Configuración ESET anti-ransomware

Click here to load reader

  • date post

    12-Feb-2017
  • Category

    Documents

  • view

    226
  • download

    3

Embed Size (px)

Transcript of Configuración ESET anti-ransomware

  • Configuracin ESET anti-ransomwareMs seguridad contra el secuestro de informacin

  • Configuracin ESET anti-ransomware

    2

    NDICEObjetivos de este documento tcnico . . . . . . . . . . . . 3

    Por qu usar esta configuracin adicional? . . . . . . . . . . 3

    Configuracin ESET anti-ransomware para empresas . . . . . . 4

    Reglas antispam para ESET Mail Security para MS Exchange . . . 6

    Reglas del cortafuegos para Endpoint Security . . . . . . . 7 Reglas HIPS para Endpoint Security y Endpoint Antivirus . . . . 8

    Resultados del anlisis de la Configuracin ESET anti-ransomware . . 9

  • Configuracin ESET anti-ransomware

    3

    OBJETIVOS DE ESTE MANUAL TCNICOEn este manual tcnico describimos la configuracin ptima de los productos de seguridad ESET contra las diferentes variantes actuales de ransomware . El objetivo es mejorar la proteccin de nuestros clientes contra cualquier brote de ransomware para evitar que la informacin de la empresa sea cifrada por extorsionadores (generalmente los ciberdelincuentes piden una recompensa por liberar los archivos, algo que ESET desaconseja en cualquier caso) .

    POR QU ESTA CONFIGURACIN ADICIONAL?

    Porque casi el 40% de las amenazas detectadas hoy en Espaa pueden suponer una infeccin por ransomware .

    Los ataques actuales de ransomware utilizan tcnicas de infeccin avanzadas que permiten que el software malicioso infecte los dispositivos . Los ciberdelincuentes convencen a los usuarios para que ejecuten un archivo que a su vez descargar el cdigo malicioso para empezar el proceso de cifrado . Adjuntando este ejecutable a un correo electrnico, los cibercriminales intentan evitar la deteccin cuando llega a la bandeja de entrada . En la mayora de casos se utiliza un correo de phishing elaborado correctamente con un archivo ZIP como documento

    adjunto . Este archivo ZIP contiene en la mayora de los casos un JavaScript con extensin .js .

    Debido a que el cdigo JavaScript es utilizado en numerosas pginas web, es imposible bloquearlo en el navegador . Adems, Windows tambin ejecuta cdigo JavaScript directamente .

    El cdigo JavaScript causante de la descarga del malware se encuentra altamente ofuscado, y es modificado por los cibercriminales continuamente para evitar su deteccin . Influyendo en la ejecucin de cdigos potencialmente maliciosos, podremos bloquear las infecciones por ransomware, utilizando diversos mdulos de seguridad . En adelante, te explicamos cmo hacerlo .

    Limitacin de responsabilidad: La configuracin y polticas ESET anti-ransomware han sido creadas de forma genrica y pueden

    variar segn la zona geogrfica. Recomendamos comprobar la configuracin para cada instalacin

    en un entorno cliente antes de implementarla completamente.

  • Configuracin ESET anti-ransomware

    4

    CONFIGURACIN ESET ANTI-RANSOMWARE PARA EMPRESAS

    La configuracin adicional de ESET anti-ransomware evita que empiece la descarga del cdigo malicioso, causante de las infecciones por este malware (que utiliza JavaScript) . A continuacin, explicamos esta configuracin adicional con ms detalle a travs de una serie de polticas que puedes descargar e implementar utilizando ESET Remote Administrator o directamente sobre un equipo cliente con ESET Endpoint instalado .

    1ESET MAIL SECURITY PARA MICROSOFT EXCHANGE SERVER

    REGLAS ANTISPAM PARA ESET MAIL SECURITY PARA MS EXCHANGE SERVERDESCARGA TU CONFIGURACIN AQU

    http://ftp.eset.es/soporte/descargas/esetantiransomware.zip

  • Configuracin ESET anti-ransomware

    5

    2 RANSOMWARE

    NETWORK ATTACKPROTECTION

    REPUTATION & CACHE DNA sIgNATURE

    EXECUTION RANSOMWARE

    CLOUD MALWARE PROTECTION sYsTEM

    ADVANCED MEMORY sCANNER

    HIPs

    EsET BOTNETPROTECTION

    REGLAS DEL CORTAFUEGOS PARA ENDPOINT SECURITY REGLAS HIPS PARA

    ENDPOINT SECURITY Y ENDPOINT ANTIVIRUS

  • Configuracin ESET anti-ransomware

    6

    Los adjuntos ms comunes que descargan ransomware tienen las siguientes extensiones:

    * En este caso los archivos de Microsoft Office con Macros tambin se bloquearn (docm, xlsm, y pptm). Cuando se usan este tipo de archivos, esta regla tiene que ser ajustada o deshabilitada.

    Cmo importar y aplicar las polticas*

    1 . Inicia sesin en la consola web de ERA 62 . Accede a ADMIN > Polticas3 . Accede a Polticas y despus Importar4 . Importa las polticas de una en una5 . Asigna las polticas a un grupo o cliente

    *No se necesita la repeticin con otras configuraciones.

    REGLAS ANTISPAM PARA ESET MAIL SECURITY PARA MS EXCHANGE SERVER

    Si utilizamos las reglas antispam correctas, los correos entrantes no deseados sern filtrados en el propio servidor de correo . Esto garantiza que el documento adjunto que contiene el malware no se entregue al usuario final y no haya opcin de que se ejecute el ransomware .

    Importante: Actualiza ESET Mail Security para Microsoft Exchange Server a la ltima versin 6 .3 .x o superior para garantizar el funcionamiento de las reglas de filtrado .

  • Configuracin ESET anti-ransomware

    7

    En caso de que se ejecute el archivo malicioso adjunto, ESET Endpoint Security evitar la descarga de malware gracias al cortafuegos integrado . Aplicando estas reglas del cortafuegos, ESET Endpoint Security bloquear la descarga del malware y denegar el acceso de otros scripts a Internet .

    Cmo importar y aplicar las polticas

    1 . Inicia sesin en la consola web de ERA 62 . Accede a ADMIN > Polticas3 . Accede a Polticas y despus Importar4 . Importa las polticas de una en una5 . Asigna las polticas a un grupo o cliente

    Por favor, ten en cuenta que al importar las Reglas del cortafuegos pueden sobrescribirse otras reglas.

    IMPORTANTE Esta poltica solo funciona en combinacin con ESET

    Endpoint Security debido a que esta configuracin nicamente afecta al cortafuegos integrado en este producto.

    Para estas reglas, tambin se aplica que las aplicaciones legtimas puedan usar este tipo de ejecutables. Recomendamos, por tanto, que se pruebe antes de aplicar completamente la poltica en tu entorno.

    REGLAS DEL CORTAFUEGOS PARA ENDPOINT SECURITY

  • Configuracin ESET anti-ransomware

    8

    El sistema de prevencin de intrusiones (HIPS) defiende el sistema desde dentro y puede interrumpir acciones no autorizadas para ciertos procesos antes de su ejecucin . Al prohibir la ejecucin de JavaScript y otros scripts, el ransomware no tiene posibilidad de ejecutar cdigos maliciosos, tan solo permite descargarlos .

    Nuestro mdulo HIPS tambin forma parte de ESET File Security para Windows Server, lo cual permite tambin proteger los servidores . Por favor, ten en cuenta que el HIPS no distinguir los scripts legtimos que se inician en entornos de produccin .

    Denegar el proceso hijo de los ejecutables peligrosos

    Denegar los procesos script iniciados por el explorador

    Denegar los procesos hijos peligrosos de Office 201x

    Cmo importar y aplicar las polticas

    1 . Inicia sesin en la consola web de ERA 62 . Accede a ADMIN > Polticas3 . Selecciona Polticas y despus Importar4 . Importa las polticas de una en una5 . Asigna las polticas a un grupo o cliente

    IMPORTANTE Estas reglas bloquean los ejecutables que pueden

    utilizarse por aplicaciones legtimas. Recomendamos, por tanto, que se pruebe antes de aplicar completamente la poltica en tu entorno.

    REGLAS HIPS PARA ENDPOINT SECURITY Y ENDPOINT ANTIVIRUS

  • Configuracin ESET anti-ransomware

    9

    RESULTADOS DEL ANLISIS DE LA CONFIGURACIN ESET ANTI-RANSOMWARE

    Con una configuracin ESET anti-ransomware completa en los servidores de correo, equipos e incluso en servidores de archivos, los correos electrnicos que contienen ransomware en documentos adjuntos ya se pueden filtrar antes de ser detectados como cdigo malicioso o ransomware . Adems, hemos llevado a cabo varios anlisis en los equipos con esta configuracin reforzada, donde desactivamos todas las capas de deteccin de nuestras soluciones de seguridad ESET, demostrando que este tipo de ransomware no tiene ninguna posibilidad de cifrar el propio sistema y otras ubicaciones de la red corporativa .

    Como vemos, la configuracin ESET anti-ransomware contribuye a reforzar las soluciones de seguridad ESET y minimiza el riesgo de infeccin por ransomware, evitando con ello el cifrado de la informacin corporativa .