Memitigasi serangan ransomware menggunakan Google Cloud

Kode yang dibuat oleh pihak ketiga untuk menyusup ke sistem Anda guna membajak, mengenkripsi, dan mencuri data disebut sebagai ransomware. Untuk membantu Anda memitigasi serangan ransomware, Google Cloud menyediakan kontrol untuk mengidentifikasi, melindungi, mendeteksi, merespons, dan memulihkan dari serangan. Kontrol ini membantu Anda melakukan hal berikut:

• Menilai risiko Anda.
• Melindungi bisnis Anda dari ancaman.
• Mempertahankan operasi yang berkelanjutan.
• Memungkinkan respons dan pemulihan yang cepat.

Dokumen ini ditujukan untuk arsitek keamanan dan administrator. Dokumen ini menjelaskan urutan serangan ransomware dan cara Google Cloud dapat membantu organisasi Anda memitigasi efek serangan ransomware.

Urutan serangan ransomware

Serangan ransomware dapat dimulai sebagai kampanye massal untuk mencari potensi kerentanan atau sebagai kampanye yang diarahkan. Kampanye terarah dimulai dengan identifikasi dan pengintaian, yaitu saat penyerang menentukan organisasi mana yang rentan dan vektor serangan apa yang akan digunakan.

Ada banyak vektor serangan ransomware. Vektor yang paling umum adalah email phishing dengan URL berbahaya atau mengeksploitasi kerentanan software yang terekspos. Kerentanan software ini dapat terjadi pada software yang digunakan organisasi Anda, atau kerentanan yang ada dalam supply chain software Anda. Penyerang ransomware menarget organisasi, supply chain mereka, dan pelanggan mereka.

Jika serangan awal berhasil, ransomware akan menginstal dengan sendirinya dan menghubungi server command and control untuk mengambil kunci enkripsi. Saat ransomware menyebar di seluruh jaringan, ransomware dapat menginfeksi resource, mengenkripsi data menggunakan kunci yang diambil, dan memindahkan data secara tidak sah. Penyerang meminta tebusan, biasanya dalam mata uang kripto, dari organisasi agar mereka dapat mendapatkan kunci dekripsi.

Diagram berikut merangkum urutan serangan ransomware yang umum yang dijelaskan dalam paragraf sebelumnya, mulai dari identifikasi dan pengintaian hingga pemindahan data yang tidak sah dan permintaan tebusan.

Ransomware sering kali sulit dideteksi. Oleh karena itu, sangat penting untuk Anda menerapkan kemampuan pencegahan, pemantauan, dan deteksi, serta memastikan organisasi Anda siap merespons dengan cepat saat seseorang menemukan serangan.

Kontrol keamanan dan ketahanan di Google Cloud

Google Cloud mencakup kontrol keamanan dan ketahanan bawaan untuk membantu melindungi pelanggan dari serangan ransomware. Kontrol ini mencakup hal berikut:

• Infrastruktur global yang didesain dengan keamanan di sepanjang siklus proses pemrosesan informasi.
• Fitur detektif bawaan untuk produk dan layanan, seperti pemantauan, deteksi ancaman, pencegahan kebocoran data, dan kontrol akses. Google Cloud
• Kontrol pencegahan bawaan, seperti Assured Workloads
• Ketersediaan tinggi dengan cluster regional dan load balancer global.
• Pencadangan bawaan dengan layanan yang dapat diskalakan.
• Kemampuan otomatisasi menggunakan Infrastruktur sebagai Kode dan pengaman konfigurasi.

Google Threat Intelligence, VirusTotal, dan Mandiant Digital Threat Monitoring melacak dan merespons berbagai jenis malware, termasuk ransomware, di seluruh infrastruktur dan produk Google. Google Threat Intelligence adalah tim peneliti ancaman yang mengembangkan kecerdasan ancaman untuk produk Google Cloud . VirusTotal adalah solusi visualisasi dan database malware yang menyediakan Anda pemahaman yang lebih baik tentang cara malware beroperasi di dalam perusahaan Anda. Mandiant Digital Threat Monitoring dan layanan Mandiant lainnya menyediakan dukungan riset ancaman, konsultasi, dan respons insiden.

Untuk informasi selengkapnya tentang kontrol keamanan bawaan, lihat Ringkasan keamanan Google dan Ringkasan desain keamanan infrastruktur Google.

Kontrol keamanan dan ketahanan di Google Workspace, browser Chrome, dan Chromebook

Selain kontrol dalam Google Cloud, produk Google lainnya seperti Google Workspace, browser Google Chrome, dan Chromebook menyertakan kontrol keamanan yang dapat membantu melindungi organisasi Anda dari serangan ransomware. Misalnya, produk Google menyediakan kontrol keamanan yang memungkinkan pekerja jarak jauh mengakses resource dari mana saja, berdasarkan identitas dan konteks mereka (seperti lokasi atau alamat IP).

Seperti yang dijelaskan di bagian Urutan serangan ransomware, email adalah vektor utama untuk banyak serangan ransomware. Email ini dapat dieksploitasi untuk melakukan phishing kredensial untuk akses jaringan yang bersifat menipu dan mendistribusikan biner ransomware secara langsung. Perlindungan lanjutan terhadap phishing dan malware di Gmail menyediakan kontrol untuk mengarantina email, melindungi dari jenis lampiran berbahaya, dan membantu melindungi pengguna dari email spoofing masuk. Sandbox Keamanan didesain untuk mendeteksi keberadaan malware yang sebelumnya tidak dikenal dalam lampiran.

Browser Chrome menyertakan Google Safe Browsing, yang didesain untuk memberikan peringatan kepada pengguna saat mereka mencoba mengakses situs yang terinfeksi atau berbahaya. Sandbox dan isolasi situs membantu melindungi dari penyebaran kode berbahaya dalam berbagai proses pada tab yang sama. Perlindungan sandi didesain untuk menyediakan peringatan saat sandi perusahaan digunakan di akun pribadi, dan memeriksa apakah ada sandi tersimpan pengguna yang telah disusupi melalui pelanggaran online. Dalam skenario ini, browser akan meminta pengguna untuk mengubah sandi mereka.

Fitur Chromebook berikut membantu melindungi dari serangan phishing dan ransomware:

• Sistem operasi hanya baca (ChromeOS). Sistem ini didesain untuk diperbarui secara konstan dan tidak terlihat. ChromeOS membantu memberikan perlindungan dari kerentanan terbaru dan menyertakan kontrol yang memastikan bahwa aplikasi dan ekstensi tidak dapat mengubahnya.
• Sandbox. Setiap aplikasi berjalan di lingkungan yang terisolasi, sehingga satu aplikasi berbahaya tidak dapat menginfeksi aplikasi lain dengan mudah.
• Booting terverifikasi. Selagi Chromebook melakukan booting, Chromebook didesain untuk memeriksa bahwa sistem belum diubah.
• Safe Browsing. Chrome secara berkala mendownload daftar Safe Browsing terbaru dari situs yang tidak aman. Fitur ini didesain untuk memeriksa URL setiap situs yang dikunjungi pengguna dan memeriksa setiap file yang didownload pengguna berdasarkan daftar ini.
• Chip keamanan Google. Chip ini membantu melindungi sistem operasi dari sabotase berbahaya.

Untuk membantu mengurangi permukaan serangan organisasi Anda, pertimbangkan Chromebook untuk pengguna yang terutama bekerja menggunakan browser.

Praktik terbaik untuk memitigasi serangan ransomware di Google Cloud

Untuk melindungi resource dan data perusahaan Anda dari serangan ransomware, Anda harus menerapkan keamanan berlapis di seluruh jaringan lokal dan lingkungan cloud Anda.

Bagian berikut menjelaskan praktik terbaik untuk membantu organisasi Anda mengidentifikasi, mencegah, mendeteksi, dan merespons serangan ransomware di Google Cloud.

Mengidentifikasi risiko dan aset Anda

Pertimbangkan praktik terbaik berikut untuk mengidentifikasi risiko dan aset Anda di Google Cloud:

• Gunakan Inventaris Aset Cloud untuk mempertahankan inventaris resource Anda selama lima minggu di Google Cloud. Untuk menganalisis perubahan, ekspor metadata aset Anda ke BigQuery.
• Gunakan Audit Manager dan simulasi jalur serangan di Security Command Center untuk melakukan penilaian risiko dan menilai profil risiko Anda saat ini. Pertimbangkan opsi asuransi cyber yang tersedia melalui Program Perlindungan Risiko.
• Gunakan Sensitive Data Protection untuk menemukan dan mengklasifikasikan data sensitif Anda.

Mengontrol akses ke resource dan data Anda

Pertimbangkan praktik terbaik berikut untuk membatasi akses ke Google Cloud resource dan data:

• Gunakan Identity and Access Management (IAM) untuk menyiapkan akses terperinci. Anda dapat menganalisis izin Anda secara rutin menggunakan pemberi rekomendasi peran, Penganalisis Kebijakan, dan Cloud Infrastructure Entitlement Management (CIEM).
• Perlakukan akun layanan sebagai identitas dengan hak istimewa tinggi. Pertimbangkan autentikasi tanpa kunci menggunakan Workload Identity Federation dan tetapkan cakupan izin Anda dengan tepat. Untuk praktik terbaik dalam melindungi akun layanan, lihat Praktik terbaik untuk menggunakan akun layanan.
• Wajibkan autentikasi multi-faktor untuk semua pengguna melalui Cloud Identity dan gunakan Kunci Keamanan Titan yang tahan terhadap phishing.

Melindungi data penting

Pertimbangkan praktik terbaik berikut untuk membantu melindungi data sensitif Anda:

• Konfigurasikan redundansi (N+2) pada opsi penyimpanan cloud yang Anda gunakan untuk menyimpan data. Jika Anda menggunakan Cloud Storage, Anda dapat mengaktifkan Pembuatan Versi Objek atau fitur Penguncian Bucket.
• Terapkan dan uji cadangan database secara rutin (misalnya, Cloud SQL) dan filestore (misalnya, Filestore), dengan menyimpan salinan di lokasi terisolasi. Pertimbangkan Backup and DR Service untuk pencadangan beban kerja yang komprehensif. Verifikasi kemampuan pemulihan secara berkala.
• Rotasikan kunci Anda secara rutin dan pantau aktivitas yang terkait dengan kunci. Jika menggunakan kunci yang disediakan pelanggan (CSEK) atau Cloud External Key Manager (Cloud EKM), pastikan proses pencadangan dan rotasi eksternal yang kuat.

Jaringan dan infrastruktur yang aman

Pertimbangkan praktik terbaik berikut untuk mengamankan jaringan dan infrastruktur Anda:

• Gunakan Infrastructure as Code (seperti Terraform) dengan blueprint dasar-dasar perusahaan sebagai dasar yang aman untuk memastikan status yang baik dan memungkinkan deployment yang cepat dan konsisten.
• Aktifkan Kontrol Layanan VPC untuk membuat perimeter yang mengisolasi resource dan data Anda. Gunakan Cloud Load Balancing dengan aturan firewall, dan konektivitas yang aman (menggunakan Cloud VPN atau Cloud Interconnect) untuk lingkungan hybrid.

• Terapkan kebijakan organisasi yang ketat seperti berikut:

  • Membatasi akses IP publik di notebook dan instance Vertex AI Workbench baru
  • Batasi akses IP Publik di instance Cloud SQL
  • Menonaktifkan akses port serial VM
  • Shielded VM

Melindungi workload Anda

Pertimbangkan praktik terbaik berikut untuk membantu melindungi workload Anda:

• Integrasikan keamanan ke dalam setiap fase siklus proses pengembangan software Anda. Untuk workload GKE, terapkan keamanan supply chain software, termasuk build tepercaya, isolasi aplikasi, dan isolasi pod.
• Gunakan Cloud Build untuk melacak langkah-langkah build Anda dan Artifact Registry untuk menyelesaikan pemindaian kerentanan pada image container Anda. Gunakan Binary Authorization untuk memverifikasi bahwa gambar Anda telah memenuhi standar.
• Gunakan Google Cloud Armor untuk pemfilteran Lapisan 7 dan perlindungan terhadap serangan web umum.
• Gunakan upgrade otomatis GKE dan masa pemeliharaan. Otomatiskan build di Cloud Build untuk menyertakan pemindaian kerentanan saat melakukan commit kode.

Mendeteksi serangan

Pertimbangkan praktik terbaik berikut untuk membantu Anda mendeteksi serangan:

• Gunakan Cloud Logging untuk mengelola dan menganalisis log dari layanan Anda di Google Cloud dan Cloud Monitoring untuk mengukur performa layanan dan resource Anda.
• Gunakan Security Command Center untuk mendeteksi potensi serangan dan menganalisis pemberitahuan.
• Untuk analisis keamanan mendalam dan perburuan ancaman, lakukan integrasi dengan Google Security Operations.

Merencanakan penanganan insiden

• Lengkapi rencana kelangsungan bisnis dan pemulihan dari bencana.

• Buat playbook respons insiden terhadap ransomware, dan lakukan latihan di atas meja. Latih prosedur pemulihan secara rutin untuk memastikan kesiapan dan mengidentifikasi kekurangan.

• Pahami kewajiban Anda untuk melaporkan serangan kepada pihak berwenang dan sertakan informasi kontak yang relevan dalam playbook Anda.

Untuk mengetahui praktik terbaik keamanan lainnya, lihat Pilar Framework yang Dirancang dengan Baik: Keamanan, privasi, dan kepatuhan.

Merespons dan memulihkan dari serangan

Ketika Anda mendeteksi serangan ransomware, segera aktifkan rencana respons insiden Anda. Setelah Anda mengonfirmasi bahwa insiden tersebut bukan positif palsu (PP) dan memengaruhi layananGoogle Cloud Anda, buka kasus dukungan P1. Cloud Customer Care merespons seperti yang didokumentasikan dalam Google Cloud: Panduan Layanan Dukungan Teknis.

Setelah mengaktivasi rencana Anda, kumpulkan tim dalam organisasi Anda yang perlu dilibatkan dalam proses koordinasi dan resolusi insiden. Pastikan bahwa alat dan proses ini tersedia untuk menyelidiki dan menyelesaikan insiden.

Ikuti rencana respons insiden Anda untuk menghapus ransomware dan memulihkan lingkungan Anda ke kondisi yang sehat. Bergantung pada tingkat keparahan serangan dan kontrol keamanan yang telah Anda aktifkan, rencana Anda dapat mencakup aktivitas seperti berikut:

• Mengarantina sistem yang terinfeksi.
• Memulihkan dari cadangan yang masih sehat.
• Mengembalikan infrastruktur Anda ke kondisi baik sebelumnya menggunakan pipeline CI/CD Anda.
• Memverifikasi bahwa kerentanan telah diperbaiki.
• Mem-patch semua sistem yang mungkin rentan terhadap serangan serupa.
• Menerapkan kontrol yang Anda perlukan untuk menghindari serangan serupa.

Seiring Anda melewati proses respons, terus pantau tiket dukungan Google Anda. Layanan Pelanggan Cloud mengambil tindakan yang sesuai dalam Google Cloud untuk mengatasi, membasmi, dan (jika memungkinkan) memulihkan lingkungan Anda.

Beri tahu Cloud Customer Care saat insiden Anda telah teratasi dan lingkungan Anda telah dipulihkan. Jika ada agenda yang dijadwalkan, berpartisipasilah dalam retrospektif bersama dengan perwakilan Google Anda.

Pastikan bahwa Anda mengambil pelajaran yang dapat dipetik dari insiden tersebut, dan tetapkan kontrol yang Anda perlukan untuk menghindari serangan serupa. Bergantung pada sifat serangannya, Anda dapat mempertimbangkan tindakan berikut:

• Menulis aturan deteksi dan peringatan yang akan otomatis terpicu jika serangan terjadi lagi.
• Perbarui playbook respons insiden Anda untuk mencantumkan semua pelajaran yang diperoleh.
• Meningkatkan postur keamanan berdasarkan temuan retrospektif Anda.

Langkah berikutnya

• Membantu memastikan kelangsungan dan melindungi bisnis Anda dari peristiwa cyber yang merugikan menggunakan Framework keamanan dan ketahanan.
• Hubungi konsultan Mandiant untuk mendapatkan penilaian pertahanan dari ransomware.
• Tinjau Google Cloud Framework yang Dirancang dengan Baik untuk mengetahui praktik terbaik tambahan.
• Untuk mengetahui informasi tentang cara Google mengelola insiden, lihat Proses respons insiden data.