Atténuer les attaques de rançongiciels à l'aide de Google Cloud

Un code créé par un tiers pour infiltrer vos systèmes afin de pirater, chiffrer et voler les données est appelé rançongiciel. Pour vous aider à minimiser les attaques de rançongiciels, Google Cloud vous fournit des contrôles pour identifier, protéger, détecter, répondre et se rétablir des attaques. Ces contrôles vous aident à effectuer les opérations suivantes :

• Évaluer les risques.
• Protéger votre entreprise des menaces.
• Maintenir les opérations continues.
• Accélérer la gestion et la récupération.

Ce document est destiné aux architectes et aux administrateurs de sécurité. Il décrit la séquence d'attaque de rançongiciel et comment Google Cloud peut aider votre organisation à atténuer les effets des attaques de rançongiciels.

Séquence d'attaque de rançongiciel

Les attaques par rançongiciel peuvent commencer par des campagnes de masse visant à identifier des vulnérabilités potentielles, ou par des campagnes dirigées. Une campagne dirigée commence par l'identification et la reconnaissance, où un pirate informatique détermine les organisations qui sont vulnérables et le vecteur d'attaque à utiliser.

Il existe de nombreux vecteurs d'attaque. Les vecteurs les plus courants sont les e-mails d'hameçonnage contenant des URL malveillantes ou l'exploitation d'une faille logicielle. La faille logicielle peut se trouver dans le logiciel utilisé par votre organisation ou dans votre chaîne d'approvisionnement logicielle. Les pirates informatiques ciblent à la fois les organisations, leur chaîne d'approvisionnement et leurs clients.

Une fois l'attaque initiale réussie, le rançongiciel s'installe et contacte le serveur de commande et de contrôle pour récupérer les clés de chiffrement. À mesure que le rançongiciel se propage sur le réseau, il peut infecter les ressources, chiffrer les données à l'aide des clés qu'il a récupérées et exfiltrer des données. Les pirates informatiques demandent alors une rançon à l'organisation, généralement sous forme de cryptomonnaie, en échange de la clé de déchiffrement.

Le schéma suivant résume la séquence d'attaque des rançongiciels classique expliquée dans les paragraphes précédents, de l'identification et la reconnaissance à l'exfiltration de données et à la demande de rançon.

Les rançongiciels sont souvent difficiles à détecter. Il est donc essentiel de mettre en place des fonctionnalités de prévention, de surveillance et de détection, et que votre organisation soit prête à réagir rapidement lorsqu'une personne découvre une attaque.

Contrôles de sécurité et de résilience dans Google Cloud

Google Cloud intègre des contrôles de sécurité et de résilience qui permettent de protéger les clients contre les attaques de rançongiciels. Ces contrôles incluent les éléments suivants :

• Infrastructure mondiale conçue dans un souci de sécurité tout au long du cycle de traitement des informations.
• Fonctionnalités de détection intégrées pour les produits et services Google Cloud , telles que la surveillance, la détection des menaces, la protection contre la perte de données et le contrôle des accès.
• Contrôles préventifs intégrés, tels qu'Assured Workloads
• Haute disponibilité avec des clusters régionaux et des équilibreurs de charge globaux.
• Sauvegarde intégrée, services évolutifs.
• Fonctionnalités d'automatisation utilisant l'infrastructure en tant que code et les garde-fous de configuration.

Google Threat Intelligence, VirusTotal et Mandiant Digital Threat Monitoring suivent et répondent à de nombreux types de logiciels malveillants, y compris les rançongiciels, dans l'infrastructure et les produits Google. Google Threat Intelligence est une équipe de chercheurs axés sur les menaces qui développent des services de renseignements sur les menaces pour les produits Google Cloud . VirusTotal est une base de données et une solution de visualisation des logiciels malveillants qui vous permet de mieux comprendre comment ces derniers opèrent dans votre entreprise. La surveillance des menaces numériques et d'autres services Mandiant fournissent des renseignements sur les menaces, des conseils et une assistance pour la réponse aux incidents.

Pour en savoir plus sur les contrôles de sécurité intégrés, consultez la présentation de la sécurité de Google et la présentation de la sécurité sur l'infrastructure de Google.

Contrôles de sécurité et de résilience dans Google Workspace, le navigateur Chrome, et les Chromebooks

Outre les contrôles au sein de Google Cloud, d'autres produits Google tels que Google Workspace, le navigateur Google Chrome et les Chromebooks incluent des contrôles de sécurité qui peuvent vous aider à protéger votre organisation des attaques de rançongiciels. Par exemple, les produits Google fournissent des contrôles de sécurité permettant aux nœuds de calcul distants d'accéder aux ressources depuis n'importe où, en fonction de leur identité et de leur contexte (par exemple, l'emplacement ou l'adresse IP).

Comme décrit dans la section Séquence d'attaque de rançongiciel, l'e-mail est un vecteur clé pour de nombreuses attaques de rançongiciels. Il peut être exploité à des fins d'hameçonnage dans le cadre d'un accès frauduleux au réseau et pour distribuer directement des binaires de rançongiciels. Dans Gmail, la protection avancée contre l'hameçonnage et les logiciels malveillants offre des contrôles de mise en quarantaine des e-mails et de défense contre les types de pièces jointes dangereuses, et protège les utilisateurs des e-mails de spoofing entrants. Le bac à sable de sécurité est conçu pour détecter la présence de logiciels malveillants jusqu'ici inconnus dans les pièces jointes.

Le navigateur Chrome inclut la navigation sécurisée Google, conçue pour fournir des avertissements aux utilisateurs lorsqu'ils tentent d'accéder à un site infecté ou malveillant. Les bacs à sable et l'isolation de sites permettent d'éviter la propagation de code malveillant dans différents processus dans un même onglet. La protection par mot de passe est conçue pour fournir des alertes lorsqu'un mot de passe d'entreprise est utilisé sur un compte personnel, et vérifie si l'un des mots de passe utilisateur enregistrés a été compromis en raison d'une faille en ligne. Dans ce scénario, le navigateur invite l'utilisateur à modifier son mot de passe.

Les fonctionnalités de Chromebook suivantes aident à se protéger contre les attaques par hameçonnage et rançongiciel :

• Système d'exploitation en lecture seule (ChromeOS). Ce système est conçu pour se mettre à jour en continu et de manière invisible. ChromeOS vous aide à vous protéger contre les failles les plus récentes et inclut des contrôles qui empêchent les applications et les extensions de les modifier.
• Bac à sable Chaque application s'exécute dans un environnement isolé. Ainsi, une application malveillante ne peut pas facilement infecter d'autres applications.
• Démarrage validé. Pendant son démarrage, le Chromebook est conçu pour vérifier que le système n'a pas été modifié.
• Navigation sécurisée. Chrome télécharge régulièrement la liste de navigation sécurisée la plus récente des sites non sécurisés. Elle est conçue pour vérifier les URL de chaque site consulté par un utilisateur et comparer chaque fichier téléchargé par l'utilisateur à cette liste.
• Puces de sécurité Google Ces puces contribuent à protéger le système d'exploitation contre les falsifications malveillantes.

Pour réduire la surface d'exposition aux attaques de votre organisation, envisagez d'utiliser des Chromebooks pour les utilisateurs qui travaillent principalement dans un navigateur.

Bonnes pratiques pour atténuer les attaques de rançongiciels sur Google Cloud

Pour protéger les ressources et les données de votre entreprise contre les attaques par rançongiciels, vous devez mettre en place des contrôles multicouches dans vos environnements sur site et cloud.

Les sections suivantes décrivent les bonnes pratiques à suivre pour aider votre organisation à identifier, prévenir, détecter et contrer les attaques de rançongiciels sur Google Cloud.

Identifier vos risques et vos éléments

Voici quelques bonnes pratiques à suivre pour identifier vos risques et vos composants dansGoogle Cloud :

• Utilisez l'inventaire des éléments cloud pour conserver un inventaire de cinq semaines de vos ressources dans Google Cloud. Pour analyser les modifications, exportez les métadonnées de vos composants vers BigQuery.
• Utilisez Audit Manager et les simulations de chemin d'attaque dans Security Command Center pour évaluer votre profil de risque actuel. Envisagez les options de cyberassurance disponibles dans le Risk Protection Program.
• Utilisez la protection des données sensibles pour découvrir et classer vos données sensibles.

Contrôler l'accès à vos ressources et données

Voici quelques bonnes pratiques à suivre pour limiter l'accès aux ressources et aux données Google Cloud :

• Utilisez Identity and Access Management (IAM) pour configurer un accès précis. Vous pouvez analyser régulièrement vos autorisations à l'aide de l'outil de recommandation de rôle, de Policy Analyzer et de Cloud Infrastructure Entitlement Management (CIEM).
• Traitez les comptes de service comme des identités très privilégiées. Envisagez l'authentification sans clé à l'aide de la fédération d'identité de charge de travail et définissez vos autorisations de manière appropriée. Pour découvrir les bonnes pratiques relatives à la protection des comptes de service, consultez Bonnes pratiques d'utilisation des comptes de service.
• Rendez l'authentification multifacteur obligatoire pour tous les utilisateurs via Cloud Identity et utilisez une clé de sécurité Titan antihameçonnage.

Protéger les données critiques

Voici quelques bonnes pratiques à suivre pour protéger vos données sensibles :

• Configurez la redondance (N+2) dans l'option de stockage cloud que vous utilisez pour stocker vos données. Si vous utilisez Cloud Storage, vous pouvez activer la gestion des versions des objets ou la fonctionnalité de verrou de bucket.
• Implémentez et testez régulièrement les sauvegardes des bases de données (par exemple, Cloud SQL) et des magasins de fichiers (par exemple, Filestore), en stockant des copies dans des emplacements isolés. Envisagez d'utiliser le service Backup and DR pour une sauvegarde complète des charges de travail. Vérifiez fréquemment les capacités de récupération.
• Effectuez une rotation de vos clés régulièrement et surveillez les activités liées à ces clés. Si vous utilisez des clés fournies par le client (CSEK) ou Cloud External Key Manager (Cloud EKM), assurez-vous de disposer de processus de sauvegarde et de rotation externes robustes.

Réseau et infrastructure sécurisés

Voici quelques bonnes pratiques à suivre pour sécuriser votre réseau et votre infrastructure :

• Utilisez l'Infrastructure as Code (Terraform, par exemple) avec le plan de base de l'entreprise comme référence sécurisée pour garantir des états connus et fiables, et permettre des déploiements rapides et cohérents.
• Activez VPC Service Controls pour créer un périmètre isolant vos ressources et vos données. Utilisez Cloud Load Balancing avec des règles de pare-feu et une connectivité sécurisée (à l'aide de Cloud VPN ou Cloud Interconnect) pour les environnements hybrides.

• Mettez en œuvre des règles d'administration restrictives, telles que les suivantes :

  • Limiter l'accès des adresses IP publiques sur les nouveaux notebooks et instances Vertex AI Workbench
  • Limiter l'accès des adresses IP publiques sur les instances Cloud SQL
  • Désactiver l'accès au port série des VM
  • VM protégées

Protéger vos charges de travail

Voici quelques bonnes pratiques à suivre pour protéger vos charges de travail :

• Intégrez la sécurité à chaque phase du cycle de vie du développement de vos logiciels. Pour les charges de travail GKE, mettez en œuvre la sécurité de la chaîne d'approvisionnement logicielle, y compris les builds fiables, l'isolation des applications et l'isolation des pods.
• Utilisez Cloud Build pour suivre vos étapes de compilation et Artifact Registry pour effectuer une analyse des failles sur vos images de conteneurs. Utilisez l'autorisation binaire pour vérifier que vos images respectent vos normes.
• Utilisez Google Cloud Armor pour le filtrage de couche 7 et la protection contre les attaques Web courantes.
• Utilisez les mises à niveau automatiques de GKE et les intervalles de maintenance. Automatisez les compilations dans Cloud Build pour inclure l'analyse des failles lors des validations de code.

Détecter les attaques

Voici quelques bonnes pratiques qui vous aideront à détecter les attaques :

• Utilisez Cloud Logging pour gérer et analyser les journaux de vos services dans Google Cloud , et Cloud Monitoring pour mesurer les performances de votre service et de vos ressources.
• Utilisez Security Command Center pour détecter les attaques potentielles et analyser les alertes.
• Pour une analyse de sécurité approfondie et la recherche de menaces, intégrez Google Security Operations.

Planifier les incidents

• Élaborez des plans de continuité de l'activité et de reprise après sinistre complets.

• Créez un playbook de réponse aux incidents liés aux rançongiciels et effectuez des simulations. Entraînez-vous régulièrement aux procédures de récupération pour vous assurer d'être prêt et identifier les lacunes.

• Comprenez vos obligations concernant le signalement des attaques aux autorités et incluez les coordonnées pertinentes dans votre playbook.

Pour en savoir plus sur les bonnes pratiques de sécurité, consultez Well-Architected Framework : pilier Sécurité, confidentialité et conformité.

Gestion et récupération en cas d'attaque

Lorsque vous détectez une attaque de rançongiciel, activez votre plan de réponse aux incidents. Après avoir vérifié que l'incident n'est pas un faux positif et qu'il affecte vos servicesGoogle Cloud , ouvrez une demande d'assistance P1. L'assistance client Cloud répond comme indiqué dans les instructions relatives aux services d'assistance techniqueGoogle Cloud.

Une fois votre plan activé, rassemblez l'équipe de votre organisation qui doit être impliquée dans vos processus de coordination et de résolution des incidents. Assurez-vous que ces outils et processus sont en place pour enquêter sur l'incident et le résoudre.

Suivez votre plan de réponse aux incidents pour supprimer le rançongiciel et restaurer votre environnement dans un état sain. Selon la gravité de l'attaque et les contrôles de sécurité que vous avez activés, votre plan peut inclure des activités telles que :

• Mettre en quarantaine les systèmes infectés.
• Effectuer une restauration à partir de sauvegardes saines.
• Restaurer votre infrastructure à un état sain précédemment connu à l'aide de votre pipeline CI/CD.
• Vérifier que la faille a été supprimée.
• Appliquer des correctifs à tous les systèmes susceptibles d'être vulnérables à une attaque similaire.
• Implémenter les contrôles dont vous avez besoin pour éviter une attaque similaire.

Tout au long de la procédure de réponse, continuez à surveiller votre demande d'assistance Google. L'équipe Cloud Customer Care prend les mesures appropriées dansGoogle Cloud pour contenir, éradiquer et (si possible) récupérer votre environnement.

Informez le service Cloud Customer Care lorsque votre incident est résolu et que votre environnement est restauré. Si une rétrospective conjointe est planifiée, participez-y avec votre représentant Google.

Assurez-vous de retenir toutes les leçons tirées de l'incident, et mettez en place les contrôles nécessaires pour éviter toute attaque similaire. Selon la nature de l'attaque, vous pouvez envisager les actions suivantes :

• Rédiger des règles de détection et des alertes déclenchées automatiquement en cas de nouvelle attaque.
• Mettez à jour votre playbook de réponse aux incidents pour inclure les enseignements tirés de cet incident.
• Améliorer votre stratégie de sécurité en fonction de vos résultats rétrospectifs.

Étape suivante

• Assurez la continuité de votre activité et protégez votre entreprise contre les cyberévénements indésirables à l'aide du framework de sécurité et de résilience.
• Contactez les consultants Mandiant pour obtenir une évaluation de votre défense contre les rançongiciels.
• Consultez le Google Cloud Well-Architected Framework pour découvrir d'autres bonnes pratiques.
• Pour en savoir plus sur la manière dont Google gère les incidents, consultez la section Processus de gestion des incidents liés aux données.