Mitigar ataques de ransomware usando o Google Cloud

O ransomware é um código criado por terceiros para se infiltrar nos seus sistemas a fim de invadir, criptografar e roubar dados. Para ajudar a reduzir ataques de ransomware, o Google Cloud oferece controles para identificar, proteger, detectar, responder e se recuperar de ataques. Esses controles ajudam você a fazer o seguinte:

• avaliar seu risco;
• proteger seu negócio contra ameaças;
• manter operações contínuas;
• ativar resposta e recuperação rápidas.

Este documento é destinado a arquitetos e administradores de segurança. Ele descreve a sequência de um ataque de ransomware e como o Google Cloud pode ajudar sua organização a reduzir os efeitos desse tipo de ataque.

Sequência de ataques de ransomware

Os ataques de ransomware podem começar como campanhas direcionadas ou como campanhas em massa que buscam vulnerabilidades. Uma campanha direcionada começa com identificação e reconhecimento, quando um invasor determina as organizações que são vulneráveis e qual vetor de ataque será usado.

Há muitos vetores de ataque de ransomware. Os vetores mais comuns são e-mails de phishing com URLs maliciosos ou a exploração de vulnerabilidades de software expostas. Essa vulnerabilidade de software pode estar no software usado pela organização ou na cadeia de suprimentos de software. Os invasores que usam ransomware têm como alvo as organizações, a cadeia de suprimentos e os clientes delas.

Quando o ataque inicial é bem-sucedido, o ransomware é instalado automaticamente e entra em contato com o comando e o servidor de controle para recuperar as chaves de criptografia. À medida que o ransomware se espalha por toda a rede, ele pode infectar recursos, criptografar dados usando as chaves recuperadas e exfiltrar dados. Os invasores exigem um resgate da organização, normalmente em criptomoeda, para enviar a chave de descriptografia.

O diagrama a seguir resume a sequência típica de ataques de ransomware explicada nos parágrafos anteriores, desde a identificação e o reconhecimento até a exfiltração de dados e o pedido de resgate.

O ransomware costuma ser difícil de detectar. Portanto, é fundamental que você implemente recursos de prevenção, monitoramento e detecção e que sua organização esteja pronta para responder rapidamente quando alguém descobrir um ataque.

Controles de segurança e resiliência no Google Cloud

OGoogle Cloud inclui controles integrados de segurança e resiliência para proteger os clientes contra ataques de ransomware. Esses controles incluem o seguinte:

• Infraestrutura global projetada com segurança durante todo o ciclo de vida do processamento de informações.
• Recursos de detecção integrados para produtos e serviços do Google Cloud , como monitoramento, detecção de ameaças, prevenção contra perda de dados e controles de acesso.
• Controles preventivos integrados, como o Assured Workloads
• Alta disponibilidade com clusters regionais e balanceadores de carga globais.
• Backup integrado, com serviços escalonáveis.
• Recursos de automação usando infraestrutura como código e proteções de configuração.

A Inteligência do Google contra ameaças, o VirusTotal e o Monitoramento de ameaças digitais da Mandiant monitoram e respondem a muitos tipos de malware, incluindo ransomware, na infraestrutura e nos produtos do Google. O Google Threat Intelligence é uma equipe de pesquisadores de ameaças que desenvolve inteligência contra ameaças para produtos Google Cloud . O VirusTotal é um banco de dados de malware e uma solução de visualização que oferece uma melhor compreensão de como o malware opera dentro da sua empresa. O monitoramento de ameaças digitais da Mandiant e outros serviços da empresa oferecem pesquisa, consultoria e suporte para resposta a incidentes.

Para mais informações sobre os controles de segurança integrados, consulte a Visão geral da segurança do Google e a Visão geral do design de segurança da infraestrutura do Google.

Controles de segurança e resiliência no Google Workspace, no navegador Chrome e nos Chromebooks

Além dos controles do Google Cloud, outros produtos do Google, como o Google Workspace, o navegador Google Chrome e os Chromebooks, incluem controles de segurança que podem ajudar a proteger sua organização contra ataques de ransomware. Por exemplo, os produtos do Google oferecem controles de segurança que permitem que trabalhadores remotos acessem recursos de qualquer lugar, com base na identidade e no contexto (como localização ou endereço IP).

Conforme descrito na seção Sequência de ataque de ransomware, o e-mail é um vetor importante para muitos ataques de ransomware. Ele pode ser explorado para phishing de credenciais para acesso fraudulento à rede e distribuição direta de binários de ransomware. A proteção avançada contra phishing e malware no Gmail oferece controles para colocar e-mails em quarentena, proteção contra tipos de anexos perigosos e ajuda a proteger os usuários contra e-mails de spoofing. O sandbox de segurança foi projetado para detectar a presença de malware anteriormente desconhecido nos anexos.

O navegador Chrome inclui a Navegação segura do Google, que foi criada para fornecer avisos quando os usuários tentam acessar um site infectado ou malicioso. Os sandboxes e o isolamento de sites ajudam a proteger contra a propagação de código malicioso em diferentes processos na mesma guia. A Proteção por senha foi criada para fornecer alertas quando uma senha corporativa estiver sendo usada em uma conta pessoal e verificar se alguma das senhas salvas do usuário foi comprometida em uma violação on-line. Nesse cenário, o navegador solicita que o usuário altere a senha.

Os seguintes recursos do Chromebook ajudam a proteger contra ataques de phishing e ransomware:

• Sistema operacional com acesso somente leitura (Chrome OS). Esse sistema foi projetado para ser atualizado constantemente e de forma invisível. O Chrome OS ajuda a proteger contra as vulnerabilidades mais recentes e inclui controles que garantem que aplicativos e extensões não possam modificá-lo.
• Sandbox. Cada aplicativo é executado em um ambiente isolado. Portanto, um aplicativo nocivo pode não infectar facilmente outros aplicativos.
• Inicialização verificada. Enquanto o Chromebook está sendo inicializado, ele foi projetado para verificar se o sistema não foi modificado.
• Navegação segura. O Chrome faz o download periódico da lista de sites não seguros mais recentes. Ela foi projetada para verificar os URLs de cada site que um usuário visita e cada arquivo que ele baixa nessa lista.
• Chips de segurança do Google. Esses chips ajudam a proteger o sistema operacional contra adulterações maliciosas.

Para ajudar a reduzir a superfície de ataque da organização, considere os Chromebooks para usuários que trabalham principalmente em um navegador.

Práticas recomendadas para reduzir ataques de ransomware em Google Cloud

Para proteger recursos e dados corporativos contra ataques de ransomware, implemente controles em várias camadas dos seus ambientes locais e na nuvem.

As seções a seguir descrevem as práticas recomendadas para ajudar sua organização a identificar, evitar, detectar e responder a ataques de ransomware no Google Cloud.

Identifique riscos e recursos

Considere as práticas recomendadas a seguir para identificar seus riscos e recursos no Google Cloud:

• Use o Inventário de recursos do Cloud para manter um inventário de cinco semanas dos seus recursos no Google Cloud. Para analisar as mudanças, exporte os metadados dos recursos para o BigQuery.
• Use o Audit Manager e as simulações de caminhos de ataque no Security Command Center e a avaliação de riscos para avaliar seu perfil de risco atual. Considere as opções de seguro cibernético disponíveis pelo Programa de Proteção Contra Riscos.
• Use a Proteção de Dados Sensíveis para descobrir e classificar seus dados sensíveis.

Controle o acesso a recursos e dados

Considere as seguintes práticas recomendadas para limitar o acesso a recursos e dados do Google Cloud:

• Use o Identity and Access Management (IAM) para configurar o acesso granular. Você pode analisar suas permissões regularmente usando as recomendações de papéis, a Análise de políticas e o Gerenciamento de direitos de infraestrutura em nuvem (CIEM).
• Trate as contas de serviço como identidades de alto privilégio. Considere a autenticação sem chaves usando a federação de identidade da carga de trabalho e defina o escopo das suas permissões de maneira adequada. Para conferir as práticas recomendadas sobre como proteger contas de serviço, consulte Práticas recomendadas para usar contas de serviço.
• Exija a autenticação multifator para todos os usuários pelo Cloud Identity e use a chave de segurança Titan resistente a phishing.

Proteja dados importantes

Considere as seguintes práticas recomendadas para proteger seus dados sensíveis:

• Configure redundância (N+2) na opção de armazenamento em nuvem que você usa para armazenar seus dados. Se você usa o Cloud Storage, pode ativar o controle de versões de objeto ou o recurso de bloqueio de buckets.
• Implemente e teste regularmente backups de bancos de dados (por exemplo, Cloud SQL) e sistemas de arquivos (por exemplo, Filestore), armazenando cópias em locais isolados. Considere o serviço de backup e DR para um backup abrangente da carga de trabalho. Verifique os recursos de recuperação com frequência.
• Alterne as chaves regularmente e monitore as atividades relacionadas a elas. Se você estiver usando chaves fornecidas pelo cliente (CSEK) ou o Cloud External Key Manager (Cloud EKM), garanta processos robustos de backup e rotação externos.

Rede e infraestrutura seguras

Considere as seguintes práticas recomendadas para proteger sua rede e infraestrutura:

• Use a infraestrutura como código (como o Terraform) com o blueprint de bases empresariais como um plano de ação seguro para garantir estados conhecidos e permitir implantações rápidas e consistentes.
• Habilite o VPC Service Controls para criar um perímetro que isole seus recursos e dados. Use o Cloud Load Balancing com regras de firewall e conectividade segura (usando Cloud VPN ou Cloud Interconnect) para ambientes híbridos.

• Implemente políticas restritivas da organização, como as seguintes:

  • Restringir o acesso de IPs públicos em novas instâncias e notebooks do Vertex AI Workbench
  • Restringir o acesso de IP público nas instâncias do Cloud SQL
  • Desativar acesso à porta serial da VM
  • VMs protegidas

Proteja suas cargas de trabalho

Considere as seguintes práticas recomendadas para proteger suas cargas de trabalho:

• Integre a segurança em todas as fases do ciclo de vida de desenvolvimento de software. Para cargas de trabalho do GKE, implemente a segurança da cadeia de suprimentos de software, incluindo builds confiáveis, isolamento de aplicativos e isolamento de pods.
• Use o Cloud Build para rastrear as etapas de build e o Artifact Registry para concluir a verificação de vulnerabilidades nas imagens de contêiner. Use a autorização binária para verificar se as imagens atendem aos seus padrões.
• Use o Google Cloud Armor para filtragem da Camada 7 e proteção contra ataques comuns da Web.
• Use os upgrades automáticos do GKE e as janelas de manutenção. Automatize builds no Cloud Build para incluir a verificação de vulnerabilidades após commits de código.

Detecte ataques

Considere as seguintes práticas recomendadas para ajudar a detectar ataques:

• Use o Cloud Logging para gerenciar e analisar os registros dos serviços em Google Cloud e o Cloud Monitoring para medir o desempenho do serviço e dos recursos.
• Use o Security Command Center para detectar possíveis ataques e analisar alertas.
• Para uma análise de segurança detalhada e busca de ameaças, integre com o Google Security Operations.

Planejar incidentes

• Conclua os planos de continuidade de negócios e recuperação de desastres.

• Crie um manual de resposta a incidentes de ransomware e faça exercícios de mesa. Pratique regularmente os procedimentos de recuperação para garantir a prontidão e identificar lacunas.

• Entenda suas obrigações de denúncia de ataques às autoridades e inclua informações de contato relevantes no manual.

Para mais práticas recomendadas de segurança, consulte Well-Architected Framework: pilar de segurança, privacidade e compliance.

Responda a ataques e recupere-se deles

Quando detectar um ataque de ransomware, ative seu plano de resposta a incidentes. Depois de confirmar que o incidente não é um falso positivo e que afeta seus serviços doGoogle Cloud , abra um caso de suporte P1. O Cloud Customer Care responde conforme documentado nas Diretrizes de Serviços de Suporte Técnico doGoogle Cloud.

Depois de ativar o plano, reúna a equipe da organização que precisa participar dos processos de coordenação e resolução de incidentes. Verifique se essas ferramentas e processos estão implementados para investigar e resolver o incidente.

Siga o plano de resposta a incidentes para remover o ransomware e restaurar o ambiente a um estado íntegro. Dependendo da gravidade do ataque e dos controles de segurança ativados, seu plano pode incluir atividades como as seguintes:

• colocar sistemas infectados em quarentena;
• restaurar a partir de backups íntegros;
• restaurar a infraestrutura para um estado válido conhecido usando o pipeline de CI/CD;
• verificar se a vulnerabilidade foi removida;
• corrigir todos os sistemas que podem estar vulneráveis a ataques semelhantes;
• implementar os controles necessários para evitar um ataque semelhante.

À medida que você avança no processo de resposta, continue monitorando seu tíquete de suporte do Google. O Atendimento ao cliente do Cloud toma as medidas apropriadas no Google Cloud para conter, erradicar e, se possível, recuperar seu ambiente.

Informe o Cloud Customer Care quando o incidente for resolvido e o ambiente for restaurado. Se houver um agendado, participe de uma retrospectiva conjunta com seu representante do Google.

Veja se aprendeu todas as lições com o incidente e implante os controles necessários para evitar um ataque semelhante. Dependendo da natureza do ataque, considere as seguintes ações:

• escreva regras de detecção e alertas que vão ser acionados automaticamente se o ataque ocorrer novamente;
• Atualize o manual de resposta a incidentes para incluir essas lições.
• Melhore sua postura de segurança com base nas descobertas retrospectivas.

A seguir

• Ajude a garantir a continuidade e proteja sua empresa contra eventos cibernéticos adversos usando o Framework de segurança e resiliência.
• Entre em contato com os consultores da Mandiant para uma avaliação de defesa contra ransomware.
• Consulte o Google Cloud Well-Architected Framework para mais práticas recomendadas.
• Saiba mais sobre como o Google gerencia incidentes em Processo de resposta a incidentes de dados.