En esta tercera y última entrega sobre Seguridad en Office 365, abordaremos las contramedidas que deben aplicarse en las dos últimas fases del protocolo que hemos de seguir para protegernos de posibles ataques de ransomware. Podéis consultar aquí las fases previas.
1. Fase 3: Reporte
En caso de que el ransomware hubiera atravesado todas las barreras defensivas y llegado a la bandeja de entrada del usuario final, o que una máquina presentara síntomas de haber sido infectada, deberíamos reportar dicho incidente mediante los mecanismos que tenemos a nuestro alcance para que le constase al equipo de seguridad de Microsoft.
Tenemos dos opciones recomendables para hacerle llegar esta información al equipo de seguridad de Microsoft:
- Desde el portal de Microsoft Malware Protection Center (MMPC), actualmente conocido como Windows Defender Security Intelligence (WDSI)
- Desde el cliente de correo Outlook, OWA o desde la propia cuarentena, reportándolo como spam
En ambos casos necesitaremos disponer de los correos en formato MSG o EML para poder reportarle el incidente al equipo de seguridad anti-malware de forma inmediata a través de su portal Windows Defender Security Intelligence (WDSI).
Una vez en el portal, tendremos que identificarnos con nuestro usuario Enterprise para poder mandarles desde el portal las muestras de las que dispongamos, tal y como ilustran las siguientes imágenes:
Seguiremos con los pasos que se nos indique hasta completar el proceso (al final se nos dará un número de seguimiento):
Tras el análisis, no sólo obtendremos información adicional sobre el tipo de ataque, sino que el equipo de seguridad trabajará en ponerle una solución lo antes posible.
Asimismo, podéis acceder aquí a una página de terceros -ID Ransomware- donde se evalúa la firma del patrón que deja el ransomware en el archivo de muestra (siempre y cuando conste en su base de datos) y que, por tanto, también puede ayudarnos a detectar este tipo de amenazas.
2. Fase 4: Educación
Educar al usuario final es sin duda un paso clave en la prevención e implantación de la seguridad en una compañía. Los usuarios han de ser conscientes de que son parte activa en la prevención, detección y alerta temprana de este tipo de ataques. Por ello, las soluciones no sólo deben venir de forma unilateral desde la parte de Administración del portal de Office 365 o desde el área de Exchange Online Protection, sino también del departamento de Comunicación, que juega un papel fundamental en esta cuestión, puesto que podría ser el encargado de proporcionar -mediante una campaña informativa- los puntos clave para que a los usuarios, en el hipotético caso de que la compañía fuera víctima de una infección, les fuese más fácil entender la amenaza y actuar en consecuencia para lograr evitar y parar la propagación de la misma. El uso de newsletters y de formaciones a nivel básico, entre otras medidas, proporcionan ese conocimiento que marca la diferencia a la hora de afrontar esta clase de incidentes.
Además de todo esto, es muy recomendable la creación de un manual de buenas prácticas a seguir para poder hacer un uso adecuado de los recursos de la compañía y evitar así agujeros de seguridad debido a la ingeniería social (entendiéndose esta última como la práctica consistente en obtener información confidencial a través de la manipulación de usuarios legítimos).
Conclusión
Lo más importante en estos casos es que la compañía cuente con una visión muy clara de cómo quiere protegerse a todos los niveles frente a posibles ataques de ransomware, así como implantar una estrategia de defensa acorde a ello para contrarrestarlos.
Como cierre de esta serie de posts sobre seguridad en Office 365, y a modo de recapitulación de todo lo explicado en los mismos, os dejo un esquema que resume a grandes rasgos la gestión que se debería hacer en las diferentes áreas de la empresa para poder identificar y erradicar este tipo de amenazas, protegiendo así nuestros sistemas corporativos:
¿Quieres que Kabel te ayude a descubrir cómo Office 365
puede blindar tu empresa frente a este tipo de ataques?
Cuéntanos qué te preocupa y nosotros te ayudaremos:
[su_button url=»http://www.kabel.es/en/contacto/» target=»blank» background=»#31a1ef» size=»7″ center=»yes»]Contactar[/su_button]
Podéis comentarnos lo que sea en info@kabel.es.
También podéis seguirnos en Twitter, LinkedIn y Facebook.
Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial 4.0 Internacional.
