Mitigare gli attacchi di ransomware utilizzando Google Cloud

Il codice creato da terze parti per infiltrarsi nei tuoi sistemi al fine di rubare, criptare e compromettere i dati è chiamato ransomware. Per aiutarti a mitigare gli attacchi di ransomware, Google Cloud ti fornisce controlli per identificare, proteggere, rilevare, rispondere e recuperare dagli attacchi. Questi controlli ti consentono di:

• Valuta il rischio.
• Proteggi la tua attività dalle minacce.
• Mantenere le operazioni ininterrotte.
• Consente una risposta e un recupero rapidi.

Questo documento è rivolto ad architetti e amministratori della sicurezza. descrive la sequenza di attacco di ransomware e in che modo Google Cloud può aiutare la tua organizzazione a ridurre gli effetti degli attacchi di ransomware.

Sequenza di attacco di ransomware

Gli attacchi di ransomware possono iniziare come campagne collettive alla ricerca di potenziali vulnerabilità o come campagne mirate. Una campagna mirata inizia con l'identificazione e la ricognizione, in cui un malintenzionato determina quali organizzazioni sono vulnerabili e quale vettore di attacco utilizzare.

Esistono molti vettori di attacco ransomware. I vettori più comuni sono le email di phishing con URL dannosi o che sfruttano una vulnerabilità del software esposta. Questa vulnerabilità del software può essere nel software utilizzato dalla tua organizzazione o una vulnerabilità esistente nella catena di fornitura del software. Gli utenti che lanciano attacchi ransomware scelgono come bersaglio le organizzazioni, la loro catena di approvvigionamento e i loro clienti.

Se l'attacco iniziale va a buon fine, il ransomware si installa e contatta il server di comando e controllo per recuperare le chiavi di crittografia. Man mano che il ransomware si diffonde nella rete, può infettare le risorse, criptare i dati utilizzando le chiavi recuperate ed esfiltrarli. Gli aggressori richiedono un riscatto all'organizzazione, in genere in criptovalute, per ottenere la chiave di decrittografia.

Il seguente diagramma riassume la sequenza di attacco di ransomware tipica spiegata nei paragrafi precedenti, dall'identificazione e dalla ricognizione alla esfiltrazione di dati e alla richiesta di riscatto.

Spesso è difficile rilevare il ransomware. È quindi fondamentale implementare funzionalità di prevenzione, monitoraggio e rilevamento e assicurarsi che la tua organizzazione sia pronta a rispondere rapidamente quando qualcuno scopre un attacco.

Controlli di sicurezza e resilienza in Google Cloud

Google Cloud include controlli di sicurezza e resilienza integrati per contribuire a proteggere i clienti dagli attacchi ransomware. Questi controlli includono:

• Infrastruttura globale progettata con sicurezza durante tutto il ciclo di vita del trattamento delle informazioni.
• Funzionalità di rilevamento integrate per Google Cloud prodotti e servizi, come monitoraggio, rilevamento delle minacce, prevenzione della perdita di dati e controlli dell'accesso.
• Controlli preventivi integrati, come Assured Workloads
• Alta disponibilità con cluster regionali e bilanciatori del carico globali.
• Backup integrato, con servizi scalabili.
• Funzionalità di Automation che utilizzano Infrastructure as Code e linee guida per la configurazione.

Google Threat Intelligence, VirusTotal e Mandiant Digital Threat monitoring monitorano e rispondono a molti tipi di malware, inclusi i ransomware, nell'infrastruttura e nei prodotti di Google. Google Threat Intelligence è un team di ricercatori che si occupano di threat intelligence per i prodotti Google Cloud . VirusTotal è una soluzione di visualizzazione e database di malware che ti consente di comprendere meglio il funzionamento dei malware all'interno della tua azienda. Mandiant Digital Threat Monitoring e altri servizi Mandiant forniscono assistenza per la ricerca delle minacce, consulenza e risposta agli incidenti.

Per ulteriori informazioni sui controlli di sicurezza integrati, consulta la panoramica della sicurezza di Google e la panoramica della progettazione della sicurezza dell'infrastruttura Google.

Controlli di sicurezza e resilienza in Google Workspace, nel browser Chrome e sui Chromebook

Oltre ai controlli all'interno di Google Cloud, altri prodotti Google come Google Workspace, il browser Google Chrome e i Chromebook includono controlli di sicurezza che possono contribuire a proteggere la tua organizzazione dagli attacchi di ransomware. Ad esempio, i prodotti Google forniscono controlli di sicurezza che consentono ai lavoratori da remoto di accedere alle risorse da qualsiasi luogo, in base alla loro identità e al contesto (ad esempio posizione o indirizzo IP).

Come descritto nella sezione Sequenza di attacco ransomware, l'email è un vettore chiave per molti attacchi ransomware. Può essere sfruttato per rubare le credenziali per accedere fraudolentemente alla rete e per distribuire direttamente i file binari del ransomware. La protezione avanzata da malware e phishing in Gmail offre controlli per mettere in quarantena le email, protegge da tipi di allegati pericolosi e aiuta a proteggere gli utenti dalle email di spoofing in entrata. Sandbox per la sicurezza è progettata per rilevare la presenza di malware precedentemente sconosciuto negli allegati.

Il browser Chrome include Google Navigazione sicura, progettata per fornire avvisi agli utenti quando tentano di accedere a un sito infetto o dannoso. I sandbox e l'isolamento dei siti aiutano a difendersi dalla diffusione di codice dannoso all'interno di processi diversi nella stessa scheda. La protezione tramite password è progettata per fornire avvisi quando una password aziendale viene utilizzata su un account personale e controlla se una delle password salvate dell'utente è stata compromessa in una violazione online. In questo caso, il browser chiede all'utente di cambiare la password.

Le seguenti funzionalità di Chromebook aiutano a difendersi da attacchi di phishing e ransomware:

• Sistema operativo di sola lettura (ChromeOS). Questo sistema è progettato per aggiornarsi costantemente e in modo invisibile. ChromeOS aiuta a proteggerti dalle vulnerabilità più recenti e include controlli che assicurano che le applicazioni e le estensioni non possano modificarlo.
• Sandboxing. Ogni applicazione viene eseguita in un ambiente isolato, pertanto un'applicazione dannosa non può infettare facilmente altre applicazioni.
• Avvio verificato. Durante l'avvio, Chromebook è progettato per verificare che il sistema non sia stato modificato.
• Navigazione sicura. Chrome scarica periodicamente l'elenco più recente dei siti non sicuri di Navigazione sicura. È progettato per controllare gli URL di ogni sito visitato da un utente e ogni file scaricato da un utente in base a questo elenco.
• Chip di sicurezza di Google. Questi chip contribuiscono a proteggere il sistema operativo da manomissioni dannose.

Per contribuire a ridurre la superficie di attacco della tua organizzazione, valuta la possibilità di utilizzare Chromebook per gli utenti che lavorano principalmente in un browser.

Best practice per mitigare gli attacchi di ransomware su Google Cloud

Per proteggere le risorse e i dati aziendali dagli attacchi di ransomware, devi implementare controlli a più livelli negli ambienti on-premise e cloud.

Le sezioni seguenti descrivono le best practice per aiutare la tua organizzazione a identificare, prevenire, rilevare e rispondere agli attacchi di ransomware su Google Cloud.

Identifica i rischi e le risorse

Tieni a mente le seguenti best practice per identificare i rischi e le opportunità in Google Cloud:

• Utilizza Cloud Asset Inventory per mantenere un inventario di cinque settimane delle tue risorse in Google Cloud. Per analizzare le modifiche, esporta i metadati delle risorse in BigQuery.
• Utilizza Audit Manager e le simulazioni di percorsi di attacco in Security Command Center per eseguire la valutazione del rischio e valutare il tuo attuale profilo di rischio. Valuta le opzioni di assicurazione informatica disponibili tramite il Programma di protezione dai rischi.
• Utilizza la protezione dei dati sensibili per rilevare e classificare i tuoi dati sensibili.

Controllare l'accesso alle risorse e ai dati

Prendi in considerazione le seguenti best practice per limitare l'accesso a Google Cloud risorse e dati:

• Utilizza Identity and Access Management (IAM) per configurare l'accesso granulare. Puoi analizzare regolarmente le tue autorizzazioni utilizzando il consigliere per i ruoli, Policy Analyzer e Cloud Infrastructure Entitlement Management (CIEM).
• Tratta gli account di servizio come identità con privilegi elevati. Valuta la possibilità di utilizzare l'autenticazione senza chiavi tramite la federazione delle identità per i carichi di lavoro e definisci l'ambito delle autorizzazioni in modo appropriato. Per le best practice sulla protezione degli account di servizio, consulta Best practice per l'utilizzo degli account di servizio.
• Imposta l'autenticazione a più fattori per tutti gli utenti tramite Cloud Identity e utilizza la chiave di sicurezza Titan resistente al phishing.

Proteggere i dati critici

Tieni a mente le seguenti best practice per proteggere i tuoi dati sensibili:

• Configura la ridondanza (N+2) nell'opzione di spazio di archiviazione sul cloud che utilizzi per archiviare i tuoi dati. Se utilizzi Cloud Storage, puoi attivare il Controllo delle versioni degli oggetti o la funzionalità di blocco del bucket.
• Implementa e testa regolarmente i backup per i database (ad esempio Cloud SQL) e i filestore (ad esempio Filestore), archiviando le copie in posizioni isolate. Valuta la possibilità di utilizzare il servizio di backup e RE per il backup completo del carico di lavoro. Verifica spesso le funzionalità di recupero.
• Ruota regolarmente le chiavi e monitora le attività correlate alle chiavi. Se utilizzi chiavi fornite dal cliente (CSEK) o Cloud External Key Manager (Cloud EKM), assicurati di avere processi di rotazione e backup esterni solidi.

Rete e infrastruttura sicure

Prendi in considerazione le seguenti best practice per proteggere la tua rete e la tua infrastruttura:

• Utilizza Infrastructure as Code (ad esempio Terraform) con il progetto di base per la sicurezza come riferimento di sicurezza per garantire stati di buona qualità e consentire implementazioni rapide e coerenti.
• Attiva i Controlli di servizio VPC per creare un perimetro che isoli le risorse e i dati. Utilizza Cloud Load Balancing con regole firewall e connettività sicura (utilizzando Cloud VPN o Cloud Interconnect) per gli ambienti ibridi.

• Implementare criteri dell'organizzazione restrittivi, ad esempio:

  • Limita l'accesso all'IP pubblico sui nuovi notebook e sulle nuove istanze di Vertex AI Workbench
  • Limita l'accesso IP pubblico nelle istanze Cloud SQL
  • Disattiva l'accesso alla porta seriale VM
  • Shielded VM

Proteggi i tuoi carichi di lavoro

Tieni a mente le seguenti best practice per contribuire a proteggere i tuoi carichi di lavoro:

• Integra la sicurezza in ogni fase del ciclo di vita di sviluppo del software. Per i carichi di lavoro GKE, implementa la sicurezza della catena di fornitura del software, incluse le build attendibili, l'isolamento delle applicazioni e l'isolamento dei pod.
• Utilizza Cloud Build per monitorare i passaggi di compilazione e Artifact Registry per completare l'analisi delle vulnerabilità sulle immagini container. Utilizza la Autorizzazione binaria per verificare che le tue immagini soddisfino i tuoi standard.
• Utilizza Google Cloud Armor per il filtraggio di livello 7 e la protezione contro i comuni attacchi web.
• Utilizza gli upgrade automatici e le finestre di manutenzione di GKE. Automatizza le build in Cloud Build per includere l'analisi delle vulnerabilità al momento dei commit del codice.

Rilevare gli attacchi

Tieni a mente le seguenti best practice per aiutarti a rilevare gli attacchi:

• Utilizza Cloud Logging per gestire e analizzare i log dei tuoi servizi in Google Cloud e Cloud Monitoring per misurare le prestazioni del tuo servizio e delle tue risorse.
• Utilizza Security Command Center per rilevare potenziali attacchi e analizzare gli avvisi.
• Per un'analisi approfondita della sicurezza e la ricerca di minacce, esegui l'integrazione con Google Security Operations.

Pianificare gli incidenti

• Completa i piani di continuità aziendale e di ripristino di emergenza.

• Crea un playbook per la risposta agli incidenti di ransomware ed esegui esercitazioni di simulazione. Esegui regolarmente le procedure di recupero per verificare la disponibilità e identificare le lacune.

• Comprendi le tue responsabilità per la segnalazione degli attacchi alle autorità e includi informazioni di contatto pertinenti nel tuo playbook.

Per ulteriori best practice per la sicurezza, consulta Well-Architected Framework: Security, privacy, and compliance pillar.

Rispondere agli attacchi e riprendersi

Quando rilevi un attacco ransomware, attiva il piano di risposta agli incidenti. Dopo aver confermato che l'incidente non è un falso positivo e che interessa i tuoi serviziGoogle Cloud , apri una richiesta di assistenza P1. L'assistenza clienti Google Cloud risponde come descritto nelle Google Cloud: linee guida per i servizi di assistenza tecnica.

Dopo aver attivato il piano, riunisci il team interno all'organizzazione che deve essere coinvolto nelle procedure di coordinamento e risoluzione degli incidenti. Assicurati che questi strumenti e procedure siano in atto per indagare e risolvere l'incidente.

Segui il piano di risposta agli incidenti per rimuovere il ransomware e ripristinare lo stato di salute dell'ambiente. A seconda della gravità dell'attacco e dei controlli di sicurezza che hai attivato, il tuo piano può includere attività come:

• Mettere in quarantena i sistemi infetti.
• Ripristino da backup integri.
• Ripristinare l'infrastruttura a uno stato precedentemente noto come buono utilizzando la pipeline CI/CD.
• Verificare che la vulnerabilità sia stata rimossa.
• Applicazione di patch a tutti i sistemi che potrebbero essere vulnerabili a un attacco simile.
• Implementare i controlli necessari per evitare un attacco simile.

Man mano che avanzi nella procedura di risposta, continua a monitorare il tuo ticket di assistenza Google. L'assistenza clienti Google Cloud adotta le azioni appropriate inGoogle Cloud per contenere, eliminare e (se possibile) recuperare il tuo ambiente.

Comunica all'assistenza clienti di Cloud quando l'incidente è stato risolto e l'ambiente è stato ripristinato. Se ne è stata pianificata una, partecipa a un'analisi retrospettiva congiunta con il tuo rappresentante di Google.

Assicurati di acquisire le lezioni apprese dall'incidente e di implementare i controlli necessari per evitare un attacco simile. A seconda della natura dell'attacco, potresti prendere in considerazione le seguenti azioni:

• Scrivi regole di rilevamento e avvisi che si attiveranno automaticamente se l'attacco si ripresenta.
• Aggiorna il tuo playbook per la risposta agli incidenti in modo da includere le lezioni apprese.
• Migliora la tua strategia di sicurezza in base ai risultati della revisione.

Passaggi successivi

• Contribuisci a garantire la continuità e proteggi la tua azienda da eventi informatici avversi utilizzando il framework per la sicurezza e la resilienza.
• Contatta i consulenti Mandiant per una valutazione della difesa contro i ransomware.
• Consulta il Google Cloud Well-Architected Framework per altre best practice.
• Per informazioni su come Google gestisce gli incidenti, consulta il processo di risposta agli incidenti relativi ai dati.