Mitiga ataques de ransomware con Google Cloud

El código que crea un tercero para infiltrar tus sistemas a fin de usurpar, encriptar y robar datos se denomina ransomware. Para ayudarte a mitigar los ataques de ransomware, Google Cloud te proporciona controles para identificar, proteger, detectar, responder y recuperarse de los ataques. Estos controles te ayudan a lograr lo siguiente:

• Evaluar los riesgos.
• Proteger tu empresa de las amenazas.
• Mantener operaciones continuas
• Habilitar la respuesta y la recuperación rápidas.

Este documento está dirigido a arquitectos y administradores de seguridad. Se describe la secuencia de ataque de ransomware y cómo Google Cloud puede ayudar a tu organización a mitigar los efectos de los ataques de ransomware.

Secuencia de ataque de ransomware

Los ataques de ransomware pueden comenzar como campañas masivas que buscan posibles vulnerabilidades o como campañas dirigidas. Las campañas dirigidas comienzan con la identificación y el reconocimiento, con los que un atacante determina qué organizaciones son vulnerables y qué vector de ataque usar.

Existen muchos vectores de ataque de ransomware. Los vectores más comunes son los correos electrónicos de phishing con URLs maliciosas o la explotación de vulnerabilidades de software expuestas. Esta vulnerabilidad de software puede estar en el software que utiliza tu organización o en una vulnerabilidad que exista en la cadena de suministro de software. Los atacantes de ransomware se orientan a las organizaciones, su cadena de suministro y sus clientes.

Cuando el ataque inicial tiene éxito, el ransomware se instala y se comunica con el comando y el servidor de control para recuperar las claves de encriptación. A medida que el ransomware se extiende por toda la red, puede infectar recursos, encriptar datos mediante las claves que recuperó y robarlos. Los atacantes exigen un rescate, por lo general, en criptomonedas, de la organización para que puedan obtener la clave de desencriptación.

En el siguiente diagrama, se resume la secuencia de ataques de ransomware típica que se explica en los párrafos anteriores, desde la identificación y el reconocimiento hasta el robo de datos y la demanda de robo.

El ransomware suele ser difícil de detectar. Por lo tanto, es fundamental implementar capacidades de prevención, supervisión y detección, y que la organización esté lista para responder de forma rápida cuando alguien descubra un ataque.

Controles de seguridad y resiliencia en Google Cloud

Google Cloud incluye controles integrados de seguridad y resiliencia para ayudar a proteger a los clientes contra ataques de ransomware. Estos controles incluyen lo siguiente:

• Infraestructura global diseñada con seguridad durante todo el ciclo de vida del procesamiento de la información.
• Funciones de detección integradas para los productos y servicios de Google Cloud , como la supervisión, la detección de amenazas, la prevención de pérdida de datos y los controles de acceso
• Controles preventivos integrados, como Assured Workloads
• Alta disponibilidad con clústeres regionales y balanceadores de cargas globales.
• Copia de seguridad integrada, con servicios escalables.
• Capacidades de automatización que usan la infraestructura como código y las barreras de seguridad de configuración

Google Threat Intelligence, VirusTotal y Mandiant Digital Threat Monitoring hacen un seguimiento de muchos tipos de software malicioso, incluido un ransomware, en la infraestructura y los productos de Google. Google Threat Intelligence es un equipo de investigadores de amenazas que desarrolla inteligencia de amenazas para productos de Google Cloud . VirusTotal es una solución de visualización y base de datos de software malicioso que proporciona una mejor comprensión de cómo funciona el software malicioso en tu empresa. La supervisión de amenazas digitales de Mandiant y otros servicios de Mandiant proporcionan investigación de amenazas, consulta y asistencia de respuesta ante incidentes.

Para obtener más información sobre los controles de seguridad integrados, consulta la descripción general de la seguridad de Google y la descripción general del diseño de seguridad de la infraestructura de Google.

Controles de seguridad y resiliencia en Google Workspace, el navegador Chrome y Chromebooks

Además de los controles dentro de Google Cloud, otros productos de Google, como Google Workspace, el navegador Google Chrome y las Chromebooks, incluyen controles de seguridad que pueden ayudar a proteger tu organización contra ataques de ransomware. Por ejemplo, los productos de Google proporcionan controles de seguridad que permiten a los trabajadores remotos acceder a los recursos desde cualquier lugar, según su identidad y contexto (como ubicación o dirección IP).

Como se describe en la sección Secuencia de ataques de ransomware, el correo electrónico es un vector clave para muchos ataques de ransomware. Se puede aprovechar para robar credenciales del acceso a la red fraudulenta y distribuir directamente los objetos binarios de ransomware. La protección avanzada contra suplantación de identidad (phishing) y software malicioso de Gmail proporciona controles para correos electrónicos en cuarentena, protege contra los tipos de archivos adjuntos dañinos y ayuda a proteger a los usuarios de los correos electrónicos de falsificación de identidad entrantes. La Zona de pruebas de seguridad está diseñada para detectar la presencia de software malicioso anteriores en los archivos adjuntos.

El navegador Chrome incluye Navegación segura de Google, que está diseñada para proporcionar advertencias a los usuarios cuando intentan acceder a un sitio infectado o malicioso. Las zonas de pruebas y el aislamiento de sitios ayudan a proteger contra la expansión de códigos maliciosos dentro de los diferentes procesos en la misma pestaña. La protección por contraseña está diseñada para proporcionar alertas cuando se usa una contraseña corporativa en una cuenta personal y verifica si alguna de las contraseñas guardadas del usuario se vio comprometida en una vulneración en línea. En este caso, el navegador solicita al usuario que cambie su contraseña.

Las siguientes funciones de Chromebook ayudan a proteger contra ataques de suplantación de identidad (phishing) y ransomware:

• Sistema operativo de solo lectura (ChromeOS). Este sistema está diseñado para actualizarse de forma invisible y constante. ChromeOS ayuda a proteger contra las vulnerabilidades más recientes y, además, incluye controles que garantizan que las aplicaciones y extensiones no puedan modificarla.
• Zona de pruebas. Cada aplicación se ejecuta en un entorno aislado, por lo que una aplicación dañina no puede infectar con facilidad otras aplicaciones.
• Inicio verificado. Mientras se inicia la Chromebook, se diseñó para comprobar que no se haya modificado el sistema.
• Navegación segura Chrome descarga de forma periódica la lista más reciente de sitios no seguros de la Navegación segura. Está diseñado para verificar las URLs de cada sitio que un usuario visite y comprobar cada archivo que descargue un usuario en esta lista.
• Chips de seguridad de Google. Estos chips ayudan a proteger el sistema operativo de la manipulación maliciosa.

A fin de reducir la superficie de ataque de tu organización, considera usar Chromebooks para los usuarios que trabajan principalmente en un navegador.

Prácticas recomendadas para mitigar ataques de ransomware en Google Cloud

Para proteger tus recursos y datos empresariales de los ataques de ransomware, debes implementar controles de varias capas en tus entornos locales y de nube.

En las siguientes secciones, se describen las prácticas recomendadas para ayudar a tu organización a identificar, prevenir, detectar y responder a ataques de ransomware en Google Cloud.

Identifica tus riesgos y recursos

Ten en cuenta las siguientes prácticas recomendadas para identificar tus riesgos y recursos enGoogle Cloud:

• Usa Cloud Asset Inventory para mantener un inventario de cinco semanas de tus recursos en Google Cloud. Para analizar los cambios, exporta los metadatos de tus recursos a BigQuery.
• Usa el Administrador de auditorías y las simulaciones de rutas de ataque en Security Command Center y la evaluación de riesgos para evaluar tu perfil de riesgo actual. Considera las opciones de seguros cibernéticos disponibles a través del Programa de Protección contra Riesgos.
• Usa Sensitive Data Protection para descubrir y clasificar tus datos sensibles.

Controla el acceso a tus recursos y datos

Considera las siguientes prácticas recomendadas para limitar el acceso a los recursos y los datos de Google Cloud:

• Usa Identity and Access Management (IAM) para configurar el acceso detallado. Puedes analizar tus permisos con regularidad mediante el recomendador de roles, el Analizador de políticas y la Administración de derechos de la infraestructura de nube (CIEM).
• Trata las cuentas de servicio como identidades con privilegios elevados. Considera la autenticación sin claves con la federación de Workload Identity y define el alcance de tus permisos de forma adecuada. Si deseas conocer las prácticas recomendadas para proteger las cuentas de servicio, consulta Prácticas recomendadas para usar cuentas de servicio.
• Establece la autenticación de varios factores para todos los usuarios a través de Cloud Identity y usa la llave de seguridad Titan resistente al phishing.

Protege los datos críticos

Ten en cuenta las siguientes prácticas recomendadas para proteger tus datos sensibles:

• Configura la redundancia (N+2) en la opción de almacenamiento en la nube que usas para almacenar tus datos. Si usas Cloud Storage, puedes habilitar el control de versiones de objetos o la función de bloqueo de buckets.
• Implementa y prueba con frecuencia las copias de seguridad de las bases de datos (por ejemplo, Cloud SQL) y los almacenes de archivos (por ejemplo, Filestore), y almacena copias en ubicaciones aisladas. Considera el servicio de Copia de seguridad y DR para obtener una copia de seguridad completa de las cargas de trabajo. Verifica las capacidades de recuperación con frecuencia.
• Rota tus claves con regularidad y supervisa las actividades relacionadas con ellas. Si usas claves proporcionadas por el cliente (CSEK) o Cloud External Key Manager (Cloud EKM), asegúrate de tener procesos de rotación y copia de seguridad externos sólidos.

Infraestructura y red seguras

Ten en cuenta las siguientes prácticas recomendadas para proteger tu red y la infraestructura:

• Usa la infraestructura como código (como Terraform) con el plano de bases empresariales como un modelo de referencia seguro para garantizar estados conocidos y permitir implementaciones rápidas y coherentes.
• Habilita los Controles del servicio de VPC para crear un perímetro que aísle tus recursos y datos. Usa Cloud Load Balancing con reglas de firewall y conectividad segura (con Cloud VPN o Cloud Interconnect) para entornos híbridos.

• Implementa políticas de la organización restrictivas, como las siguientes:

  • Restringe el acceso de IP pública en los notebooks y las instancias nuevos de Vertex AI Workbench
  • Restringir el acceso de IP pública en las instancias de Cloud SQL
  • Inhabilitar el acceso al puerto en serie de VM
  • VM protegidas

Protege tus cargas de trabajo

Ten en cuenta las siguientes prácticas recomendadas para proteger tus cargas de trabajo:

• Integra la seguridad en cada fase del ciclo de vida del desarrollo de software. Para las cargas de trabajo de GKE, implementa la seguridad de la cadena de suministro de software, incluidas las compilaciones de confianza, el aislamiento de aplicaciones y el aislamiento de pods.
• Usa Cloud Build para hacer un seguimiento de los pasos de compilación y Artifact Registry para completar el análisis de vulnerabilidades en las imágenes de contenedor. Usa la autorización binaria para verificar que las imágenes cumplan con tus estándares.
• Usa Google Cloud Armor para el filtrado de la capa 7 y la protección contra ataques web comunes.
• Usa las actualizaciones automáticas y los períodos de mantenimiento de GKE. Automatiza las compilaciones en Cloud Build para incluir el análisis de vulnerabilidades en las confirmaciones de código.

Detecta ataques

Considera las siguientes prácticas recomendadas para detectar ataques:

• Usa Cloud Logging para administrar y analizar los registros de tus servicios en Google Cloud y Cloud Monitoring para medir el rendimiento de tu servicio y tus recursos.
• Usa Security Command Center para detectar posibles ataques y analizar alertas.
• Para realizar un análisis de seguridad detallado y la búsqueda de amenazas, integra con Google Security Operations.

Planifica para los incidentes

• Completa los planes de continuidad del negocio y de recuperación ante desastres.

• Crea una guía de respuesta ante incidentes de ransomware y realiza ejercicios de simulación. Practica los procedimientos de recuperación con regularidad para asegurarte de que todo esté listo y identificar las brechas.

• Comprende tus obligaciones para informar ataques a las autoridades y, luego, incluye la información de contacto relevante en tu plan de acción.

Para obtener más prácticas recomendadas de seguridad, consulta Framework de arquitectura bien diseñada: Pilar de seguridad, privacidad y cumplimiento.

Responde a los ataques y recupérate

Cuando detectes un ataque de ransomware, activa tu plan de respuesta ante incidentes. Después de confirmar que el incidente no es un falso positivo y que afecta a tus servicios deGoogle Cloud , abre un caso de asistencia P1. Atención al cliente de Cloud responde tal como se documenta en los Lineamientos de los Servicios de Asistencia Técnica deGoogle Cloud.

Después de activar tu plan, reúne al equipo dentro de tu organización que debe participar en los procesos de coordinación y resolución de incidentes. Asegúrate de que estas herramientas y procesos se implementen para investigar y resolver el incidente.

Sigue tu plan de respuesta ante incidentes para quitar el ransomware y restablecer el entorno a un buen estado. Según la gravedad del ataque y los controles de seguridad que hayas habilitado, tu plan puede incluir actividades como las siguientes:

• Poner en cuarentena los sistemas infectados.
• Restablecer a partir de las copias de seguridad en buen estado.
• Restablecer la infraestructura a un estado adecuado conocido previamente con la canalización de CI/CD.
• Verificar que se haya quitado la vulnerabilidad.
• Aplica parches a todos los sistemas que podrían ser vulnerables a un ataque similar
• Implementa los controles que necesitas para evitar un ataque similar

A medida que avanzas en el proceso de respuesta, continúa supervisando tu ticket de Atención al cliente de Google. El equipo de Atención al cliente de Cloud toma las medidas adecuadas dentro deGoogle Cloud para contener, erradicar y (si es posible) recuperar tu entorno.

Informa a Atención al cliente de Cloud cuando se resuelva el incidente y se restablezca el entorno. Participa en una retrospectiva conjunta con tu representante de Google, si se programa alguna.

Asegúrate de capturar las lecciones aprendidas en el incidente y establecer los controles que necesitas para evitar un ataque similar. Según la naturaleza del ataque, podrías considerar las siguientes acciones:

• Escribir reglas de detección y alertas que se activen de forma automática si vuelve a ocurrir el ataque.
• Actualizar la guía de respuestas ante incidentes para incluir todas las lecciones aprendidas
• Mejora tu postura de seguridad según tus hallazgos retrospectivos.

¿Qué sigue?

• Usa el framework de seguridad y resiliencia para garantizar la continuidad y proteger tu empresa contra eventos cibernéticos adversos.
• Comunícate con los consultores de Mandiant para obtener una evaluación de la defensa contra ransomware.
• Revisa el Google Cloud Framework de arquitectura bien diseñada para obtener más prácticas recomendadas.
• Para obtener información sobre cómo Google administra los incidentes, consulta el Proceso de respuesta ante incidentes de datos.