Omitir navegación

Mejora de las defensas de seguridad frente a ataques de ransomware con Azure Firewall

Publicado el 1 febrero, 2022

Principal Program Manager

Para asegurarse de que los clientes que utilizan Azure están protegidos frente a ataques de ransomware, Microsoft ha invertido mucho en la seguridad de Azure y ha proporcionado a los clientes los controles de seguridad necesarios para proteger sus cargas de trabajo en la nube de Azure.

Puede encontrar información general completa sobre los procedimientos recomendados y las recomendaciones en el libro electrónico "Defensas de Azure ante ataques de ransomware".

En este caso, nos gustaría ampliar la seguridad de red y saber cómo Azure Firewall puede ayudarle a protegerse contra ransomware.

El ransomware es básicamente un tipo de software malintencionado diseñado para bloquear el acceso al sistema informático hasta que se paga una suma de dinero. Normalmente, el atacante aprovecha una vulnerabilidad existente en el sistema para penetrar la red y ejecutar el software malintencionado en el host de destino.

El ransomware se suele propagar a través de correos electrónicos de suplantación de identidad (phishing) que contienen datos adjuntos malintencionados o a través de descargas ocultas. Las descargas ocultas se producen cuando un usuario visita sin saberlo un sitio web infectado y, a continuación, el malware se descarga e instala sin que el usuario tenga conocimiento de ello.

Aquí es donde Azure Firewall Premium entra en acción. Con la funcionalidad del sistema de detección y prevención de intrusiones (IDPS), todos los paquetes se inspeccionarán exhaustivamente, incluidos todos sus encabezados y carga útil, para identificar actividades malintencionadas y evitar que penetren la red. El IDPS permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.

Las firmas de IDPS son aplicables al tráfico a nivel de aplicación y red (4 a 7 capas); están totalmente administradas y contienen más de 65 000 firmas en más de 50 categorías diferentes para mantenerlas actualizadas con el panorama dinámico de ataques en constante cambio:

  1. Azure Firewall accede de forma anticipada a la información sobre vulnerabilidades mediante el Programa de protecciones activas de Microsoft (MAPP) y el Centro de respuestas de seguridad de Microsoft (MSRC).
  2. Azure Firewall emite entre 30 y 50 firmas nuevas cada día.

En la actualidad, el cifrado moderno, como la Capa de sockets seguros (SSL) o la Seguridad de la capa de transporte (TLS), se usa globalmente para proteger el tráfico de Internet. Los atacantes usan el cifrado para llevar su software malintencionado a la red de las víctimas. Por lo tanto, los clientes deben inspeccionar su tráfico cifrado igual que cualquier otro tráfico.

El IDPS de Azure Firewall Premium permite detectar ataques en todos los puertos y protocolos contra el tráfico no cifrado. Sin embargo, cuando hay que inspeccionar el tráfico HTTPS, Azure Firewall puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y detectar con precisión las actividades malintencionadas.

Después de instalar el ransomware en la máquina de destino, puede intentar cifrar los datos de la máquina, por lo que requiere usar una clave de cifrado y puede usar el comando y el control (C&C) para obtener la clave de cifrado del servidor de C&C hospedado por el atacante. CryptoLocker, WannaCry, TeslaCrypt, Cerber y Locky son algunos de los ransomware que usan C&C para capturar las claves de cifrado necesarias.

Azure Firewall Premium tiene cientos de firmas diseñadas para detectar la conectividad de C&C y bloquearla para evitar que el atacante cifre los datos de los clientes.

Protección de firewall contra ataques de ransomware con el canal de comando y control.

Figura 1: Protección de firewall frente a ataques de ransomware con el canal de comando y control

Adopción de un enfoque integral para evitar ataques de ransomware

Se recomienda adoptar un enfoque holístico para evitar ataques de ransomware. Azure Firewall funciona en modo de denegación predeterminado y bloqueará el acceso a menos que el administrador lo permita explícitamente. Al habilitar la característica Inteligencia sobre amenazas (TI) en modo de alerta o denegación, se bloqueará el acceso a los dominios y las direcciones IP malintencionados conocidos. La fuente de Inteligencia sobre amenazas de Microsoft se actualiza continuamente en función de las amenazas nuevas y emergentes.

La directiva de firewall se puede usar para la configuración centralizada de firewalls. Esto ayuda a responder rápidamente a las amenazas. Los clientes pueden habilitar la Inteligencia sobre amenazas e IDPS en varios firewalls con tan solo unos clics. Las categorías web hacen que los administradores puedan permitir o denegar el acceso de los usuarios a categorías web como, por ejemplo, sitios web de apuestas, de redes sociales y otros. El filtrado de direcciones URL proporciona acceso con ámbito a sitios externos y puede reducir aún más el riesgo. En otras palabras, Azure Firewall tiene todo lo necesario para que las empresas se defiendan de forma integral contra malware y ransomware.

La detección es tan importante como la prevención. La solución Azure Firewall para Microsoft Sentinel le ofrece detección y prevención como una solución fácil de implementar. La combinación de la prevención y detección le permite asegurarse de que ambos evitan amenazas sofisticadas cuando es posible, al mismo tiempo que se mantiene una "mentalidad de supuestos de infracción" para detectar y responder rápidamente a ciberataques.

Más información sobre Azure Firewall Premium y la detección contra ransomware