Ransomware-Angriffe mit Google Cloud abschwächen

Code, der von einem Dritten zum Infiltrieren Ihrer Systeme zum Hacken, Verschlüsseln und Stehlen von Daten erstellt wurde, wird als Ransomware bezeichnet. Damit Sie Ransomware-Angriffe abschwächen können, bietet Google Cloud Ihnen die Möglichkeit, Angriffe zu identifizieren und zu erkennen, auf sie zu reagieren, sich vor ihnen zu schützen und sie zu überwinden. Mit diesen Funktionen können Sie Folgendes tun:

• Das Risiko bewerten
• Ihr Unternehmen vor Bedrohungen schützen
• Kontinuierliche Vorgänge verwalten
• Schnelle Reaktion und Wiederherstellung ermöglichen

Dieses Dokument richtet sich an Sicherheitsarchitekten und Administratoren. Es wird die Ransomware-Angriffssequenz beschrieben und erläutert, wie Google Cloud Ihrem Unternehmen helfen kann, die Auswirkungen von Ransomware-Angriffen zu minimieren.

Ransomware-Angriffssequenz

Ransomware-Angriffe können als Massenkampagnen beginnen, die nach potenziellen Sicherheitslücken suchen, oder als gezielte Kampagnen. Eine gezielte Kampagne beginnt mit Identifizierung und Ausspähung, wobei ein Angreifer feststellt, welche Organisationen anfällig sind und welcher Angriffsvektor verwendet werden soll.

Es gibt viele Ransomware-Angriffsvektoren. Bei den häufigsten handelt es sich um Phishing-E-Mails mit schädlichen URLs und um die Ausnutzung von Softwaresicherheitslücken. Diese Softwaresicherheitslücke kann sich in der Software befinden, die Ihre Organisation verwendet, oder in der Softwarelieferkette. Ransomware-Angreifer zielen auf Organisationen, ihre Lieferkette und ihre Kunden ab.

Wenn der erste Angriff erfolgreich ist, installiert die Ransomware sich selbst und kontaktiert den Befehls- und Steuerungsserver, um die Verschlüsselungsschlüssel abzurufen. Wenn sich Ransomware über das Netzwerk verteilt, kann sie Ressourcen infizieren, Daten mit den abgerufenen Schlüsseln verschlüsseln und Daten exfiltrieren. Für den Entschlüsselungsschlüssel fordern die Angreifer ein Lösegeld (normalerweise in Kryptowährung) von der Organisation.

Das folgende Diagramm fasst die typische Abfolge von Ransomware-Angriffen zusammen, die in den vorherigen Abschnitten erläutert wurden – von der Identifizierung und Ausspähung bis zur Daten-Exfiltration und Lösegeldforderung.

Ransomware ist oft schwer zu erkennen. Daher ist es von zentraler Bedeutung, dass Sie Funktionen zur Prävention, Überwachung und Erkennung einrichten und Ihre Organisation bereit ist, schnell zu reagieren, wenn jemand einen Angriff erkennt.

Sicherheits- und Ausfallsicherheitsfunktionen in Google Cloud

Google Cloud umfasst integrierte Sicherheits- und Ausfallsicherheitsfunktionen, um Kunden vor Ransomware-Angriffen zu schützen. Diese Funktionen umfassen Folgendes:

• Globale Infrastruktur, deren gesamter Informationsverarbeitungszyklus geschützt ist
• Integrierte detektivische Funktionen für Google Cloud -Produkte und ‑Dienste wie Monitoring, Bedrohungserkennung, Schutz vor Datenverlust und Zugriffssteuerung
• Integrierte präventive Kontrollen wie Assured Workloads
• Hochverfügbarkeit mit regionalen Clustern und globalen Load-Balancern
• Integrierte Sicherung mit skalierbaren Diensten
• Automatisierungsfunktionen mit Infrastruktur als Code und Konfigurationsvorkehrungen

Google Threat Intelligence, VirusTotal und Mandiant Digital Threat Monitoring verfolgen viele Arten von Malware, einschließlich Ransomware, in der Infrastruktur und den Produkten von Google und reagieren darauf. Google Threat Intelligence ist ein Team von Bedrohungsforschern, die Bedrohungsinformationen für Google Cloud -Produkte entwickeln. VirusTotal ist eine Malware-Datenbank- und Visualisierungslösung, die Ihnen einen besseren Überblick über die Funktionsweise von Malware in Ihrem Unternehmen bietet. Mandiant Digital Threat Monitoring und andere Mandiant-Dienste bieten Unterstützung bei der Bedrohungsforschung, Beratung und Reaktion auf Vorfälle.

Weitere Informationen zu integrierten Sicherheitsfunktionen finden Sie in der Google-Sicherheitsübersicht und in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google.

Sicherheits- und Ausfallsicherheitsfunktionen in Google Workspace, Chrome und Chromebooks

Zusätzlich zu den Funktionen in Google Cloudbieten andere Google-Produkte wie Google Workspace, Google Chrome und Chromebooks Sicherheitsfunktionen, mit denen Sie Ihre Organisation besser vor Ransomware-Angriffen schützen können. Google-Produkte bieten beispielsweise Sicherheitsfunktionen, mit denen Remote-Mitarbeiter je nach Identität und Kontext (z. B. Standort oder IP-Adresse) von überall auf Ressourcen zugreifen können.

Wie im Abschnitt Ransomware-Angriffssequenz beschrieben, sind E‑Mails ein bedeutender Vektor für viele Ransomware-Angriffe. Sie können dazu genutzt werden, Anmeldedaten für betrügerischen Netzwerkzugriff per Phishing zu stehlen und direkt Ransomware-Binärdateien zu verteilen. Der erweiterte Phishing- und Malware-Schutz in Gmail bietet Funktionen für die Quarantäne von E‑Mails, schützt vor gefährlichen Anhangstypen und schützt Nutzer vor eingehenden Spoofing-E‑Mails. Mit der Sicherheits-Sandbox kann das Vorhandensein zuvor unbekannter Malware in Anhängen erkannt werden.

Der Chrome-Browser umfasst Google Safe Browsing, das Nutzer vor dem Zugriff auf eine infizierte oder schädliche Website warnt. Sandboxes und die Website-Isolierung schützen vor der Weitergabe von schädlichem Code in verschiedenen Prozessen auf demselben Tab. Der Passwortschutz bietet Benachrichtigungen, wenn ein Unternehmenspasswort für ein persönliches Konto verwendet wird, und prüft, ob eines der gespeicherten Passwörter des Nutzers bei einem Online-Sicherheitsvorfall gestohlen wurde. In diesem Szenario fordert der Browser den Nutzer auf, sein Passwort zu ändern.

Die folgenden Chromebook-Funktionen schützen vor Phishing- und Ransomware-Angriffen:

• Schreibgeschütztes Betriebssystem (ChromeOS). Dieses System ist so konzipiert, dass es ständig und unsichtbar aktualisiert wird. ChromeOS schützt vor den neuesten Sicherheitslücken und bietet Funktionen, damit Anwendungen und Erweiterungen es nicht ändern können.
• Sandbox-Technologie. Jede Anwendung wird in einer isolierten Umgebung ausgeführt, sodass eine schädliche Anwendung andere Anwendungen nicht einfach infizieren kann.
• Verifizierter Bootmodus. Während des Bootens des Chromebooks wird überprüft, ob das System geändert wurde.
• Safe Browsing. Chrome lädt regelmäßig die neueste Safe Browsing-Liste unsicherer Websites herunter. Es wurde dafür entwickelt, die URLs jeder Website, die ein Nutzer aufruft, und jede Datei, die ein Nutzer herunterlädt, anhand dieser Liste zu prüfen.
• Google-Sicherheitschips Diese Chips schützen das Betriebssystem vor böswilligen Manipulationen.

Zur Reduzierung der Angriffsfläche Ihrer Organisation sollten Sie Chromebooks für Nutzer verwenden, die hauptsächlich in einem Browser arbeiten.

Best Practices zur Abschwächung von Ransomware-Angriffen auf Google Cloud

Zum Schutz Ihrer Unternehmensressourcen und Daten vor Ransomware-Angriffen müssen Sie mehrstufige Funktionen in Ihren lokalen und Cloud-Umgebungen einrichten.

In den folgenden Abschnitten werden Best Practices beschrieben, mit denen Sie Ihre Organisation bei der Identifikation, Verhinderung und Erkennung von Ransomware-Angriffen auf Google Cloudsowie bei der Reaktion darauf unterstützen können.

Risiken und Assets identifizieren

Berücksichtigen Sie die folgenden Best Practices, um Ihre Risiken und Assets inGoogle Cloudzu identifizieren:

• Mit Cloud Asset Inventory können Sie ein fünfwöchiges Inventar Ihrer Ressourcen in Google Cloud führen. Wenn Sie Änderungen analysieren möchten, exportieren Sie Ihre Assetmetadaten nach BigQuery.
• Verwenden Sie Audit Manager und Simulationen von Angriffspfaden in Security Command Center, um Ihr aktuelles Risikoprofil zu bewerten. Ziehen Sie die Cyberversicherung in Betracht, die über das Risk Protection Program verfügbar ist.
• Verwenden Sie den Schutz sensibler Daten, um Ihre sensiblen Daten zu ermitteln und zu klassifizieren.

Zugriff auf Ressourcen und Daten steuern

Beachten Sie die folgenden Best Practices, um den Zugriff auf Google Cloud-Ressourcen und ‑Daten einzuschränken:

• Mit Identity and Access Management (IAM) können Sie detaillierte Zugriffsrechte einrichten. Sie können Ihre Berechtigungen regelmäßig mit dem Rollen-Recommender, Policy Analyzer und Cloud Infrastructure Entitlement Management (CIEM) analysieren.
• Behandeln Sie Dienstkonten als Identitäten mit hohen Berechtigungen. Erwägen Sie die schlüssellose Authentifizierung mit der Identitätsföderation von Arbeitslasten und passen Sie Ihre Berechtigungen entsprechend an. Best Practices zum Schutz von Dienstkonten finden Sie unter Best Practices für die Verwendung von Dienstkonten.
• Multi-Faktor-Authentifizierung für alle Nutzer über Cloud Identity erzwingen und phishingresistente Titan-Sicherheitsschlüssel verwenden.

Kritische Daten schützen

Beachten Sie die folgenden Best Practices, um Ihre vertraulichen Daten zu schützen:

• Konfigurieren Sie Redundanz (N+2) für die Cloud-Speicheroption, mit der Sie Ihre Daten speichern. Wenn Sie Cloud Storage verwenden, können Sie die Objektversionsverwaltung oder das Bucket-Sperrfeature aktivieren.
• Implementieren und testen Sie regelmäßig Sicherungen für Datenbanken (z. B. Cloud SQL) und Dateispeicher (z. B. Filestore) und speichern Sie Kopien an isolierten Orten. Erwägen Sie den Backup- und DR-Dienst für umfassende Arbeitslastsicherungen. Überprüfen Sie die Wiederherstellungsfunktionen regelmäßig.
• Rotieren Sie Ihre Schlüssel regelmäßig und überwachen Sie schlüsselbezogene Aktivitäten. Wenn Sie vom Kunden bereitgestellte Schlüssel (Customer-Supplied Encryption Keys, CSEK) oder Cloud External Key Manager (Cloud EKM) verwenden, sorgen Sie für robuste externe Sicherungs- und Rotationsprozesse.

Netzwerk und Infrastruktur schützen

Beachten Sie die folgenden Best Practices, um Ihr Netzwerk und Ihre Infrastruktur zu schützen:

• Verwenden Sie Infrastructure as Code (z. B. Terraform) mit dem Blueprint für Unternehmensgrundlagen als sichere Baseline, um bekannte gute Zustände zu gewährleisten und schnelle, konsistente Bereitstellungen zu ermöglichen.
• Aktivieren Sie VPC Service Controls, um einen Perimeter zu erstellen, der Ihre Ressourcen und Daten isoliert. Verwenden Sie Cloud Load Balancing mit Firewallregeln und sichere Verbindungen (über Cloud VPN oder Cloud Interconnect) für Hybridumgebungen.

• Implementieren Sie restriktive Organisationsrichtlinien wie die folgenden:

  • Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einschränken
  • Zugriff über öffentliche IP-Adressen auf Cloud SQL-Instanzen einschränken
  • Zugriff auf serielle Ports der VM deaktivieren
  • Shielded VMs

Arbeitslasten schützen

Beachten Sie die folgenden Best Practices, um Ihre Arbeitslasten zu schützen:

• Sicherheit in jeder Phase des Softwareentwicklungszyklus integrieren. Implementieren Sie für GKE-Arbeitslasten Sicherheit für die Software-Lieferkette, einschließlich vertrauenswürdiger Builds, Anwendungsisolierung und Pod-Isolierung.
• Verwenden Sie Cloud Build, um Ihre Build-Schritte zu verfolgen, und Artifact Registry, um das Scannen auf Sicherheitslücken für Ihre Container-Images durchzuführen. Prüfen Sie mithilfe der Binärautorisierung, ob Ihre Images Ihren Standards entsprechen.
• Verwenden Sie Google Cloud Armor für die Layer 7-Filterung und den Schutz vor häufigen Webangriffen.
• Verwenden Sie automatische GKE-Upgrades und Wartungsfenster. Automatisieren Sie Builds in Cloud Build, um das Scannen auf Sicherheitslücken bei Code-Commits einzubeziehen.

Angriffe erkennen

Die folgenden Best Practices können Ihnen helfen, Angriffe zu erkennen:

• Mit Cloud Logging können Sie die Logs Ihrer Dienste in Google Cloud verwalten und analysieren. Mit Cloud Monitoring können Sie die Leistung Ihres Dienstes und Ihrer Ressourcen messen.
• Mit Security Command Center können Sie potenzielle Angriffe erkennen und Benachrichtigungen analysieren.
• Für detaillierte Sicherheitsanalysen und die Suche nach Bedrohungen können Sie die Integration in Google Security Operations nutzen.

Vorfälle planen

• Erstellen Sie Notfallpläne und Pläne zur Notfallwiederherstellung.

• Erstellen Sie ein Playbook zur Reaktion auf Ransomware-Vorfälle und führen Sie theoretische Übungen durch. Üben Sie regelmäßig die Wiederherstellungsverfahren, um die Bereitschaft sicherzustellen und Lücken zu erkennen.

• Machen Sie sich mit Ihren Verpflichtungen zur Meldung von Angriffen an die Behörden vertraut und fügen Sie Ihrem Playbook die entsprechenden Kontaktdaten hinzu.

Weitere Best Practices für die Sicherheit finden Sie im Well-Architected Framework: Säule für Sicherheit, Datenschutz und Compliance.

Auf Angriffe reagieren und ihre Folgen beseitigen

Wenn Sie einen Ransomware-Angriff erkennen, aktivieren Sie Ihren Reaktionsplan für Vorfälle. Nachdem Sie bestätigt haben, dass der Vorfall kein falsch positives Ergebnis ist und sich auf IhreGoogle Cloud -Dienste auswirkt, öffnen Sie ein P1-Support-Ticket. Der Cloud Customer Care reagiert wie in den Google Cloud-Richtlinien für technische Supportdienste dokumentiert.

Nachdem Sie Ihren Plan aktiviert haben, erstellen Sie das Team in Ihrer Organisation, das an den Prozessen zur Koordination und Behebung von Vorfällen beteiligt sein muss. Sorgen Sie dafür, dass diese Tools und Prozesse vorhanden sind, um den Vorfall zu untersuchen und zu beheben.

Folgen Sie dem Reaktionsplan für Vorfälle, um die Ransomware zu entfernen und die Umgebung in einem fehlerfreien Zustand wiederherzustellen. Je nach dem Schweregrad des Angriffs und den aktivierten Sicherheitsfunktionen kann Ihr Plan Aktivitäten wie die folgenden umfassen:

• Infizierte Systeme in Quarantäne versetzen
• Daten aus fehlerfreien Sicherungen wiederherstellen
• Ihre Infrastruktur mit der CI/CD-Pipeline in einem als funktionierend bekannten Zustand wiederherstellen
• Prüfen, ob die Sicherheitslücke entfernt wurde
• Alle Systeme patchen, die möglicherweise für einen ähnlichen Angriff anfällig sind
• Erforderliche Funktionen implementieren, um einen ähnlichen Angriff zu vermeiden

Überwachen Sie während der Bearbeitung Ihrer Antwort das Google-Support-Ticket weiter. Cloud Customer Care ergreift entsprechende Maßnahmen inGoogle Cloud , um Ihre Umgebung unter Kontrolle zu bringen und (falls möglich) wiederherzustellen.

Informieren Sie Cloud Customer Care, wenn Ihr Vorfall gelöst ist und Ihre Umgebung wiederhergestellt wurde. Wenn es geplant ist, nehmen Sie an einer gemeinsamen Analyse mit Ihrem Google-Ansprechpartner teil.

Erfassen Sie alle Erkenntnisse, die aus dem Vorfall gezogen wurden, und implementieren Sie die Funktionen, die Sie benötigen, um einen ähnlichen Angriff zu vermeiden. Je nach Art des Angriffs können Sie folgende Aktionen in Betracht ziehen:

• Erstellen von Erkennungsregeln und Benachrichtigungen, die automatisch ausgelöst werden, sollte der Angriff wiederholt werden
• Aktualisieren Sie Ihr Playbook zur Reaktion auf Vorfälle, um alle gewonnenen Erkenntnisse einzubeziehen.
• Verbessern Sie Ihren Sicherheitsstatus anhand der gewonnenen Erkenntnisse.

Nächste Schritte

• Mit dem Sicherheits- und Ausfallsicherheits-Framework können Sie die Kontinuität gewährleisten und Ihr Unternehmen vor negativen Cyberereignissen schützen.
• Wenden Sie sich an Mandiant-Berater, um eine Bewertung der Ransomware-Abwehr zu erhalten.
• Weitere Best Practices finden Sie im Google Cloud Well-Architected Framework.
• Informationen dazu, wie Google Vorfälle verwaltet, finden Sie unter Reaktion auf Vorfälle im Zusammenhang mit Kundendaten.