Memitigasi serangan ransomware menggunakan Google Cloud

Kode yang dibuat oleh pihak ketiga untuk menyusup ke sistem Anda guna membajak, mengenkripsi, dan mencuri data disebut sebagai ransomware. Untuk membantu Anda memitigasi serangan ransomware, Google Cloud menyediakan kontrol untuk mengidentifikasi, melindungi, mendeteksi, merespons, dan memulihkan dari serangan. Kontrol ini membantu Anda melakukan hal berikut:

• Menilai risiko Anda.
• Melindungi bisnis Anda dari ancaman.
• Mempertahankan operasi yang berkelanjutan.
• Memungkinkan respons dan pemulihan yang cepat.

Dokumen ini ditujukan untuk arsitek keamanan dan administrator. Dokumen ini menjelaskan urutan serangan ransomware dan cara Google Cloud membantu organisasi Anda memitigasi efek serangan ransomware.

Urutan serangan ransomware

Serangan ransomware dapat dimulai sebagai kampanye massal untuk mencari potensi kerentanan atau sebagai kampanye yang diarahkan. Kampanye terarah dimulai dengan identifikasi dan pengintaian, yaitu saat penyerang menentukan organisasi mana yang rentan dan vektor serangan apa yang akan digunakan.

Ada banyak vektor serangan ransomware. Vektor yang paling umum adalah email phishing dengan URL berbahaya atau mengeksploitasi kerentanan software yang terekspos. Kerentanan software ini dapat terjadi pada software yang digunakan organisasi Anda, atau kerentanan yang ada dalam supply chain software Anda. Penyerang ransomware menarget organisasi, supply chain mereka, dan pelanggan mereka.

Jika serangan awal berhasil, ransomware akan menginstal dengan sendirinya dan menghubungi server command and control untuk mengambil kunci enkripsi. Saat ransomware menyebar di seluruh jaringan, ransomware dapat menginfeksi resource, mengenkripsi data menggunakan kunci yang diambil, dan memindahkan data secara tidak sah. Penyerang meminta tebusan, biasanya dalam mata uang kripto, dari organisasi agar mereka dapat mendapatkan kunci dekripsi.

Diagram berikut merangkum urutan serangan ransomware yang umum yang dijelaskan dalam paragraf sebelumnya, mulai dari identifikasi dan pengintaian hingga pemindahan data yang tidak sah dan permintaan tebusan.

Ransomware sering kali sulit dideteksi. Oleh karena itu, sangat penting untuk Anda menerapkan kemampuan pencegahan, pemantauan, dan deteksi, dan memastikan organisasi Anda siap untuk merespons dengan cepat saat seseorang menemukan serangan.

Kontrol keamanan dan ketahanan di Google Cloud

Google Cloud menyertakan kontrol keamanan dan ketahanan bawaan untuk membantu melindungi pelanggan dari serangan ransomware. Kontrol ini mencakup hal berikut:

• Infrastruktur global yang didesain dengan keamanan di sepanjang siklus proses pemrosesan informasi.
• Fitur detektif bawaan untuk Google Cloud produk dan layanan, seperti pemantauan, deteksi ancaman, pencegahan kebocoran data, dan kontrol akses.
• Kontrol pencegahan bawaan, seperti Assured Workloads
• Ketersediaan tinggi dengan cluster regional dan load balancer global.
• Pencadangan bawaan dengan layanan skalabel.
• Kemampuan otomatisasi menggunakan Infrastruktur sebagai Kode dan pelindung konfigurasi.

Google Threat Intelligence, VirusTotal, dan Mandiant Digital Threat Monitoring melacak dan merespons berbagai jenis malware, termasuk ransomware, di seluruh infrastruktur dan produk Google. Google Threat Intelligence adalah tim peneliti ancaman yang mengembangkan kecerdasan ancaman untuk produk Google Cloud . VirusTotal adalah solusi database dan visualisasi malware yang memberikan pemahaman yang lebih baik tentang cara malware beroperasi dalam perusahaan Anda. Mandiant Digital Threat Monitoring dan layanan Mandiant lainnya memberikan dukungan riset ancaman, konsultasi, dan respons insiden.

Untuk informasi selengkapnya tentang kontrol keamanan bawaan, lihat ringkasan keamanan Google dan ringkasan desain keamanan infrastruktur Google.

Kontrol keamanan dan ketahanan di Google Workspace, browser Chrome, dan Chromebook

Selain kontrol dalam Google Cloud, produk Google lainnya seperti Google Workspace, browser Google Chrome, dan Chromebook menyertakan kontrol keamanan yang dapat membantu melindungi organisasi Anda dari serangan ransomware. Misalnya, produk Google menyediakan kontrol keamanan yang memungkinkan pekerja jarak jauh mengakses resource dari mana saja, berdasarkan identitas dan konteks mereka (seperti lokasi atau alamat IP).

Seperti yang dijelaskan di bagian Urutan serangan ransomware, email adalah vektor utama untuk banyak serangan ransomware. Email ini dapat dieksploitasi untuk melakukan phishing kredensial untuk akses jaringan yang bersifat menipu dan mendistribusikan biner ransomware secara langsung. Perlindungan lanjutan terhadap phishing dan malware di Gmail menyediakan kontrol untuk mengarantina email, melindungi dari jenis lampiran berbahaya, dan membantu melindungi pengguna dari email spoofing masuk. Sandbox Keamanan didesain untuk mendeteksi adanya malware yang sebelumnya tidak dikenal dalam lampiran.

Browser Chrome menyertakan Google Safe Browsing, yang didesain untuk memberikan peringatan kepada pengguna saat mereka mencoba mengakses situs yang terinfeksi atau berbahaya. Sandbox dan isolasi situs membantu melindungi dari penyebaran kode berbahaya dalam berbagai proses pada tab yang sama. Perlindungan sandi didesain untuk memberikan peringatan saat sandi perusahaan digunakan pada akun pribadi, dan memeriksa apakah ada sandi tersimpan pengguna yang telah disusupi melalui pelanggaran online. Dalam skenario ini, browser akan meminta pengguna untuk mengubah sandinya.

Fitur Chromebook berikut membantu melindungi dari serangan phishing dan ransomware:

• Sistem operasi hanya baca (Chrome OS). Sistem ini didesain untuk diperbarui secara konstan dan tidak terlihat. ChromeOS membantu memberikan perlindungan dari kerentanan terbaru dan menyertakan kontrol yang memastikan bahwa aplikasi dan ekstensi tidak dapat mengubahnya.
• Sandbox. Setiap aplikasi berjalan di lingkungan yang terisolasi, sehingga satu aplikasi berbahaya tidak dapat menginfeksi aplikasi lain dengan mudah.
• Booting terverifikasi. Selagi Chromebook melakukan booting, Chromebook didesain untuk memeriksa bahwa sistem belum diubah.
• Safe Browsing. Chrome secara berkala mendownload daftar Safe Browsing terbaru dari situs yang tidak aman. Fitur ini didesain untuk memeriksa URL setiap situs yang dibuka pengguna dan memeriksa setiap file yang didownload pengguna berdasarkan daftar ini.
• Chip keamanan Google. Chip ini membantu melindungi sistem operasi dari sabotase berbahaya.

Untuk membantu mengurangi permukaan serangan organisasi Anda, pertimbangkan Chromebook untuk pengguna yang terutama bekerja menggunakan browser.

Praktik terbaik untuk memitigasi serangan ransomware di Google Cloud

Untuk melindungi resource dan data perusahaan Anda dari serangan ransomware, Anda harus menerapkan keamanan berlapis di seluruh jaringan lokal dan lingkungan cloud Anda.

Bagian berikut menjelaskan praktik terbaik untuk membantu organisasi Anda mengidentifikasi, mencegah, mendeteksi, dan merespons serangan ransomware di Google Cloud.

Mengidentifikasi risiko dan aset Anda

Pertimbangkan praktik terbaik berikut untuk mengidentifikasi risiko dan aset Anda di Google Cloud:

• Gunakan Inventaris Aset Cloud untuk mempertahankan inventaris resource Anda selama lima minggu di Google Cloud. Untuk menganalisis perubahan, ekspor metadata aset Anda ke BigQuery.
• Gunakan Audit Manager dan simulasi jalur serangan di Security Command Center untuk penilaian risiko guna menilai profil risiko Anda saat ini. Pertimbangkan opsi asuransi cyber yang tersedia melalui Program Proteksi Risiko.
• Gunakan Perlindungan Data Sensitif untuk menemukan dan mengklasifikasikan data sensitif Anda.

Mengontrol akses ke resource dan data Anda

Pertimbangkan praktik terbaik berikut untuk membatasi akses ke resource dan data Google Cloud:

• Gunakan Identity and Access Management (IAM) untuk menyiapkan akses yang terperinci. Anda dapat menganalisis izin secara rutin menggunakan pemberi rekomendasi peran, Policy Analyzer, dan Cloud Infrastructure Entitlement Management (CIEM).
• Perlakukan akun layanan sebagai identitas dengan hak istimewa tinggi. Pertimbangkan autentikasi tanpa kunci menggunakan Workload Identity Federation dan cakup izin Anda dengan tepat. Untuk praktik terbaik dalam melindungi akun layanan, lihat Praktik terbaik untuk menggunakan akun layanan.
• Wajibkan autentikasi multi-faktor untuk semua pengguna melalui Cloud Identity dan gunakan Kunci Keamanan Titan yang tahan terhadap phishing.

Melindungi data penting

Pertimbangkan praktik terbaik berikut untuk membantu melindungi data sensitif Anda:

• Konfigurasikan redundansi (N+2) pada opsi penyimpanan cloud yang Anda gunakan untuk menyimpan data. Jika Anda menggunakan Cloud Storage, Anda dapat mengaktifkan Pembuatan Versi Objek atau fitur Penguncian Bucket.
• Terapkan dan uji cadangan secara rutin untuk database (misalnya, Cloud SQL) dan filestore (misalnya, Filestore), yang menyimpan salinan di lokasi terisolasi. Pertimbangkan Layanan Pencadangan dan DR untuk pencadangan workload yang komprehensif. Sering-seringlah memverifikasi kemampuan pemulihan.
• Rotasikan kunci Anda secara rutin dan pantau aktivitas terkait kunci. Jika menggunakan kunci yang disediakan pelanggan (CSEK) atau Cloud External Key Manager (Cloud EKM), pastikan proses cadangan dan rotasi eksternal yang andal.

Jaringan dan infrastruktur yang aman

Pertimbangkan praktik terbaik berikut untuk mengamankan jaringan dan infrastruktur Anda:

• Gunakan Infrastructure as Code (seperti Terraform) dengan blueprint dasar-dasar perusahaan sebagai dasar pengukuran yang aman untuk memastikan status yang dikenal baik dan memungkinkan deployment yang cepat dan konsisten.
• Aktifkan Kontrol Layanan VPC untuk membuat perimeter yang mengisolasi resource dan data Anda. Gunakan Cloud Load Balancing dengan aturan firewall, dan konektivitas aman (menggunakan Cloud VPN atau Cloud Interconnect) untuk lingkungan hybrid.

• Terapkan kebijakan organisasi yang membatasi seperti berikut:

  • Membatasi akses IP publik di notebook dan instance Vertex AI Workbench baru
  • Batasi akses IP Publik di instance Cloud SQL
  • Menonaktifkan akses port serial VM
  • Shielded VM

Melindungi workload Anda

Pertimbangkan praktik terbaik berikut untuk membantu melindungi workload Anda:

• Integrasikan keamanan ke dalam setiap fase siklus proses pengembangan software Anda. Untuk workload GKE, terapkan keamanan supply chain software, termasuk build tepercaya, isolasi aplikasi, dan isolasi pod.
• Gunakan Cloud Build untuk melacak langkah-langkah build Anda dan Artifact Registry untuk menyelesaikan vulnerability scanning pada image container Anda. Gunakan Binary Authorization untuk memverifikasi bahwa gambar Anda telah memenuhi standar.
• Gunakan Google Cloud Armor untuk pemfilteran dan perlindungan Lapisan 7 dari serangan web umum.
• Gunakan upgrade otomatis GKE dan masa pemeliharaan. Mengotomatiskan build di Cloud Build untuk menyertakan pemindaian kerentanan setelah commit kode.

Mendeteksi serangan

Pertimbangkan praktik terbaik berikut untuk membantu Anda mendeteksi serangan:

• Gunakan Cloud Logging untuk mengelola dan menganalisis log dari layanan Anda di Google Cloud dan Cloud Monitoring untuk mengukur performa layanan dan resource Anda.
• Gunakan Security Command Center untuk mendeteksi potensi serangan dan menganalisis pemberitahuan.
• Untuk analisis keamanan mendalam dan perburuan ancaman, integrasikan dengan Google Security Operations.

Merencanakan insiden

• Selesaikan kelangsungan bisnis dan rencana pemulihan dari bencana (disaster recovery).

• Buat playbook respons insiden ransomware, dan lakukan Diskusi Simulasi Bencana. Latih prosedur pemulihan secara rutin untuk memastikan kesiapan dan mengidentifikasi kesenjangan.

• Pahami kewajiban Anda untuk melaporkan serangan kepada otoritas dan sertakan informasi kontak yang relevan dalam playbook Anda.

Untuk mengetahui praktik terbaik keamanan lainnya, lihat Framework dengan Arsitektur yang Baik: Pilar keamanan, privasi, dan kepatuhan.

Merespons dan memulihkan dari serangan

Saat Anda mendeteksi serangan ransomware, segera aktivasi rencana respons insiden Anda. Setelah Anda mengonfirmasi bahwa insiden tersebut bukan positif palsu (PP) dan memengaruhi layananGoogle Cloud , buka kasus dukungan P1. Cloud Customer Care merespons seperti yang didokumentasikan dalam Google Cloud: Panduan Layanan Dukungan Teknis.

Setelah mengaktivasi rencana Anda, kumpulkan tim dalam organisasi Anda yang perlu dilibatkan dalam proses koordinasi dan resolusi insiden. Pastikan bahwa alat dan proses ini tersedia untuk menyelidiki dan menyelesaikan insiden.

Ikuti rencana respons insiden untuk menghapus ransomware dan memulihkan lingkungan Anda ke kondisi yang sehat. Bergantung pada tingkat keparahan serangan dan kontrol keamanan yang telah Anda aktifkan, rencana Anda dapat mencakup aktivitas seperti berikut:

• Mengarantina sistem yang terinfeksi.
• Memulihkan dari cadangan yang masih sehat.
• Mengembalikan infrastruktur Anda ke kondisi baik sebelumnya menggunakan pipeline CI/CD Anda.
• Memverifikasi bahwa kerentanan telah diperbaiki.
• Mem-patch semua sistem yang mungkin rentan terhadap serangan serupa.
• Menerapkan kontrol yang Anda perlukan untuk menghindari serangan serupa.

Seiring Anda melewati proses respons, terus pantau tiket dukungan Google Anda. Layanan Pelanggan Cloud mengambil tindakan yang sesuai dalam Google Cloud untuk mengatasi, membasmi, dan (jika memungkinkan) memulihkan lingkungan Anda.

Beri tahu Cloud Customer Care saat insiden Anda telah teratasi dan lingkungan Anda telah dipulihkan. Jika ada agenda yang dijadwalkan, berpartisipasilah dalam retrospektif bersama dengan perwakilan Google Anda.

Pastikan Anda mengambil pelajaran yang dapat dipetik dari insiden tersebut, dan tetapkan kontrol yang Anda perlukan untuk menghindari serangan serupa. Bergantung pada sifat serangan, Anda dapat mempertimbangkan tindakan berikut:

• Menulis aturan deteksi dan pemberitahuan yang akan otomatis terpicu jika serangan terjadi lagi.
• Memperbarui playbook respons insiden Anda untuk mencantumkan semua pelajaran yang diperoleh.
• Meningkatkan postur keamanan berdasarkan temuan retrospektif Anda.

Langkah berikutnya

• Membantu memastikan kelangsungan dan melindungi bisnis Anda dari peristiwa cyber yang merugikan menggunakan Framework keamanan dan ketahanan.
• Hubungi konsultan Mandiant untuk mendapatkan penilaian pertahanan ransomware.
• Tinjau Google Cloud Framework dengan Arsitektur yang Baik untuk praktik terbaik tambahan.
• Untuk informasi tentang cara Google mengelola insiden, lihat Proses respons insiden data.