haga clic Restaurar
restaurar onedrive

Copias de seguridad de Microsoft

Para SharePoint, su única opción real para restaurar sus archivos después de un ataque de ransomware (si no tiene una copia de seguridad de un tercero) es ponerse en contacto con Microsoft y preguntar si pueden restaurar un sitio por usted.

Microsoft realiza una copia de seguridad diaria de sus datos y la conserva durante 14 días.

Si necesita recuperarse de un ataque de ransomware, entonces sin una solución de copia de seguridad de terceros, esta es su mejor opción.

Deberá abrir un ticket en el soporte de Microsoft para recuperar los datos; pueden pasar hasta 48 horas o, a veces, incluso más antes de que se restablezcan sus datos.

Otro inconveniente es que Microsoft solo restaura el sitio completo, por lo que no puede restaurar solo una biblioteca de documentos.

Tenga en cuenta que esas copias de seguridad no están garantizadas: Microsoft incluso recomienda usar una solución de respaldo de terceros para mantener sus datos seguros.

Restauración con políticas de retención de cumplimiento

Las políticas de retención solo están disponibles en Microsoft Office 365 E3 y planes superiores, por lo que no todos pueden usar esta función. Con las políticas de retención, se conserva una copia del archivo cuando se crea o modifica un archivo. Esto le permite encontrar y recuperar siempre el archivo original y todas las alteraciones del mismo.

La ventaja de las políticas de retención es que se conservan todos los cambios, en comparación con una solución de respaldo que solo puede tomar un par de instantáneas por día.

Entonces, en teoría, es una solución de copia de seguridad perfecta, pero hay un par de inconvenientes.

Datos retenidos por las políticas de retención cuentan para su cuota de almacenamiento.

Si conserva sus datos durante un par de años, el almacenamiento adicional que necesita comprar puede volverse muy costoso.

El otro problema es restaurar los archivos. No puede simplemente seleccionar una carpeta en el centro de cumplimiento o un sitio de SharePoint.

Deberá crear consultas de búsqueda para seleccionar y exportar los archivos correctos que necesita recuperar.

Si ha encontrado el conjunto correcto de archivos, solo puede descargar los archivos y tendrá que volver a cargarlos manualmente.

Restaurar archivos desde el centro de cumplimiento puede llevar mucho tiempo y solo debe usarse como último recurso.

Protección contra ransomware de Microsoft 365

Para proteger sus datos contra el ransomware, deberá utilizar un enfoque en capas.

Todo comienza con la educación de sus usuarios sobre cómo reconocer los correos electrónicos de phishing.

Los usuarios son los intermediarios cuando se trata de infecciones de ransomware.

La mayor parte del ransomware se propaga a través de correos electrónicos de phishing que se vinculan a documentos o sitios web maliciosos.

Informar regularmente a sus usuarios sobre cómo reconocer los correos electrónicos de phishing es realmente el primer paso.

Cuando detecto correo de phishing, siempre lo publico en Yammer, indicando cómo podrían reconocerlo.

Protección de correo electrónico

Como se mencionó, la mayoría de los ataques comienzan con correos electrónicos de phishing.

Podemos usar reglas de flujo de correo en Exchange Online para bloquear archivos adjuntos maliciosos. Simplemente cree una nueva regla y bloquee todos los mensajes con contenido ejecutable.

protección ransome de sharepoint

También me gusta bloquear archivos .zip en los buzones de correo generales (como buzones de correo de información o facturas).

Estos buzones siempre reciben una gran cantidad de correos electrónicos no deseados o de phishing, por lo que, si es posible, simplemente bloquee todos los correos electrónicos que contengan un archivo .zip.

Si desea proteger su Exchange Online aún más, entonces una buena opción es agregar Defender para Office 365.

Esto agrega protección contra enlaces maliciosos y archivos adjuntos no seguros, y proporciona una mejor protección de día cero.

Habilitar la autenticación de múltiples fábricas

Realmente no hay razón para no habilitar la autenticación multifactor. La aplicación Microsoft Authenticator hace que la aprobación de la solicitud de MFA sea realmente fácil y las contraseñas de la aplicación pueden resolver las aplicaciones heredadas.

Si se engaña a un usuario para que abra un correo electrónico de phishing, la MFA seguirá protegiendo la cuenta del acceso no autorizado.

Incluso con la capacitación regular de los usuarios, algunos usuarios seguirán ingresando sus credenciales en un sitio web de phishing. Entonces, MFA es realmente imprescindible.

Protección del dispositivo

El siguiente paso es proteger los dispositivos. Además de los puntos obvios como mantener tu antivirus actualizado, también es una buena idea implementar una política de grupo con restricciones de software.

Puede, por ejemplo, bloquear archivos ejecutables en el %appdata%, %localappdata%y carpetas temporales.

Los archivos que se descargan automáticamente se almacenan el 90% del tiempo en una de esas carpetas. Bloquearlos de forma predeterminada puede evitar que el malware se active.

copias de seguridad

Incluso con todas las funciones de seguridad que puede agregar a Office 365, como Advanced Threat Protection (ATP), Defender para Office 365 e Intune Device Management, aún puede infectarse con ransomware. Y todas estas herramientas tienen un costo, mientras que el eslabón más débil de su seguridad sigue siendo sus usuarios.

Tener una solución de respaldo de terceros le permite recuperar los datos rápidamente, minimizando el tiempo de inactividad y el riesgo de pérdida de datos.

Las modernas soluciones de copia de seguridad de Microsoft 365 son capaces de realizar copias de seguridad no solo de SharePoint y OneDrive, sino también de Teams, OneNote y flujos de trabajo.

No solo lo protegen contra el ransomware, sino también contra los errores de los usuarios, como la eliminación accidental de todo un equipo.

Y ten en cuenta que hasta Microsoft lo recomienda:

Acuerdo de servicios de Microsoft, capítulo 6, párrafo b

Le recomendamos que haga una copia de seguridad periódica de su contenido y datos que almacene en los Servicios o que almacene utilizando aplicaciones y servicios de terceros.

Además de Microsoft 365, las soluciones de respaldo modernas también son compatibles con Google Workspace, puede consultar Google Partner documentación si quieres aprender más.

Protección contra ransomware de OneDrive

OneDrive está protegido por Microsoft contra ransomware con detección de ransomware integrada.

Microsoft monitorea activamente sus datos de OneDrive y lo alerta cuando sospecha una infección de ransomware.

Puede revertir su OneDrive hasta 30 días, pero tenga en cuenta que esto se basa en el control de versiones del archivo.

Algunos ransomware son capaces de copiar el archivo, cifrarlo y eliminar el original, incluidas todas las versiones.

Es posible que luego pueda recuperarlo de la papelera de reciclaje, pero eso no está garantizado.

Si realmente desea mantener sus datos seguros, las copias de seguridad de terceros para OneDrive son su mejor opción.

Terminando

Espero que esta información le haya resultado útil para proteger sus datos de Microsoft 365 contra el ransomware.

Usar un enfoque en capas siempre es lo mejor cuando se trata de proteger sus datos.

Asegúrese de capacitar e informar regularmente a sus usuarios sobre el reconocimiento del correo de phishing.

Si tiene alguna pregunta, ¡no dude en dejar un comentario a continuación!

Otros artículos relacionados

Cómo habilitar la autenticación moderna en Office 365

Cómo habilitar la autenticación moderna en Office 365

La autenticación moderna en Office 365 es una combinación de métodos de autenticación y autorización. Es más seguro que el ...
Leer Más
Microsoft 365 Business Premium frente a Enterprise E3

Microsoft 365 Business Premium frente a Enterprise E3

¿Vale la pena el dinero extra de Microsoft 365 Enterprise E3 o puede conformarse con Microsoft 365 Business Premium? Con ...
Leer Más
Office 365 frente a Office 2019

Office 365 frente a Office 2019

Si planea actualizar su Office o es nuevo en Office, es posible que haya notado que hay dos versiones disponibles, ...
Leer Más
Office 365 E1 frente a E3

Office 365 E1 frente a E3

¿Cuáles son las diferencias entre Office 365 E1 y E3? A continuación, encontrará las principales diferencias para ayudarlo a elegir ...
Leer Más
Comparación de los planes Office 365 F1 vs E1 — RipAdmin

Comparación de los planes Office 365 F1 vs E1 — RipAdmin

Microsoft reemplazó la versión de quiosco de Office 365 para los trabajadores de primera línea de Office 365. Con esta ...
Leer Más
Cómo configurar la retransmisión SMTP en Office 365

Cómo configurar la retransmisión SMTP en Office 365

Enviar correos electrónicos desde un escáner o una aplicación web siempre puede ser un desafío. No desea utilizar un buzón ...
Leer Más

Deja un comentario