Mitigare gli attacchi di ransomware utilizzando Google Cloud

Il codice creato da una terza parte per infiltrarsi nei tuoi sistemi per dirottare, criptare e rubare dati è chiamato ransomware. Per aiutarti a mitigare gli attacchi ransomware, Google Cloud ti fornisce controlli per identificare, proteggere, rilevare, rispondere e ripristinare gli attacchi. Questi controlli ti aiutano a:

• Valuta il tuo rischio.
• Proteggi la tua attività dalle minacce.
• Mantenere le operazioni continue.
• Consente una risposta e un recupero rapidi.

Questo documento è rivolto ad architetti e amministratori della sicurezza. Descrive la sequenza di attacco ransomware e in che modo Google Cloud può aiutare la tua organizzazione a mitigare gli effetti degli attacchi ransomware.

Sequenza di attacco ransomware

Gli attacchi ransomware possono iniziare come campagne di massa alla ricerca di potenziali vulnerabilità o come campagne mirate. Una campagna mirata inizia con l'identificazione e la ricognizione, in cui un malintenzionato determina quali organizzazioni sono vulnerabili e quale vettore di attacco utilizzare.

Esistono molti vettori di attacco ransomware. I vettori più comuni sono le email di phishing con URL dannosi o lo sfruttamento di una vulnerabilità del software esposta. Questa vulnerabilità del software può riguardare il software utilizzato dalla tua organizzazione o una vulnerabilità esistente nella catena di fornitura del software. Gli autori di attacchi ransomware prendono di mira le organizzazioni, la loro catena di fornitura e i loro clienti.

Quando l'attacco iniziale va a buon fine, il ransomware si installa e contatta il server di comando e controllo per recuperare le chiavi di crittografia. Man mano che il ransomware si diffonde nella rete, può infettare le risorse, criptare i dati utilizzando le chiavi recuperate ed esfiltrare i dati. Gli aggressori chiedono un riscatto, in genere in criptovalute, all'organizzazione per ottenere la chiave di decrittazione.

Il seguente diagramma riepiloga la sequenza tipica di un attacco ransomware spiegata nei paragrafi precedenti, dall'identificazione e la ricognizione all'esfiltrazione dei dati e alla richiesta di riscatto.

Il ransomware è spesso difficile da rilevare. È fondamentale, quindi, che tu metta in atto funzionalità di prevenzione, monitoraggio e rilevamento e che la tua organizzazione sia pronta a rispondere rapidamente quando qualcuno scopre un attacco.

Controlli di sicurezza e resilienza in Google Cloud

Google Cloud include controlli di sicurezza e resilienza integrati per proteggere i clienti dagli attacchi ransomware. Questi controlli includono quanto segue:

• Infrastruttura globale progettata con sicurezza durante tutto il ciclo di vita del trattamento delle informazioni.
• Funzionalità di rilevamento integrate per prodotti e servizi, come monitoraggio, rilevamento delle minacce, prevenzione della perdita di dati e controlli dell'accesso. Google Cloud
• Controlli preventivi integrati, come Assured Workloads
• Alta disponibilità con cluster regionali e bilanciatori del carico globali.
• Backup integrato, con servizi scalabili.
• Funzionalità di automazione che utilizzano Infrastructure as Code e guardrail di configurazione.

Google Threat Intelligence, VirusTotal e Mandiant Digital Threat Monitoring monitorano e rispondono a molti tipi di malware, incluso il ransomware, nell'infrastruttura e nei prodotti Google. Google Threat Intelligence è un team di ricercatori sulle minacce che sviluppano threat intelligence per i prodotti Google Cloud . VirusTotal è una soluzione di visualizzazione e database di malware che ti offre una migliore comprensione del funzionamento del malware all'interno della tua azienda. Mandiant Digital Threat Monitoring e altri servizi Mandiant forniscono ricerca sulle minacce, consulenza e assistenza per la risposta agli incidenti.

Per ulteriori informazioni sui controlli di sicurezza integrati, consulta la panoramica sulla sicurezza di Google e la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Controlli di sicurezza e resilienza in Google Workspace, nel browser Chrome e nei Chromebook

Oltre ai controlli all'interno di Google Cloud, altri prodotti Google come Google Workspace, il browser Google Chrome e Chromebook includono controlli di sicurezza che possono contribuire a proteggere la tua organizzazione dagli attacchi ransomware. Ad esempio, i prodotti Google forniscono controlli di sicurezza che consentono ai lavoratori da remoto di accedere alle risorse da qualsiasi luogo, in base alla loro identità e al contesto (come la posizione o l'indirizzo IP).

Come descritto nella sezione Sequenza di attacco ransomware, l'email è un vettore chiave per molti attacchi ransomware. Può essere sfruttato per il phishing di credenziali per l'accesso fraudolento alla rete e per distribuire direttamente i binari ransomware. La protezione avanzata da phishing e malware in Gmail fornisce controlli per mettere in quarantena le email, difende da tipi di allegati pericolosi e aiuta a proteggere gli utenti dalle email di spoofing in entrata. La sandbox per la sicurezza è progettata per rilevare la presenza di malware precedentemente sconosciuto negli allegati.

Il browser Chrome include Google Navigazione sicura, progettata per fornire avvisi agli utenti quando tentano di accedere a un sito infetto o dannoso. Le sandbox e l'isolamento dei siti aiutano a proteggere dalla diffusione di codice dannoso all'interno di processi diversi nella stessa scheda. Protezione tramite password è progettata per fornire avvisi quando una password aziendale viene utilizzata su un account personale e verifica se una delle password salvate dell'utente è stata compromessa in una violazione online. In questo scenario, il browser chiede all'utente di cambiare la password.

Le seguenti funzionalità di Chromebook aiutano a proteggere da attacchi di phishing e ransomware:

• Sistema operativo di sola lettura (ChromeOS). Questo sistema è progettato per aggiornarsi costantemente e in modo invisibile. Chrome OS aiuta a proteggere dalle vulnerabilità più recenti e include controlli che garantiscono che applicazioni ed estensioni non possano modificarlo.
• Limitazione tramite sandbox. Ogni applicazione viene eseguita in un ambiente isolato, quindi un'applicazione dannosa non può infettare facilmente altre applicazioni.
• Avvio verificato. Durante l'avvio, Chromebook è progettato per verificare che il sistema non sia stato modificato.
• Navigazione sicura. Chrome scarica periodicamente l'elenco più recente di siti non sicuri di Navigazione sicura. È progettato per controllare gli URL di ogni sito visitato da un utente e ogni file scaricato dall'utente rispetto a questo elenco.
• Chip di sicurezza di Google. Questi chip contribuiscono a proteggere il sistema operativo da manomissioni dannose.

Per contribuire a ridurre la superficie di attacco della tua organizzazione, prendi in considerazione i Chromebook per gli utenti che lavorano principalmente in un browser.

Best practice per mitigare gli attacchi ransomware su Google Cloud

Per proteggere le risorse e i dati aziendali dagli attacchi ransomware, devi implementare controlli a più livelli negli ambienti on-premise e cloud.

Le sezioni seguenti descrivono le best practice per aiutare la tua organizzazione a identificare, prevenire, rilevare e rispondere agli attacchi ransomware su Google Cloud.

Identificare i rischi e gli asset

Prendi in esame le seguenti best practice per identificare i rischi e gli asset in Google Cloud:

• Utilizza Cloud Asset Inventory per mantenere un inventario di cinque settimane delle tue risorse in Google Cloud. Per analizzare le modifiche, esporta i metadati degli asset in BigQuery.
• Utilizza Audit Manager e le simulazioni del percorso di attacco in Security Command Center e la valutazione del rischio per valutare il tuo profilo di rischio attuale. Valuta le opzioni di assicurazione informatica disponibili tramite il Programma di protezione dai rischi.
• Utilizza Sensitive Data Protection per rilevare e classificare i tuoi dati sensibili.

Controllare l'accesso alle risorse e ai dati

Prendi in esame le seguenti best practice per limitare l'accesso a Google Cloud risorse e dati:

• Utilizza Identity and Access Management (IAM) per configurare l'accesso granulare. Puoi analizzare regolarmente le tue autorizzazioni utilizzando Role Recommender, Policy Analyzer e Cloud Infrastructure Entitlement Management (CIEM).
• Tratta i service account come identità con privilegi elevati. Valuta l'autenticazione senza chiavi utilizzando la federazione delle identità per i workload e definisci l'ambito delle tue autorizzazioni in modo appropriato. Per le best practice sulla protezione dei service account, consulta Best practice per l'utilizzo dei service account.
• Imponi l'autenticazione a più fattori per tutti gli utenti tramite Cloud Identity e utilizza il token di sicurezza Titan resistente al phishing.

Proteggere i dati critici

Prendi in esame le seguenti best practice per proteggere i tuoi dati sensibili:

• Configura la ridondanza (N+2) nell'opzione di archiviazione cloud che utilizzi per archiviare i tuoi dati. Se utilizzi Cloud Storage, puoi attivare il controllo delle versioni degli oggetti o la funzionalità di blocco del bucket.
• Implementa e testa regolarmente i backup per database (ad esempio Cloud SQL) e filestore (ad esempio Filestore), archiviando copie in posizioni isolate. Valuta la possibilità di utilizzare Backup e DR per un backup completo dei carichi di lavoro. Verifica spesso le funzionalità di recupero.
• Ruota regolarmente le chiavi e monitora le attività correlate alle chiavi. Se utilizzi chiavi fornite dal cliente (CSEK) o Cloud External Key Manager (Cloud EKM), assicurati di disporre di processi di backup e rotazione esterni robusti.

Rete e infrastruttura sicure

Tieni a mente le seguenti best practice per proteggere la rete e l'infrastruttura:

• Utilizza Infrastructure as Code (come Terraform) con il progetto base per la sicurezza come base sicura per garantire stati noti e consentire implementazioni rapide e coerenti.
• Attiva i Controlli di servizio VPC per creare un perimetro che isoli le risorse e i dati. Utilizza Cloud Load Balancing con regole firewall e connettività sicura (utilizzando Cloud VPN o Cloud Interconnect) per gli ambienti ibridi.

• Implementa policy dell'organizzazione restrittive, ad esempio le seguenti:

  • Limita l'accesso all'IP pubblico sui nuovi notebook e istanze di Vertex AI Workbench.
  • Limita l'accesso IP pubblico nelle istanze Cloud SQL
  • Disattiva l'accesso alla porta seriale VM
  • Shielded VM

Proteggere i workload

Prendi in esame le seguenti best practice per proteggere i tuoi workload:

• Integra la sicurezza in ogni fase del ciclo di vita di sviluppo del software. Per i carichi di lavoro GKE, implementa la sicurezza della catena di fornitura del software, incluse build attendibili, isolamento delle applicazioni e isolamento dei pod.
• Utilizza Cloud Build per monitorare i passaggi di build e Artifact Registry per completare l'analisi delle vulnerabilità sulle immagini container. Utilizza Binary Authorization per verificare che le tue immagini soddisfino i tuoi standard.
• Utilizza Google Cloud Armor per il filtro di livello 7 e la protezione da attacchi web comuni.
• Utilizza gli upgrade automatici di GKE e le finestre di manutenzione. Automatizza le build in Cloud Build per includere l'analisi delle vulnerabilità al momento del commit del codice.

Rilevare gli attacchi

Prendi in esame le seguenti best practice per rilevare gli attacchi:

• Utilizza Cloud Logging per gestire e analizzare i log dei tuoi servizi in Google Cloud e Cloud Monitoring per misurare le prestazioni del tuo servizio e delle tue risorse.
• Utilizza Security Command Center per rilevare potenziali attacchi e analizzare gli avvisi.
• Per un'analisi approfondita della sicurezza e la ricerca delle minacce, esegui l'integrazione con Google Security Operations.

Pianificare gli incidenti

• Completa i piani di continuità aziendale e di recupero di emergenza.

• Crea un playbook di risposta agli incidenti di ransomware ed esegui esercizi di simulazione. Esercitati regolarmente con le procedure di ripristino per garantire la preparazione e identificare le lacune.

• Comprendi i tuoi obblighi di segnalazione degli attacchi alle autorità e includi le informazioni di contatto pertinenti nel tuo playbook.

Per ulteriori best practice per la sicurezza, consulta Well-Architected Framework: pilastro di sicurezza, privacy e conformità.

Rispondere agli attacchi e ripristinare i sistemi

Quando rilevi un attacco ransomware, attiva il piano di risposta agli incidenti. Dopo aver confermato che l'incidente non è un falso positivo e che interessa i tuoi serviziGoogle Cloud , apri una richiesta di assistenza P1. Cloud Customer Care risponde come documentato nelle Google Cloud: linee guida per i servizi di assistenza tecnica.

Dopo aver attivato il piano, riunisci il team della tua organizzazione che deve essere coinvolto nelle procedure di coordinamento e risoluzione degli incidenti. Assicurati che siano disponibili strumenti e processi per indagare e risolvere l'incidente.

Segui il piano di risposta agli incidenti per rimuovere il ransomware e ripristinare l'ambiente in uno stato integro. A seconda della gravità dell'attacco e dei controlli di sicurezza che hai attivato, il tuo piano può includere attività come le seguenti:

• Mettere in quarantena i sistemi infetti.
• Ripristino da backup integri.
• Ripristino dell'infrastruttura a uno stato precedente noto come buono utilizzando la pipeline CI/CD.
• Verifica che la vulnerabilità sia stata rimossa.
• Applicare patch a tutti i sistemi che potrebbero essere vulnerabili a un attacco simile.
• Implementando i controlli necessari per evitare un attacco simile.

Man mano che procedi con la procedura di risposta, continua a monitorare il ticket di assistenza Google. Cloud Customer Care intraprende le azioni appropriate entro Google Cloud per contenere, eliminare e (se possibile) recuperare il tuo ambiente.

Informa l'assistenza clienti Google Cloud quando l'incidente viene risolto e l'ambiente viene ripristinato. Se è prevista una retrospettiva, partecipa a una retrospettiva con il tuo rappresentante di Google.

Assicurati di acquisire tutte le lezioni apprese dall'incidente e di implementare i controlli necessari per evitare un attacco simile. A seconda della natura dell'attacco, potresti prendere in considerazione le seguenti azioni:

• Scrivi regole di rilevamento e avvisi che si attiverebbero automaticamente in caso di nuovo attacco.
• Aggiorna il playbook di risposta agli incidenti per includere eventuali lezioni apprese.
• Migliora la tua strategia di sicurezza in base ai risultati della retrospettiva.

Passaggi successivi

• Garantisci la continuità e proteggi la tua azienda da eventi informatici avversi utilizzando il framework per la sicurezza e la resilienza.
• Contatta i consulenti di Mandiant per una valutazione della difesa dal ransomware.
• Consulta il Google Cloud Well-Architected Framework per altre best practice.
• Per informazioni su come Google gestisce gli incidenti, consulta Processo di risposta agli incidenti relativi ai dati.