צמצום התקפות של תוכנות כופר באמצעות Google Cloud

קוד שנוצר על ידי צד שלישי כדי לחדור למערכות שלכם, לחטוף, להצפין ולגנוב נתונים נקרא תוכנת כופר. כדי לעזור לכם לצמצם את הסיכון למתקפות של תוכנות כופר, Google Cloud מספקת לכם אמצעי בקרה לזיהוי מתקפות, להגנה מפני מתקפות, לאיתור מתקפות, לתגובה למתקפות ולשחזור נתונים אחרי מתקפות. אמצעי הבקרה האלה עוזרים לכם לבצע את הפעולות הבאות:

• הערכת הסיכון.
• הגנה על העסק מפני איומים.
• שמירה על פעילות רציפה.
• הפעלת תגובה והתאוששות מהירות.

המסמך הזה מיועד לאדריכלי אבטחה ולאדמינים. המאמר מתאר את רצף הפעולות של מתקפת תוכנת כופר ומסביר איך Google Cloud יכול לעזור לארגון שלכם לצמצם את ההשפעות של מתקפות כאלה.

רצף של מתקפות תוכנות כופר

מתקפות של תוכנות כופר יכולות להתחיל כקמפיינים המוניים שמחפשים נקודות חולשה פוטנציאליות, או כקמפיינים ממוקדים. קמפיין ממוקד מתחיל בזיהוי ובסיור, שבהם התוקף קובע אילו ארגונים פגיעים ואיזה וקטור תקיפה כדאי להשתמש בו.

יש הרבה וקטורים של מתקפות תוכנות כופר. הווקטורים הנפוצים ביותר הם הודעות אימייל של פישינג עם כתובות URL זדוניות או ניצול של פגיעות בתוכנה. פגיעות התוכנה הזו יכולה להיות בתוכנה שהארגון שלכם משתמש בה, או פגיעות שקיימת בשרשרת אספקת התוכנה שלכם. תוקפים של תוכנות כופר מכוונים לארגונים, לשרשרת האספקה שלהם וללקוחות שלהם.

אם המתקפה הראשונית מצליחה, תוכנת הכופר מותקנת ויוצרת קשר עם שרת הפיקוד והשליטה כדי לאחזר את מפתחות ההצפנה. כשהתוכנה הזדונית מסוג Ransomware מתפשטת ברשת, היא עלולה להדביק משאבים, להצפין נתונים באמצעות המפתחות שהיא אחזרה ולחלץ נתונים. התוקפים דורשים מהארגון כופר, בדרך כלל במטבעות קריפטוגרפיים, כדי לקבל את מפתח ההצפנה.

הדיאגרמה הבאה מסכמת את רצף הפעולות האופייני במתקפת תוכנת כופר, כפי שמוסבר בפסקאות הקודמות, החל מזיהוי וסיור ועד לזליגת נתונים ודרישת כופר.

לעתים קרובות קשה לזהות תוכנות כופר. לכן חשוב מאוד להטמיע יכולות של מניעה, מעקב וזיהוי, ולוודא שהארגון מוכן להגיב במהירות אם מישהו יגלה מתקפה.

אמצעי בקרה לצורכי אבטחה ועמידות ב- Google Cloud

Google Cloud כולל אמצעי בקרה מובנים לאבטחה ולחוסן, שעוזרים להגן על הלקוחות מפני מתקפות של תוכנות כופר. אמצעי הבקרה האלה כוללים את הפעולות הבאות:

• תשתית גלובלית שתוכננה עם אבטחה לכל אורך מחזור החיים של עיבוד המידע.
• תכונות מובנות לזיהוי בעיות ב Google Cloud מוצרים ובשירותים, כמו ניטור, זיהוי איומים, מניעת אובדן נתונים ובקרת גישה.
• אמצעי בקרה מובנים למניעת איומים, כמו Assured Workloads
• זמינות גבוהה עם אשכולות אזוריים ומאזני עומסים גלובליים.
• גיבוי מובנה, עם שירותים שניתנים להרחבה.
• יכולות אוטומציה באמצעות תשתית כקוד (IaC) ומגבלות הגדרה.

‫Google Threat Intelligence,‏ VirusTotal ו-Mandiant Digital Threat Monitoring עוקבים אחרי סוגים רבים של תוכנות זדוניות, כולל תוכנות כופר, בתשתית ובמוצרים של Google, ומגיבים להם. ‫Google Threat Intelligence הוא צוות של חוקרי איומים שמפתח מודיעין איומי סייבר למוצרי Google Cloud . ‏VirusTotal הוא מסד נתונים ופתרון חזותי לתוכנות זדוניות, שמאפשר לכם להבין טוב יותר איך תוכנות זדוניות פועלות בארגון. ‫Mandiant Digital Threat Monitoring ושירותים אחרים של Mandiant מספקים מחקר איומים, ייעוץ ותמיכה בתגובה לאירועים.

מידע נוסף על אמצעי בקרה מובנים לאבטחה זמין במאמרים סקירה כללית על האבטחה ב-Google וסקירה כללית על תכנון האבטחה בתשתית של Google.

אמצעי בקרה לאבטחה ולעמידות ב-Google Workspace, בדפדפן Chrome ובמכשירי Chromebook

בנוסף לאמצעי הבקרה ב- Google Cloud, מוצרים אחרים של Google כמו Google Workspace, דפדפן Google Chrome ו-Chromebooks כוללים אמצעי בקרה לאבטחה שיכולים לעזור להגן על הארגון מפני מתקפות של תוכנות כופר. לדוגמה, מוצרי Google מספקים אמצעי בקרה לאבטחה שמאפשרים לעובדים מרוחקים לגשת למשאבים מכל מקום, על סמך הזהות וההקשר שלהם (כמו מיקום או כתובת IP).

כמו שמתואר בקטע רצף הפעולות של מתקפת תוכנת כופר, אימייל הוא וקטור מרכזי להרבה מתקפות של תוכנות כופר. אפשר לנצל אותו כדי לבצע פישינג של פרטי כניסה לצורך גישה לרשת למטרות תרמית, וכדי להפיץ קבצים בינאריים של תוכנות כופר באופן ישיר. הגנה מתקדמת מפני פישינג ותוכנות זדוניות ב-Gmail מספקת אמצעי בקרה להעברת אימיילים להסגר, מגנה מפני סוגים מסוכנים של קבצים מצורפים ועוזרת להגן על המשתמשים מפני אימיילים מזויפים שנכנסים. ארגז החול לאבטחה נועד לזהות קבצים מצורפים שמכילים תוכנות זדוניות לא מוכרות.

דפדפן Chrome כולל את הגלישה הבטוחה של Google, שנועדה להציג אזהרות למשתמשים כשהם מנסים לגשת לאתר נגוע או זדוני. ‫Sandboxes ובידוד אתרים עוזרים להגן מפני התפשטות של קוד זדוני בתהליכים שונים באותה כרטיסייה. הגנת סיסמה נועדה לספק התראות כשמשתמשים בסיסמה ארגונית בחשבון לשימוש אישי, ולבדוק אם סיסמאות שמורות של המשתמש נחשפו בפרצה מקוונת. בתרחיש הזה, הדפדפן יבקש מהמשתמש לשנות את הסיסמה.

התכונות הבאות של Chromebook עוזרות להגן מפני פישינג ומתקפות תוכנת כופר:

• מערכת הפעלה לקריאה בלבד (Chrome OS). המערכת הזו מתוכננת להתעדכן כל הזמן ובאופן שלא נראה למשתמשים. ‫ChromeOS עוזר להגן מפני נקודות החולשה העדכניות ביותר וכולל אמצעי בקרה שמבטיחים שאפליקציות ותוספים לא יוכלו לשנות אותו.
• הרצה בארגז חול. כל אפליקציה פועלת בסביבה מבודדת, כך שאפליקציה מזיקה אחת לא יכולה להדביק בקלות אפליקציות אחרות.
• הפעלה מאומתת. בזמן האתחול של Chromebook, המערכת בודקת שלא בוצעו שינויים במערכת.
• גלישה בטוחה. מדי פעם, Chrome מוריד את הרשימה העדכנית של אתרים לא בטוחים במסגרת הגלישה הבטוחה. היא נועדה לבדוק את כתובות ה-URL של כל אתר שמשתמש מבקר בו, ולבדוק כל קובץ שמשתמש מוריד מול הרשימה הזו.
• צ'יפים לאבטחה של Google. השבבים האלה עוזרים להגן על מערכת ההפעלה מפני שיבוש זדוני.

כדי לצמצם את שטח הפנים של הארגון להתקפות, כדאי לשקול שימוש במכשירי Chromebook למשתמשים שעובדים בעיקר בדפדפן.

שיטות מומלצות לצמצום הסיכון למתקפות תוכנת כופר ב- Google Cloud

כדי להגן על המשאבים והנתונים של הארגון מפני התקפות תוכנת כופר, צריך להטמיע אמצעי בקרה רב-שכבתיים בסביבות המקומיות ובסביבות הענן.

בקטעים הבאים מתוארות שיטות מומלצות שיעזרו לארגון שלכם לזהות מתקפות של תוכנות כופר על Google Cloud, למנוע אותן, לגלות אותן ולהגיב להן.

זיהוי הסיכונים והנכסים

כדאי לפעול לפי השיטות המומלצות הבאות כדי לזהות את הסיכונים והנכסים ב-Google Cloud:

• משתמשים במאגר משאבי הענן כדי לשמור מלאי של המשאבים ב-Google Cloud למשך חמישה שבועות. כדי לנתח את השינויים, מייצאים את המטא-נתונים של הנכסים ל-BigQuery.
• אפשר להשתמש בכלי לניהול ביקורות ובסימולציות של נתיבי תקיפה ב-Security Command Center כדי לבצע הערכת סיכונים ולהעריך את פרופיל הסיכון הנוכחי. כדאי לשקול אפשרויות לביטוח סייבר שזמינות דרך התוכנית להגנה מסיכונים.
• אפשר להשתמש ב-Sensitive Data Protection כדי לגלות ולסווג את המידע האישי הרגיש.

שליטה בגישה למשאבים ולנתונים

כדי להגביל את הגישה למשאבים ולנתונים, כדאי לפעול לפי השיטות המומלצות הבאות: Google Cloud

• משתמשים בממשק לניהול הזהויות והרשאות הגישה (IAM) כדי להגדיר גישה פרטנית. אתם יכולים לנתח את ההרשאות שלכם באופן קבוע באמצעות הכלי להמלצות על תפקידים, כלי הניתוח למדיניות ו-Cloud Infrastructure Entitlement Management‏ (CIEM).
• חשוב להתייחס לחשבונות שירות כאל זהויות עם הרשאות גבוהות. כדאי לשקול אימות ללא מפתח באמצעות איחוד שירותי אימות הזהות של עומסי עבודה ולהגדיר את ההרשאות בהתאם. שיטות מומלצות לשימוש בחשבונות שירות
• אפשר לחייב אימות רב-שלבי לכל המשתמשים באמצעות Cloud Identity, ולהשתמש במפתח האבטחה Titan שעמיד בפני פישינג.

הגנה על נתונים קריטיים

כדי להגן על הנתונים הרגישים, כדאי לפעול לפי השיטות המומלצות הבאות:

• מגדירים יתירות (N+2) באפשרות האחסון בענן שבה משתמשים לאחסון הנתונים. אם אתם משתמשים ב-Cloud Storage, אתם יכולים להפעיל את התכונה ניהול גרסאות של אובייקטים או את התכונה 'נעילת קטגוריה'.
• הטמעה של גיבויים למסדי נתונים (לדוגמה, Cloud SQL) ולמאגרי קבצים (לדוגמה, Filestore) ובדיקה שלהם באופן קבוע, ואחסון עותקים במיקומים מבודדים. מומלץ להשתמש בשירות Backup and DR לגיבוי מקיף של עומסי עבודה. חשוב לאמת את יכולות השחזור לעיתים קרובות.
• מבצעים רוטציה של המפתחות באופן קבוע ועוקבים אחרי פעילויות שקשורות למפתחות. אם משתמשים במפתחות באספקת הלקוח (CSEK) או ב-Cloud External Key Manager ‏ (Cloud EKM), חשוב לוודא שיש תהליכים חזקים של גיבוי חיצוני ורוטציה.

רשת ותשתית מאובטחות

כדאי ליישם את השיטות המומלצות הבאות כדי לאבטח את הרשת והתשתית:

• כדאי להשתמש בתשתית כקוד (כמו Terraform) עם תוכנית הבסיס של הארגון כבסיס מאובטח כדי להבטיח מצבים תקינים ולאפשר פריסות מהירות ועקביות.
• מפעילים את VPC Service Controls כדי ליצור מתחם היקפי שמבודד את המשאבים והנתונים. שימוש ב-Cloud Load Balancing עם כללי חומת אש וקישוריות מאובטחת (באמצעות Cloud VPN או Cloud Interconnect) לסביבות היברידיות.

• מטמיעים מדיניות ארגון מגבילה, כמו המדיניות הבאה:

  • הגבלת הגישה לכתובות IP ציבוריות ב-notebooks ובמופעים חדשים של Vertex AI Workbench
  • הגבלת הגישה לכתובות IP ציבוריות במכונות Cloud SQL
  • השבתת הגישה ליציאה טורית של מכונה וירטואלית
  • מכונות וירטואליות מוגנות

הגנה על עומסי העבודה

כדי להגן על עומסי העבודה, כדאי לפעול לפי השיטות המומלצות הבאות:

• שילוב אבטחה בכל שלב במחזור החיים של פיתוח התוכנה. עבור עומסי עבודה ב-GKE, כדאי להטמיע אבטחה של שרשרת אספקת התוכנה, כולל בנייה מהימנה, בידוד אפליקציות ובידוד פודים.
• משתמשים ב-Cloud Build כדי לעקוב אחרי שלבי הבנייה וב-Artifact Registry כדי להשלים סריקת נקודות חולשה בקובצי האימג' של הקונטיינרים. תוכלו להשתמש ב-Binary Authorization כדי לוודא שהתמונות עומדות בתקנים שלכם.
• משתמשים ב-Google Cloud Armor לסינון בשכבה 7 ולהגנה מפני מתקפות אינטרנט נפוצות.
• משתמשים בשדרוגים אוטומטיים של GKE ובחלונות תחזוקה. אוטומציה של גרסאות build ב-Cloud Build כדי לכלול בדיקת נקודות חולשה כשמבצעים קומיטים של קוד.

זיהוי התקפות

כדי לזהות מתקפות, כדאי ליישם את השיטות המומלצות הבאות:

• אפשר להשתמש ב-Cloud Logging כדי לנהל ולנתח את היומנים מהשירותים ב- Google Cloud וב-Cloud Monitoring כדי למדוד את הביצועים של השירות והמשאבים.
• אפשר להשתמש ב-Security Command Center כדי לזהות מתקפות פוטנציאליות ולנתח התראות.
• כדי לבצע ניתוח אבטחה מעמיק ולזהות איומים, משלבים את Google Security Operations.

תכנון תקריות

• השלמת תוכניות המשכיות עסקית ותוכניות התאוששות מאסון (DR).

• ליצור תוכנית פעולה לתגובה לאירוע של תוכנת כופר ולבצע תרגילים. כדאי לתרגל באופן קבוע את הליכי השחזור כדי לוודא שאתם מוכנים לכל תרחיש ולזהות פערים.

• חשוב להבין את המחויבויות שלכם לדווח על התקפות לרשויות, ולכלול בתוכנית הפעולה פרטי קשר רלוונטיים.

למידע נוסף על שיטות מומלצות לאבטחה, אפשר לעיין בWell-Architected Framework: עמודת האבטחה, הפרטיות והתאימות.

תגובה למתקפות והתאוששות מהן

כשמזהים מתקפת תוכנת כופר, מפעילים את תוכנית התגובה לאירוע. אחרי שמוודאים שהאירוע הוא לא אזעקת שווא ושהוא משפיע על השירותים שלכם ב-Google Cloud , פותחים כרטיס תמיכה ברמת חומרה P1. Cloud Customer Care מגיב בהתאם לזמנים שמופיעים בGoogle Cloud: ההנחיות לשירותי תמיכה טכנית (TSS).

אחרי שמפעילים את התוכנית, צריך לאסוף את הצוות בארגון שצריך להיות מעורב בתהליכי התיאום והטיפול באירועים. חשוב לוודא שהכלים והתהליכים האלה קיימים כדי לחקור את האירוע ולפתור אותו.

פועלים לפי תוכנית התגובה לאירועים כדי להסיר את תוכנת הכופר ולשחזר את הסביבה למצב תקין. בהתאם לחומרת המתקפה ולאמצעי הבקרה לאבטחה שהפעלתם, התוכנית שלכם יכולה לכלול פעילויות כמו:

• העברה להסגר של מערכות נגועות.
• שחזור מגיבויים תקינים.
• שחזור התשתית למצב טוב קודם באמצעות צינור עיבוד הנתונים של CI/CD.
• אימות ההסרה של נקודת החולשה.
• תיקון כל המערכות שעשויות להיות פגיעות למתקפה דומה.
• להטמיע את אמצעי הבקרה שנדרשים כדי למנוע התקפה דומה.

במהלך תהליך ההתקדמות בטיפול בפנייה, חשוב להמשיך לעקוב אחרי כרטיס התמיכה שלכם ב-Google. נציגי Cloud Customer Care ינקטו פעולות מתאימות תוךGoogle Cloud כדי לבודד את הסביבה שלכם, לחסל את האיום ולשחזר אותה (אם אפשר).

צריך לעדכן את צוות Cloud Customer Care כשהאירוע נפתר והסביבה שוחזרה. אם נקבעה פגישה כזו, כדאי להשתתף בפגישת רטרוספקטיבה משותפת עם נציג Google.

חשוב להפיק לקחים מהאירוע ולהגדיר את אמצעי הבקרה שנדרשים כדי למנוע התקפה דומה. בהתאם לאופי המתקפה, אפשר לשקול את הפעולות הבאות:

• לכתוב כללי זיהוי והתראות שיופעלו אוטומטית אם ההתקפה תתרחש שוב.
• עדכנו את תוכנית הפעולה שלכם לתגובה לתקריות כך שתכלול את כל הלקחים שהפקתם.
• שיפור מצב האבטחה על סמך הממצאים הרטרוספקטיביים.

המאמרים הבאים

• כדי להבטיח את המשכיות העסקית ולהגן על העסק מפני אירועי סייבר שליליים, אפשר להשתמש במסגרת האבטחה והחוסן.
• אפשר לפנות ליועצים של Mandiant כדי לקבל הערכה בנושא הגנה מפני תוכנות כופר.
• כדאי לעיין בGoogle Cloud Well-Architected Framework כדי לקבל מידע על שיטות מומלצות נוספות.
• מידע על האופן שבו Google מנהלת אירועים מופיע במאמר תהליך התגובה לאירועי אבטחת מידע.