Interesante enfoque en la lucha contra los ataques ransomeware de Microsoft, con Azure Firewall

Desde Microsoft están tratando de revolucionar los sistemas de protección frente ataques de ransomware, para ello han invertido mucho en la seguridad de su plataforma de cloud público Azure. Proporcionando a los clientes los controles de seguridad óptimos y necesarios para proteger sus cargas de trabajo en la nube.

Para poder conocer mucho más sobre los prodecimiento recomendados para la protección frente a este tipo de ataques de cifrados de datos puedes leerte esta publicación en PDF (en inglés) que nos comparte desde Microsoft: «Defensas de Azure ante ataques de ransomware«.

Como Azure Firewall puede ayudar en la protección contra ransomware

El ransomware es un software con malas intenciones que está diseñado para bloquear y cifrar el acceso y los datos de cualquier plataforma informática hasta que se paga el rescate, normalmente en criptomonedas como el Bitcoin. Aprovechando vulnerabilidades, el atacante puede penetrar en el sistema y su red para ejecutar ese software malintencionado en el host de destino.

El correo electrónico suele ser la forma más habitual de propagación del ransomware, empieza con la recepción de un email suplantando la identidad (phishing) que lleva adjunto ficheros malintencionados o descargas ocultas. Una descarga oculta puede ser una dirección web que nos llevaría a una página web infectada para descargar e instalar el malware sin que el usuario puede percatarse de ello.

Azure Firewall Premium cuenta con la funcionalidad del sistema de detección y prevención de intrusiones (IDPS), todos los paquetes se inspeccionarán exhaustivamente, incluidos todos sus encabezados y carga útil, para identificar actividades malintencionadas y evitar que penetren la red. El IDPS permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.

Las firmas de IDPS son aplicables al tráfico a nivel de aplicación y red (4 a 7 capas); están totalmente administradas y contienen más de 65 000 firmas en más de 50 categorías diferentes para mantenerlas actualizadas con el panorama dinámico de ataques en constante cambio:

  1. Azure Firewall accede de forma anticipada a la información sobre vulnerabilidades mediante el Programa de protecciones activas de Microsoft (MAPP) y el Centro de respuestas de seguridad de Microsoft (MSRC).
  2. Azure Firewall emite entre 30 y 50 firmas nuevas cada día.

Hoy el tráfico de Internet de forma global se suele proteger con SSL (Capa de sockets seguros) o TLS (Seguridad de la capa de transporte). Y este cifrado también es utilizado por los atacantes para conseguir llevar su software malintencionado a la red de las víctimas. Que el tráfico este cifrado no es una garantía y también hay que inspeccionar este tipo de tráfico.

El IDPS de Azure Firewall Premium permite detectar ataques en todos los puertos y protocolos contra el tráfico no cifrado. Sin embargo, cuando hay que inspeccionar el tráfico HTTPS, Azure Firewall puede usar su funcionalidad de inspección de TLS para descifrar el tráfico y detectar con precisión las actividades malintencionadas.

Después de instalar el ransomware en la máquina de destino, puede intentar cifrar los datos de la máquina, por lo que requiere usar una clave de cifrado y puede usar el comando y el control (C&C) para obtener la clave de cifrado del servidor de C&C hospedado por el atacante. CryptoLocker, WannaCry, TeslaCrypt, Cerber y Locky son algunos de los ransomware que usan C&C para capturar las claves de cifrado necesarias.

Azure Firewall Premium tiene cientos de firmas diseñadas para detectar la conectividad de C&C y bloquearla para evitar que el atacante pueda realizar cifrado de los datos de los clientes.

Figura 1: Protección de firewall frente a ataques de ransomware con el canal de comando y control

Adopción de un enfoque integral para evitar ataques de ransomware

Se recomienda adoptar un enfoque holístico para evitar ataques de ransomware. Azure Firewall funciona en modo de denegación predeterminado y bloqueará el acceso a menos que el administrador lo permita explícitamente. Al habilitar la característica Inteligencia sobre amenazas (TI) en modo de alerta o denegación, se bloqueará el acceso a los dominios y las direcciones IP malintencionados conocidos. La fuente de Inteligencia sobre amenazas de Microsoft se actualiza continuamente en función de las amenazas nuevas y emergentes.

La directiva de firewall se puede usar para la configuración centralizada de firewalls. Esto ayuda a responder rápidamente a las amenazas. Los clientes pueden habilitar la Inteligencia sobre amenazas e IDPS en varios firewalls con tan solo unos clics. Las categorías web hacen que los administradores puedan permitir o denegar el acceso de los usuarios a categorías web como, por ejemplo, sitios web de apuestas, de redes sociales y otros. El filtrado de direcciones URL proporciona acceso con ámbito a sitios externos y puede reducir aún más el riesgo. En otras palabras, Azure Firewall tiene todo lo necesario para que las empresas se defiendan de forma integral contra malware y ransomware.

La detección es tan importante como la prevención. La solución Azure Firewall para Microsoft Sentinel le ofrece detección y prevención como una solución fácil de implementar. La combinación de la prevención y detección le permite asegurarse de que ambos evitan amenazas sofisticadas cuando es posible, al mismo tiempo que se mantiene una «mentalidad de supuestos de infracción» para detectar y responder rápidamente a ciberataques.

Fuente: Azure

Ir arriba