Best practice per mitigare gli attacchi ransomware utilizzando Google Cloud

Last reviewed 2023-08-03 UTC

Il codice creato da terze parti per infiltrarsi nei tuoi sistemi al fine di rubare, criptare e sottrarre dati è chiamato ransomware. Per proteggere le risorse e i dati aziendali dagli attacchi ransomware, devi Implementa controlli a più livelli in ambienti on-premise e cloud ambienti cloud-native. Questo documento descrive alcune best practice utili la tua azienda identifica, previene, rileva e risponde ai ransomware attacchi informatici.

Questo documento fa parte di una serie destinata agli architetti della sicurezza e Google Workspace for Education. Descrive in che modo Google Cloud può aiutare la tua organizzazione per mitigare gli effetti degli attacchi ransomware.

La serie è composta dalle seguenti parti:

Identifica i rischi e le risorse

Per determinare l’esposizione della tua azienda agli attacchi ransomware, devi sviluppare una comprensione dei rischi per i sistemi, le persone, le risorse, i dati e capacità. Per aiutarti, Google Cloud offre le seguenti funzionalità:

Gestire gli asset con Cloud Asset Inventory

Per contribuire a mitigare gli attacchi ransomware, è necessario sapere quali sono le risorse della tua organizzazione, i loro e il loro scopo, sia in Google Cloud che nelle tue reti in altri ambienti cloud. Per gli asset statici, mantieni una base di riferimento dell'ultimo valore nota in una posizione separata.

Utilizza Cloud Asset Inventory per ottenere una cronologia di cinque settimane delle tue risorse in Google Cloud. Configura feed di monitoraggio per ricevere notifiche quando si verificano determinate modifiche alle risorse o quando si verificano deviazioni dalle norme. Per tenere traccia delle variazioni in modo da poter tenere d’occhio gli attacchi che progrediscono più a lungo periodo di tempo, esporta il feed. Per creare l'esportazione, puoi utilizzare strumenti come Terraform. Per questo tipo di analisi, puoi esportare l'inventario in Tabella BigQuery o un Bucket Cloud Storage.

Valuta e gestisci i rischi

Utilizza un framework di valutazione del rischio esistente per catalogare i rischi e determinare la capacità della tua organizzazione di rilevare e contrastare un un attacco ransomware. Queste valutazioni controllano fattori quali la presenza di controlli per la protezione dai malware, controlli dell'accesso configurati correttamente, protezione del database e backup.

Ad esempio, Cloud Security Alliance (CSA) offre la Cloud Controls Matrix (CCM) per assistere le organizzazioni nelle valutazioni del rischio relativo al cloud. Per informazioni sul CCM specifiche per Google Cloud, consulta il nuovo benchmark CIS per la piattaforma di calcolo Google Cloud.

Per identificare potenziali falle nell’applicazione e intraprendere azioni per rimediare, puoi utilizzare modelli di minacce come OWASP Application Threat Modeling. Per maggiori informazioni informazioni su come puoi contribuire a mitigare i 10 principali rischi di sicurezza OWASP con per Google Cloud, consulta OWASP Top 10 mitigation options on Google Cloud.

Dopo aver catalogato i rischi, determina come rispondere e se vuole accettare, evitare, trasferire o mitigare i rischi. Il programma Risk Protection offre accesso a Risk Manager e all'assicurazione informatica. Utilizza Risk Manager per analizzare i carichi di lavoro su Google Cloud e implementare i suggerimenti per la sicurezza per ridurre dai rischi legati al ransomware.

Configura Sensitive Data Protection

La protezione dei dati sensibili ti consente di esaminare i dati nella tua organizzazione Google Cloud e quelli provenienti da origini esterne. Configura Sensitive Data Protection per classificare e proteggere i tuoi dati riservati utilizzando tecniche di anonimizzazione. La classificazione dei dati è utile per concentrare le attività di monitoraggio e rilevamento sui dati più importanti per la tua organizzazione.

Combina Sensitive Data Protection con altri prodotti come il Security Command Center o con una piattaforma SIEM di terze parti per garantire un monitoraggio e un avviso adeguati modifiche impreviste ai dati.

Gestire i rischi per la catena di approvvigionamento

Un vettore d’attacco chiave per gli attacchi ransomware sono le vulnerabilità all’interno dell’offerta o la catena di fornitura. La difficoltà di questo vettore di attacco è che la maggior parte delle organizzazioni ha molti fornitori da monitorare, ognuno con il proprio elenco di fornitori.

Se crei ed esegui il deployment delle applicazioni, utilizza framework come Supply-chain Levels for Software Architects (SLSA). Questi framework aiutano a definire i requisiti e le best practice che che l'azienda può usare per proteggere il codice sorgente e i processi di compilazione. Con SLSA, puoi definire quattro livelli di sicurezza per migliorare la sicurezza il software che produci.

Se utilizzi pacchetti open source nelle tue applicazioni, ti consigliamo di utilizzare le scorecard di sicurezza per generare automaticamente il punteggio di sicurezza di un determinato pacchetto open source. Sicurezza i prospetti sono un metodo economico e facile da usare per ottenere una valutazione prima del gli sviluppatori integrano pacchetti open source con i tuoi sistemi.

Per scoprire le risorse che puoi utilizzare per verificare la sicurezza delle per Google Cloud, consulta Valutazione del rischio per la sicurezza del fornitore.

Controlla l'accesso alle risorse e ai dati

Quando la tua organizzazione sposta i carichi di lavoro al di fuori della rete on-premise, devi gestire l'accesso a questi carichi di lavoro in tutti gli ambienti che ospitano le tue risorse e i tuoi dati. Google Cloud supporta diversi controlli che ti aiutano a configurare l'accesso appropriato. Le sezioni seguenti ne evidenziano alcune.

Configura la sicurezza Zero Trust con Chrome Enterprise Premium

Quando sposti i carichi di lavoro dall'ambiente on-premise al cloud, il modello di attendibilità della rete cambia. La sicurezza Zero Trust prevede che nessuno sia considerato attendibile implicitamente, che si trovi all'interno o all'esterno della rete della tua organizzazione.

A differenza di una VPN, la sicurezza Zero Trust sposta i controlli dell'accesso dal perimetro della rete agli utenti e ai loro dispositivi. La sicurezza Zero Trust prevede che l'identità e il contesto dell'utente vengano presi in considerazione durante l'autenticazione. Questo titolo offre un’importante tattica di prevenzione contro gli attacchi ransomware che hanno successo solo dopo che gli aggressori hanno violato la tua rete.

Utilizza Chrome Enterprise Premium per configurare la sicurezza Zero Trust in Google Cloud. Chrome Enterprise Premium offre protezione dei dati e dalle minacce e controlli degli accessi. Per scoprire come configurarlo, consulta Iniziare a utilizzare Chrome Enterprise Premium.

Se i tuoi carichi di lavoro si trovano sia on-premise che in Google Cloud, configura Identity-Aware Proxy (IAP). IAP consente di estendere la sicurezza Zero Trust alle applicazioni sia in luoghi. Fornisce l'autenticazione e per gli utenti che accedono alle tue applicazioni e risorse, utilizzando e i criteri di controllo.

Configura il privilegio minimo

Il privilegio minimo garantisce che utenti e servizi abbiano solo l'accesso che devono svolgere le proprie attività specifiche. Il privilegio minimo rallenta la capacità di ransomware che si diffonda nell’azienda perché un aggressore non può e ad aumentare facilmente i loro privilegi.

Per soddisfare le esigenze specifiche della tua organizzazione, utilizza i criteri, i ruoli e le autorizzazioni granulari in Identity and Access Management (IAM). Inoltre, analizza i tuoi autorizzazioni regolarmente utilizzando strumento per suggerimenti sul ruolo e Analizzatore criteri. Il consigliatore di ruoli utilizza il machine learning per analizzare le impostazioni e fornire consigli per garantire che le impostazioni dei ruoli rispettino il principio del privilegio minimo. L'Analizzatore criteri consente di vedere quali account hanno accesso alle risorse cloud.

Per ulteriori informazioni sul privilegio minimo, consulta Utilizzare IAM in modo sicuro.

Configurare l'autenticazione a più fattori con i token di sicurezza Titan

L'autenticazione a più fattori (MFA) assicura che gli utenti debbano fornire una password e un fattore biometrico o un fattore possessivo (come un token) prima che possano per accedere a una risorsa. Poiché le password possono essere relativamente facili da trovare o rubare, MFA aiuta a impedire ai malintenzionati di assumere il controllo degli account ransomware.

Valuta la possibilità di utilizzare i token di sicurezza Titan per l'autenticazione a più fattori per contribuire a prevenire violazioni dell'account e attacchi di phishing. I token di sicurezza Titan sono resistenti alle manomissioni e possono essere utilizzati con qualsiasi servizio che supporta gli standard della Fast Identity Online (FIDO) Alliance.

Attiva l'MFA per le tue applicazioni, per gli amministratori di Google Cloud, per le connessioni SSH alle tue VM (utilizzando l'accesso al sistema operativo) e per chiunque richieda l'accesso privilegiato a informazioni sensibili.

Utilizza Cloud Identity per configurare l'MFA per le tue risorse. Per maggiori informazioni, consulta Applicare in modo uniforme l'MFA alle risorse di proprietà della società.

Proteggere gli account di servizio

Gli account di servizio sono identità privilegiate che forniscono l'accesso alle risorse Google Cloud, pertanto gli attaccanti li considererebbero preziosi. Per le best practice sulla protezione degli account di servizio, consulta le best practice per l'utilizzo degli account di servizio.

Proteggi i tuoi dati critici

Gli obiettivi principali di un attacco ransomware sono generalmente i seguenti:

  • Per rendere i tuoi dati critici inaccessibili finché non paghi il riscatto.
  • Per esfiltrare i dati.

Per proteggere i dati critici dagli attacchi, combina vari controlli di sicurezza per controllare l'accesso ai dati in base alla loro sensibilità. Le seguenti sezioni descrivere alcune best practice che puoi adottare per proteggere i tuoi dati e mitigazione efficace degli attacchi ransomware.

Configura la ridondanza dei dati

Google Cloud dispone di un'infrastruttura su scala globale progettata per fornire resilienza, scalabilità e alta disponibilità. La resilienza del cloud aiuta Google Cloud a recuperare e ad adattarsi a vari eventi. Per saperne di più, consulta la guida all'affidabilità dell'infrastruttura Google Cloud.

Oltre alle funzionalità di resilienza predefinite in Google Cloud, configura la ridondanza (N+2) nell'opzione di archiviazione sul cloud che utilizzi per archiviare i dati. La ridondanza aiuta a mitigare gli effetti di un ransomware perché rimuove un single point of failure e fornisce backup dei sistemi principali in caso di compromissione.

Se utilizzi Cloud Storage, puoi attivare il Controllo delle versioni degli oggetti o la funzionalità di blocco del bucket. La funzionalità Blocco dei bucket consente di configurare un criterio di conservazione dei dati per i bucket Cloud Storage.

Per ulteriori informazioni sulla ridondanza dei dati in Google Cloud, consulta quanto segue:

Esegui il backup di database e filestore

I backup ti consentono di conservare copie dei dati a scopo di recupero in modo da poter creare un ambiente replicato in caso di incidente di sicurezza. Archivia i backup sia nel formato di cui hai bisogno sia, se possibile, nel formato non elaborato originale. Per evitare di compromettere i dati di backup, archivia queste copie in zone separate e isolate lontane dalla zona di produzione. Inoltre, esegui il backup dei file binari ed eseguibili separatamente dai tuoi dati.

Quando pianifichi un ambiente replicato, assicurati di applicare gli stessi controlli di sicurezza (o più stringenti) nell'ambiente di mirroring. Determina l'ora in cui di ricreare l'ambiente e qualsiasi nuovo account amministratore di cui hai bisogno.

Per alcuni esempi di backup in Google Cloud, consulta quanto segue:

Oltre a queste opzioni di backup, valuta la possibilità di Backup e RE per eseguire il backup dei tuoi i dati on-premise in Google Cloud. Backup & RE ti consente di configurare un ambiente di ripristino in Google Cloud per le tue VM o Microsoft SQL Server. Per saperne di più, consulta le soluzioni per il backup e l'emergenza per il ripristino di emergenza.

Proteggi le chiavi di crittografia dei dati ed eseguine il backup

Per impedire a utenti malintenzionati di accedere alle tue chiavi di crittografia dei dati, ruotare i tasti regolarmente e monitorare le attività relative alle chiavi. Implementa una strategia di backup delle chiavi che tenga conto della loro posizione e se sono gestite da Google (software o HSM) o se fornisci le chiavi a Google. Se fornire le tue chiavi, configurare i backup e rotazione della chiave utilizzando i controlli in il tuo sistema di gestione delle chiavi esterno.

Per ulteriori informazioni, vedi Gestire le chiavi di crittografia con Cloud Key Management Service.

Proteggi la rete e l'infrastruttura

Per proteggere la tua rete, devi assicurarti che gli utenti malintenzionati non possano attraversarla facilmente per accedere ai tuoi dati sensibili. Le sezioni seguenti descrive alcuni elementi da considerare durante la pianificazione e il deployment della rete.

Automatizza il provisioning dell'infrastruttura

L'automazione è un controllo importante contro gli autori di attacchi ransomware, in quanto fornisce al team operativo uno stato noto buono, un rollback rapido e funzionalità di risoluzione dei problemi. L'automazione richiede vari strumenti come Terraform, Jenkins, Cloud Build e altri.

Esegui il deployment di un ambiente Google Cloud sicuro utilizzando il progetto di base per le aziende. Se necessario, crea un progetto base per la sicurezza con altri progetti o progetta la tua automazione.

Per saperne di più sull'automazione, consulta Utilizza una pipeline CI/CD per i flussi di lavoro di elaborazione dati. Per ulteriori indicazioni sulla sicurezza, consulta il Centro best practice per la sicurezza di Cloud.

Segmentare la rete

I segmenti e i perimetri di rete aiutano a rallentare il progresso che un utente malintenzionato può compiere nel tuo ambiente.

Per segmentare i servizi e i dati e contribuire a proteggere il tuo perimetro, Google Cloud offre i seguenti strumenti:

  • Per indirizzare e proteggere il flusso di traffico, utilizza Cloud Load Balancing con regole firewall.
  • Per configurare perimetri all'interno della tua organizzazione per segmentare le risorse e i dati, utilizza Controlli di servizio VPC.
  • Per configurare le connessioni con gli altri carichi di lavoro, on-premise o in altri ambienti cloud, utilizzare Cloud VPN o Cloud Interconnect.
  • Per limitare l'accesso a indirizzi IP e porte, configura criteri dell'organizzazione ad esempio "Limita l'accesso IP pubblico nelle istanze Cloud SQL" e "Disattiva l'accesso alle porte seriali della VM".
  • Per rafforzare le VM sulla tua rete, configura i criteri dell'organizzazione come "VM schermata".

Personalizza i controlli della sicurezza di rete per tenere in considerazione i rischi derivanti da risorse diverse e dati.

Proteggi i tuoi carichi di lavoro

Google Cloud include servizi che ti consentono di creare, eseguire il deployment e gestire il codice. Utilizza questi servizi per evitare la deriva e rilevare e correggere rapidamente problemi come errori di configurazione e vulnerabilità. Per proteggere carichi di lavoro, costruiscono un processo di deployment riservato che impedisce ai malintenzionati di ransomware ottenere l’accesso iniziale attraverso errori di configurazione e vulnerabilità prive di patch. Le seguenti sezioni descrivono alcune delle best practice che puoi per proteggere i carichi di lavoro.

Ad esempio, per eseguire il deployment GKE Enterprise esegui queste operazioni:

Per saperne di più sulla sicurezza di GKE Enterprise, consulta Rafforzamento della sicurezza del cluster.

Utilizza un ciclo di vita sicuro per lo sviluppo del software

Quando sviluppi il tuo ciclo di vita di sviluppo del software (SDLC), utilizza i migliori del settore come DevSecOps. La Ricerca e valutazione DevOps (DORA) di ricerca descrive molti degli aspetti tecnici, di processo, di misurazione e le capacità culturali di DevSecOps. DevSecOps può contribuire a mitigare gli attacchi ransomware perché contribuisce a garantire che i sistemi le considerazioni sono incluse in ogni fase del ciclo di vita dello sviluppo e consente all'organizzazione di eseguire rapidamente il deployment delle correzioni.

Per ulteriori informazioni sull'utilizzo di SDLC con Google Kubernetes Engine (GKE), consulta Panoramica di Software Delivery Shield.

Utilizza una pipeline di integrazione e distribuzione continue sicura

L'integrazione e il deployment continui (CI/CD) forniscono un meccanismo per mettere rapidamente a disposizione dei clienti le funzionalità più recenti. Per difenderti dagli attacchi di ransomware alla tua pipeline, devi eseguire un'analisi del codice appropriata e monitorare la pipeline per rilevare eventuali attacchi dannosi.

Per proteggere Pipeline CI/CD su Google Cloud, utilizza i controlli dell'accesso, i compiti separati e la verifica del codice crittografico mentre il codice si sposta attraverso la pipeline CI/CD. Utilizza Cloud Build per monitorare i passaggi di compilazione e Artifact Registry per completare l'analisi delle vulnerabilità sulle tue immagini container. Utilizza le funzionalità di Autorizzazione binaria per verificare che le immagini soddisfino gli standard.

Quando crei la pipeline, assicurati di avere backup per l'applicazione file binari ed eseguibili. Esegui il backup separatamente dai tuoi dati riservati.

Proteggi le applicazioni di cui è stato eseguito il deployment

Gli aggressori possono provare ad accedere alla tua rete trovando Livello 7 le vulnerabilità all'interno delle applicazioni di cui hai eseguito il deployment. Per contribuire a ridurre al minimo questi attacchi, completa le attività di creazione di modelli di minacce per trovare potenziali minacce. Dopo aver ridotto al minimo la superficie di attacco, configura Google Cloud Armor un web application firewall (WAF) che utilizza filtri di livello 7 e criteri di sicurezza.

Le regole WAF ti aiutano a proteggere le tue applicazioni da numerosi problemi tra le prime 10 minacce OWASP. Per ulteriori informazioni, vedi OWASP Top 10 mitigation options on Google Cloud.

Per informazioni su come eseguire il deployment di Google Cloud Armor con un bilanciatore del carico delle applicazioni esterno globale per proteggere le tue applicazioni in più regioni, consulta Introduzione a Google Cloud Armor: difesa su larga scala per i servizi rivolti a internet. Per informazioni sull'utilizzo di Google Cloud Armor con le applicazioni che vengono eseguite all'esterno di Google Cloud, Integrazione di Google Cloud Armor con altri prodotti Google.

Applica rapidamente le patch alle vulnerabilità

Un vettore di attacco chiave per i ransomware sono le vulnerabilità del software open source. A mitigazione degli effetti del ransomware, è necessario essere in grado di implementa le correzioni nel tuo parco risorse.

In base alle modello di responsabilità condivisa, sei responsabile di eventuali vulnerabilità del software nelle tue applicazioni Google è responsabile del mantenimento della sicurezza dell'infrastruttura sottostante dell'infrastruttura.

Per visualizzare le vulnerabilità associate ai sistemi operativi su cui sono in esecuzione le tue VM e per gestire il processo di applicazione delle patch, utilizza OS Patch Management in Compute Engine. Per GKE e GKE Enterprise, Google esegue automaticamente applica patch alle vulnerabilità, anche se hai un certo controllo nei periodi di manutenzione di GKE.

Se utilizzi Cloud Build, automatizzare le build ogni volta che uno sviluppatore esegue il commit di una modifica nel repository del codice sorgente. Assicurati che tuo file di configurazione della build includa gli opportuni controlli di verifica, come l'analisi delle vulnerabilità e e controlli di integrità.

Per informazioni sull'applicazione di patch a Cloud SQL, consulta Manutenzione delle istanze Cloud SQL.

Rilevare gli attacchi

La tua capacità di rilevare gli attacchi dipende dalle tue funzionalità di rilevamento, dal tuo sistema di monitoraggio e avviso e dalle attività che preparano i tuoi team operativi a identificare gli attacchi quando si verificano. Questa sezione descrive alcune best practice per rilevare gli attacchi.

Configura monitoraggio e avvisi

Attiva Security Command Center per ottenere una visibilità centralizzata su eventuali problemi e rischi di sicurezza all’interno del tuo nell'ambiente Google Cloud. Personalizza dashboard garantire che gli eventi più importanti per la tua organizzazione siano visibile.

Utilizza le funzionalità di da Cloud Logging a gestire e analizzare i log dei tuoi servizi in Google Cloud. Per un'analisi aggiuntiva, puoi scegliere di eseguire l'integrazione con Google Security Operations o esportare i log nel SIEM della tua organizzazione.

Inoltre, utilizza Cloud Monitoring per misurare le prestazioni del tuo servizio e delle tue risorse avvisi. Ad esempio, puoi monitorare modifiche improvvise al numero di VM in esecuzione nel tuo ambiente, che potrebbero indicare la presenza di malware nel tuo ambiente.

Rendi disponibili tutte queste informazioni per il tuo centro operativo di sicurezza in modo centralizzato.

Creare funzionalità di rilevamento

Crea funzionalità di rilevamento in Google Cloud in base ai rischi e alle esigenze del tuo carico di lavoro. Queste funzionalità ti forniscono maggiori informazioni sulle minacce avanzate e ti aiutano a monitorare meglio i requisiti di conformità.

Se disponi Livello Premium di Security Command Center utilizzare Event Threat Detection e Google SecOps. Event Threat Detection cerca nei log potenziali attacchi alla sicurezza e registra i risultati nel Security Command Center. Event Threat Detection ti consente di monitorare contemporaneamente sia Google Cloud sia Google Workspace. Verifica la presenza di malware sulla base di dati e indirizzi IP non validi noti. Per ulteriori informazioni, consulta Utilizzare Event Threat Detection.

Utilizza Google SecOps per archiviare e analizzare i dati sulla sicurezza in un'unica posizione. Google SecOps contribuisce a migliorare il processo di gestione delle minacce in Google Cloud aggiungendo funzionalità di indagine a Security Command Center Premium. Puoi utilizzare Google SecOps per creare regole di rilevamento, configurare indicatori di corrispondenza della compromissione ed eseguire attività di ricerca di minacce. Google SecOps offre le seguenti funzionalità:

  • Quando mappi i log, Google SecOps li arricchisce e li arricchisce in sequenze temporali, in modo da poter vedere l'intero arco di un attacco.
  • Google SecOps rivaluta costantemente l'attività dei log rispetto a informazioni sulle minacce raccolte dal team Google Cloud Threat Intelligence for Google Security Operations. Quando l'intelligence cambia, Google SecOps la riapplica automaticamente a tutti i database storici attività.
  • Puoi scrivere le tue regole YARA per migliorare le funzionalità di rilevamento delle minacce.

Se vuoi, puoi utilizzare un partner Google Cloud per migliorare ulteriormente le tue funzionalità di rilevamento.

Pianificare un attacco ransomware

Per prepararti a un attacco ransomware, completa continuazione aziendale piani di ripristino di emergenza, creare un programma per la risposta agli incidenti ransomware ed eseguire esercizi di simulazione.

Per il tuo playbook di risposta agli incidenti, considera la funzionalità disponibile ogni servizio. Ad esempio, se utilizzi GKE con Autorizzazione binaria, puoi aggiungere procedure di accesso forzato.

Assicurati che il tuo playbook per la risposta agli incidenti ti aiuti a contenere rapidamente le risorse e gli account infetti e a passare a fonti secondarie e backup sani. Se utilizzi un servizio di backup come Backup e RE, esercitati regolarmente con le procedure di ripristino da Google Cloud al tuo ambiente on-premise.

Crea un programma di resilienza informatica e una strategia di backup che ti prepara a ripristinare i sistemi o gli asset principali interessate da un incidente ransomware. La resilienza informatica è fondamentale per supportare le tempistiche di recupero e ridurre gli effetti di un attacco, in modo da poter riprendere la gestione della tua attività.

A seconda della portata dell’attacco e delle normative applicabili al tuo potrebbe essere necessario segnalare l'attacco alle autorità competenti. Assicurati che i dati di contatto vengano acquisiti accuratamente nella risposta agli incidenti .

Rispondere agli attacchi e riprendersi

Quando si verifica un attacco, è necessario seguire il proprio piano di risposta agli incidenti. Il tuo la risposta passa probabilmente attraverso quattro fasi, ovvero:

  • Identificazione degli incidenti
  • Coordinamento e indagine degli incidenti
  • Risoluzione degli incidenti
  • Chiusura dell'incidente

Le best practice relative alla risposta agli incidenti sono descritte ulteriormente nelle sezioni seguenti.

Per informazioni su come Google gestisce gli incidenti, consulta il processo di risposta agli incidenti relativi ai dati.

Attiva il tuo piano di risposta agli incidenti

Quando rilevi un attacco ransomware, attiva il tuo piano. Dopo aver confermato l'incidente non è un falso positivo e influisce sul tuo Google Cloud aprire un'app Richiesta di assistenza P1 per l'Assistenza Google. Assistenza Google risponde come documentato Google Cloud: linee guida per i servizi di assistenza tecnica.

Se la tua organizzazione ha Un Technical Account Manager (TAM) Google o un altro rappresentante di Google, puoi contattarli.

Coordina l'indagine sugli incidenti

Dopo aver attivato il piano, riunisci il team interno all'organizzazione che deve essere coinvolto nelle procedure di coordinamento e risoluzione degli incidenti. Assicurati che questi strumenti e procedure siano in atto per esaminare e risolvere l'incidente.

Continua a monitorare il tuo ticket di assistenza Google e a collaborare con il tuo account responsabile. Rispondi a eventuali richieste di ulteriori informazioni. Mantieni i dettagli note sulle tue attività.

Risolvere l'incidente

Al termine dell'indagine, segui il piano di risposta agli incidenti per rimuovere il ransomware e ripristinare lo stato normale dell'ambiente. A seconda sulla gravità dell'attacco e i controlli di sicurezza abilitati, il piano può includere attività quali:

  • Quarantizione dei sistemi infetti.
  • Ripristino da backup integri.
  • Ripristinare lo stato di funzionamento noto in precedenza dell'infrastruttura utilizzando della tua pipeline CI/CD.
  • Verificare che la vulnerabilità sia stata rimossa.
  • Applicazione di patch a tutti i sistemi che potrebbero essere vulnerabili a un attacco simile.
  • Implementare i controlli necessari per evitare un attacco simile.

Man mano che procedi nella fase di risoluzione, continua a monitorare il tuo Ticket di assistenza. L'Assistenza Google intraprende le azioni appropriate entro Google Cloud per contenere, eliminare e, se possibile, ripristinare completamente gestito di Google Cloud.

Continua a prendere appunti dettagliati sulle tue attività.

Chiudi l'incidente

Puoi chiudere l'incidente dopo aver ripristinato lo stato di salute dell'ambiente e aver verificato che il ransomware sia stato eliminato dall'ambiente.

Comunica all'Assistenza Google quando l'incidente è stato risolto e l'ambiente è stato ripristinato. Se ne è stata pianificata una, partecipa a un'analisi retrospettiva congiunta con il tuo rappresentante di Google.

Assicurati di acquisire le lezioni apprese dall'incidente e di impostare i controlli necessari per evitare un attacco simile. A seconda della natura dell'attacco, potresti prendere in considerazione quanto segue: azioni:

  • Scrivere regole di rilevamento e avvisi che si attivano automaticamente in caso di attacco che si verificano di nuovo.
  • Aggiornamento del playbook di risposta agli incidenti per includere tutte le lezioni apprese.
  • Migliorare la postura di sicurezza in base ai risultati retrospettivi.

Passaggi successivi