Mitigar ataques de ransomware usando o Google Cloud

O ransomware é um código criado por terceiros para se infiltrar nos seus sistemas a fim de invadir, criptografar e roubar dados. Para ajudar a reduzir ataques de ransomware, Google Cloud oferece controles para identificar, proteger, detectar, responder e se recuperar de ataques. Esses controles ajudam você a fazer o seguinte:

• avaliar seu risco;
• proteger seu negócio contra ameaças;
• manter operações contínuas;
• ativar resposta e recuperação rápidas.

Este documento é destinado a arquitetos e administradores de segurança. Ele descreve a sequência de ataques de ransomware e como o Google Cloud pode ajudar sua organização a reduzir os efeitos desses ataques.

Sequência de ataques de ransomware

Os ataques de ransomware podem começar como campanhas em massa que buscam vulnerabilidades ou como campanhas direcionadas. Uma campanha direcionada começa com identificação e reconhecimento, em que um invasor determina quais organizações são vulneráveis e qual vetor de ataque usar.

Há muitos vetores de ataque de ransomware. Os vetores mais comuns são e-mails de phishing com URLs maliciosos ou exploração de vulnerabilidades de software expostas. Essa vulnerabilidade de software pode estar no software usado pela organização ou em uma vulnerabilidade da cadeia de suprimentos de software. Os invasores de ransomware visam organizações, a cadeia de suprimentos e os clientes delas.

Quando o ataque inicial é bem-sucedido, o ransomware é instalado automaticamente e entra em contato com o comando e o servidor de controle para recuperar as chaves de criptografia. À medida que o ransomware se espalha por toda a rede, ele pode infectar recursos, criptografar dados usando as chaves recuperadas e exfiltrar dados. Os invasores exigem um resgate, normalmente em criptomoedas, da organização para enviar a chave de descriptografia.

O diagrama a seguir resume a sequência típica de ataques de ransomware explicada nos parágrafos anteriores, desde a identificação e o reconhecimento até a exfiltração de dados e o pedido de resgate.

O ransomware costuma ser difícil de detectar. Portanto, é fundamental que você implemente recursos de prevenção, monitoramento e detecção e que sua organização esteja pronta para responder rapidamente quando alguém descobrir um ataque.

Controles de segurança e resiliência no Google Cloud

OGoogle Cloud inclui controles integrados de segurança e resiliência para proteger os clientes contra ataques de ransomware. Esses controles incluem o seguinte:

• Infraestrutura global projetada com segurança durante todo o ciclo de vida do processamento de informações.
• Recursos de detecção integrados para Google Cloud produtos e serviços, como monitoramento, detecção de ameaças, prevenção contra perda de dados e controles de acesso.
• Controles preventivos integrados, como o Assured Workloads
• Alta disponibilidade com clusters regionais e balanceadores de carga globais.
• Backup integrado, com serviços escalonáveis.
• Recursos Automation usando Infraestrutura como código e restrições de configuração.

O Google Threat Intelligence, o VirusTotal e o Mandiant Digital Threat Monitoring monitoram e respondem a muitos tipos de malware, incluindo ransomware, na infraestrutura e nos produtos do Google. O Google Threat Intelligence é uma equipe de pesquisadores de ameaças que desenvolve inteligência contra ameaças para Google Cloud produtos. O VirusTotal é um banco de dados de malware e uma solução de visualização que oferece uma melhor compreensão de como o malware opera na sua empresa. O Mandiant Digital Threat Monitoring e outros serviços da Mandiant oferecem suporte a pesquisas, consultas e respostas a incidentes.

Para mais informações sobre os controles de segurança integrados, consulte a Visão geral de segurança do Google e a Visão geral do design de segurança da infraestrutura do Google.

Controles de segurança e resiliência no Google Workspace, no navegador Chrome e nos Chromebooks

Além dos controles do Google Cloud, outros produtos do Google, como o Google Workspace, o navegador Google Chrome e os Chromebooks, incluem controles de segurança que podem ajudar a proteger sua organização contra ataques de ransomware. Por exemplo, os produtos do Google oferecem controles de segurança que permitem que trabalhadores remotos acessem recursos de qualquer lugar, com base na identidade e no contexto (como localização ou endereço IP).

Conforme descrito na seção Sequência de ataque de ransomware, o e-mail é um vetor importante para muitos ataques de ransomware. Ele pode ser explorado para phishing de credenciais para acesso fraudulento à rede e distribuição direta de binários de ransomware. A proteção avançada contra phishing e malware no Gmail oferece controles para colocar e-mails em quarentena, protege contra tipos de anexos perigosos e ajuda a proteger os usuários contra e-mails de spoofing. O sandbox de segurança foi projetado para detectar a presença de malware anteriormente desconhecido nos anexos.

O navegador Chrome inclui a Navegação segura do Google, que foi criada para fornecer avisos quando os usuários tentam acessar um site infectado ou malicioso. Os sandboxes e o isolamento de sites ajudam a proteger contra a propagação de código malicioso em diferentes processos na mesma guia. A Proteção por senha foi criada para fornecer alertas quando uma senha corporativa estiver sendo usada em uma conta pessoal e verificar se alguma das senhas salvas do usuário foi comprometida em uma violação on-line. Nesse cenário, o navegador solicita que o usuário altere a senha.

Os seguintes recursos do Chromebook ajudam a proteger contra ataques de phishing e ransomware:

• Sistema operacional com acesso somente leitura (ChromeOS). Esse sistema foi projetado para ser atualizado constantemente e de forma invisível. O ChromeOS ajuda a proteger contra as vulnerabilidades mais recentes e inclui controles que garantem que aplicativos e extensões não possam modificá-lo.
• Sandbox. Cada aplicativo é executado em um ambiente isolado. Portanto, um aplicativo nocivo pode não infectar facilmente outros aplicativos.
• Inicialização verificada. Enquanto o Chromebook está sendo inicializado, ele foi projetado para verificar se o sistema não foi modificado.
• Navegação segura. O Chrome faz o download periódico da lista de sites não seguros mais recentes. Ela foi projetada para verificar os URLs de cada site que um usuário visita e verifica cada download de arquivo que um usuário faz nessa lista.
• Chips de segurança do Google. Esses chips ajudam a proteger o sistema operacional contra adulteração maliciosa.

Para ajudar a reduzir a superfície de ataque da organização, considere os Chromebooks para usuários que trabalham principalmente em um navegador.

Práticas recomendadas para reduzir ataques de ransomware em Google Cloud

Para proteger recursos e dados corporativos contra ataques de ransomware, implemente controles em várias camadas dos seus ambientes locais e na nuvem.

As seções a seguir descrevem as práticas recomendadas para ajudar sua organização a identificar, impedir, detectar e responder a ataques de ransomware no Google Cloud.

Identifique riscos e recursos

Considere as práticas recomendadas a seguir para identificar seus riscos e recursos em Google Cloud:

• Use o Cloud Asset Inventory para manter um inventário de cinco semanas dos seus recursos no Google Cloud. Para analisar as mudanças, exporte os metadados do recurso para o BigQuery.
• Use o Gerenciador de auditoria e as simulações de caminho de ataque no Security Command Center para fazer uma avaliação de risco e analisar seu perfil de risco atual. Considere as opções de seguro cibernético disponíveis no Programa de Proteção Contra Riscos.
• Use a Proteção de dados sensíveis para descobrir e classificar seus dados sensíveis.

Controle o acesso a recursos e dados

Considere as práticas recomendadas a seguir para limitar o acesso a Google Cloud recursos e dados:

• Use o Identity and Access Management (IAM) para configurar o acesso detalhado. É possível analisar suas permissões regularmente usando o Recomendador de papéis, a Análise de políticas e o Gerenciamento de direitos de acesso à infraestrutura do Cloud (CIEM, na sigla em inglês).
• Trate as contas de serviço como identidades altamente privilegiadas. Considere a autenticação sem chave usando a federação de identidade da carga de trabalho e especifique suas permissões de maneira adequada. Para conferir as práticas recomendadas sobre como proteger contas de serviço, consulte Práticas recomendadas para usar contas de serviço.
• Exija a autenticação multifator para todos os usuários pelo Cloud Identity e use a chave de segurança Titan resistente a phishing.

Proteger dados importantes

Considere as práticas recomendadas a seguir para ajudar a proteger seus dados sensíveis:

• Configure a redundância (N+2) na opção de armazenamento em nuvem que você usa para armazenar seus dados. Se você usa o Cloud Storage, pode ativar o controle de versões de objeto ou o recurso de bloqueio de buckets.
• Implemente e teste regularmente os backups de bancos de dados (por exemplo, Cloud SQL) e filestores (por exemplo, Filestore), armazenando cópias em locais isolados. Considere o serviço de backup e DR para fazer backup abrangente de cargas de trabalho. Verifique os recursos de recuperação com frequência.
• Alterne as chaves regularmente e monitore as atividades relacionadas. Se você estiver usando chaves fornecidas pelo cliente (CSEK) ou o gerenciador de chaves externas do Cloud (Cloud EKM), garanta processos de backup e rotação externos robustos.

Rede e infraestrutura seguras

Considere as seguintes práticas recomendadas para proteger sua rede e infraestrutura:

• Use a infraestrutura como código (como o Terraform) com o blueprint de bases empresariais como uma base segura para garantir estados conhecidos e permitir implantações rápidas e consistentes.
• Ative o VPC Service Controls para criar um perímetro que isole seus recursos e dados. Use o Balanceamento de carga do Cloud com regras de firewall e conectividade segura (usando o Cloud VPN ou o Cloud Interconnect) para ambientes híbridos.

• Implemente políticas restritivas da organização, como as seguintes:

  • Restringe o acesso de IPs públicos em novas instâncias e notebooks do Vertex AI Workbench
  • Restringir o acesso de IP público nas instâncias do Cloud SQL
  • Desativar acesso à porta serial da VM
  • VMs protegidas

Proteja suas cargas de trabalho

Considere as seguintes práticas recomendadas para ajudar a proteger suas cargas de trabalho:

• Integre a segurança em todas as fases do ciclo de vida de desenvolvimento de software. Para cargas de trabalho do GKE, implemente a segurança da cadeia de suprimentos de software, incluindo builds confiáveis, isolamento de aplicativos e isolamento de pods.
• Use o Cloud Build para acompanhar as etapas de build e o Artifact Registry para concluir a verificação de vulnerabilidades nas imagens de contêiner. Use a autorização binária para verificar se as imagens atendem aos seus padrões.
• Use o Google Cloud Armor para filtragem da Camada 7 e proteção contra ataques comuns da Web.
• Use upgrades automáticos do GKE e janelas de manutenção. Automatize builds no Cloud Build para incluir a verificação de vulnerabilidades nos commits de código.

Detecte ataques

Considere as seguintes práticas recomendadas para ajudar a detectar ataques:

• Use o Cloud Logging para gerenciar e analisar os registros dos seus serviços no Google Cloud e o Cloud Monitoring para medir o desempenho do serviço e dos recursos.
• Use o Security Command Center para detectar possíveis ataques e analisar alertas.
• Para uma análise de segurança detalhada e busca de ameaças, faça a integração com o Google Security Operations.

Planejar incidentes

• Concluir os planos de continuidade de negócios e de recuperação de desastres.

• Crie um manual de resposta a incidentes de ransomware e faça exercícios de mesa. Pratique regularmente os procedimentos de recuperação para garantir a prontidão e identificar lacunas.

• Entenda suas obrigações de denunciar ataques às autoridades e inclua dados de contato relevantes no seu manual.

Para conferir mais práticas recomendadas de segurança, consulte Framework bem estruturado: pilar de segurança, privacidade e compliance.

Responda a ataques e recupere-se deles

Quando detectar um ataque de ransomware, ative seu plano de resposta a incidentes. Depois de confirmar que o incidente não é um falso positivo e que afeta seus serviçosGoogle Cloud , abra um caso de suporte P1. O Cloud Customer Care responde conforme documentado nas Google Cloud: Diretrizes dos Serviços de Suporte Técnico.

Depois de ativar o plano, reúna a equipe da organização que precisa participar dos processos de coordenação e resolução de incidentes. Verifique se essas ferramentas e processos estão implementados para investigar e resolver o incidente.

Siga o plano de resposta a incidentes para remover o ransomware e restaurar o ambiente a um estado íntegro. Dependendo da gravidade do ataque e dos controles de segurança ativados, o plano pode incluir atividades como as seguintes:

• colocar sistemas infectados em quarentena;
• restaurar a partir de backups íntegros;
• restaurar a infraestrutura para um estado válido conhecido usando o pipeline de CI/CD;
• verificar se a vulnerabilidade foi removida;
• corrigir todos os sistemas que podem estar vulneráveis a ataques semelhantes;
• implementar os controles necessários para evitar um ataque semelhante.

À medida que você avança no processo de resposta, continue monitorando seu tíquete de suporte do Google. O Cloud Customer Care toma as medidas apropriadas no Google Cloud para conter, erradicar e, se possível, recuperar seu ambiente.

Informe o Cloud Customer Care quando o incidente for resolvido e o ambiente for restaurado. Se houver um agendado, participe de uma retrospectiva conjunta com seu representante do Google.

Veja se aprendeu todas as lições com o incidente e implante os controles necessários para evitar um ataque semelhante. Dependendo da natureza do ataque, considere as seguintes ações:

• Escreva regras de detecção e alertas que serão acionados automaticamente se o ataque ocorrer novamente.
• Atualize o manual de resposta a incidentes para incluir as lições aprendidas.
• Melhore sua postura de segurança com base nas descobertas retrospectivas.

A seguir

• Ajude a garantir a continuidade e proteja sua empresa contra eventos cibernéticos adversos usando o framework de segurança e resiliência.
• Entre em contato com os consultores da Mandiant para uma avaliação de defesa contra ransomware.
• Consulte o Google Cloud Framework de arquitetura bem estruturada para conferir outras práticas recomendadas.
• Saiba mais sobre como o Google gerencia incidentes em Processo de resposta a incidentes de dados.