Ransomware-Angriffe mit Google Cloud abschwächen

Code, der von einem Dritten zum Infiltrieren Ihrer Systeme zum Hacken, Verschlüsseln und Stehlen von Daten erstellt wurde, wird als Ransomware bezeichnet. Damit Sie Ransomware-Angriffe abschwächen können, bietet Ihnen Google Cloud die Möglichkeit, Angriffe zu identifizieren und zu erkennen, auf sie zu reagieren, sich vor ihnen zu schützen und sie zu überwinden. Mit diesen Steuerelementen können Sie Folgendes tun:

• Das Risiko bewerten
• Ihr Unternehmen vor Bedrohungen schützen
• Kontinuierliche Vorgänge verwalten
• Schnelle Reaktion und Wiederherstellung ermöglichen

Dieses Dokument richtet sich an Sicherheitsarchitekten und Administratoren. Es wird die Ransomware-Angriffssequenz beschrieben und wie Google Cloud Ihr Unternehmen dabei helfen kann, die Auswirkungen von Ransomware-Angriffen abzumildern.

Ransomware-Angriffssequenz

Ransomware-Angriffe können als Massenkampagnen beginnen, die nach potenziellen Sicherheitslücken suchen, oder als gezielte Kampagnen. Eine gezielte Kampagne beginnt mit Identifizierung und Ausspähung, wobei ein Angreifer feststellt, welche Organisationen anfällig sind und welcher Angriffsvektor verwendet werden soll.

Es gibt viele Ransomware-Angriffsvektoren. Die häufigsten Vektoren sind Phishing-E-Mails mit schädlichen URLs und die Ausnutzung von Softwaresicherheitslücken. Diese Softwaresicherheitslücke kann sich in der Software befinden, die Ihre Organisation verwendet, oder in der Softwarelieferkette. Ransomware-Angreifer zielen auf Organisationen, ihre Lieferkette und ihre Kunden ab.

Wenn der erste Angriff erfolgreich ist, installiert die Ransomware sich selbst und kontaktiert den Befehls- und Steuerungsserver, um die Verschlüsselungsschlüssel abzurufen. Wenn sich Ransomware über das Netzwerk verteilt, kann sie Ressourcen infizieren, Daten mit den abgerufenen Schlüsseln verschlüsseln und Daten exfiltrieren. Für den Entschlüsselungsschlüssel fordern die Angreifer ein Lösegeld (normalerweise in Kryptowährung) von der Organisation.

Das folgende Diagramm fasst die typische Abfolge von Ransomware-Angriffen zusammen, die in den vorherigen Abschnitten erläutert wurden – von der Identifizierung und Ausspähung bis zur Daten-Exfiltration und Lösegeldforderung.

Ransomware ist oft schwer zu erkennen. Daher ist es von zentraler Bedeutung, dass Sie Funktionen zur Prävention, Überwachung und Erkennung einrichten und Ihre Organisation bereit ist, schnell zu reagieren, wenn jemand einen Angriff erkennt.

Sicherheits- und Ausfallsicherheitsfunktionen in Google Cloud

Google Cloud umfasst integrierte Sicherheits- und Ausfallsicherheitsfunktionen, um Kunden vor Ransomware-Angriffen zu schützen. Dazu gehören:

• Globale Infrastruktur, deren gesamter Informationsverarbeitungszyklus geschützt ist
• Integrierte Funktionen zur Erkennung von Problemen für Google Cloud Produkte und Dienste wie Monitoring, Bedrohungserkennung, Schutz vor Datenverlust und Zugriffssteuerung.
• Integrierte präventive Kontrollen wie Assured Workloads
• Hochverfügbarkeit mit regionalen Clustern und globalen Load-Balancern
• Integrierte Sicherung mit skalierbaren Diensten
• Automatisierungsfunktionen mit Infrastruktur als Code und Konfigurationsvorkehrungen

Google Threat Intelligence, VirusTotal und Mandiant Digital Threat Monitoring verfolgen viele Arten von Malware, einschließlich Ransomware, in der Infrastruktur und den Produkten von Google, und reagieren darauf. Google Threat Intelligence ist ein Team von Bedrohungsforschern, das Bedrohungsinformationen für Google Cloud Produkte entwickelt. VirusTotal ist eine Malware-Datenbank- und Visualisierungslösung, die Ihnen einen besseren Überblick über die Funktionsweise von Malware in Ihrem Unternehmen bietet. Mandiant Digital Threat Monitoring und andere Mandiant-Dienste bieten Unterstützung bei Bedrohungsforschung, Beratung und Reaktion auf Vorfälle.

Weitere Informationen zu integrierten Sicherheitsfunktionen finden Sie in der Übersicht über die Sicherheit von Google und in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google.

Sicherheits- und Ausfallsicherheitsfunktionen in Google Workspace, Chrome und Chromebooks

Zusätzlich zu den Funktionen in Google Cloudbieten andere Google-Produkte wie Google Workspace, Google Chrome und Chromebooks Sicherheitsfunktionen, mit denen Sie Ihre Organisation besser vor Ransomware-Angriffen schützen können. Google-Produkte bieten beispielsweise Sicherheitsfunktionen, mit denen Remote-Mitarbeiter je nach Identität und Kontext (z. B. Standort oder IP-Adresse) von überall auf Ressourcen zugreifen können.

Wie im Abschnitt Ransomware-Angriffssequenz beschrieben, sind E-Mails ein bedeutender Vektor für viele Ransomware-Angriffe. Sie können dazu genutzt werden, Anmeldedaten für betrügerischen Netzwerkzugriff per Phishing zu stehlen und direkt Ransomware-Binärdateien zu verteilen. Der erweiterte Phishing- und Malware-Schutz in Gmail bietet Funktionen für die Quarantäne von E-Mails, schützt vor gefährlichen Anhangstypen und hilft, Nutzer vor eingehenden Spoofing-E-Mails zu schützen. Mit der Sicherheits-Sandbox kann das Vorhandensein zuvor unbekannter Malware in Anhängen erkannt werden.

Der Chrome-Browser umfasst Google Safe Browsing, das Nutzer vor dem Zugriff auf eine infizierte oder schädliche Website warnt. Sandboxes und die Website-Isolierung schützen vor der Weitergabe von schädlichem Code in verschiedenen Prozessen auf demselben Tab. Der Passwortschutz bietet Benachrichtigungen, wenn ein Unternehmenspasswort für ein privates Konto verwendet wird, und prüft, ob eines der gespeicherten Passwörter des Nutzers bei einem Online-Sicherheitsvorfall gestohlen wurde. In diesem Szenario fordert der Browser den Nutzer auf, sein Passwort zu ändern.

Die folgenden Chromebooks-Features schützen vor Phishing- und Ransomware-Angriffen:

• Schreibgeschütztes Betriebssystem (ChromeOS). Dieses System ist so konzipiert, dass es ständig und unsichtbar aktualisiert wird. ChromeOS schützt vor den neuesten Sicherheitslücken und bietet Funktionen, damit Anwendungen und Erweiterungen es nicht ändern können.
• Sandboxing. Jede Anwendung wird in einer isolierten Umgebung ausgeführt, sodass eine schädliche Anwendung andere Anwendungen nicht einfach infizieren kann.
• Verifizierter Bootmodus. Während des Bootens des Chromebooks wird überprüft, ob das System geändert wurde.
• Safe Browsing. Chrome lädt regelmäßig die neueste Safe Browsing-Liste unsicherer Websites herunter. Es wurde dafür entwickelt, die URLs jeder Website, die ein Nutzer aufruft, und jede Datei, die ein Nutzer herunterlädt, anhand dieser Liste zu prüfen.
• Google-Sicherheitschips Diese Chips schützen das Betriebssystem vor böswilligen Manipulationen.

Zur Reduzierung der Angriffsfläche Ihrer Organisation sollten Sie Chromebooks für Nutzer verwenden, die hauptsächlich in einem Browser arbeiten.

Best Practices zur Abschwächung von Ransomware-Angriffen auf Google Cloud

Zum Schutz Ihrer Unternehmensressourcen und Daten vor Ransomware-Angriffen müssen Sie mehrstufige Funktionen in Ihren lokalen und Cloud-Umgebungen einrichten.

In den folgenden Abschnitten werden Best Practices beschrieben, mit denen Sie Ihre Organisation bei der Identifikation, Verhinderung und Erkennung von Ransomware-Angriffen auf Google Cloudsowie bei der Reaktion darauf unterstützen können.

Risiken und Assets identifizieren

Beachten Sie die folgenden Best Practices, um Ihre Risiken und Assets inGoogle Cloudzu identifizieren:

• Mit Cloud Asset Inventory können Sie ein fünfwöchiges Inventar Ihrer Ressourcen in Google Cloud führen. Wenn Sie Änderungen analysieren möchten, exportieren Sie Ihre Asset-Metadaten nach BigQuery.
• Verwenden Sie Audit Manager und Angriffspfadsimulationen im Security Command Center sowie die Risikobewertung, um Ihr aktuelles Risikoprofil zu bewerten. Berücksichtigen Sie die Cyberversicherungsoptionen, die über das Risikosicherheitsprogramm verfügbar sind.
• Verwenden Sie den Schutz sensibler Daten, um sensible Daten zu ermitteln und zu klassifizieren.

Zugriff auf Ressourcen und Daten steuern

Beachten Sie die folgenden Best Practices, um den Zugriff auf Google Cloud Ressourcen und Daten einzuschränken:

• Verwenden Sie die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), um einen detaillierten Zugriff einzurichten. Sie können Ihre Berechtigungen regelmäßig mit dem Rollen-Recommender, dem Policy Analyzer und dem Cloud Infrastructure Entitlement Management (CIEM) analysieren.
• Behandeln Sie Dienstkonten als Identitäten mit hohen Berechtigungen. Verwenden Sie die schlüssellose Authentifizierung mit der Workload Identity Federation und legen Sie die Berechtigungen entsprechend fest. Best Practices zum Schutz von Dienstkonten finden Sie unter Best Practices für die Verwendung von Dienstkonten.
• Erforderliche Multi-Faktor-Authentifizierung für alle Nutzer über Cloud Identity und Verwendung von phishing-resistenten Titan-Sicherheitsschlüsseln

Kritische Daten schützen

Beachten Sie die folgenden Best Practices, um Ihre vertraulichen Daten zu schützen:

• Konfigurieren Sie Redundanz (N+2) für die Cloud-Speicheroption, mit der Sie Ihre Daten speichern. Wenn Sie Cloud Storage verwenden, können Sie die Objektversionsverwaltung oder das Bucket-Sperrfeature aktivieren.
• Implementieren und testen Sie regelmäßig Sicherungen für Datenbanken (z. B. Cloud SQL) und Dateispeicher (z. B. Filestore) und speichern Sie Kopien an getrennten Speicherorten. Für eine umfassende Sicherung von Arbeitslasten können Sie den Backup- und DR-Dienst verwenden. Prüfen Sie die Wiederherstellungsfunktionen regelmäßig.
• Rotieren Sie Ihre Schlüssel regelmäßig und überwachen Sie schlüsselbezogene Aktivitäten. Wenn Sie vom Kunden bereitgestellte Schlüssel (Customer-Supplied Encryption Keys, CSEK) oder Cloud External Key Manager (Cloud EKM) verwenden, sorgen Sie für robuste externe Sicherungs- und Rotationsverfahren.

Netzwerk und Infrastruktur schützen

Beachten Sie die folgenden Best Practices, um Ihr Netzwerk und Ihre Infrastruktur zu schützen:

• Verwenden Sie Infrastructure as Code (z. B. Terraform) mit dem Blueprint für Unternehmensgrundlagen als sichere Baseline, um einen bekannten, fehlerfreien Zustand zu gewährleisten und schnelle, konsistente Bereitstellungen zu ermöglichen.
• Aktivieren Sie VPC Service Controls, um einen Perimeter zu erstellen, der Ihre Ressourcen und Daten isoliert. Verwenden Sie Cloud Load Balancing mit Firewallregeln und eine sichere Verbindung ( Cloud VPN oder Cloud Interconnect) für Hybridumgebungen.

• Implementieren Sie restriktive Organisationsrichtlinien, z. B.:

  • Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einschränken
  • Zugriff über öffentliche IP-Adressen auf Cloud SQL-Instanzen einschränken
  • Zugriff auf serielle Ports der VM deaktivieren
  • Shielded VMs

Arbeitslasten schützen

Beachten Sie die folgenden Best Practices, um Ihre Arbeitslasten zu schützen:

• Integrieren Sie Sicherheit in jede Phase des Softwareentwicklungszyklus. Implementieren Sie für GKE-Arbeitslasten Software-Lieferkettensicherheit, einschließlich vertrauenswürdiger Builds, Anwendungsisolierung und Pod-Isolierung.
• Verwenden Sie Cloud Build, um Ihre Build-Schritte zu verfolgen, und Artifact Registry, um das Scannen auf Sicherheitslücken für Ihre Container-Images durchzuführen. Prüfen Sie mithilfe der Binärautorisierung, ob Ihre Images Ihren Standards entsprechen.
• Verwenden Sie Google Cloud Armor für die Layer-7-Filterung und den Schutz vor gängigen Webangriffen.
• Verwenden Sie automatische GKE-Upgrades und Wartungsfenster. Automatisieren Sie Builds in Cloud Build, um das Scannen auf Sicherheitslücken bei Codecommits einzubeziehen.

Angriffe erkennen

Beachten Sie die folgenden Best Practices, um Angriffe zu erkennen:

• Mit Cloud Logging können Sie die Logs Ihrer Dienste in Google Cloud verwalten und analysieren Google Cloud und mit Cloud Monitoring die Leistung Ihres Dienstes und Ihrer Ressourcen messen.
• Verwenden Sie Security Command Center, um potenzielle Angriffe zu erkennen und Benachrichtigungen zu analysieren.
• Für eine umfassende Sicherheitsanalyse und die Suche nach Bedrohungen können Sie Google Security Operations einbinden.

Vorfälle planen

• Erstellen Sie Notfallpläne für die Geschäftskontinuität und Notfallwiederherstellungspläne.

• Erstellen Sie ein Playbook zur Reaktion auf Ransomware-Vorfälle und führen Sie theoretische Übungen durch. Üben Sie Wiederherstellungsverfahren regelmäßig, um die Bereitschaft zu gewährleisten und Lücken zu erkennen.

• Informieren Sie sich über Ihre Verpflichtungen zur Meldung von Angriffen an die Behörden und fügen Sie relevante Kontaktdaten in Ihr Playbook ein.

Weitere Best Practices für die Sicherheit finden Sie im Well-Architected Framework: Säule „Sicherheit, Datenschutz und Compliance“.

Auf Angriffe reagieren und ihre Folgen beseitigen

Wenn Sie einen Ransomware-Angriff erkennen, aktivieren Sie Ihren Plan. Nachdem Sie bestätigt haben, dass der Vorfall kein falsch positives Ergebnis ist und sich auf IhreGoogle Cloud -Dienste auswirkt, öffnen Sie einen P1-Supportfall. Cloud Customer Care reagiert wie in den Google Cloud-Richtlinien für technische Supportdienste dokumentiert.

Nachdem Sie Ihren Plan aktiviert haben, erstellen Sie das Team in Ihrer Organisation, das an den Prozessen zur Koordination und Behebung von Vorfällen beteiligt sein muss. Sorgen Sie dafür, dass diese Tools und Prozesse vorhanden sind, um den Vorfall zu untersuchen und zu beheben.

Folgen Sie dem Reaktionsplan für Vorfälle, um die Ransomware zu entfernen und die Umgebung in einem fehlerfreien Zustand wiederherzustellen. Je nach Schweregrad des Angriffs und den aktivierten Sicherheitsfunktionen kann Ihr Plan Aktivitäten wie die folgenden umfassen:

• Infizierte Systeme in Quarantäne versetzen
• Daten aus fehlerfreien Sicherungen wiederherstellen
• Ihre Infrastruktur mit der CI/CD-Pipeline in einem als funktionierend bekannten Zustand wiederherstellen
• Prüfen, ob die Sicherheitslücke entfernt wurde
• Alle Systeme patchen, die möglicherweise für einen ähnlichen Angriff anfällig sind
• Erforderliche Funktionen implementieren, um einen ähnlichen Angriff zu vermeiden

Überwachen Sie während des Antwortvorgangs Ihr Google-Support-Ticket weiter. Das Cloud Customer Care-Team ergreift entsprechende Maßnahmen inGoogle Cloud , um Ihre Umgebung unter Kontrolle zu bringen und (falls möglich) wiederherzustellen.

Informieren Sie das Cloud Customer Care-Team, wenn Ihr Vorfall gelöst ist und Ihre Umgebung wiederhergestellt wurde. Wenn es geplant ist, nehmen Sie an einer gemeinsamen Analyse mit Ihrem Google-Ansprechpartner teil.

Erfassen Sie alle Erkenntnisse, die aus dem Vorfall gezogen wurden, und implementieren Sie die Funktionen, die Sie benötigen, um einen ähnlichen Angriff zu vermeiden. Je nach Art des Angriffs können Sie folgende Aktionen in Betracht ziehen:

• Schreiben von Erkennungsregeln und Benachrichtigungen, die automatisch ausgelöst werden, sollte der Angriff wiederholt werden
• Aktualisieren Sie Ihr Playbook zur Reaktion auf Vorfälle, um alle gewonnenen Erkenntnisse einzubeziehen.
• Verbessern Sie die Sicherheitslage anhand der gewonnenen Erkenntnisse.

Nächste Schritte

• Mit dem Sicherheits- und Ausfallsicherheits-Framework können Sie die Kontinuität gewährleisten und Ihr Unternehmen vor negativen Cyberereignissen schützen.
• Wenden Sie sich an Mandiant-Berater, um Ihre Ransomware-Abwehr bewerten zu lassen.
• Weitere Best Practices finden Sie im Google Cloud Well-Architected Framework.
• Informationen dazu, wie Google Vorfälle verwaltet, finden Sie unter Reaktion auf Vorfälle im Zusammenhang mit Kundendaten.