Best practice per mitigare gli attacchi ransomware utilizzando Google Cloud

Il codice creato da una terza parte per infiltrarsi nei sistemi al fine di dirottare, criptare e rubare i dati è definito ransomware. Per proteggere le risorse e i dati aziendali dagli attacchi ransomware, devi Implementa controlli a più livelli in ambienti on-premise e cloud ambienti cloud-native. Questo documento descrive alcune best practice utili la tua azienda identifica, previene, rileva e risponde ai ransomware attacchi informatici.

Questo documento fa parte di una serie destinata agli architetti della sicurezza e Google Workspace for Education. Descrive in che modo Google Cloud può aiutare la tua organizzazione per mitigare gli effetti degli attacchi ransomware.

La serie è composta dalle seguenti parti:

• Mitigare gli attacchi ransomware utilizzando Google Cloud
• Le best practice per mitigare gli attacchi ransomware usando Google Cloud (questo documento)

Identifica i rischi e le risorse

Per determinare l’esposizione della tua azienda agli attacchi ransomware, devi sviluppare una comprensione dei rischi per i sistemi, le persone, le risorse, i dati e capacità. Per aiutarti, Google Cloud fornisce le seguenti funzionalità:

• Gestione delle risorse con Cloud Asset Inventory
• Programmi di gestione del rischio
• Classificazione dei dati
• Gestione del rischio della catena di fornitura

Gestisci i tuoi asset con Cloud Asset Inventory

Per contribuire a mitigare gli attacchi ransomware, è necessario sapere quali sono le risorse della tua organizzazione, i loro e il loro scopo, sia in Google Cloud che nelle tue reti in altri ambienti cloud. Per gli asset statici, mantieni una base di riferimento dell'ultimo valore nota in una posizione separata.

Utilizza le funzionalità di Cloud Asset Inventory per ottenere una cronologia di cinque settimane delle tue risorse in Google Cloud. Configura il monitoraggio dei feed di ricevere notifiche quando si verificano particolari modifiche alle risorse o ci sono deviazioni delle norme. Per tenere traccia delle variazioni in modo da poter tenere d’occhio gli attacchi che progrediscono più a lungo periodo di tempo, esporta il feed. Per creare l'esportazione, puoi utilizzare strumenti come Terraform. Per questo tipo di analisi, puoi esportare l'inventario in Tabella BigQuery o un Bucket Cloud Storage.

Valuta e gestisci i rischi

Utilizza un framework di valutazione del rischio esistente per catalogare i rischi e determinare la capacità della tua organizzazione di rilevare e contrastare un un attacco ransomware. Queste valutazioni controllano fattori come l'eventuale presenza di controlli di protezione anti-malware, controlli di accesso configurati correttamente, database la protezione dei dati e i backup.

Ad esempio, Cloud Security Alliance (CSA) offre la Cloud Controls Matrix (CCM) per assistere le organizzazioni nelle valutazioni del rischio relativo al cloud. Per informazioni CCM specifiche per Google Cloud, consulta New CIS Benchmark for Google Cloud Computing Platform.

Per identificare potenziali falle nell’applicazione e intraprendere azioni per rimediare, puoi utilizzare modelli di minacce come OWASP Application Threat Modeling. Per maggiori informazioni informazioni su come puoi contribuire a mitigare i 10 principali rischi di sicurezza OWASP con per Google Cloud, consulta OWASP Top 10 mitigation options on Google Cloud.

Dopo aver catalogato i rischi, determina come rispondere e se vogliono accettare, evitare, trasferire o mitigare i rischi. La Programma di protezione dai rischi consente di accedere Gestore del rischio e l'assicurazione informatica. Utilizza Risk Manager per analizzare i carichi di lavoro su Google Cloud e implementare i suggerimenti per la sicurezza per ridurre dai rischi legati al ransomware.

Configura Sensitive Data Protection

Protezione dei dati sensibili consente di nella tua organizzazione Google Cloud e i dati provenienti fonti esterne. Configura Sensitive Data Protection per classificare e proteggere i tuoi dati riservati utilizzando tecniche di anonimizzazione. La classificazione dei dati è utile per concentrare le attività di monitoraggio e rilevamento sui dati più importanti per la tua organizzazione.

Combina Sensitive Data Protection con altri prodotti come il Security Command Center o con una piattaforma SIEM di terze parti per garantire un monitoraggio e un avviso adeguati modifiche impreviste ai dati.

Gestisci i rischi per la tua catena di fornitura

Un vettore d’attacco chiave per gli attacchi ransomware sono le vulnerabilità all’interno dell’offerta o la catena di fornitura. La sfida di questo vettore di attacco è che la maggior parte delle aziende i fornitori che devono monitorare, ciascuno con il proprio elenco di fornitori.

Se crei ed esegui il deployment delle applicazioni, utilizza framework come Supply-chain Levels for Software Architects (SLSA). Questi framework aiutano a definire i requisiti e le best practice che che l'azienda può usare per proteggere il codice sorgente e i processi di compilazione. Con SLSA, puoi definire quattro livelli di sicurezza per migliorare la sicurezza il software che produci.

Se nelle tue applicazioni utilizzi pacchetti open source, valuta la possibilità di prospetti di sicurezza per il punteggio di sicurezza di un determinato pacchetto open source. Sicurezza i prospetti sono un metodo economico e facile da usare per ottenere una valutazione prima del gli sviluppatori integrano pacchetti open source con i tuoi sistemi.

Per scoprire le risorse che puoi utilizzare per verificare la sicurezza delle per Google Cloud, consulta Valutazione del rischio per la sicurezza del fornitore.

Controlla l'accesso alle risorse e ai dati

Quando la tua organizzazione sposta i carichi di lavoro al di fuori della rete on-premise, devi gestire l'accesso a questi carichi di lavoro in tutti gli ambienti che ospitano le tue risorse e i tuoi dati. Google Cloud supporta diversi controlli imposti l'accesso appropriato. Alcune di queste sono evidenziate nelle sezioni seguenti.

Configura la sicurezza Zero Trust con Chrome Enterprise Premium

Quando sposti i carichi di lavoro dall'ambiente on-premise al cloud, le modifiche al modello di attendibilità di rete. Sicurezza Zero Trust per cui nessuno è considerato affidabile implicitamente, all'interno o all'esterno della rete dell'organizzazione.

A differenza di una VPN, la sicurezza Zero Trust sposta i controlli di accesso dalla rete perimetrale agli utenti e ai loro dispositivi. Per sicurezza Zero Trust si intende l'identità e il contesto vengono presi in considerazione durante l'autenticazione. Questo titolo offre un’importante tattica di prevenzione contro gli attacchi ransomware che hanno successo solo dopo che gli aggressori hanno violato la tua rete.

Utilizza le funzionalità di Chrome Enterprise Premium per configurare la sicurezza Zero Trust in Google Cloud. Chrome Enterprise Premium offre da minacce e protezione dei dati e controlli dell'accesso. Per informazioni su come configurarlo, vedi Guida introduttiva a Chrome Enterprise Premium.

Se i carichi di lavoro si trovano sia on-premise che in Google Cloud, configura Identity-Aware Proxy (IAP). IAP consente di estendere la sicurezza Zero Trust alle applicazioni sia in luoghi. Fornisce l'autenticazione e per gli utenti che accedono alle tue applicazioni e risorse, utilizzando e i criteri di controllo.

Configura il privilegio minimo

Il privilegio minimo garantisce che utenti e servizi abbiano solo l'accesso che devono svolgere le proprie attività specifiche. Il privilegio minimo rallenta la capacità di ransomware che si diffonda nell’azienda perché un aggressore non può e ad aumentare facilmente i loro privilegi.

Per soddisfare le esigenze specifiche della tua organizzazione, utilizza criteri, ruoli e autorizzazioni granulari in Identity and Access Management (IAM). Inoltre, analizza i tuoi autorizzazioni regolarmente utilizzando strumento per suggerimenti sul ruolo e Analizzatore criteri. Il motore per suggerimenti di ruoli utilizza il machine learning per analizzare le impostazioni e fornire per garantire che le impostazioni del ruolo rispettino il principio il privilegio minimo. Analizzatore criteri consente di vedere quali account hanno accesso alle risorse cloud.

Per ulteriori informazioni sul privilegio minimo, consulta Utilizzo sicuro di IAM.

Configura l'autenticazione a più fattori con i token di sicurezza Titan

L'autenticazione a più fattori (MFA) assicura che gli utenti debbano fornire una password e un fattore biometrico o un fattore possessivo (come un token) prima che possano per accedere a una risorsa. Poiché le password possono essere relativamente facili da trovare o rubare, MFA aiuta a impedire ai malintenzionati di assumere il controllo degli account ransomware.

Prendi in considerazione Token di sicurezza Titan per MFA al fine di prevenire violazioni degli account e attacchi di phishing. I token di sicurezza Titan sono a prova di manomissione e possono essere utilizzati con qualsiasi servizio che supporta Alliance Fast Identity Online (FIDO) standard.

abilitare l'autenticazione MFA per le applicazioni, Amministratori di Google Cloud, Connessioni SSH alle VM (utilizzando OS Login), e per chiunque abbia bisogno di un accesso privilegiato a informazioni sensibili.

Utilizza le funzionalità di Cloud Identity per configurare l'MFA per le tue risorse. Per maggiori informazioni le informazioni, vedi Applicare l'MFA uniforme alle risorse di proprietà dell'azienda.

Proteggere gli account di servizio

Account di servizio sono identità con privilegi che forniscono l'accesso ai tuoi Google Cloud risorse, in modo che gli aggressori le considerino preziose. Per le best practice su proteggere gli account di servizio, Best practice per l'utilizzo degli account di servizio.

Proteggi i tuoi dati critici

Gli obiettivi principali di un attacco ransomware sono generalmente i seguenti:

• Per rendere i tuoi dati critici inaccessibili fino a quando non avrai pagato il riscatto.
• Per esfiltrare i dati.

Per proteggere i dati critici da attacchi, combina vari controlli di sicurezza per controllare l'accesso ai dati in base alla sensibilità dei dati. Le seguenti sezioni descrivere alcune best practice che puoi adottare per proteggere i tuoi dati e mitigazione efficace degli attacchi ransomware.

Configura la ridondanza dei dati

Google Cloud dispone di un'infrastruttura su scala globale progettata per fornire resilienza, scalabilità e alta disponibilità. La resilienza del cloud aiuta Google Cloud a recuperare e adattarsi a vari eventi. Per saperne di più, consulta la guida all'affidabilità dell'infrastruttura Google Cloud.

Oltre alle funzionalità di resilienza predefinite in Google Cloud, configura la ridondanza (N+2) sull'opzione di spazio di archiviazione sul cloud che utilizzi per archiviare i dati. La ridondanza aiuta a mitigare gli effetti di un ransomware perché rimuove un single point of failure e fornisce backup dei sistemi principali in caso di compromissione.

Se utilizzi Cloud Storage, puoi abilitare il controllo delle versioni degli oggetti o la funzionalità di blocco bucket. La funzionalità Blocco dei bucket consente di configurare un criterio di conservazione dei dati per i bucket Cloud Storage.

Per saperne di più sulla ridondanza dei dati in Google Cloud, consulta seguenti:

• Ridondanza tra regioni con i bucket Cloud Storage
• Copia dei set di dati BigQuery tra le regioni

Esegui il backup di database e archivi di file

I backup ti consentono di conservare copie dei tuoi dati per scopi di ripristino, è possibile creare un ambiente replicato se si verifica un incidente di sicurezza. Negozio backup nel formato necessario e, se possibile, in formato di origine non elaborato. Per evitare di compromettere i tuoi dati di backup, archivia queste copie in un file separato zone isolate dalla tua zona di produzione. Inoltre, esegui il backup dei file binari ed eseguibili separatamente dai tuoi dati.

Quando pianifichi un ambiente replicato, assicurati di applicare lo stesso (o controlli di sicurezza più efficaci nell'ambiente speculare. Determina l'ora in cui di ricreare l'ambiente e qualsiasi nuovo account amministratore di cui hai bisogno.

Per alcuni esempi di backup in Google Cloud, consulta quanto segue:

• Backup in Cloud SQL per SQL Server

• Backup in Filestore

Oltre a queste opzioni di backup, valuta l'utilizzo Backup e RE per eseguire il backup dei tuoi i dati on-premise in Google Cloud. Backup & RE ti consente di configurare un ambiente di ripristino in Google Cloud sia per le tue VM che o Microsoft SQL Server. Per saperne di più, consulta le soluzioni per il backup e l'emergenza per il ripristino di emergenza.

Proteggi le chiavi di crittografia dei dati ed eseguine il backup

Per impedire a utenti malintenzionati di accedere alle tue chiavi di crittografia dei dati, ruotare i tasti regolarmente e monitorare le attività relative alle chiavi. Implementare una strategia di backup delle chiavi che consideri la chiave località e se le chiavi sono gestite da Google (software o HSM) o se fornisci le chiavi per Google. Se fornire le tue chiavi, configurare i backup e rotazione della chiave utilizzando i controlli in il tuo sistema di gestione delle chiavi esterno.

Per ulteriori informazioni, consulta Gestire le chiavi di crittografia con Cloud Key Management Service.

Proteggi la rete e l'infrastruttura

Per proteggere la tua rete, devi assicurarti che i malintenzionati non possano attraversare facilmente per accedere ai tuoi dati sensibili. Le seguenti sezioni descrivere alcuni degli elementi da considerare durante la pianificazione e il deployment della rete.

Automatizza il provisioning dell'infrastruttura

Automation è un controllo importante contro i ransomware, in quanto fornisce il operativo con uno stato noto, rollback rapido e capacità di risoluzione dei problemi. Automation richiede vari strumenti, Terraform, Jenkins Cloud Build e altri.

Esegui il deployment di un ambiente Google Cloud sicuro utilizzando il progetto di base aziendale. Se necessario, basa il progetto sulle basi di sicurezza con altre progetti o progetta la tua automazione.

Per saperne di più sull'automazione, consulta Utilizza una pipeline CI/CD per i flussi di lavoro di elaborazione dati. Per ulteriori indicazioni sulla sicurezza, consulta Centro best practice per la sicurezza cloud.

Segmentare la rete

I segmenti e i perimetri di rete aiutano a rallentare il progresso che un utente malintenzionato può compiere nel tuo ambiente.

Per segmentare servizi e dati e contribuire a proteggere il tuo perimetro, Google Cloud offre i seguenti strumenti:

• Per indirizzare e proteggere il flusso di traffico, utilizza Cloud Load Balancing con regole firewall.
• Per configurare i perimetri all'interno della tua organizzazione per segmentare risorse e dati, usa Controlli di servizio VPC.
• Per configurare le connessioni con gli altri carichi di lavoro, on-premise o in altri ambienti cloud, utilizzare Cloud VPN o Cloud Interconnect.
• Per limitare l'accesso a indirizzi IP e porte, configura criteri dell'organizzazione ad esempio "Limita l'accesso IP pubblico nelle istanze Cloud SQL" e "Disattiva l'accesso alle porte seriali della VM".
• Per rafforzare la protezione delle VM sulla tua rete, configura i criteri dell'organizzazione come come "Shielded VM".

Personalizza i controlli della sicurezza di rete per tenere in considerazione i rischi derivanti da risorse diverse e dati.

Proteggi i tuoi carichi di lavoro

Google Cloud include servizi che consentono di creare gestire il codice. Usa questi servizi per prevenire la deviazione e rilevare e problemi di patch come configurazioni errate e vulnerabilità. Per proteggere carichi di lavoro, costruiscono un processo di deployment riservato che impedisce ai malintenzionati di ransomware ottenere l’accesso iniziale attraverso errori di configurazione e vulnerabilità prive di patch. Le seguenti sezioni descrivono alcune delle best practice che puoi per proteggere i carichi di lavoro.

Ad esempio, per eseguire il deployment GKE Enterprise esegui queste operazioni:

• Configura build attendibili e deployment.
• Isola le applicazioni all'interno di un cluster.
• Isolare i pod su un nodo.

Per saperne di più sulla sicurezza di GKE Enterprise, consulta Rafforzamento della sicurezza del cluster.

Utilizza un ciclo di vita sicuro per lo sviluppo del software

Quando sviluppi il tuo ciclo di vita di sviluppo del software (SDLC), utilizza i migliori del settore come DevSecOps. La Ricerca e valutazione DevOps (DORA) di ricerca descrive molti degli aspetti tecnici, di processo, di misurazione e le capacità culturali di DevSecOps. DevSecOps può contribuire a mitigare gli attacchi ransomware perché contribuisce a garantire che i sistemi le considerazioni sono incluse in ogni fase del ciclo di vita dello sviluppo e consente all'organizzazione di eseguire rapidamente il deployment delle correzioni.

Per ulteriori informazioni sull'utilizzo di SDLC con Google Kubernetes Engine (GKE), consulta Panoramica di Software Delivery Shield.

Utilizza una pipeline di integrazione continua e distribuzione continua sicura

L'integrazione continua e la distribuzione continua (CI/CD) forniscono un meccanismo per per offrire rapidamente ai clienti le funzionalità più recenti. Per evitare attacchi ransomware contro la tua pipeline, devi eseguire il codice appropriato e monitorare la pipeline per rilevare eventuali attacchi dannosi.

Per proteggere Pipeline CI/CD su Google Cloud, utilizza i controlli dell'accesso, i compiti separati e la verifica del codice crittografico mentre il codice si sposta attraverso la pipeline CI/CD. Utilizza le funzionalità di Cloud Build per monitorare i passaggi della build e Artifact Registry per il completamento analisi delle vulnerabilità sulle immagini container. Utilizza le funzionalità di Autorizzazione binaria per verificare che le immagini soddisfino gli standard.

Quando crei la pipeline, assicurati di avere backup per l'applicazione file binari ed eseguibili. Esegui il backup separatamente dalle tue informazioni riservate e i dati di Google Cloud.

Proteggi le applicazioni di cui hai eseguito il deployment

Gli aggressori possono provare ad accedere alla tua rete trovando Livello 7 le vulnerabilità all'interno delle applicazioni di cui hai eseguito il deployment. Per ridurre le questi attacchi, completano le attività di modellazione delle minacce per trovare potenziali minacce. Dopo aver ridotto al minimo la superficie di attacco, configura Google Cloud Armor un web application firewall (WAF) che utilizza filtri di livello 7 e criteri di sicurezza.

Le regole WAF consentono di proteggere le applicazioni da numerose OWASP Top 10 che le applicazioni presentino problemi di prestazioni. Per ulteriori informazioni, vedi OWASP Top 10 mitigation options on Google Cloud.

Per informazioni sul deployment di Google Cloud Armor con un bilanciatore del carico delle applicazioni esterno globale per proteggere le tue applicazioni in più regioni, consulta Impara a conoscere Google Cloud Armor, la difesa su larga scala per i servizi per internet. Per informazioni sull'utilizzo di Google Cloud Armor con le applicazioni che vengono eseguite all'esterno di Google Cloud, Integrazione di Google Cloud Armor con altri prodotti Google.

Applica rapidamente le patch alle vulnerabilità

Un vettore d’attacco chiave per il ransomware sono le vulnerabilità del software open source. A mitigazione degli effetti del ransomware, è necessario essere in grado di implementa le correzioni nel tuo parco risorse.

In base alle modello di responsabilità condivisa, sei responsabile di eventuali vulnerabilità del software nelle tue applicazioni Google è responsabile del mantenimento della sicurezza dell'infrastruttura sottostante dell'infrastruttura.

Per visualizzare le vulnerabilità associate ai sistemi operativi che le tue VM sono in esecuzione e per gestire il processo di applicazione di patch, usa OS Patch Management in in Compute Engine. Per GKE e GKE Enterprise, Google esegue automaticamente applica patch alle vulnerabilità, anche se hai un certo controllo nei periodi di manutenzione di GKE.

Se utilizzi Cloud Build, automatizzare le build ogni volta che uno sviluppatore esegue il commit di una modifica nel repository del codice sorgente. Assicurati che tuo file di configurazione della build includa gli opportuni controlli di verifica, come l'analisi delle vulnerabilità e e controlli di integrità.

Per informazioni sull'applicazione di patch a Cloud SQL, consulta Manutenzione sulle istanze Cloud SQL.

Rileva gli attacchi

La capacità di rilevare gli attacchi dipende dalle capacità di rilevamento di cui disponi, sistema di monitoraggio e avviso e le attività che preparano le operazioni ai team per identificare gli attacchi nel momento in cui si verificano. Questa sezione descrive alcune best practice per rilevare gli attacchi.

Configura monitoraggio e avvisi

Attiva Security Command Center per ottenere una visibilità centralizzata su eventuali problemi e rischi di sicurezza all’interno del tuo nell'ambiente Google Cloud. Personalizza dashboard garantire che gli eventi più importanti per la tua organizzazione siano visibile.

Utilizza le funzionalità di da Cloud Logging a gestire e analizzare i log dei tuoi servizi in Google Cloud. Per analisi aggiuntive, puoi scegliere per l'integrazione con Google Security Operations o esportare i log nel SIEM della tua organizzazione.

Inoltre, utilizza Cloud Monitoring per misurare le prestazioni del tuo servizio e delle tue risorse avvisi. Ad esempio, puoi monitorare modifiche improvvise al numero di VM in esecuzione nel tuo ambiente, che potrebbero indicare la presenza di malware nel tuo ambiente.

Rendi disponibili tutte queste informazioni per il tuo centro operativo di sicurezza in in modo centralizzato.

Creazione di funzionalità di rilevamento

Creare funzionalità di rilevamento in Google Cloud corrispondenti alle tue i rischi e le esigenze di carico di lavoro. Queste funzionalità forniscono maggiori informazioni minacce avanzate e ti aiutano a monitorare meglio i requisiti di conformità.

Se disponi Livello Premium di Security Command Center utilizzare Event Threat Detection e Google SecOps. Event Threat Detection cerca nei log potenziali attacchi alla sicurezza e registra i risultati nel Security Command Center. Event Threat Detection consente di monitorare sia Google Cloud Google Workspace. Verifica la presenza di malware sulla base di dati e indirizzi IP non validi noti. Per ulteriori informazioni, vedi Utilizzo di Event Threat Detection.

Utilizza Google SecOps per archiviare e analizzare i dati sulla sicurezza in un'unica posizione. Google SecOps contribuisce a migliorare il processo di gestione delle minacce in Google Cloud aggiungendo investigative in Security Command Center Premium. Puoi usare Google SecOps per creare regole di rilevamento, impostare indicatori compromettono le corrispondenze ed eseguono attività di caccia alle minacce. Google SecOps include le seguenti funzionalità:

• Quando mappi i log, Google SecOps li arricchisce e li arricchisce in sequenze temporali, in modo da poter vedere l'intero arco di un attacco.
• Google SecOps rivaluta costantemente l'attività dei log rispetto a informazioni sulle minacce raccolte dal team Google Cloud Threat Intelligence for Google Security Operations. Quando l'intelligence cambia, Google SecOps la riapplica automaticamente a tutti i database storici attività.
• Puoi scrivere il tuo YARA per migliorare le capacità di rilevamento delle minacce.

Facoltativamente, puoi utilizzare una Partner Google Cloud per potenziare ulteriormente le capacità di rilevamento.

Pianificare un attacco ransomware

Per prepararti a un attacco ransomware, completa continuità aziendale piani di ripristino di emergenza, creare un programma per la risposta agli incidenti ransomware ed eseguire esercizi di simulazione.

Per il tuo playbook di risposta agli incidenti, considera la funzionalità disponibile ogni servizio. Ad esempio, se utilizzi GKE con Autorizzazione binaria, puoi aggiungere deployment di emergenza i processi di machine learning.

Assicurati che la tua guida pratica per la risposta agli incidenti ti aiuti rapidamente contenere risorse e account infetti e passare a fonti secondarie integri e backup. Se usi un servizio di backup come Backup & RE, esercitarti con regolarità sulle tue procedure di ripristino da Google Cloud agli ambienti on-premise completamente gestito di Google Cloud.

Crea un programma di resilienza informatica e una strategia di backup che ti prepara a ripristinare i sistemi o gli asset principali interessate da un incidente ransomware. La resilienza informatica è fondamentale per supportare tempi di ripristino e diminuendo gli effetti di un attacco per poter per gestire la tua attività.

A seconda della portata dell’attacco e delle normative applicabili al tuo potrebbe essere necessario segnalare l'attacco alle autorità competenti. Assicurati che i dati di contatto vengano acquisiti accuratamente nella risposta agli incidenti .

Rispondere agli attacchi e riprendersi

Quando si verifica un attacco, è necessario seguire il proprio piano di risposta agli incidenti. Il tuo la risposta passa probabilmente attraverso quattro fasi, ovvero:

• Identificazione degli incidenti
• Coordinamento e indagine degli incidenti
• Risoluzione degli incidenti
• Chiusura di un incidente

Le best practice relative alla risposta agli incidenti sono descritte in maggiore dettaglio in le sezioni seguenti.

Per informazioni su come Google gestisce gli incidenti, vedi Processo di risposta agli incidenti relativi ai dati.

Attiva il tuo piano di risposta agli incidenti

Quando rilevi un attacco ransomware, attiva il tuo piano. Dopo aver confermato l'incidente non è un falso positivo e influisce sul tuo Google Cloud aprire un'app Richiesta di assistenza P1 per l'Assistenza Google. Assistenza Google risponde come documentato Google Cloud: linee guida per i servizi di assistenza tecnica.

Se la tua organizzazione ha Un Technical Account Manager (TAM) Google o un altro rappresentante di Google, puoi contattarli.

Coordina l'indagine sugli incidenti

Dopo aver attivato il piano, riunisci il team all'interno della tua organizzazione che dei processi di coordinamento e risoluzione degli incidenti. Assicurati che questi strumenti e procedure siano in atto per esaminare e risolvere incidente.

Continua a monitorare il tuo ticket di assistenza Google e a collaborare con il tuo account responsabile. Rispondi a eventuali richieste di ulteriori informazioni. Mantieni i dettagli note sulle tue attività.

Risolvi l'incidente

Una volta completata l’indagine, segui il piano di risposta agli incidenti rimuovere il ransomware e ripristinare lo stato di integrità dell’ambiente. A seconda sulla gravità dell'attacco e i controlli di sicurezza abilitati, il piano può includere attività quali:

• Quarantizione dei sistemi infetti.
• Ripristino da backup integri.
• Ripristinare lo stato di funzionamento noto in precedenza dell'infrastruttura utilizzando della tua pipeline CI/CD.
• È in corso la verifica dell'avvenuta rimozione della vulnerabilità.
• Applicazione di patch a tutti i sistemi che potrebbero essere vulnerabili a un attacco simile.
• Implementazione dei controlli necessari per evitare un attacco simile.

Man mano che procedi nella fase di risoluzione, continua a monitorare il tuo Ticket di assistenza. L'Assistenza Google intraprende le azioni appropriate entro Google Cloud per contenere, eliminare e, se possibile, ripristinare completamente gestito di Google Cloud.

Continua a prendere appunti dettagliati sulle tue attività.

Chiudi l'incidente

Puoi chiudere l'incidente dopo che l'ambiente è stato ripristinato a uno stato integro stato e hai verificato che il ransomware è stato eliminato dal tuo completamente gestito di Google Cloud.

Informa l'Assistenza Google quando l'incidente è stato risolto e il tuo ambiente è ripristinato. Se ne hai prevista una, partecipa a una retrospettiva congiunta con i tuoi Rappresentante di Google.

Assicuratevi di acquisire tutte le lezioni apprese dall’incidente e di mettervi i controlli di cui hai bisogno per evitare attacchi simili. A seconda della natura dell'attacco, potresti prendere in considerazione quanto segue: azioni:

• Scrivere regole di rilevamento e avvisi che si attivano automaticamente in caso di attacco che si verificano di nuovo.
• Aggiornamento del playbook di risposta agli incidenti per includere tutte le lezioni apprese.
• Migliorare la postura di sicurezza in base ai risultati retrospettivi.

Passaggi successivi

• Scopri di più sulle processo di risposta agli incidenti di Google.
• Aggiungi ai preferiti Dashboard dello stato di Google Cloud per visualizzare lo stato di Google Cloud.
• Migliora il tuo piano di risposta agli incidenti con Libro sulla SRE di Google - Incident Response.
• Leggi Framework dell'architettura per altre best practice per Google Cloud.

• Pianifica i processi di ripristino di emergenza.

• Contribuire a proteggere le catene di fornitura del software su GKE.

• Scopri in che modo Google identifica e protegge dai più grandi attacchi DDoS.