運用 Google Cloud 降低勒索軟體攻擊的影響

第三方為了侵入系統而建立的程式碼，用於劫持、加密及竊取資料，稱為勒索軟體。為協助您減輕勒索軟體攻擊的影響， Google Cloud 提供控管功能，可用於識別、保護、偵測、回應及復原攻擊。這些控制項可協助您完成下列工作：

• 評估風險。
• 保護您的企業免受威脅。
• 維持持續運作。
• 啟用快速回應和復原功能。

本文適用對象為安全架構師和管理員。說明勒索軟體攻擊的發生順序，以及 Google Cloud 如何協助貴機構降低勒索軟體攻擊的影響。

勒索軟體攻擊序列

勒索軟體攻擊可能會以大規模的廣告活動開始，尋找潛在的漏洞，或是以有針對性的廣告活動開始。針對性攻擊活動會先進行識別和偵查，攻擊者會判斷哪些機構容易受到攻擊，以及要使用哪種攻擊媒介。

勒索軟體攻擊的媒介有很多種，最常見的攻擊媒介是含有惡意網址的網路釣魚電子郵件，或是利用已公開的軟體漏洞。這類軟體漏洞可能存在於貴機構使用的軟體，或是軟體供應鏈中。勒索軟體攻擊者會鎖定機構、供應鏈和客戶。

初始攻擊成功後，勒索軟體就會自行安裝，並與指揮及控制伺服器聯絡，以便擷取加密金鑰。勒索軟體會在網路中散播，並感染資源、使用擷取的金鑰加密資料，以及竊取資料。攻擊者會向機構索取贖金，通常以加密貨幣支付，以便取得解密金鑰。

下圖概述前幾段落中所述的典型勒索軟體攻擊序列，從識別和偵測到資料外洩和贖金要求。

勒索軟體通常很難偵測。因此，您必須建立防範、監控和偵測功能，並確保貴機構在發現攻擊時能迅速回應。

Google Cloud中的安全性和復原力控制項

Google Cloud 內建安全性和復原力控管機制，可協助保護客戶免於遭受勒索軟體攻擊。這些控制項包括：

• 全球基礎架構：設計上可在整個資訊處理生命週期中提供安全防護。
• Google Cloud 產品和服務內建偵測功能，例如監控、威脅偵測、資料遺失防護和存取控管。
• 內建的預防控管機制，例如 Assured Workloads
• 使用區域叢集和全域負載平衡器，享有高可用性。
• 內建備份功能，可提供可擴充的服務。
• 使用基礎架構即程式碼和設定安全邊界進行自動化功能。

Google Threat Intelligence、VirusTotal 和 Mandiant Digital Threat Monitoring 會追蹤並因應 Google 基礎架構和產品中出現的多種惡意軟體，包括勒索軟體。Google Threat Intelligence 團隊由威脅研究人員組成，負責為 Google Cloud 產品開發威脅情報。VirusTotal 是惡意程式資料庫和視覺化解決方案，可協助您進一步瞭解惡意程式在企業內部運作的方式。Mandiant Digital Threat Monitoring 和其他 Mandiant 服務提供威脅研究、諮詢和事件回應支援。

如要進一步瞭解內建安全性控管機制，請參閱 Google 安全性總覽和 Google 基礎架構安全性設計總覽。

Google Workspace、Chrome 瀏覽器和 Chromebook 的安全性和復原力控制項

除了 Google Cloud中的控管功能外，Google Workspace、Google Chrome 瀏覽器和 Chromebook 等其他 Google 產品也提供安全控管功能，可協助保護貴機構免於遭受勒索軟體攻擊。舉例來說，Google 產品提供安全控管機制，讓遠端工作者根據自身身分和背景資訊 (例如位置或 IP 位址)，隨時隨地存取資源。

如「勒索軟體攻擊序列」一節所述，電子郵件是許多勒索軟體攻擊的主要媒介。這類惡意程式可用於盜取憑證，以便詐取網路存取權，並直接散發勒索軟體二進位檔。Gmail 的進階網路釣魚和惡意軟體防護功能提供控制項，可隔離電子郵件、防範危險的附件類型，並協助保護使用者免於遭受入站偽造電子郵件攻擊。安全沙箱可偵測附件中先前未知的惡意軟體。

Chrome 瀏覽器內建 Google 安全瀏覽功能，可在使用者嘗試存取遭到感染或惡意網站時發出警告。沙箱和網站隔離功能有助於防止惡意程式碼在相同分頁的不同程序中傳播。密碼保護功能可在使用者在個人帳戶中使用公司密碼時發出警示，並檢查使用者儲存的密碼是否在網路侵害事件中遭到盜用。在這種情況下，瀏覽器會提示使用者變更密碼。

下列 Chromebook 功能可協助防範網路釣魚和勒索軟體攻擊：

• 採用唯讀式作業系統 (ChromeOS)。這套系統會持續更新，且不會顯示任何通知。ChromeOS 可防範最新的安全漏洞，並提供控管機制，確保應用程式和擴充功能無法修改系統。
• 沙箱機制。每個應用程式都會在獨立環境中執行，因此一個有害的應用程式無法輕易感染其他應用程式。
• 驗證開機程序。在 Chromebook 開機時，系統會檢查系統是否已遭修改。
• 安全瀏覽。Chrome 會定期下載最新的安全瀏覽清單，列出不安全的網站。這個清單的設計目的，是檢查使用者造訪的每個網站網址，並根據這份清單檢查使用者下載的每個檔案。
• Google 安全晶片。這些晶片有助於保護作業系統免於遭到惡意竄改。

為了減少貴機構的攻擊面，建議您為主要在瀏覽器中工作的使用者考慮使用 Chromebook。

減輕 Google Cloud勒索軟體攻擊的最佳做法

為了保護企業資源和資料免於遭到勒索軟體攻擊，您必須在內部部署和雲端環境中實施多層控管機制。

以下各節將說明如何協助貴機構識別、預防、偵測及因應 Google Cloud上的勒索軟體攻擊。

找出風險和資產

請參考下列最佳做法，找出Google Cloud中的風險和資產：

• 使用 Cloud Asset Inventory 維護 Google Cloud 資源的五週資產清單。如要分析變更，請將資產中繼資料匯出至 BigQuery。
• 您可以使用 Security Command Center 中的稽核管理工具和攻擊路徑模擬功能，並進行風險評估，評估目前的風險資料。考慮透過風險防範計畫提供的網路保險選項。
• 使用 Sensitive Data Protection 探索及分類機密資料。

控管資源和資料的存取權

請考慮採用下列最佳做法，限制對 Google Cloud資源和資料的存取權：

• 使用 Identity and Access Management (IAM) 設定精細的存取權。您可以使用角色推薦工具、政策分析工具和雲端基礎架構授權管理 (CIEM)，定期分析權限。
• 將服務帳戶視為具有高度權限的身分。建議您使用 Workload Identity 聯盟進行無金鑰驗證，並適當設定權限範圍。如要瞭解保護服務帳戶的最佳做法，請參閱「使用服務帳戶的最佳做法」。
• 透過 Cloud Identity 為所有使用者強制採用多重驗證，並使用防範網路釣魚的 Titan 安全金鑰。

保護重要資料

請考慮採用下列最佳做法，協助保護機密資料：

• 在用來儲存資料的雲端儲存空間選項中，設定備援 (N+2)。如果您使用 Cloud Storage，可以啟用物件版本管理或值區鎖定功能。
• 實作並定期測試資料庫 (例如 Cloud SQL) 和檔案儲存空間 (例如 Filestore) 的備份，並在隔離位置儲存副本。如需全面的工作負載備份，請考慮使用備份和災難復原服務。經常確認復原功能。
• 定期輪替金鑰，並監控金鑰相關活動。如果使用客戶提供的金鑰 (CSEK) 或 Cloud 外部金鑰管理工具 (Cloud EKM)，請確保有完善的外部備份和輪替程序。

安全的網路和基礎架構

請考慮採用下列最佳做法，確保網路和基礎架構的安全性：

• 使用基礎架構即程式碼 (例如 Terraform)，並以企業基礎架構藍圖做為安全基準，確保已知良好狀態，並實現快速、一致的部署作業。
• 啟用 VPC Service Controls，建立隔離資源和資料的範圍。針對混合式環境，請使用雲端負載平衡搭配防火牆規則，以及安全連線 (使用 Cloud VPN 或 Cloud Interconnect)。

• 實施限制性機構政策，例如：

  • 限制公開 IP 對新 Vertex AI Workbench 筆記本和執行個體的存取權
  • 限制 Cloud SQL 執行個體的公開 IP 存取權
  • 停用 VM 序列埠存取權
  • 受防護的 VM

保護工作負載

請考慮採用下列最佳做法，以便保護工作負載：

• 在軟體開發生命週期的每個階段中整合安全性。針對 GKE 工作負載，請實作軟體供應鏈安全性，包括信任的建構作業、應用程式隔離和 Pod 隔離。
• 使用 Cloud Build 追蹤建構步驟，並使用 Artifact Registry 完成容器映像檔的安全漏洞掃描。使用二進位授權功能，驗證映像檔是否符合標準。
• 使用 Google Cloud Armor 進行第 7 層篩選，並防範常見的網路攻擊。
• 使用 GKE 自動升級和維護時段。在 Cloud Build 中自動執行建構作業，以便在提交程式碼時進行安全漏洞掃描。

偵測攻擊

請考慮採用下列最佳做法，協助您偵測攻擊：

• 您可以使用 Cloud Logging 管理及分析 Google Cloud 中服務的記錄檔，並使用 Cloud Monitoring 評估服務和資源的效能。
• 使用 Security Command Center 偵測潛在攻擊並分析快訊。
• 如要進行深入的安全性分析和威脅搜尋，請整合 Google Security Operations。

規劃事件

• 完成業務持續性和災難復原計畫。

• 建立勒索軟體事件應變應對手冊，並進行沙盤推演。定期練習復原程序，確保萬事俱備並找出缺口。

• 瞭解向主管機關回報攻擊事件的義務，並在應變計畫中加入相關聯絡資訊。

如要瞭解更多安全性最佳做法，請參閱「Well-Architected Framework：安全性、隱私權和法規遵循支柱」。

因應攻擊並從中復原

偵測到勒索軟體攻擊時，請啟用事件回應計畫。確認事件並非誤判，且會影響您的Google Cloud 服務後，請開啟 P1 支援案件。Cloud Customer Care 會依據 Google Cloud：技術支援服務指南的說明回覆。

啟用企劃書後，請召集需要參與事件協調和解決程序的團隊。請務必確保這些工具和程序可用於調查及解決事件。

請按照事件回應計畫移除勒索軟體，並將環境還原為正常狀態。視攻擊嚴重程度和已啟用的安全控制項而定，您的計畫可能包含下列活動：

• 將受感染的系統隔離。
• 從正常的備份還原。
• 使用 CI/CD 管道，將基礎架構還原為先前已知的正常狀態。
• 確認已移除安全漏洞。
• 修補所有可能遭到類似攻擊的系統。
• 實作必要的控管措施，避免類似攻擊。

在回應過程中，請持續查看 Google 支援單。Cloud Customer Care 會在Google Cloud 中採取適當行動，以便控制、消除及 (如有可能) 復原您的環境。

當事件解決並恢復環境後，請通知 Cloud Customer Care。如果已安排會議，請與 Google 代表共同參與回顧會議。

請務必從事件中汲取經驗，並設定必要的控管措施，以避免類似攻擊。視攻擊的性質而定，您可以考慮採取下列行動：

• 編寫偵測規則和警示，以便在攻擊再次發生時自動觸發。
• 更新事件應變手冊，納入任何學到的經驗。
• 根據回顧檢查結果改善安全防護機制。

後續步驟

• 使用安全性與復原力架構，確保營運不中斷，並防範業務受到有害的網路事件影響。
• 請聯絡 Mandiant 顧問，進行勒索軟體防禦評估。
• 如需瞭解更多最佳做法，請參閱 Google Cloud Well-Architected Framework。
• 如要進一步瞭解 Google 如何管理事件，請參閱「資料事件回應程序」。