El código que creó un tercero para infiltrarse en tus sistemas para usurpar, encriptar y robar datos se conoce como ransomware. Para proteger tus recursos y datos empresariales de los ataques de ransomware, debes implementar controles de varias capas en tus entornos locales y de nube. En este documento, se describen algunas prácticas recomendadas para ayudar a tu organización a identificar, prevenir, detectar y responder a ataques de ransomware.
Este documento es parte de una serie destinada a arquitectos y administradores de seguridad. Se describe cómo Google Cloud puede ayudar a tu organización a mitigar los efectos de los ataques de ransomware.
La serie tiene las siguientes partes:
- Mitiga ataques de ransomware con Google Cloud
- Prácticas recomendadas para mitigar los ataques de ransomware mediante Google Cloud (este documento)
Identifica tus riesgos y recursos
Para determinar la exposición de la organización a ataques de ransomware, debes desarrollar conocimientos sobre los riesgos de los sistemas, las personas, los elementos, los datos y las funciones. Para ayudarte, Google Cloud proporciona las siguientes funciones:
- Administración de elementos con Cloud Asset Inventory
- Programas de administración de riesgos
- Clasificación de datos
- Administración de riesgos de la cadena de suministro
Administra tus recursos con Cloud Asset Inventory
Para ayudar a mitigar los ataques de ransomware, debes saber cuáles son los recursos de tu organización, su estado y su propósito, tanto en Google Cloud como en tus entornos de nube locales o de otro tipo. Para los recursos estáticos, mantén un modelo de referencia de la última configuración correcta conocida en una ubicación separada.
Usa Cloud Asset Inventory para obtener un historial de cinco semanas de tus recursos en Google Cloud. Configura feeds de supervisión para recibir notificaciones cuando se produzcan cambios particulares en los recursos o cuando existan desviaciones de la política. Para hacer un seguimiento de los cambios para mirar los ataques que avanzan durante un período más largo, exporta el feed. Para crear la exportación, puedes usar herramientas como Terraform. Para este tipo de análisis, puedes exportar el inventario a una tabla de BigQuery o a un bucket de Cloud Storage.
Evalúa y administra tus riesgos
Usa un framework de evaluación de riesgos existente para ayudarte a catalogar los riesgos y determinar qué tan capaz de detectar y contrarrestar un ataque de ransomware es tu organización. Estas evaluaciones verifican factores como, por ejemplo, si tienes controles de protección contra software malicioso, controles de acceso configurados de forma correcta, protección de bases de datos y copias de seguridad.
Por ejemplo, Cloud Security Alliance (CSA) proporciona Cloud Controls Matrix (CCM) para ayudar a las organizaciones en sus evaluaciones de riesgo de la nube. Para obtener información sobre CCM específica para Google Cloud, consulta Nueva CIS Benchmark para la plataforma de Computación en la nube de Google.
Para identificar posibles interrupciones en las aplicaciones y tomar medidas para solucionarlas, puedes usar modelos de amenaza, como el Modelado de amenazas para aplicaciones de OWASP. Para obtener más información sobre cómo puedes mitigar los 10 riesgos de seguridad principales de OWASP con Google Cloud, consulta Las 10 opciones principales de mitigación de OWASP en Google Cloud.
Después de catalogar los riesgos, determina cómo responder a ellos y si deseas aceptarlos, evitarlos, transferirlos o mitigarlos. El Programa de protección contra riesgos proporciona acceso al Administrador de riesgos y a los seguros cibernéticos. Usa el Administrador de riesgos para analizar las cargas de trabajo en Google Cloud y, además, implementa las recomendaciones de seguridad que ayudan a reducir los riesgos relacionados con el ransomware.
Configura Sensitive Data Protection
Sensitive Data Protection te permite inspeccionar datos en tu organización de Google Cloud y datos que provienen de fuentes externas. Configura Sensitive Data Protection para clasificar y proteger tus datos confidenciales con las técnicas de desidentificación. La clasificación de tus datos te ayuda a enfocar tus esfuerzos de supervisión y detección en los datos más importantes para tu organización.
Combina Sensitive Data Protection con otros productos, como Security Command Center o una herramienta de SIEM de terceros para ayudar a garantizar la supervisión y las alertas adecuadas sobre cualquier cambio inesperado en los datos.
Administra los riesgos para la cadena de suministro
Un vector de ataque clave para los ataques de ransomware son las vulnerabilidades dentro de la cadena de suministro. El desafío de este vector de ataque es que la mayoría de las organizaciones tienen muchos proveedores a los que deben hacer seguimiento, cada uno con su propia lista de proveedores.
Si creas y también implementas aplicaciones, usa frameworks, como los Niveles de la cadena de suministro para arquitectos de software (SLSA). Estos frameworks ayudan a definir los requisitos y las prácticas recomendadas que tu empresa puede usar para proteger el código fuente y los procesos de compilación. Mediante los SLSA, puedes trabajar con cuatro niveles de seguridad para mejorar la seguridad del software que produces.
Si usas paquetes de código abierto en tus aplicaciones, considera usar cuadros de evaluación de seguridad para generar de forma automática la puntuación de seguridad de un paquete de código abierto específico. Los cuadros de evaluación de seguridad son un método fácil de usar y de bajo costo para obtener una evaluación antes de que los desarrolladores integren paquetes de código abierto en tus sistemas.
Para obtener información sobre los recursos que puedes usar para verificar la seguridad de Google Cloud, consulta Evaluación de riesgos de seguridad del proveedor.
Controla el acceso a tus recursos y datos
A medida que tu organización mueve las cargas de trabajo fuera de tu red local, debes administrar el acceso a esas cargas de trabajo en todos los entornos que alojan tus recursos y datos. Google Cloud admite varios controles que te ayudan a configurar el acceso adecuado. En las siguientes secciones, se destacan algunos.
Configura la seguridad de confianza cero con BeyondCorp Enterprise
A medida que transfieres las cargas de trabajo del entorno local a la nube, el modelo de confianza de red cambia. La seguridad de confianza cero significa que no se confía en nadie implícitamente, ya sea que esté dentro o fuera de la red de tu organización.
A diferencia de una VPN, la seguridad de confianza cero cambia los controles de acceso del perímetro de la red a los usuarios y sus dispositivos. La seguridad de confianza cero significa que la identidad del usuario y el contexto se consideran durante la autenticación. Este control de seguridad proporciona una táctica de prevención importante contra los ataques de ransomware que tienen éxito solo después de que los atacantes traspasen tu red.
Usa BeyondCorp Enterprise para configurar la seguridad de confianza cero en Google Cloud. BeyondCorp Enterprise proporciona protección contra amenazas y datos y controles de acceso. Para aprender a configurarlo, consulta Comienza a usar BeyondCorp Enterprise.
Si tus cargas de trabajo se encuentran en entornos locales y en Google Cloud, configura Identity-Aware Proxy (IAP). IAP te permite extender la seguridad de confianza cero a tus aplicaciones en ambas ubicaciones. Además, mediante las políticas de control de acceso, proporciona autenticación y autorización para los usuarios que acceden a tus aplicaciones y recursos.
Configura el privilegio mínimo
El privilegio mínimo garantiza que los usuarios y los servicios solo tengan el acceso que necesitan para hacer sus tareas específicas. El privilegio mínimo ralentiza la capacidad de un ransomware para distribuirse en toda una organización porque un atacante no puede aumentar sus privilegios con facilidad.
Para satisfacer las necesidades particulares de tu organización, usa las políticas, los roles y permisos detallados en Identity and Access Management (IAM). Además, analiza los permisos con regularidad mediante el recomendador de roles y el Analizador de políticas. El recomendador de roles usa el aprendizaje automático para analizar tu configuración y proporciona recomendaciones para garantizar que tu configuración de roles cumpla con el principio de privilegio mínimo. El Analizador de políticas te permite ver qué cuentas tienen acceso a tus recursos en la nube.
Para obtener más información sobre los privilegios mínimos, consulta Usa IAM de forma segura.
Configura la autenticación de varios factores con llaves de seguridad Titan
La autenticación de varios factores (MFA) garantiza que los usuarios deban proporcionar una contraseña y un factor biométrico o un factor posesivo (como un token) antes de que puedan acceder a un recurso. Como las contraseñas pueden ser relativamente fáciles de descubrir o robar, la MFA ayuda a evitar que los atacantes de ransomware puedan tomar el control de las cuentas.
Considera usar las llaves de seguridad Titan para la MFA para evitar la apropiación de cuentas y los ataques de suplantación de identidad (phishing). Las llaves de seguridad Titan son resistentes a la manipulación y se pueden usar con cualquier servicio que admita los estándares de Fast IDentity Online (FIDO) Alliance.
Habilita la MFA para tus aplicaciones, administradores de Google Cloud, conexiones SSH a tus VM (mediante Acceso al SO) y cualquier persona que requiera acceso privilegiado a información sensible.
Usa Cloud Identity para configurar la MFA para tus recursos. Si deseas obtener más información, consulta Aplica MFA uniforme a recursos de empresas.
Protege tus cuentas de servicio
Las cuentas de servicio son identidades con privilegios que proporcionan acceso a los recursos de Google Cloud, por lo que los atacantes las considerarían valiosas. Si deseas conocer las prácticas recomendadas sobre la protección de las cuentas de servicio, consulta Prácticas recomendadas para trabajar con cuentas de servicio.
Protege tus datos críticos
Los objetivos principales de un ataque de ransomware son, por lo general, los siguientes:
- Hacer que tus datos críticos sean inaccesibles hasta que pagues el robo.
- Robar datos.
Para proteger tus datos críticos de los ataques, combina varios controles de seguridad para controlar el acceso a los datos, según la sensibilidad de los datos. En las siguientes secciones, se describen algunas prácticas recomendadas que puedes usar para proteger tus datos y mitigar de manera eficaz los ataques de ransomware.
Configura la redundancia de datos
Google Cloud tiene una infraestructura de escala global diseñada para proporcionar resiliencia, escalabilidad y alta disponibilidad. La resiliencia de la nube ayuda a Google Cloud a recuperarse y adaptarse a varios eventos. Para obtener más información, consulta la Guía de confiabilidad de la infraestructura de Google Cloud.
Además de las capacidades de resiliencia predeterminadas en Google Cloud, configura la redundancia (N+2) en la opción de almacenamiento en la nube que usas para almacenar tus datos. La redundancia ayuda a mitigar los efectos de un ataque de ransomware porque quita un punto único de fallo y proporciona copias de seguridad de los sistemas principales en caso de que sean vulnerados.
Si usas Cloud Storage, puedes habilitar el control de versiones de objetos o la función de bloqueo de buckets. La función de bloqueo de buckets te permite configurar una política de retención de datos para tus buckets de Cloud Storage.
Para obtener más información sobre la redundancia de datos en Google Cloud, consulta lo siguiente:
- Redundancia en regiones con buckets de Cloud Storage
- Copia de conjuntos de datos de BigQuery entre regiones
Crea copias de seguridad de tus bases de datos y almacenes de archivos
Las copias de seguridad te permiten conservar copias de tus datos para la recuperación ante desastres para que puedas crear un entorno replicado. Almacena las copias de seguridad en el formato que necesites y, si es posible, en formato de origen sin procesar. Para evitar comprometer tus datos de copia de seguridad, almacena estas copias en zonas aisladas y separadas de tu zona de producción. Además, crea copias de seguridad de archivos binarios y ejecutables por separado de tus datos.
Cuando planifiques un entorno replicado, asegúrate de aplicar los mismos controles de seguridad (o más sólidos) en tu entorno duplicado. Determina el tiempo que te lleva volver a crear el entorno y volver a crear las cuentas de administrador nuevas que necesites.
Para ver algunos ejemplos de copias de seguridad en Google Cloud, consulta lo siguiente:
Además de estas opciones de copia de seguridad, considera usar el servicio Backup and DR para crear una copia de seguridad de los datos locales en Google Cloud. Backup and DR te permite configurar un entorno de recuperación ante desastres en Google Cloud para tus VMs y bases de datos. Si deseas obtener más información, consulta las soluciones para la copia de seguridad y la recuperación ante desastres.
Protege y crea una copia de seguridad de las claves de encriptación de datos
Para evitar que los atacantes accedan a tus claves de encriptación de datos, rota tus claves con regularidad y supervisa las actividades relacionadas con ellas. Implementa una estrategia de copia de seguridad de claves que tenga en cuenta la ubicación de la clave y si las claves son administradas por Google (software o HSM) o si proporcionas las claves a Google. Si proporcionas tus propias claves, configura las copias de seguridad y la rotación de claves mediante los controles de tu sistema de administración de claves externo.
Para obtener más información, consulta Administra claves de encriptación con Cloud Key Management Service.
Protege tu red y la infraestructura
Para proteger tu red, debes asegurarte de que los atacantes no puedan atravesarla con facilidad para obtener acceso a tus datos sensibles. En las siguientes secciones, se describen algunos elementos que debes considerar cuando planificas y, luego, implementas tu red.
Automatiza el aprovisionamiento de infraestructura
La automatización es un control importante contra los atacantes de ransomware, puesto que la automatización proporciona a tu equipo de operaciones un buen estado conocido, una reversión rápida y capacidades de solución de problemas. La automatización requiere varias herramientas, como Terraform, Jenkins, Cloud Build y otras.
Implementa un entorno de Google Cloud seguro con el plano de bases empresarial. Si es necesario, agrega a los planos de base de seguridad planos adicionales o diseña tu propia automatización.
Si deseas obtener más información sobre la automatización, consulta Usa una canalización de CI/CD para flujos de trabajo de procesamiento de datos. Para obtener orientación sobre seguridad, consulta el Centro de prácticas recomendadas para la seguridad de Cloud.
Segmenta tu red
Los perímetros y los segmentos de red ayudan a ralentizar el progreso que un atacante puede hacer en tu entorno.
Para segmentar los servicios y los datos, y ayudarte a proteger el perímetro, Google Cloud ofrece las siguientes herramientas:
- Para dirigir y proteger el flujo de tráfico, usa Cloud Load Balancing con reglas de firewall.
- Si deseas configurar perímetros dentro de tu organización para segmentar los recursos y los datos, usa los Controles del servicio de VPC.
- Para configurar conexiones con tus otras cargas de trabajo, ya sean locales o en otros entornos de nube, usa Cloud VPN o Cloud Interconnect.
- Para restringir el acceso a las direcciones IP y los puertos, configura políticas de la organización, como “Restringir el acceso de IP pública en las instancias de Cloud SQL” y también “Inhabilitar el acceso al puerto en serie de VM”.
- Para endurecer las VM en tu red, configura las políticas de la organización como “VM protegida”.
Personaliza los controles de seguridad de red para que coincidan con los riesgos de diferentes recursos y datos.
Protege tus cargas de trabajo
Google Cloud incluye servicios que te permiten compilar, implementar y administrar código. Usa estos servicios para evitar desvíos y detectar y solucionar problemas con rapidez, como configuraciones incorrectas y vulnerabilidades. Para proteger tus cargas de trabajo, compila un proceso de implementación controlado que evite que los atacantes de ransomware obtengan acceso inicial a través de vulnerabilidades sin parches y configuraciones incorrectas. En las siguientes secciones, se describen algunas de las prácticas recomendadas que puedes implementar para proteger tus cargas de trabajo.
Por ejemplo, para implementar cargas de trabajo en GKE Enterprise, haz lo siguiente:
- Configura compilaciones confiables e implementaciones.
- Aísla aplicaciones dentro de un clúster
- Aísla pods en un nodo.
Para obtener más información sobre la seguridad de GKE Enterprise, consulta Endurece la seguridad del clúster.
Usa un ciclo de vida seguro para el desarrollo de software
Cuando desarrolles el ciclo de vida del desarrollo de software (SDLC), usa prácticas recomendadas de la industria, como DevSecOps. El programa de investigación de DevOps Research and Assessment (DORA) describe muchas de las capacidades técnicas, de proceso, de medición y culturales de DevSecOps. DevSecOps puede ayudar a mitigar los ataques de ransomware porque garantiza que se incluyan consideraciones de seguridad en cada paso del ciclo de vida del desarrollo y que tu organización implemente correcciones rápidamente.
Para obtener más información sobre el uso de un SDLC con Google Kubernetes Engine (GKE), consulta Descripción general de Software Delivery Shield.
Usa una canalización segura de integración y entrega continuas
La integración continua y la entrega continua (CI/CD) proporcionan un mecanismo para obtener las funciones más recientes para tus clientes con rapidez. Para evitar ataques de ransomware contra la canalización, debes hacer un análisis de código adecuado y supervisar la canalización en busca de ataques maliciosos.
Para proteger tu canalización de CI/CD en Google Cloud, usa controles de acceso, tareas segregadas y verificación de código criptográfico a medida que el código se mueve a través de la canalización de CI/CD. Usa Cloud Build para hacer un seguimiento de los pasos de compilación y Artifact Registry para completar el análisis de vulnerabilidades en las imágenes de contenedor. Usa la autorización binaria para verificar que las imágenes cumplan con tus estándares.
Cuando compiles tu canalización, asegúrate de tener copias de seguridad de tus archivos binarios y ejecutables de la aplicación. Crea copias de seguridad de estos por separado de tus datos confidenciales.
Protege tus aplicaciones implementadas
Los atacantes pueden intentar acceder a tu red mediante la búsqueda de vulnerabilidades de capa 7 en las aplicaciones implementadas. Para mitigar estos ataques, completa las actividades de modelado de amenazas para encontrar posibles amenazas. Después de minimizar la superficie de ataque, configura Google Cloud Armor, que es un firewall de aplicación web (WAF) que usa filtros de capa 7 y políticas de seguridad.
Las reglas de WAF te ayudan a proteger tus aplicaciones contra varios de los 10 problemas principales de OWASP. Para obtener más información, consulta las 10 opciones principales de mitigación de OWASP en Google Cloud.
Si deseas obtener información sobre la implementación de Google Cloud Armor con un balanceador de cargas de aplicaciones externo global para proteger tus aplicaciones en varias regiones, consulta Conoce Google Cloud Armor: defensa a gran escala para servicios orientados a Internet. Para obtener información sobre cómo usar Google Cloud Armor con aplicaciones que se ejecutan fuera de Google Cloud, consulta Integra Google Cloud Armor con otros productos de Google.
Aplica parches a las vulnerabilidades con rapidez
Un vector de ataque clave para el ransomware son las vulnerabilidades del software de código abierto. Para mitigar los efectos que puede tener un ransomware, debes poder implementar correcciones con rapidez en toda la flota.
Según el modelo de responsabilidad compartida, eres responsable de cualquier vulnerabilidad de software de tus aplicaciones, mientras que Google es responsable de mantener la seguridad de la infraestructura subyacente.
Para ver las vulnerabilidades asociadas con los sistemas operativos que ejecutan tus VM y administrar el proceso de aplicación de parches, usa la Administración de parches de SO en Compute Engine. Para GKE y GKE Enterprise, Google aplica un parche a las vulnerabilidades de forma automática, aunque tienes cierto control sobre los períodos de mantenimiento de GKE.
Si usas Cloud Build, automatiza las compilaciones cada vez que un desarrollador confirme un cambio en el repositorio de código fuente. Asegúrate de que el archivo de configuración de compilación incluya verificaciones adecuadas, como el análisis de vulnerabilidades y las verificaciones de integridad.
Para obtener información sobre cómo aplicar parches a Cloud SQL, consulta Mantenimiento en instancias de Cloud SQL.
Detecta ataques
La capacidad de detectar ataques depende de tus capacidades de detección, tu sistema de supervisión y alertas, y las actividades que preparan a tus equipos de operaciones para identificar ataques cuando ocurren. En esta sección, se describen algunas prácticas recomendadas para detectar ataques.
Configura la supervisión y las alertas
Habilita Security Command Center para obtener visibilidad centralizada de cualquier problema y riesgo de seguridad dentro de tu entorno de Google Cloud. Personaliza el panel para asegurarte de que los eventos más importantes para tu organización sean más visibles.
Usa Cloud Logging para administrar y analizar los registros de tus servicios en Google Cloud. Para hacer un análisis adicional, puedes elegir integrar a Chronicle o exportar los registros al SIEM de tu organización.
Además, usa Cloud Monitoring para medir el rendimiento del servicio y los recursos y configurar alertas. Por ejemplo, puedes supervisar cambios repentinos en la cantidad de VM que se ejecutan en tu entorno, lo que puede ser una señal de que hay software malicioso en el entorno.
Haz que toda esta información esté disponible en tu centro de operaciones de seguridad de forma centralizada.
Compila capacidades de detección
Compila capacidades de detección en Google Cloud que equivalgan a tus riesgos y necesidades de carga de trabajo. Estas funciones te proporcionan estadísticas más detalladas sobre las amenazas avanzadas y te ayudan a supervisar mejor los requisitos de cumplimiento.
Si tienes el nivel Premium de Security Command Center, usa Event Threat Detection y Chronicle. Event Threat Detection busca en tus registros posibles ataques a la seguridad y registra sus hallazgos en Security Command Center. Event Threat Detection te permite supervisar Google Cloud y Google Workspace al mismo tiempo. Comprueba si hay software malicioso basado en dominios maliciosos y direcciones IP maliciosas conocidas. Para obtener más información, consulta Usa Event Threat Detection.
Usa Chronicle para almacenar y analizar tus datos de seguridad en un solo lugar. Chronicle ayuda a mejorar el proceso de manejo de amenazas en Google Cloud mediante la adición de capacidades de investigación a la versión Premium de Security Command Center. Puedes usar Chronicle para crear reglas de detección, configurar indicadores de coincidencia de compromisos y hacer actividades de búsqueda de amenazas. Chronicle tiene las siguientes características:
- Cuando asignas registros, Chronicle los enriquece y los vincula en cronogramas, para que puedas ver todo el intervalo de un ataque.
- Chronicle vuelve a evaluar de forma constante la actividad de registro en relación con la inteligencia de amenazas que recopila el equipo de Inteligencia de amenazas de Google Cloud para Chronicle. Cuando la inteligencia cambia, Chronicle la vuelve a aplicar de forma automática en toda la actividad histórica.
- Puedes escribir tus propias reglas de YARA para mejorar las capacidades de detección de amenazas.
De manera opcional, puedes usar un socio de Google Cloud para mejorar aún más tus capacidades de detección.
Planifica para un ataque de ransomware
Para prepararte para un ataque de ransomware, completa los planes de continuidad del negocio y de recuperación ante desastres, crea una guía de respuesta ante incidentes de ransomware y haz ejercicios de simulación.
Para tu guía de respuesta ante incidentes, considera la funcionalidad disponible para cada servicio. Por ejemplo, si usas GKE con la autorización binaria, puedes agregar procesos de anulación de emergencia.
Asegúrate de que la guía de respuesta ante incidentes te ayude a contener cuentas y recursos infectados con rapidez, y a usar fuentes secundarias y copias de seguridad en buen estado. Si usas un servicio de copia de seguridad como Backup and DR, practica con regularidad los procedimientos de restablecimiento de Google Cloud en el entorno local.
Crea un programa de resiliencia cibernética y una estrategia de copia de seguridad que te prepare para restablecer los sistemas o recursos principales afectados por un incidente de ransomware. La resiliencia cibernética es fundamental para respaldar los cronogramas de recuperación y disminuir los efectos de un ataque para que puedas volver a operar tu empresa.
Según el alcance de un ataque y las regulaciones que se aplican a tu organización, es posible que debas informar el ataque a las autoridades correspondientes. Asegúrate de que la información de contacto se capture con exactitud en la guía de respuesta ante incidentes.
Responde a los ataques y recupérate
Cuando se produce un ataque, debes seguir tu plan de respuesta ante incidentes. Es probable que tu respuesta pase por cuatro fases, que son las siguientes:
- Identificación de incidentes
- Investigación y coordinación de incidentes
- Resolución de incidentes
- Cierre del incidente
En las siguientes secciones, se describen mejor las prácticas recomendadas relacionadas con la respuesta ante incidentes.
Para obtener información sobre cómo Google administra los incidentes, consulta el Proceso de respuesta ante incidentes de datos.
Activa tu plan de respuesta ante incidentes
Cuando detectes un ataque de ransomware, activa tu plan. Después de confirmar que el incidente no es un falso positivo y que afecta a los servicios de Google Cloud, abre un ticket de Atención al cliente de Google P1. Atención al cliente de Google responde tal como se documenta en Google Cloud: Lineamientos de los Servicios de Asistencia Técnica.
Si tu organización tiene un administrador técnico de cuentas (TAM) de Google o algún otro representante de Google, comunícate con ellos.
Coordina la investigación de incidentes
Después de activar tu plan, reúne al equipo dentro de tu organización que debe participar en los procesos de coordinación y resolución de incidentes. Asegúrate de que estas herramientas y procesos se implementen para investigar y resolver el incidente.
Supervisa el ticket de Atención al cliente de Google y trabaja con tu representante de Google. Responde a cualquier solicitud de información adicional. Mantén notas detalladas de tus actividades.
Resuelve el incidente
Después de completar la investigación, sigue el plan de respuesta ante incidentes para quitar el ransomware y restablecer el entorno a un buen estado. Según la gravedad del ataque y los controles de seguridad que hayas habilitado, tu plan puede incluir actividades como las siguientes:
- Poner en cuarentena los sistemas infectados.
- Restablecer a partir de las copias de seguridad en buen estado.
- Restablecer la infraestructura a un estado adecuado conocido previamente con la canalización de CI/CD.
- Verificar que se haya quitado la vulnerabilidad.
- Aplica parches a todos los sistemas que podrían ser vulnerables a un ataque similar
- Implementa los controles que necesitas para evitar un ataque similar
A medida que avanzas en la etapa de resolución, continúa supervisando tu ticket de Atención al cliente de Google. Atención al cliente de Google toma las medidas adecuadas dentro de Google Cloud para contener, erradicar y (si es posible) recuperar el entorno.
Sigue manteniendo notas detalladas de tus actividades.
Cierra el incidente
Puedes cerrar el incidente después de que tu entorno se restablezca a un buen estado y verifiques que el ransomware se haya borrado de tu entorno.
Informa a Atención al cliente de Google cuando se resuelva el incidente y se restablezca el entorno. Participa en una retrospectiva conjunta con tu representante de Google, si se programa alguna.
Asegúrate de capturar las lecciones aprendidas en el incidente y establecer los controles que necesitas para evitar un ataque similar. Según la naturaleza del ataque, podrías considerar las siguientes acciones:
- Escribir reglas de detección y alertas que se activen de forma automática si vuelve a ocurrir el ataque.
- Actualizar la guía de respuestas ante incidentes para incluir todas las lecciones aprendidas.
- Mejorar tu posición de seguridad según tus hallazgos retrospectivos.
¿Qué sigue?
- Obtén más información sobre el proceso de respuesta ante incidentes en Google.
- Agrega el Panel de estado de Google Cloud a favoritos para ver el estado de Google Cloud.
- Mejora el plan de respuesta ante incidentes con el libro de SRE de Google: respuesta ante incidentes.
- Lee el framework de arquitectura para obtener más prácticas recomendadas para Google Cloud.
Ayuda a proteger las cadenas de suministro de software en GKE
Obtén más información sobre cómo Google identifica y protege contra los ataques de DSD más grandes.