Atténuer les attaques de rançongiciels à l'aide de Google Cloud

Un code créé par un tiers pour infiltrer vos systèmes afin de pirater, chiffrer et voler les données est appelé rançongiciel. Pour vous aider à atténuer les attaques de rançongiciels, Google Cloud vous fournit des commandes pour identifier, protéger, détecter, répondre et se rétablir des attaques. Ces commandes vous aident à effectuer les opérations suivantes:

• Évaluer les risques.
• Protéger votre entreprise des menaces.
• Maintenir les opérations continues.
• Accélérer la gestion et la récupération.

Ce document est destiné aux architectes et aux administrateurs de sécurité. Il décrit la séquence d'attaque de rançongiciel et comment Google Cloud peut aider votre organisation à atténuer les effets des attaques de rançongiciel.

Séquence d'attaque de rançongiciel

Les attaques par rançongiciel peuvent commencer par des campagnes de masse visant à identifier des vulnérabilités potentielles, ou par des campagnes dirigées. Une campagne dirigée commence par l'identification et la reconnaissance, où un pirate informatique détermine les organisations qui sont vulnérables et le vecteur d'attaque à utiliser.

Il existe de nombreux vecteurs d'attaque. Les vecteurs les plus courants sont les e-mails d'hameçonnage contenant des URL malveillantes ou l'exploitation d'une faille logicielle. La faille logicielle peut se trouver dans le logiciel utilisé par votre organisation ou dans votre chaîne d'approvisionnement logicielle. Les pirates informatiques ciblent les organisations, leur chaîne d'approvisionnement et leurs clients.

Une fois l'attaque initiale réussie, le rançongiciel s'installe et contacte le serveur de commande et de contrôle pour récupérer les clés de chiffrement. À mesure que le rançongiciel se propage sur le réseau, il peut infecter les ressources, chiffrer les données à l'aide des clés qu'il a récupérées et exfiltrer des données. Les pirates informatiques demandent alors une rançon à l'organisation, généralement sous forme de cryptomonnaie, en échange de la clé de déchiffrement.

Le schéma suivant résume la séquence d'attaque des rançongiciels classique expliquée dans les paragraphes précédents, de l'identification et la reconnaissance à l'exfiltration de données et à la demande de rançon.

Les rançongiciels sont souvent difficiles à détecter. Il est donc essentiel de mettre en place des fonctionnalités de prévention, de surveillance et de détection, et que votre organisation soit prête à réagir rapidement lorsqu'une personne découvre une attaque.

Contrôles de sécurité et de résilience dans Google Cloud

Google Cloud intègre des contrôles de sécurité et de résilience qui permettent de protéger les clients contre les attaques de rançongiciels. Ces contrôles incluent les éléments suivants:

• Infrastructure mondiale conçue dans un souci de sécurité tout au long du cycle de traitement des informations.
• Fonctionnalités de détection intégrées pour les Google Cloud produits et services, tels que la surveillance, la détection des menaces, la prévention contre la perte de données et le contrôle des accès.
• Contrôles préventifs intégrés, tels qu'Assured Workloads
• Haute disponibilité avec des clusters régionaux et des équilibreurs de charge globaux.
• Sauvegarde intégrée, services évolutifs.
• Fonctionnalités d'automatisation utilisant l'infrastructure en tant que code (IaC) et les garde-fous de configuration.

Google Threat Intelligence, VirusTotal et Mandiant Digital Threat Monitoring suivent et répondent à de nombreux types de logiciels malveillants, y compris les rançongiciels, dans l'infrastructure et les produits Google. Google Threat Intelligence est une équipe de chercheurs de menaces qui développe des renseignements sur les menaces pour les Google Cloud produits. VirusTotal est une base de données et une solution de visualisation des logiciels malveillants qui vous permet de mieux comprendre comment ces derniers opèrent dans votre entreprise. La surveillance des menaces numériques Mandiant et d'autres services Mandiant fournissent une assistance en matière de recherche sur les menaces, de consultation et de gestion des incidents.

Pour en savoir plus sur les contrôles de sécurité intégrés, consultez la présentation de la sécurité de Google et la présentation de la conception de la sécurité sur l'infrastructure de Google.

Contrôles de sécurité et de résilience dans Google Workspace, le navigateur Chrome, et les Chromebooks

Outre les contrôles au sein de Google Cloud, d'autres produits Google tels que Google Workspace, le navigateur Google Chrome et les Chromebooks incluent des contrôles de sécurité qui peuvent vous aider à protéger votre organisation des attaques de rançongiciels. Par exemple, les produits Google fournissent des contrôles de sécurité permettant aux nœuds de calcul distants d'accéder aux ressources depuis n'importe où, en fonction de leur identité et de leur contexte (par exemple, l'emplacement ou l'adresse IP).

Comme décrit dans la section Séquence d'attaque de rançongiciel, l'e-mail est un vecteur de clé pour de nombreuses attaques de rançongiciels. Il peut être exploité à des fins d'hameçonnage dans le cadre d'un accès frauduleux au réseau et pour distribuer directement des binaires de rançongiciels. Dans Gmail, la protection avancée contre l'hameçonnage et les logiciels malveillants offre des contrôles de mise en quarantaine des e-mails et de défense contre les types de pièces jointes dangereuses, et protège les utilisateurs des e-mails de spoofing entrants. Le bac à sable de sécurité est conçu pour détecter la présence de logiciels malveillants jusqu'ici inconnus dans les pièces jointes.

Le navigateur Chrome inclut la navigation sécurisée Google, conçue pour fournir des avertissements aux utilisateurs lorsqu'ils tentent d'accéder à un site infecté ou malveillant. Les bacs à sable et l'isolation de sites permettent d'éviter la propagation de code malveillant dans différents processus dans un même onglet. La protection par mot de passe est conçue pour fournir des alertes lorsqu'un mot de passe d'entreprise est utilisé sur un compte personnel, et vérifie si l'un des mots de passe utilisateur enregistrés a été compromis en raison d'une faille en ligne. Dans ce scénario, le navigateur invite l'utilisateur à modifier son mot de passe.

Les fonctionnalités de Chromebook suivantes aident à se protéger contre les attaques par hameçonnage et rançongiciel:

• Système d'exploitation en lecture seule (ChromeOS). Ce système est conçu pour se mettre à jour en continu et de manière invisible. ChromeOS vous aide à vous protéger contre les failles les plus récentes et inclut des contrôles qui empêchent les applications et les extensions de les modifier.
• Système de bac à sable Chaque application s'exécute dans un environnement isolé. Ainsi, une application malveillante ne peut pas facilement infecter d'autres applications.
• Démarrage validé. Pendant son démarrage, le Chromebook est conçu pour vérifier que le système n'a pas été modifié.
• Navigation sécurisée. Chrome télécharge régulièrement la liste de navigation sécurisée la plus récente des sites non sécurisés. Elle est conçue pour vérifier les URL de chaque site consulté par un utilisateur et comparer chaque fichier téléchargé par l'utilisateur à cette liste.
• Puces de sécurité Google Ces puces contribuent à protéger le système d'exploitation contre les falsifications malveillantes.

Pour réduire la surface d'exposition aux attaques de votre organisation, envisagez d'utiliser des Chromebooks pour les utilisateurs qui travaillent principalement dans un navigateur.

Bonnes pratiques pour atténuer les attaques de rançongiciels sur Google Cloud

Pour protéger les ressources et les données de votre entreprise contre les attaques par rançongiciels, vous devez mettre en place des contrôles multicouches dans vos environnements sur site et cloud.

Les sections suivantes décrivent les bonnes pratiques qui aideront votre organisation à identifier, prévenir, détecter et répondre aux attaques de rançongiciels sur Google Cloud.

Identifier vos risques et vos éléments

Tenez compte des bonnes pratiques suivantes pour identifier vos risques et vos éléments dansGoogle Cloud:

• Utilisez Cloud Asset Inventory pour gérer un inventaire de cinq semaines de vos ressources dans Google Cloud. Pour analyser les modifications, exportez les métadonnées de vos composants vers BigQuery.
• Utilisez Audit Manager et les simulations de chemin d'attaque dans Security Command Center, ainsi que l'évaluation des risques pour évaluer votre profil de risque actuel. Envisagez les options de cyberassurance disponibles via le programme de protection contre les risques.
• Utilisez la protection des données sensibles pour découvrir et classer vos données sensibles.

Contrôler l'accès à vos ressources et données

Tenez compte des bonnes pratiques suivantes pour limiter l'accès aux Google Cloud ressources et aux données:

• Utilisez Identity and Access Management (IAM) pour configurer un accès précis. Vous pouvez analyser régulièrement vos autorisations à l'aide de l'outil de recommandation de rôle, de Policy Analyzer et de la gestion des droits d'accès à l'infrastructure cloud (CIEM).
• Traitez les comptes de service comme des identités hautement privilégiées. Envisagez l'authentification sans clé à l'aide de la fédération d'identité de charge de travail et définissez le champ d'application de vos autorisations de manière appropriée. Pour découvrir les bonnes pratiques relatives à la protection des comptes de service, consultez la section Bonnes pratiques d'utilisation des comptes de service.
• Imposez l'authentification multifacteur pour tous les utilisateurs via Cloud Identity et utilisez une clé de sécurité Titan antihameçonnage.

Protéger les données critiques

Suivez les bonnes pratiques suivantes pour protéger vos données sensibles:

• Configurez la redondance (N+2) dans l'option de stockage cloud que vous utilisez pour stocker vos données. Si vous utilisez Cloud Storage, vous pouvez activer la gestion des versions des objets ou la fonctionnalité de verrou de bucket.
• Implémentez et testez régulièrement des sauvegardes pour les bases de données (par exemple, Cloud SQL) et les filestores (par exemple, Filestore), en stockant des copies dans des emplacements isolés. Envisagez le service Backup and DR pour sauvegarder de manière exhaustive vos charges de travail. Vérifiez régulièrement les fonctionnalités de récupération.
• Effectuez une rotation de vos clés régulièrement et surveillez les activités liées à ces clés. Si vous utilisez des clés fournies par le client (CSEK) ou Cloud External Key Manager (Cloud EKM), assurez-vous de mettre en place des processus de rotation et de sauvegarde externes robustes.

Sécuriser le réseau et l'infrastructure

Suivez les bonnes pratiques ci-dessous pour sécuriser votre réseau et votre infrastructure:

• Utilisez Infrastructure as Code (comme Terraform) avec le plan de base de l'entreprise comme référence sécurisée pour garantir des états connus et permettre des déploiements rapides et cohérents.
• Activez VPC Service Controls pour créer un périmètre qui isole vos ressources et vos données. Utilisez Cloud Load Balancing avec des règles de pare-feu et une connectivité sécurisée (à l'aide de Cloud VPN ou de Cloud Interconnect) pour les environnements hybrides.

• Implémentez des règles d'administration restrictives, par exemple:

  • Limiter l'accès des adresses IP publiques sur les nouveaux notebooks et instances Vertex AI Workbench
  • Limiter l'accès des adresses IP publiques sur les instances Cloud SQL
  • Désactiver l'accès au port série des VM
  • VM protégées

Protéger vos charges de travail

Tenez compte des bonnes pratiques suivantes pour protéger vos charges de travail:

• Intégrez la sécurité à chaque phase du cycle de développement logiciel. Pour les charges de travail GKE, implémentez la sécurité de la chaîne d'approvisionnement logicielle, y compris les builds approuvés, l'isolation des applications et l'isolation des pods.
• Utilisez Cloud Build pour suivre vos étapes de compilation et Artifact Registry pour effectuer une analyse des failles sur vos images de conteneurs. Utilisez l'autorisation binaire pour vérifier que vos images respectent vos normes.
• Utilisez Google Cloud Armor pour le filtrage de couche 7 et la protection contre les attaques Web courantes.
• Utilisez les mises à niveau automatiques et les intervalles de maintenance de GKE. Automatisez les compilations dans Cloud Build pour inclure l'analyse des failles lors des validations de code.

Détecter les attaques

Tenez compte des bonnes pratiques suivantes pour vous aider à détecter les attaques:

• Utilisez Cloud Logging pour gérer et analyser les journaux de vos services dans Google Cloud et Cloud Monitoring pour mesurer les performances de votre service et de vos ressources.
• Utilisez Security Command Center pour détecter les attaques potentielles et analyser les alertes.
• Pour une analyse de sécurité approfondie et la recherche de menaces, intégrez Google Security Operations.

Planifier les incidents

• Élaborez des plans de continuité d'activité et de reprise après sinistre.

• Créez un playbook de réponse aux incidents liés aux rançongiciels et effectuez des simulations. Entraînez-vous régulièrement à suivre les procédures de reprise pour vous assurer qu'elles sont prêtes et identifier les lacunes.

• Familiarisez-vous avec vos obligations de signalement des attaques aux autorités et incluez les coordonnées pertinentes dans votre playbook.

Pour en savoir plus sur les bonnes pratiques de sécurité, consultez le Framework Well-Architected: pilier Sécurité, confidentialité et conformité.

Gestion et récupération en cas d'attaque

Lorsque vous détectez une attaque de rançongiciel, activez votre plan de gestion des incidents. Après avoir vérifié que l'incident n'est pas un faux positif et qu'il affecte vos servicesGoogle Cloud , ouvrez une demande d'assistance P1. Cloud Customer Care répond comme indiqué dans les instructions relatives aux services d'assistance technique deGoogle Cloud.

Une fois votre plan activé, rassemblez l'équipe de votre organisation qui doit être impliquée dans vos processus de coordination et de résolution des incidents. Assurez-vous que ces outils et processus sont en place pour enquêter sur l'incident et le résoudre.

Suivez votre plan de réponse aux incidents pour supprimer le rançongiciel et restaurer votre environnement dans un état sain. Selon la gravité de l'attaque et les contrôles de sécurité que vous avez activés, votre plan peut inclure des activités telles que:

• Mettre en quarantaine les systèmes infectés.
• Effectuer une restauration à partir de sauvegardes saines.
• Restaurer votre infrastructure à un état sain précédemment connu à l'aide de votre pipeline CI/CD.
• Vérifier que la faille a été supprimée.
• Appliquer des correctifs à tous les systèmes susceptibles d'être vulnérables à une attaque similaire.
• Implémenter les contrôles dont vous avez besoin pour éviter une attaque similaire.

Tout au long du processus de réponse, continuez à surveiller votre demande d'assistance Google. Cloud Customer Care prend les mesures appropriées dansGoogle Cloud pour contenir, éradiquer et (si possible) récupérer votre environnement.

Informez le service client Cloud lorsque votre incident est résolu et que votre environnement est restauré. Si une rétrospective conjointe est planifiée, participez-y avec votre représentant Google.

Assurez-vous de retenir toutes les leçons tirées de l'incident, et mettez en place les contrôles nécessaires pour éviter toute attaque similaire. Selon la nature de l'attaque, vous pouvez envisager les actions suivantes:

• Rédiger des règles de détection et des alertes déclenchées automatiquement en cas de nouvelle attaque.
• Mettez à jour votre playbook de réponse aux incidents pour inclure les enseignements tirés de cet incident.
• Améliorer votre stratégie de sécurité en fonction de vos résultats rétrospectifs.

Étapes suivantes

• Assurez la continuité de votre activité et protégez votre entreprise contre les cyberévénements indésirables à l'aide du framework de sécurité et de résilience.
• Contactez les consultants Mandiant pour une évaluation de la défense contre les rançongiciels.
• Consultez le Google Cloud framework Well-Architected pour connaître d'autres bonnes pratiques.
• Pour en savoir plus sur la manière dont Google gère les incidents, consultez la section Processus de gestion des incidents liés aux données.