運用 Google Cloud 降低勒索軟體攻擊的影響

第三方建立的程式碼會入侵您的系統，藉此劫持、加密及竊取資料，這類程式碼稱為勒索軟體。為協助您防範勒索軟體攻擊， Google Cloud 提供相關控制項，可供您辨識、保護、偵測、應變及復原攻擊。這些控制選項可協助您完成下列事項：

• 評估風險。
• 保護企業免於威脅。
• 維持營運不中斷。
• 快速回應及復原。

本文件適用對象為安全架構師和管理員。本文將說明勒索軟體攻擊的順序，以及如何協助貴機構降低勒索軟體攻擊造成的影響。 Google Cloud

勒索軟體攻擊序列

勒索軟體攻擊可能以大規模廣告活動的形式開始，尋找潛在的弱點，也可能以定向廣告活動的形式發動攻擊。有目標的攻擊活動會先進行識別和偵察，攻擊者會判斷哪些機構容易受到攻擊，以及要使用哪種攻擊媒介。

勒索軟體攻擊媒介有很多種，最常見的媒介是含有惡意 URL 的網路釣魚電子郵件，或是利用軟體漏洞。這類軟體漏洞可能存在於貴機構使用的軟體，也可能存在於軟體供應鏈。勒索軟體攻擊者會鎖定機構、供應鏈和客戶。

如果初始攻擊成功，勒索軟體就會自行安裝，並與命令和控制伺服器聯絡，以擷取加密金鑰。勒索軟體在網路中散播時，可能會感染資源、使用擷取的金鑰加密資料，以及竊取資料。攻擊者會向機構索取贖金 (通常以加密貨幣支付)，換取解密金鑰。

下圖概略說明前幾段所述的典型勒索軟體攻擊順序，從識別和偵察到資料外洩和勒索要求。

勒索軟體通常難以偵測，因此，您必須建立預防、監控和偵測機制，並確保貴機構在發現攻擊時，能迅速做出回應。

Google Cloud中的安全性和復原能力控制項

Google Cloud 內建安全性和復原控制項，可協助客戶防範勒索軟體攻擊。這些控制項包括：

• 全球基礎架構在整個資訊處理生命週期中，都以安全為設計原則。
• Google Cloud 產品和服務的內建偵測功能，例如監控、威脅偵測、資料遺失防護和存取權控管。
• 內建預防性控制措施，例如 Assured Workloads
• 透過區域叢集和全域負載平衡器，實現高可用性。
• 內建備份功能，提供可擴充的服務。
• 使用基礎架構即程式碼和設定防護措施的自動化功能。

Google Threat Intelligence、 VirusTotal 和 Mandiant Digital Threat Monitoring 會追蹤並回應 Google 基礎架構和產品中的多種惡意軟體，包括勒索軟體。Google Threat Intelligence 團隊由威脅研究人員組成，負責為 Google Cloud 產品開發威脅情報。VirusTotal 是惡意軟體資料庫和視覺化解決方案，可協助您進一步瞭解惡意軟體在企業中的運作方式。Mandiant 數位威脅監控和其他 Mandiant 服務提供威脅研究、諮詢和事件應變支援。

如要進一步瞭解內建安全控管措施，請參閱 Google 安全性總覽和 Google 基礎架構安全性設計總覽。

Google Workspace、Chrome 瀏覽器和 Chromebook 的安全與復原控制項

除了 Google Cloud中的控制選項外，Google Workspace、Google Chrome 瀏覽器和 Chromebook 等其他 Google 產品也提供安全控制選項，可協助貴機構防範勒索軟體攻擊。舉例來說，Google 產品提供安全控管機制，可根據遠距工作者的身分和環境 (例如位置或 IP 位址)，允許他們從任何地點存取資源。

如「勒索軟體攻擊序列」一節所述，電子郵件是許多勒索軟體攻擊的主要媒介。攻擊者可利用這項漏洞網路釣魚，竊取憑證以進行詐欺性網路存取，並直接散布勒索軟體二進位檔。Gmail 的進階網路釣魚和惡意軟體防護功能提供控制項，可隔離電子郵件、防範危險的附件類型，並協助保護使用者免受來路不明的電子郵件詐騙。安全沙箱可偵測附件中先前未知的惡意軟體。

Chrome 瀏覽器內建 Google 安全瀏覽功能，可在使用者嘗試存取受感染或惡意的網站時發出警告。沙箱和網站隔離功能可協助防止惡意程式碼在相同分頁的不同程序中傳播。密碼保護功能會在使用者將公司密碼用於個人帳戶時發出警示，並檢查使用者儲存的密碼是否因網路安全漏洞而外洩。在此情況下，瀏覽器會提示使用者變更密碼。

下列 Chromebook 功能有助於防範網路釣魚和勒索軟體攻擊：

• 唯讀作業系統 (ChromeOS)。這套系統的設計宗旨是持續更新，且更新過程不會顯示。ChromeOS 可防範最新漏洞，並提供控管措施，確保應用程式和擴充功能無法修改。
• 沙箱機制。每個應用程式都會在獨立環境中執行，因此有害應用程式不容易感染其他應用程式。
• 驗證開機程序。Chromebook 開機時，會檢查系統是否經過修改。
• 安全瀏覽。 Chrome 會定期下載最新版本的安全瀏覽不安全網站清單。這項功能會檢查使用者造訪的每個網站網址，並根據這份清單檢查使用者下載的每個檔案。
• Google 安全晶片。這些晶片可防止作業系統遭到惡意竄改。

為協助減少貴機構的攻擊面，建議為主要在瀏覽器中工作的使用者提供 Chromebook。

防範 Google Cloud勒索軟體攻擊的最佳做法

如要保護企業資源和資料免於遭到勒索軟體攻擊，您必須在內部部署和雲端環境中，採用多層式控管措施。

以下各節將說明最佳做法，協助貴機構在 Google Cloud上識別、防範、偵測及應對勒索軟體攻擊。

找出風險和資產

請參考下列最佳做法，找出風險和資產：Google Cloud

• 使用 Cloud Asset Inventory 維護 Google Cloud 資源的五週清單。如要分析變更，請將資產中繼資料匯出至 BigQuery。
• 在 Security Command Center 中使用 Audit Manager 和攻擊路徑模擬，進行風險評估，瞭解目前的風險狀況。考慮透過風險防護計畫申請網路保險。
• 使用 Sensitive Data Protection 探索及分類機密資料。

控管資源和資料的存取權

請考慮採用下列最佳做法，限制資源和資料的存取權： Google Cloud

• 使用 Identity and Access Management (IAM) 設定精細的存取權。您可以使用角色建議工具、政策分析器和 Cloud Infrastructure Entitlement Management (CIEM)，定期分析權限。
• 將服務帳戶視為高權限身分。建議使用Workload Identity 聯盟進行無金鑰驗證，並適當設定權限範圍。如要瞭解如何保護服務帳戶的最佳做法，請參閱「使用服務帳戶的最佳做法」。
• 透過 Cloud Identity 為所有使用者強制啟用多重驗證，並使用防範網路釣魚的 Titan 安全金鑰。

保護重要資料

建議您採取下列最佳做法，保護機密資料：

• 在用於儲存資料的雲端儲存選項中，設定備援 (N+2)。如果您使用 Cloud Storage，可以啟用物件版本管理或值區鎖定功能。
• 實作並定期測試資料庫 (例如 Cloud SQL) 和檔案儲存空間 (例如 Filestore) 的備份作業，並將副本儲存在隔離位置。如要全面備份工作負載，請考慮使用備份和災難復原服務。經常驗證復原功能。
• 定期輪替金鑰，並監控與金鑰相關的活動。如果使用客戶提供的金鑰 (CSEK) 或 Cloud External Key Manager (Cloud EKM)，請確保外部備份和輪替程序完善。

安全無虞的網路和基礎架構

如要確保網路和基礎架構安全無虞，請考慮採用下列最佳做法：

• 使用基礎架構即程式碼 (例如 Terraform) 和企業基礎藍圖做為安全基準，確保狀態良好，並實現快速一致的部署作業。
• 啟用 VPC Service Controls，建立可隔離資源和資料的 perimeter。在混合式環境中，使用 Cloud Load Balancing 搭配防火牆規則，並透過安全連線 (使用 Cloud VPN 或 Cloud Interconnect)。

• 實施限制性機構政策，例如：

  • 限制公開 IP 對新 Vertex AI Workbench 筆記本和執行個體的存取權
  • 限制 Cloud SQL 執行個體的公開 IP 存取權
  • 停用 VM 序列埠存取權
  • 受防護的 VM

保護工作負載

建議您採取下列最佳做法，協助保護工作負載：

• 在軟體開發生命週期的每個階段都整合安全性機制。針對 GKE 工作負載，請實作軟體供應鏈安全，包括可信任的建構作業、應用程式隔離和 Pod 隔離。
• 使用 Cloud Build 追蹤建構步驟，並使用 Artifact Registry 對容器映像檔完成安全漏洞掃描。使用二進位授權驗證映像檔是否符合標準。
• 使用 Google Cloud Armor 進行第 7 層過濾，防範常見的網路攻擊。
• 使用 GKE 自動升級和維護時間視窗。 在 Cloud Build 中自動執行建構作業，在程式碼提交時進行安全漏洞掃描。

偵測攻擊

建議您採取下列最佳做法，協助偵測攻擊：

• 使用 Cloud Logging 管理及分析 Google Cloud 中的服務記錄，並使用 Cloud Monitoring 評估服務和資源的效能。
• 使用 Security Command Center 偵測潛在攻擊，並分析快訊。
• 如要進行深入的安全性分析和威脅搜尋，請與 Google Security Operations 整合。

規劃事件

• 完成營運持續和災難復原計畫。

• 建立勒索軟體事件應變手冊，並進行桌面演練。定期演練復原程序，確保準備就緒並找出缺口。

• 瞭解向主管機關回報攻擊事件的義務，並在劇本中加入相關聯絡資訊。

如需更多安全性最佳做法，請參閱架構完善的架構：安全性、隱私權和法規遵循支柱。

應對攻擊並從中復原

偵測到勒索軟體攻擊時，請啟動事件應變計畫。確認事件並非誤判，且會影響您的Google Cloud 服務後，請開啟 P1 支援案件。Cloud Customer Care 會根據Google Cloud：技術支援服務指南中的說明回應。

啟用方案後，請召集貴機構中需要參與事件協調和解決程序的團隊。確保這些工具和程序到位，可供調查及解決事件。

請按照事件回應計畫移除勒索軟體，並將環境還原至正常狀態。視攻擊的嚴重程度和啟用的安全控制項而定，您的計畫可能包含下列活動：

• 隔離受感染的系統。
• 從正常的備份還原。
• 使用 CI/CD 管道將基礎架構還原至先前已知的良好狀態。
• 確認安全漏洞已移除。
• 修補可能容易受到類似攻擊的所有系統。
• 實施必要控管措施，避免類似攻擊。

在回覆過程中，請持續追蹤 Google 支援單。Cloud Customer Care 會在Google Cloud 內採取適當行動，遏止、根除並盡可能復原您的環境。

事件解決且環境還原後，請通知 Cloud Customer Care。如果已安排，請與 Google 代表一起參加聯合回顧會議。

請務必從事件中汲取經驗，並設定必要控管措施，避免類似攻擊。視攻擊性質而定，您可以考慮採取下列行動：

• 編寫偵測規則和警示，在攻擊再次發生時自動觸發。
• 更新事件應變手冊，納入所有經驗教訓。
• 根據回顧結果，改善安全防護機制。

後續步驟

• 使用安全性與韌性架構，協助確保營運不中斷，並防範業務受到有害的網路事件影響。
• 請與 Mandiant 顧問聯絡，進行勒索軟體防禦評估。
• 如要瞭解更多最佳做法，請參閱 Google Cloud Well-Architected Framework。
• 如要瞭解 Google 如何管理事件，請參閱「資料事件應變程序」。