Mitigar ataques de ransomware con Google Cloud

El código creado por un tercero para infiltrarse en tus sistemas con el fin de piratear, cifrar y robar datos se denomina ransomware. Para ayudarte a mitigar los ataques de ransomware, Google Cloud te ofrece controles para identificar, proteger, detectar, responder y recuperarte de los ataques. Estos controles te ayudan a hacer lo siguiente:

• Evalúa los riesgos.
• Protege tu empresa frente a las amenazas.
• Mantener las operaciones de forma continua.
• Permite responder y recuperarse rápidamente.

Este documento está dirigido a arquitectos y administradores de seguridad. En él se describe la secuencia de un ataque de ransomware y cómo Google Cloud puede ayudar a tu organización a mitigar los efectos de los ataques de ransomware.

Secuencia de ataque de ransomware

Los ataques de ransomware pueden empezar como campañas masivas que buscan posibles vulnerabilidades o como campañas dirigidas. Una campaña dirigida empieza con la identificación y el reconocimiento, donde un atacante determina qué organizaciones son vulnerables y qué vector de ataque debe usar.

Hay muchos vectores de ataque de ransomware. Los vectores más habituales son los correos de phishing con URLs maliciosas o el aprovechamiento de una vulnerabilidad de software expuesta. Esta vulnerabilidad de software puede estar en el software que usa tu organización o en una vulnerabilidad que exista en tu cadena de suministro de software. Los atacantes de ransomware se dirigen a las organizaciones, su cadena de suministro y sus clientes.

Si el ataque inicial tiene éxito, el ransomware se instala y se pone en contacto con el servidor de comando y control para obtener las claves de cifrado. A medida que el ransomware se propaga por la red, puede infectar recursos, cifrar datos con las claves que ha obtenido y extraer datos. Los atacantes exigen un rescate, normalmente en criptomonedas, a la organización para que pueda obtener la clave de descifrado.

En el siguiente diagrama se resume la secuencia de un ataque de ransomware típico, que se ha explicado en los párrafos anteriores, desde la identificación y el reconocimiento hasta la exfiltración de datos y la petición de rescate.

El ransomware suele ser difícil de detectar. Por lo tanto, es fundamental que implementes medidas de prevención, monitorización y detección, y que tu organización esté preparada para responder rápidamente cuando alguien descubra un ataque.

Controles de seguridad y resiliencia en Google Cloud

Google Cloud incluye controles de seguridad y resiliencia integrados para ayudar a proteger a los clientes frente a ataques de ransomware. Entre estos controles se incluyen los siguientes:

• Infraestructura global diseñada con seguridad durante todo el ciclo de vida del tratamiento de la información.
• Funciones de detección integradas para Google Cloud productos y servicios, como la monitorización, la detección de amenazas, la prevención de la pérdida de datos y los controles de acceso.
• Controles preventivos integrados, como Assured Workloads
• Alta disponibilidad con clústeres regionales y balanceadores de carga globales.
• Copia de seguridad integrada con servicios escalables.
• Funciones de automatización mediante la infraestructura como código y las protecciones de configuración.

Google Threat Intelligence, VirusTotal y Mandiant Digital Threat Monitoring monitorizan y responden a muchos tipos de malware, incluido el ransomware, en la infraestructura y los productos de Google. Google Threat Intelligence es un equipo de investigadores de amenazas que desarrolla inteligencia frente a amenazas para los productos de Google Cloud . VirusTotal es una base de datos de malware y una solución de visualización que te proporciona una mejor comprensión de cómo funciona el malware en tu empresa. Mandiant Digital Threat Monitoring y otros servicios de Mandiant proporcionan investigación de amenazas, asesoramiento y asistencia para responder a incidentes.

Para obtener más información sobre los controles de seguridad integrados, consulta la descripción general de la seguridad de Google y la descripción general del diseño de la seguridad de la infraestructura de Google.

Controles de seguridad y resiliencia en Google Workspace, el navegador Chrome y los Chromebooks

Además de los controles de Google Cloud, otros productos de Google, como Google Workspace, el navegador Google Chrome y los Chromebooks, incluyen controles de seguridad que pueden ayudar a proteger a tu organización frente a ataques de ransomware. Por ejemplo, los productos de Google ofrecen controles de seguridad que permiten a los trabajadores remotos acceder a los recursos desde cualquier lugar en función de su identidad y contexto (como la ubicación o la dirección IP).

Como se describe en la sección Secuencia de ataque de ransomware, el correo electrónico es un vector clave para muchos ataques de ransomware. Se puede aprovechar para obtener credenciales mediante phishing para acceder a la red de forma fraudulenta y para distribuir archivos binarios de ransomware directamente. La protección avanzada contra phishing y malware de Gmail ofrece controles para poner en cuarentena los correos, protege contra tipos de archivos adjuntos peligrosos y ayuda a proteger a los usuarios frente a correos de spoofing entrantes. Entorno aislado de seguridad se ha diseñado para detectar la presencia de malware desconocido previamente en los archivos adjuntos.

El navegador Chrome incluye Navegación segura de Google, que se ha diseñado para mostrar advertencias a los usuarios cuando intentan acceder a un sitio infectado o malicioso. Las zonas de pruebas y el aislamiento de sitios web ayudan a proteger contra la propagación de código malicioso entre procesos distintos de la misma pestaña. Protección de contraseñas se ha diseñado para enviar alertas cuando se usa una contraseña corporativa en una cuenta personal y comprueba si alguna de las contraseñas guardadas del usuario se ha vulnerado en una brecha de seguridad online. En este caso, el navegador pide al usuario que cambie su contraseña.

Las siguientes funciones de Chromebook ayudan a protegerse contra los ataques de phishing y ransomware:

• Sistema operativo de solo lectura (ChromeOS). Este sistema se ha diseñado para actualizarse constantemente y de forma invisible. ChromeOS ayuda a protegerse frente a las vulnerabilidades más recientes e incluye controles que aseguran que las aplicaciones y las extensiones no puedan modificarlo.
• Entorno aislado. Cada aplicación se ejecuta en un entorno aislado, por lo que una aplicación dañina no puede infectar fácilmente otras aplicaciones.
• Inicio verificado. Mientras se inicia el Chromebook, está diseñado para comprobar que el sistema no se haya modificado.
• Navegación segura. Chrome descarga periódicamente la lista de sitios no seguros más reciente de Navegación segura. Está diseñada para comprobar las URLs de cada sitio que visita un usuario y cada archivo que descarga en esta lista.
• Chips de seguridad de Google. Estos chips ayudan a proteger el sistema operativo frente a manipulaciones maliciosas.

Para reducir la superficie de ataque de tu organización, considera la posibilidad de usar Chromebooks para los usuarios que trabajen principalmente en un navegador.

Prácticas recomendadas para mitigar ataques de ransomware en Google Cloud

Para proteger los recursos y los datos de tu empresa frente a ataques de ransomware, debes implementar controles multicapa en tus entornos locales y en la nube.

En las siguientes secciones se describen las prácticas recomendadas para ayudar a tu organización a identificar, prevenir, detectar y responder a los ataques de ransomware en Google Cloud.

Identifica tus riesgos y recursos

Para identificar los riesgos y los recursos enGoogle Cloud, ten en cuenta las siguientes prácticas recomendadas:

• Usa Inventario de Recursos de Cloud para mantener un inventario de cinco semanas de tus recursos en Google Cloud. Para analizar los cambios, exporta los metadatos de tus recursos a BigQuery.
• Usa Gestor de auditorías y las simulaciones de ruta de ataque de Security Command Center para evaluar tu perfil de riesgo actual. Consulta las opciones de ciberseguro disponibles a través del programa Protección frente a Riesgos.
• Usa Protección de datos sensibles para descubrir y clasificar tus datos sensibles.

Controlar el acceso a tus recursos y datos

Para limitar el acceso a los recursos y los datos de Google Cloud, sigue estas prácticas recomendadas:

• Usa Gestión de Identidades y Accesos (IAM) para configurar un acceso pormenorizado. Puedes analizar tus permisos periódicamente con Recomendador de roles, Analizador de políticas y Gestión de derechos de infraestructura en la nube (CIEM).
• Trata las cuentas de servicio como identidades con privilegios elevados. Considera la posibilidad de usar la autenticación sin llaves mediante Federación de identidades de cargas de trabajo y de definir el ámbito de tus permisos de forma adecuada. Para consultar las prácticas recomendadas sobre cómo proteger las cuentas de servicio, consulta el artículo Prácticas recomendadas para usar las cuentas de servicio.
• Obliga a todos los usuarios a usar la autenticación multifactor a través de Cloud Identity y usa la llave de seguridad Titan resistente al phishing.

Protege los datos críticos

Para proteger tus datos sensibles, te recomendamos que sigas estas prácticas recomendadas:

• Configura la redundancia (N+2) en la opción de almacenamiento en la nube que utilices para almacenar tus datos. Si usas Cloud Storage, puedes habilitar la gestión de versiones de los objetos o la función Bloqueo de segmento.
• Implementa y prueba periódicamente las copias de seguridad de las bases de datos (por ejemplo, Cloud SQL) y los almacenes de archivos (por ejemplo, Filestore), y almacena copias en ubicaciones aisladas. Te recomendamos que uses el servicio de copia de seguridad y recuperación tras fallos para hacer copias de seguridad completas de las cargas de trabajo. Verifica las funciones de recuperación con frecuencia.
• Rota tus claves periódicamente y monitoriza las actividades relacionadas con las claves. Si usas claves proporcionadas por el cliente (CSEK) o Cloud External Key Manager (Cloud EKM), asegúrate de que los procesos de copia de seguridad y rotación externos sean sólidos.

Red e infraestructura seguras

Para proteger tu red e infraestructura, ten en cuenta las siguientes prácticas recomendadas:

• Usa la infraestructura como código (por ejemplo, Terraform) con el blueprint de aspectos básicos de seguridad para empresas como base segura para asegurar estados correctos y permitir implementaciones rápidas y coherentes.
• Habilita Controles de Servicio de VPC para crear un perímetro que aísle tus recursos y datos. Usa Cloud Load Balancing con reglas de cortafuegos y conectividad segura (con Cloud VPN o Cloud Interconnect) en entornos híbridos.

• Implementa políticas de organización restrictivas, como las siguientes:

  • Restringir el acceso a IP públicas en instancias y cuadernos de Vertex AI Workbench
  • Restringir el acceso a IP públicas en instancias de Cloud SQL
  • Inhabilitar acceso al puerto serie de las VM
  • VM blindadas

Protege tus cargas de trabajo

Para proteger tus cargas de trabajo, te recomendamos que sigas estas prácticas recomendadas:

• Integra la seguridad en todas las fases del ciclo de vida de desarrollo de software. En el caso de las cargas de trabajo de GKE, implementa la seguridad de la cadena de suministro de software, incluidas las compilaciones de confianza, el aislamiento de aplicaciones y el aislamiento de pods.
• Usa Cloud Build para monitorizar los pasos de compilación y Artifact Registry para completar el análisis de vulnerabilidades de tus imágenes de contenedor. Usa Autorización binaria para verificar que tus imágenes cumplen tus estándares.
• Usa Google Cloud Armor para filtrar la capa 7 y protegerte frente a ataques web comunes.
• Usa las actualizaciones automáticas y las ventanas de mantenimiento de GKE. Automatiza las compilaciones en Cloud Build para incluir el análisis de vulnerabilidades cuando se confirmen los cambios en el código.

Detectar ataques

Para detectar ataques, te recomendamos que sigas estas prácticas recomendadas:

• Usa Cloud Logging para gestionar y analizar los registros de tus servicios en Google Cloud y Cloud Monitoring para medir el rendimiento de tus servicios y recursos.
• Usa Security Command Center para detectar posibles ataques y analizar alertas.
• Para llevar a cabo análisis de seguridad exhaustivos y buscar amenazas, integra la solución con Google Security Operations.

Planificar los incidentes

• Completar los planes de continuidad de la actividad y de recuperación tras fallos.

• Crea un manual de respuesta a incidentes de ransomware y realiza simulaciones. Practica los procedimientos de recuperación de forma periódica para asegurarte de que estás preparado e identificar las carencias.

• Conoce tus obligaciones de informar a las autoridades sobre los ataques e incluye la información de contacto pertinente en tu manual de procedimientos.

Para ver más prácticas recomendadas sobre seguridad, consulta el artículo Marco de arquitectura óptima: pilar de seguridad, privacidad y cumplimiento.

Responder a ataques y recuperarse de ellos

Cuando detectes un ataque de ransomware, activa tu plan de respuesta ante incidentes. Después de confirmar que el incidente no es un falso positivo y que afecta a tusGoogle Cloud servicios, abre un caso de asistencia de prioridad 1. Cloud Customer Care responde según lo documentado en las Google Cloud: Directrices de los Servicios de Asistencia Técnica.

Una vez que hayas activado tu plan, reúne al equipo de tu organización que deba participar en los procesos de coordinación y resolución de incidentes. Asegúrate de que se han implementado estas herramientas y procesos para investigar y resolver el incidente.

Sigue tu plan de respuesta ante incidentes para eliminar el ransomware y restaurar tu entorno a un estado correcto. En función de la gravedad del ataque y de los controles de seguridad que hayas habilitado, tu plan puede incluir actividades como las siguientes:

• Poner en cuarentena los sistemas infectados.
• Restaurar a partir de copias de seguridad correctas.
• Restaurar tu infraestructura a un estado correcto conocido anteriormente mediante tu pipeline de CI/CD.
• Verificando que se ha eliminado la vulnerabilidad.
• Aplicar parches en todos los sistemas que puedan ser vulnerables a un ataque similar.
• Implementar los controles que necesites para evitar un ataque similar.

A medida que avances en el proceso de respuesta, sigue monitorizando tu incidencia de asistencia de Google. El equipo de Asistencia de Clientes de Cloud tomará las medidas oportunas en un plazo deGoogle Cloud para contener, erradicar y (si es posible) recuperar tu entorno.

Informa al equipo de Atención al Cliente de Google Cloud cuando se haya resuelto el incidente y se haya restaurado tu entorno. Si hay una programada, participa en una retrospectiva conjunta con tu representante de Google.

Asegúrate de registrar las lecciones aprendidas del incidente y de implementar los controles necesarios para evitar un ataque similar. En función de la naturaleza del ataque, puedes tomar las siguientes medidas:

• Escribe reglas de detección y alertas que se activen automáticamente si se vuelve a producir el ataque.
• Actualiza tu libro de tácticas de respuesta ante incidentes para incluir las lecciones aprendidas.
• Mejora tu posición de seguridad en función de los resultados de la retrospectiva.

Siguientes pasos

• Utiliza el marco de seguridad y resiliencia para asegurar la continuidad y proteger tu empresa contra eventos cibernéticos adversos.
• Ponte en contacto con los consultores de Mandiant para obtener una evaluación de la defensa contra ransomware.
• Consulta el Google Cloud marco de trabajo Well-Architected para ver otras prácticas recomendadas.
• Para obtener información sobre cómo gestiona Google los incidentes, consulta el proceso de respuesta a incidentes de datos.