由第三方创建来侵入系统以非法操作、加密和窃取数据的代码称为勒索软件。为了帮助您缓解勒索软件攻击, Google Cloud 为您提供了针对攻击的识别、保护、检测、响应和恢复等控制措施。这些控制措施可帮助您完成以下操作:
- 评估您的风险。
- 保护您的企业免受威胁。
- 确保持续运营。
- 实现快速响应和恢复。
本文档面向安全架构师和管理员。其中介绍了勒索软件攻击序列以及 Google Cloud 如何帮助您的组织缓解勒索软件攻击的危害。 Google Cloud
勒索软件攻击序列
勒索软件攻击可能会从查找潜在漏洞的大规模活动开始,也可能会从定向活动开始。定向攻击活动从识别和试探开始,攻击者由此确定哪些组织易受攻击以及要采用哪种攻击途径。
勒索软件攻击途径有很多种。最常见的途径是存在恶意网址的钓鱼式电子邮件或利用泄露的软件漏洞。此软件漏洞可能位于贵组织使用的软件中,也可能是存在于软件供应链的漏洞。勒索软件攻击者会以组织及其供应链和客户为目标。
初始攻击成功后,勒索软件会自行安装并联系命令和控制服务器,以检索加密密钥。随着勒索软件在整个网络中传播,它可能会感染资源、使用其检索的密钥加密数据,以及泄露数据。攻击者会要求组织提供赎金(通常是加密货币)来获得解密密钥。
下图总结了前面几段中介绍的典型勒索软件攻击序列(从识别和试探到数据渗漏和赎金要求)。
人们通常难以检测勒索软件。因此,请务必部署预防、监控和检测功能,并在有人发现攻击时快速响应。
Google Cloud中的安全性和弹性控制
Google Cloud 内置了安全性和弹性控制措施,可帮助保护客户免受勒索软件攻击。这些控制措施包括:
- 在整个信息处理生命周期内设计具备安全性的全球基础架构。
- Google Cloud 产品和服务的内置检测功能,例如监控、威胁检测、数据泄露防护和访问权限控制。
- 内置预防性控制措施,例如 Assured Workloads
- 使用区域级集群和全球负载均衡器实现的高可用性。
- 具有可伸缩服务的内置备份功能。
- 使用基础架构即代码和配置保护措施的 Automation 功能。
Google Threat Intelligence、VirusTotal 和 Mandiant Digital Threat Monitoring 会跟踪并应对 Google 基础架构和产品中的多种类型的恶意软件,包括勒索软件。Google Threat Intelligence 是一个由威胁研究人员组成的团队,他们负责为 Google Cloud 产品开发威胁情报。VirusTotal 是一种恶意软件数据库和可视化解决方案,可让您更好地了解恶意软件在企业内的运行方式。Mandiant 数字威胁监控服务和其他 Mandiant 服务可提供威胁研究、咨询和突发事件响应支持。
如需详细了解内置安全控制机制,请参阅 Google 安全概览和 Google 基础架构安全设计概览。
Google Workspace、Chrome 浏览器和 Chromebook 中的安全性和弹性控制
除了 Google Cloud内的控制措施外,Google Workspace、Google Chrome 浏览器和 Chromebook 等其他 Google 产品还包括安全控制措施,可帮助保护您的组织免遭勒索软件攻击。例如,Google 产品提供安全控制措施,可根据远程工作人员的身份和上下文(例如位置或 IP 地址)允许其从任何位置访问资源。
如勒索软件攻击序列部分所述,电子邮件是许多勒索软件攻击的关键向量。攻击者可以利用此漏洞来骗取凭据以进行欺诈性网络访问以及直接分发恶意软件。Gmail 中的高级钓鱼式攻击和恶意软件防护功能可提供隔离电子邮件控制机制,防范危险附件类型,并帮助保护用户免受入站仿冒电子邮件的侵害。安全沙盒旨在检测附件中是否存在以前未知的恶意软件。
Chrome 浏览器包含 Google 安全浏览功能,旨在当用户尝试访问受感染或恶意的网站时发出警告。沙盒和网站隔离有助于防止恶意代码在同一标签页上的不同进程中传播。密码保护旨在当在个人账号上使用公司密码时提供提醒,并检查用户保存的任何密码是否遭遇了在线破解。在这种情况下,浏览器会提示用户更改密码。
以下 Chromebook 功能有助于防范钓鱼式攻击和勒索软件攻击:
- 只读操作系统(ChromeOS)。此系统旨在以不可见的方式不断更新。ChromeOS 有助于防范最新的漏洞,并包含有助于确保应用和扩展程序无法修改它的控制措施。
- 沙盒。每个应用都在隔离的环境中运行,因此一个有害的应用无法轻易地感染其他应用。
- 启动时验证。Chromebook 在启动时会检查系统是否未被修改。
- 安全浏览。Chrome 会定期下载最新的不安全网站的安全浏览列表。安全浏览旨在检查用户访问的每个网站的网址,并根据此列表检查用户下载的每个文件。
- Google 安全芯片。这些芯片有助于保护操作系统免遭恶意篡改。
为帮助缩小组织的攻击面,请考虑为主要使用浏览器来工作的用户配备 Chromebook。
缓解 Google Cloud上勒索软件攻击的最佳实践
为了保护您的企业资源和数据免受勒索软件攻击,您必须在本地和云环境中实施多层控制措施。
以下部分介绍了一些最佳实践,可帮助您的组织识别、预防、检测和应对 Google Cloud上的勒索软件攻击。
识别您的风险和资产
在Google Cloud中识别风险和资产时,请考虑以下最佳实践:
- 使用 Cloud Asset Inventory 可以维护 Google Cloud 资源的五周资产清单。如需分析更改,请将资产元数据导出到 BigQuery。
- 使用 Security Command Center 中的审核管理器和攻击路径模拟以及风险评估功能来评估您当前的风险状况。考虑通过风险保护计划获取的网络保险选项。
- 使用 Sensitive Data Protection 发现和分类敏感数据。
控制对资源和数据的访问权限
请考虑采用以下最佳实践来限制对资源和数据的访问权限: Google Cloud
- 使用 Identity and Access Management (IAM) 设置精细访问权限。您可以使用角色 Recommender、Policy Analyzer 和 Cloud Infrastructure Entitlement Management (CIEM) 定期分析您的权限。
- 将服务账号视为具有高特权的身份。考虑使用工作负载身份联合实现无密钥身份验证,并适当地限定权限。如需了解有关保护服务账号的最佳实践,请参阅服务账号使用最佳实践。
- 通过 Cloud Identity 为所有用户强制执行多重身份验证,并使用防钓鱼式攻击的 Titan 安全密钥。
保护关键数据
请考虑采用以下最佳实践来保护您的敏感数据:
- 在用于存储数据的云存储选项上配置冗余 (N+2)。如果您使用 Cloud Storage,则可以启用对象版本控制或存储分区锁定功能。
- 为数据库(例如 Cloud SQL)和文件存储空间(例如 Filestore)实现并定期测试备份,并将副本存储在隔离的位置。考虑使用 Backup and DR Service 进行全面的工作负载备份。经常验证恢复功能。
- 定期轮替密钥并监控与密钥相关的活动。如果使用客户提供的密钥 (CSEK) 或 Cloud External Key Manager (Cloud EKM),请确保外部备份和轮替流程稳健可靠。
安全的网络和基础架构
请考虑采用以下最佳实践来保护您的网络和基础架构:
- 将基础架构即代码(例如 Terraform)与企业基础蓝图作为安全基准搭配使用,以确保已知良好状态并实现快速、一致的部署。
- 启用 VPC Service Controls 以创建隔离资源和数据的边界。将 Cloud 负载均衡与防火墙规则搭配使用,并为混合环境实现安全连接(使用 Cloud VPN 或 Cloud Interconnect)。
实施限制性组织政策,例如:
- 限制对新的 Vertex AI Workbench 笔记本和实例的公共 IP 访问权限
- 对 Cloud SQL 实例限制公共 IP 访问权限
- 禁止访问虚拟机串行端口
- 安全强化型虚拟机
保护您的工作负载
请考虑采用以下最佳实践来帮助保护您的工作负载:
- 将安全性集成到软件开发生命周期的每个阶段。 对于 GKE 工作负载,请实现软件供应链安全,包括可信 build、应用隔离和 pod 隔离。
- 使用 Cloud Build 跟踪构建步骤,并使用 Artifact Registry 完成容器映像的漏洞扫描。使用 Binary Authorization 验证您的映像是否符合标准。
- 使用 Google Cloud Armor 进行第 7 层过滤并防范常见 Web 攻击。
- 使用 GKE 自动升级和维护窗口。在 Cloud Build 中自动执行构建,以在代码提交时添加漏洞扫描。
检测攻击
请考虑采用以下最佳实践来帮助您检测攻击:
- 使用 Cloud Logging 管理和分析服务的日志, Google Cloud 并使用 Cloud Monitoring 衡量服务和资源的性能。
- 使用 Security Command Center 检测潜在攻击并分析提醒。
- 如需进行深入的安全分析和威胁搜寻,请与 Google Security Operations 集成。
针对突发事件做好规划
如需了解更多安全性方面的最佳实践,请参阅 Well-Architected Framework:安全性、隐私权和合规性支柱。
应对攻击并在遭受攻击后进行恢复
检测到勒索软件攻击时,请激活您的突发事件响应方案。在确认突发事件不是误报并且它会影响您的Google Cloud 服务后,请打开 P1 支持请求。Cloud Customer Care 按照 Google Cloud:技术支持服务准则中的说明进行响应。
激活方案后,请收集您组织中需要参与突发事件协调和解决流程的团队。确保落实这些工具和流程,以便调查和解决突发事件。
请按照突发事件响应方案移除勒索软件,并将环境恢复为正常运行状态。根据攻击的严重程度以及已启用的安全控制措施,您的方案可以包含如下活动:
- 隔离受感染的系统。
- 使用健康的备份进行恢复。
- 使用 CI/CD 流水线将基础架构恢复到之前已知良好的状态。
- 验证漏洞是否已移除。
- 修补可能容易受到类似攻击的所有系统。
- 实现所需的控制措施,以避免类似的攻击。
在您完成回复流程的过程中,请继续监控您的 Google 支持服务工单。Cloud Customer Care 会在Google Cloud 内采取适当的措施,以包含、清除和(可能的话)恢复您的环境。
在突发事件解决且环境恢复后,请通知 Cloud Customer Care。如果已安排,请与 Google 代表联系。
确保捕获从突发事件中吸取的任何经验,并设置所需的控制措施,以避免类似的攻击。根据攻击的性质,您可以考虑执行以下操作:
- 编写检测规则和提醒,以便在攻击再次发生时自动触发。
- 更新突发事件响应手册,纳入所有经验教训。
- 根据回顾性的发现结果改善安全状况。
后续步骤
- 借助安全性和弹性框架,确保业务连续性并保护您的企业免受不利网络事件的影响。
- 与 Mandiant 顾问联系,进行勒索软件防御评估。
- 如需了解更多最佳实践,请参阅 Google Cloud Well-Architected Framework。
- 如需了解 Google 如何管理突发事件,请参阅数据突发事件响应流程。