Best practice per mitigare gli attacchi di ransomware con Google Cloud

Il codice creato da terze parti per infiltrarsi nei tuoi sistemi al fine di rubare, criptare e sottrarre dati è chiamato ransomware. Per proteggere le risorse e i dati aziendali dagli attacchi di ransomware, devi implementare controlli a più livelli negli ambienti on-premise e cloud. Questo documento descrive alcune best practice per aiutare la tua organizzazione a identificare, prevenire, rilevare e rispondere agli attacchi di ransomware.

Questo documento fa parte di una serie destinata ad architetti e amministratori della sicurezza. Descrive in che modo Google Cloud può aiutare la tua organizzazione a ridurre gli effetti degli attacchi di ransomware.

La serie è composta dalle seguenti parti:

• Mitigazione degli attacchi di ransomware con Google Cloud
• Best practice per la mitigazione degli attacchi di ransomware con Google Cloud (questo documento)

Identifica i rischi e le risorse

Per determinare l'esposizione della tua organizzazione agli attacchi ransomware, devi sviluppare una comprensione dei rischi per i tuoi sistemi, persone, asset, dati e funzionalità. Per aiutarti, Google Cloud offre le seguenti funzionalità:

• Gestione degli asset con Cloud Asset Inventory
• Programmi di gestione dei rischi
• Classificazione dati
• Gestione del rischio della catena di fornitura

Gestire gli asset con Cloud Asset Inventory

Per contribuire a mitigare gli attacchi ransomware, devi conoscere gli asset della tua organizzazione, il loro stato e la loro finalità, sia in Google Cloud sia nei tuoi ambienti on-premise o in altri ambienti cloud. Per gli asset statici, mantieni una linea di base dell'ultima configurazione valida nota in una posizione separata.

Utilizza Cloud Asset Inventory per ottenere una cronologia di cinque settimane delle tue risorse in Google Cloud. Configura feed di monitoraggio per ricevere notifiche quando si verificano determinate modifiche alle risorse o quando si verificano deviazioni dalle norme. Per monitorare le modifiche in modo da rilevare gli attacchi che si verificano in un periodo di tempo più lungo, esporta il feed. Per creare l'esportazione, puoi utilizzare strumenti come Terraform. Per questo tipo di analisi, puoi esportare l'inventario in una tabella BigQuery o in un bucket Cloud Storage.

Valutare e gestire i rischi

Utilizza un framework di valutazione del rischio esistente per catalogare i rischi e determinare la capacità della tua organizzazione di rilevare e contrastare un attacco ransomware. Queste valutazioni controllano fattori quali la presenza di controlli per la protezione dai malware, controlli di accesso configurati correttamente, protezione del database e backup.

Ad esempio, Cloud Security Alliance (CSA) fornisce la Cloud Controls Matrix (CCM) per aiutare le organizzazioni nelle valutazioni dei rischi del cloud. Per informazioni sul CCM specifiche per Google Cloud, consulta il nuovo benchmark CIS per la piattaforma di calcolo Google Cloud.

Per identificare potenziali lacune nelle applicazioni e intervenire per correggerle, puoi utilizzare modelli di minacce come OWASP Application Threat Modeling. Per ulteriori informazioni su come contribuire a mitigare i 10 principali rischi per la sicurezza OWASP con Google Cloud, consulta Opzioni di mitigazione dei rischi OWASP Top 10 su Google Cloud.

Dopo aver catalogato i rischi, determina come rispondere e se accettarli, evitarli, trasferirli o mitigarli. Il programma Risk Protection offre accesso a Risk Manager e all'assicurazione informatica. Utilizza Risk Manager per eseguire la scansione dei tuoi carichi di lavoro su Google Cloud e implementare i consigli sulla sicurezza che ti aiutano a ridurre i rischi legati ai ransomware.

Configura Sensitive Data Protection

La protezione dei dati sensibili ti consente di esaminare i dati nella tua organizzazione Google Cloud e quelli provenienti da origini esterne. Configura la protezione dei dati sensibili per classificare e proteggere i tuoi dati riservati utilizzando tecniche di anonimizzazione. La classificazione dei dati ti consente di concentrare le attività di monitoraggio e rilevamento sui dati più importanti per la tua organizzazione.

Combina Sensitive Data Protection con altri prodotti come Security Command Center o con un SIEM di terze parti per garantire un monitoraggio e avvisi appropriati in caso di modifiche impreviste ai tuoi dati.

Gestire i rischi per la catena di approvvigionamento

Un vettore di attacco chiave per gli attacchi ransomware sono le vulnerabilità all'interno della catena di fornitura. La difficoltà di questo vettore di attacco è che la maggior parte delle organizzazioni ha molti fornitori da monitorare, ognuno con il proprio elenco di fornitori.

Se crei e implementi applicazioni, utilizza framework come Supply-chain Levels for Software Architects (SLSA). Questi framework aiutano a definire i requisiti e le best practice che la tua azienda può utilizzare per proteggere il codice sorgente e le procedure di compilazione. Con SLSA, puoi utilizzare quattro livelli di sicurezza per migliorare la sicurezza del software che produci.

Se utilizzi pacchetti open source nelle tue applicazioni, ti consigliamo di utilizzare le scorecard di sicurezza per generare automaticamente il punteggio di sicurezza di un determinato pacchetto open source. I prospetti di sicurezza sono un metodo economico e facile da usare per ottenere una valutazione prima che gli sviluppatori integrino i pacchetti open source con i tuoi sistemi.

Per scoprire le risorse che puoi utilizzare per verificare la sicurezza di Google Cloud, consulta la pagina Valutazione del rischio di sicurezza dei fornitori.

Controllare l'accesso alle risorse e ai dati

Quando la tua organizzazione sposta i carichi di lavoro al di fuori della rete on-premise, devi gestire l'accesso a questi carichi di lavoro in tutti gli ambienti che ospitano le tue risorse e i tuoi dati. Google Cloud supporta diversi controlli che ti aiutano a configurare l'accesso appropriato. Le sezioni seguenti ne evidenziano alcune.

Configurare la sicurezza Zero Trust con Chrome Enterprise Premium

Quando sposti i carichi di lavoro dall'ambiente on-premise al cloud, il modello di attendibilità della rete cambia. La sicurezza Zero Trust prevede che nessuno sia considerato attendibile implicitamente, che si trovi all'interno o all'esterno della rete della tua organizzazione.

A differenza di una VPN, la sicurezza Zero Trust sposta i controlli dell'accesso dal perimetro della rete agli utenti e ai loro dispositivi. La sicurezza Zero Trust prevede che l'identità e il contesto dell'utente vengano presi in considerazione durante l'autenticazione. Questo controllo di sicurezza offre una tattica di prevenzione importante contro gli attacchi ransomware che hanno esito positivo solo dopo che gli aggressori hanno violato la tua rete.

Utilizza Chrome Enterprise Premium per configurare la sicurezza Zero Trust in Google Cloud. Chrome Enterprise Premium offre protezione dei dati e dalle minacce e controlli degli accessi. Per scoprire come configurarlo, consulta Iniziare a utilizzare Chrome Enterprise Premium.

Se i tuoi carichi di lavoro si trovano sia on-premise che in Google Cloud, configura Identity-Aware Proxy (IAP). IAP ti consente di estendere la sicurezza Zero Trust alle tue applicazioni in entrambe le località. Fornisce autenticazione e autorizzazione per gli utenti che accedono alle tue applicazioni e risorse utilizzando i criteri di controllo dell'accesso.

Configura il privilegio minimo

Il privilegio minimo garantisce che gli utenti e i servizi dispongano solo dell'accesso necessario per svolgere le loro attività specifiche. Il privilegio minimo rallenta la capacità del ransomware di diffondersi in un'organizzazione perché un malintenzionato non può elevare facilmente i propri privilegi.

Per soddisfare le esigenze specifiche della tua organizzazione, utilizza i criteri, i ruoli e le autorizzazioni granulari in Identity and Access Management (IAM). Inoltre, analizza regolarmente le tue autorizzazioni utilizzando il consigliere per i ruoli e Policy Analyzer. Il consigliatore di ruoli utilizza il machine learning per analizzare le impostazioni e fornire consigli per contribuire ad assicurare che le impostazioni dei ruoli rispettino il principio del privilegio minimo. L'Analizzatore criteri consente di vedere quali account hanno accesso alle risorse cloud.

Per ulteriori informazioni sul privilegio minimo, consulta Utilizzare IAM in modo sicuro.

Configurare l'autenticazione a più fattori con i token di sicurezza Titan

L'autenticazione a più fattori (MFA) garantisce che gli utenti debbano fornire una password e un fattore biometrico o un fattore di possesso (ad esempio un token) prima di poter accedere a una risorsa. Poiché le password possono essere relativamente facili da scoprire o rubare, l'MFA contribuisce a impedire agli autori di ransomware di prendere il controllo degli account.

Valuta la possibilità di utilizzare i token di sicurezza Titan per lMFA per contribuire a prevenire violazioni dell'account e attacchi di phishing. I token di sicurezza Titan sono resistenti alle manomissioni e possono essere utilizzati con qualsiasi servizio che supporta gli standard della Fast Identity Online (FIDO) Alliance.

Attiva l'MFA per le tue applicazioni, per gli amministratori di Google Cloud, per le connessioni SSH alle tue VM (utilizzando l'accesso al sistema operativo) e per chiunque richieda l'accesso privilegiato a informazioni sensibili.

Utilizza Cloud Identity per configurare l'MFA per le tue risorse. Per maggiori informazioni, consulta Applicare in modo uniforme l'MFA alle risorse di proprietà della società.

Proteggere gli account di servizio

Gli account di servizio sono identità privilegiate che forniscono l'accesso alle risorse Google Cloud, pertanto gli attaccanti li considererebbero preziosi. Per le best practice sulla protezione degli account di servizio, consulta le best practice per l'utilizzo degli account di servizio.

Proteggi i tuoi dati critici

Gli obiettivi principali di un attacco ransomware sono generalmente i seguenti:

• Per rendere i tuoi dati critici inaccessibili finché non paghi il riscatto.
• Per esfiltrare i dati.

Per proteggere i tuoi dati critici dagli attacchi, combina vari controlli di sicurezza per controllare l'accesso ai dati in base alla loro sensibilità. Le sezioni seguenti descrive alcune best practice che puoi utilizzare per proteggere i tuoi dati e mitigare efficacemente gli attacchi ransomware.

Configurare la ridondanza dei dati

Google Cloud dispone di un'infrastruttura su scala globale progettata per offrire resilienza, scalabilità e alta disponibilità. La resilienza del cloud aiuta Google Cloud a recuperare e ad adattarsi a vari eventi. Per ulteriori informazioni, consulta la guida all'affidabilità dell'infrastruttura Google Cloud.

Oltre alle funzionalità di resilienza predefinite in Google Cloud, configura la ridondanza (N+2) nell'opzione di spazio di archiviazione sul cloud che utilizzi per archiviare i dati. La ridondanza contribuisce a mitigare gli effetti di un attacco di ransomware perché rimuove un single point of failure e fornisce i backup dei sistemi principali nel caso in cui vengano compromessi.

Se utilizzi Cloud Storage, puoi attivare il Controllo delle versioni degli oggetti o la funzionalità di blocco del bucket. La funzionalità Blocco dei bucket ti consente di configurare un criterio di conservazione dei dati per i tuoi bucket Cloud Storage.

Per ulteriori informazioni sulla ridondanza dei dati in Google Cloud, consulta quanto segue:

• Redundanza tra regioni con i bucket Cloud Storage
• Copiare set di dati BigQuery tra regioni

Esegui il backup di database e filestore

I backup ti consentono di conservare copie dei dati a scopo di recupero in modo da poter creare un ambiente replicato in caso di incidente di sicurezza. Archivia i backup sia nel formato di cui hai bisogno sia, se possibile, nel formato non elaborato originale. Per evitare di compromettere i dati di backup, archivia queste copie in zone separate e isolate lontane dalla zona di produzione. Inoltre, esegui il backup dei file binari e eseguibili separatamente dai dati.

Quando pianifichi un ambiente replicato, assicurati di applicare gli stessi controlli di sicurezza (o più stringenti) nell'ambiente di mirroring. Determina il tempo necessario per ricreare l'ambiente e per ricreare eventuali nuovi account amministratore di cui hai bisogno.

Per alcuni esempi di backup in Google Cloud, consulta quanto segue:

• Backup in Cloud SQL per SQL Server

• Backup in Filestore

Oltre a queste opzioni di backup, ti consigliamo di utilizzare il servizio di backup e RE per eseguire il backup dei carichi di lavoro Google Cloud. Per ulteriori informazioni, consulta le soluzioni per il backup e il disaster recovery.

Proteggere e eseguire il backup delle chiavi di crittografia dei dati

Per contribuire a impedire agli utenti malintenzionati di accedere alle chiavi di crittografia dei dati, ruota le chiavi regolarmente e monitora le attività correlate alle chiavi. Implementa una strategia di backup delle chiavi che tenga conto della loro posizione e se sono gestite da Google (software o HSM) o se fornisci le chiavi a Google. Se fornisci le tue chiavi, configura i backup e rotazione della chiave utilizzando i controlli nel tuo sistema di gestione delle chiavi esterno.

Per ulteriori informazioni, vedi Gestire le chiavi di crittografia con Cloud Key Management Service.

Proteggi la tua rete e la tua infrastruttura

Per proteggere la tua rete, devi assicurarti che gli utenti malintenzionati non possano attraversarla facilmente per accedere ai tuoi dati sensibili. Le sezioni seguenti descrive alcuni elementi da considerare durante la pianificazione e il deployment della rete.

Automatizzare il provisioning dell'infrastruttura

L'Automation è un controllo importante contro gli autori di attacchi ransomware, in quanto fornisce al team operativo uno stato noto buono, un rollback rapido e funzionalità di risoluzione dei problemi. L'Automation richiede vari strumenti come Terraform, Jenkins, Cloud Build e altri.

Esegui il deployment di un ambiente Google Cloud sicuro utilizzando il progetto di base per le aziende. Se necessario, crea un progetto base per la sicurezza con altri progetti o progetta la tua automazione.

Per ulteriori informazioni sull'automazione, consulta Utilizzare una pipeline CI/CD per i flussi di lavoro di elaborazione dei dati. Per ulteriori indicazioni sulla sicurezza, consulta il Centro best practice per la sicurezza di Cloud.

Segmenta la tua rete

I segmenti e i perimetri di rete contribuiscono a rallentare i progressi che un malintenzionato può fare nel tuo ambiente.

Per segmentare i servizi e i dati e contribuire a proteggere il tuo perimetro, Google Cloud offre i seguenti strumenti:

• Per indirizzare e proteggere il flusso di traffico, utilizza Cloud Load Balancing con regole firewall.
• Per configurare perimetri all'interno della tua organizzazione per segmentare le risorse e i dati, utilizza Controlli di servizio VPC.
• Per configurare le connessioni con gli altri carichi di lavoro, che si tratti di ambienti on-premise o di altri ambienti cloud, utilizza Cloud VPN o Cloud Interconnect.
• Per limitare l'accesso ad indirizzi IP e porte, configura i criteri dell'organizzazione, ad esempio "Limita l'accesso IP pubblico nelle istanze Cloud SQL" e "Disattiva l'accesso alla porta seriale della VM".
• Per rafforzare le VM sulla tua rete, configura i criteri dell'organizzazione come "Shielded VM".

Personalizza i controlli di sicurezza della rete in base ai rischi per risorse e dati diversi.

Proteggi i tuoi carichi di lavoro

Google Cloud include servizi che ti consentono di creare, eseguire il deployment e gestire il codice. Utilizza questi servizi per evitare la deriva e rilevare e correggere rapidamente problemi come errori di configurazione e vulnerabilità. Per proteggere i tuoi carichi di lavoro, crea un processo di implementazione con controlli che impedisca agli autori di attacchi ransomware di ottenere l'accesso iniziale tramite vulnerabilità non corrette e configurazioni errate. Le sezioni seguenti descrivono alcune delle best practice che puoi implementare per contribuire a proteggere i tuoi carichi di lavoro.

Ad esempio, per eseguire il deployment dei carichi di lavoro in GKE Enterprise, devi procedere nel seguente modo:

• Configura build attendibili e deployment.
• Isola le applicazioni all'interno di un cluster.
• Isola i pod su un nodo.

Per ulteriori informazioni sulla sicurezza di GKE Enterprise, consulta Aumento della sicurezza del cluster.

Utilizza un ciclo di vita dello sviluppo del software sicuro

Durante lo sviluppo del ciclo di vita dello sviluppo del software (SDLC), utilizza le best practice del settore come DevSecOps. Il programma di ricerca DevOps Research and Assessment (DORA) descrive molte delle funzionalità tecniche, di processo, di misurazione e culturali di DevSecOps. DevSecOps può contribuire ad attenuare gli attacchi di ransomware perché aiuta a garantire che le considerazioni sulla sicurezza siano incluse in ogni fase del ciclo di vita dello sviluppo e consente alla tua organizzazione di implementare rapidamente le correzioni.

Per saperne di più sull'utilizzo di un SDLC con Google Kubernetes Engine (GKE), consulta Sicurezza della catena di approvvigionamento del software.

Utilizza una pipeline di integrazione e distribuzione continue sicura

L'integrazione e il deployment continui (CI/CD) forniscono un meccanismo per mettere rapidamente a disposizione dei clienti le funzionalità più recenti. Per difenderti dagli attacchi di ransomware alla tua pipeline, devi eseguire un'analisi del codice appropriata e monitorare la pipeline per rilevare attacchi dannosi.

Per proteggere la tua pipeline CI/CD su Google Cloud, utilizza controlli di accesso, responsabilità separate e verifica del codice crittografico man mano che il codice passa attraverso la pipeline CI/CD. Utilizza Cloud Build per monitorare i passaggi di compilazione e Artifact Registry per completare l'analisi delle vulnerabilità sulle immagini container. Utilizza Autorizzazione binaria per verificare che le immagini soddisfino i tuoi standard.

Quando crei la pipeline, assicurati di avere i backup per i file eseguibili e binari dell'applicazione. Esegui il backup separatamente dai tuoi dati riservati.

Proteggi le applicazioni di cui è stato eseguito il deployment

Gli aggressori possono tentare di accedere alla tua rete trovando vulnerabilità di livello 7 all'interno delle applicazioni di cui hai eseguito il deployment. Per contribuire a ridurre al minimo questi attacchi, completa le attività di creazione di modelli di minacce per trovare potenziali minacce. Dopo aver ridotto al minimo la superficie di attacco, configura Google Cloud Armor, un WAF (web application firewall) che utilizza il filtro di livello 7 e le policy di sicurezza.

Le regole WAF ti aiutano a proteggere le tue applicazioni da numerosi problemi tra le prime 10 minacce OWASP. Per ulteriori informazioni, consulta le opzioni di mitigazione delle prime 10 vulnerabilità OWASP su Google Cloud.

Per informazioni su come eseguire il deployment di Google Cloud Armor con un bilanciatore del carico delle applicazioni esterno globale per proteggere le tue applicazioni in più regioni, consulta Introduzione a Google Cloud Armor: difesa su larga scala per i servizi rivolti a internet. Per informazioni sull'utilizzo di Google Cloud Armor con applicazioni in esecuzione al di fuori di Google Cloud, consulta Integrare Google Cloud Armor con altri prodotti Google.

Applicare rapidamente patch alle vulnerabilità

Un vettore di attacco chiave per i ransomware sono le vulnerabilità del software open source. Per attenuare gli effetti che i ransomware potrebbero avere, devi essere in grado di implementare rapidamente le correzioni nel tuo parco risorse.

In base al modello di responsabilità condivisa, sei responsabile di eventuali vulnerabilità software nelle tue applicazioni, mentre Google è responsabile del mantenimento della sicurezza dell'infrastruttura di base.

Per visualizzare le vulnerabilità associate ai sistemi operativi su cui sono in esecuzione le tue VM e per gestire il processo di applicazione delle patch, utilizza OS Patch Management in Compute Engine. Per GKE e GKE Enterprise, Google corregge automaticamente le vulnerabilità, anche se hai un certo controllo sui periodi di manutenzione di GKE.

Se utilizzi Cloud Build, automatizza le build ogni volta che uno sviluppatore esegue il commit di una modifica nel repository del codice sorgente. Assicurati che il tuo file di configurazione della compilazione includa i controlli di verifica appropriati, come l'analisi delle vulnerabilità e i controlli di integrità.

Per informazioni sull'applicazione di patch a Cloud SQL, consulta Manutenzione delle istanze Cloud SQL.

Rilevare gli attacchi

La tua capacità di rilevare gli attacchi dipende dalle tue funzionalità di rilevamento, dal tuo sistema di monitoraggio e avviso e dalle attività che preparano i tuoi team operativi a identificare gli attacchi quando si verificano. Questa sezione descrive alcune best practice per rilevare gli attacchi.

Configurare il monitoraggio e gli avvisi

Attiva Security Command Center per avere visibilità centralizzata su eventuali problemi e rischi di sicurezza all'interno del tuo ambiente Google Cloud. Personalizza la dashboard per assicurarti che gli eventi più importanti per la tua organizzazione siano maggiormente visibili.

Utilizza Cloud Logging per gestire e analizzare i log dei tuoi servizi in Google Cloud. Per un'analisi aggiuntiva, puoi scegliere di eseguire l'integrazione con Google Security Operations o esportare i log nel SIEM della tua organizzazione.

Inoltre, utilizza Cloud Monitoring per misurare le prestazioni del servizio e delle risorse e configurare avvisi. Ad esempio, puoi monitorare la presenza di modifiche improvvise al numero di VM in esecuzione nel tuo ambiente, che potrebbero indicare la presenza di malware nel tuo ambiente.

Rendi disponibili tutte queste informazioni per il tuo centro operativo di sicurezza in modo centralizzato.

Creare funzionalità di rilevamento

Crea in Google Cloud funzionalità di rilevamento corrispondenti ai rischi e alle esigenze del tuo carico di lavoro. Queste funzionalità ti forniscono informazioni più dettagliate sulle minacce avanzate e ti aiutano a monitorare meglio i requisiti di conformità.

Se hai il livello Security Command Center Premium, utilizza Event Threat Detection e Google SecOps. Event Threat Detection cerca potenziali attacchi alla sicurezza nei log e registra i risultati in Security Command Center. Event Threat Detection ti consente di monitorare contemporaneamente sia Google Cloud sia Google Workspace. Controlla la presenza di malware in base a domini e indirizzi IP dannosi noti. Per ulteriori informazioni, consulta Utilizzare Event Threat Detection.

Utilizza Google SecOps per archiviare e analizzare i dati di sicurezza in un unico posto. Google SecOps contribuisce a migliorare il processo di gestione delle minacce in Google Cloud aggiungendo funzionalità di indagine a Security Command Center Premium. Puoi utilizzare Google SecOps per creare regole di rilevamento, configurare indicatori di corrispondenza della compromissione ed eseguire attività di ricerca di minacce. Google SecOps offre le seguenti funzionalità:

• Quando mappi i log, Google SecOps li arricchisce e li collega in sequenze temporali, in modo da poter vedere l'intera durata di un attacco.
• Google SecOps rivaluta costantemente l'attività dei log in base alle informazioni sulle minacce raccolte dal team di Threat Intelligence di Google Cloud per Google Security Operations. Quando l'intelligence cambia, Google SecOps la applica automaticamente a tutte le attività storiche.
• Puoi scrivere le tue regole YARA per migliorare le funzionalità di rilevamento delle minacce.

Se vuoi, puoi utilizzare un partner Google Cloud per migliorare ulteriormente le tue funzionalità di rilevamento.

Pianificare un attacco ransomware

Per prepararti a un attacco ransomware, completa i piani di continuità aziendale e di ripristino di emergenza, crea un playbook di risposta agli incidenti ransomware ed esegui esercitazioni di simulazione.

Per il tuo playbook di risposta agli incidenti, prendi in considerazione le funzionalità disponibili per ciascun servizio. Ad esempio, se utilizzi GKE con Autorizzazione binaria, puoi aggiungere procedure di intervento.

Assicurati che il tuo playbook per la risposta agli incidenti ti aiuti a contenere rapidamente le risorse e gli account infetti e a passare a fonti secondarie e backup sani. Se utilizzi un servizio di backup come Backup e RE, esercitati regolarmente con le procedure di ripristino da Google Cloud al tuo ambiente on-premise.

Crea un programma di resilienza informatica e una strategia di backup che ti prepari a ripristinare gli asset o i sistemi di base colpiti da un incidente di ransomware. La resilienza informatica è fondamentale per supportare le tempistiche di recupero e ridurre gli effetti di un attacco, in modo da poter riprendere la gestione della tua attività.

A seconda dell'ambito di un attacco e delle normative vigenti per la tua organizzazione, potresti dover segnalare l'attacco alle autorità competenti. Assicurati che i dati di contatto siano acquisiti con precisione nel tuo playbook per la risposta agli incidenti.

Rispondere agli attacchi e riprendersi

Quando si verifica un attacco, devi seguire il tuo piano di risposta agli incidenti. La risposta probabilmente passa attraverso quattro fasi:

• Identificazione degli incidenti
• Coordinamento e indagine sugli incidenti
• Risoluzione degli incidenti
• Chiusura dell'incidente

Le best practice relative alla risposta agli incidenti sono descritte ulteriormente nelle seguenti sezioni.

Per informazioni su come Google gestisce gli incidenti, consulta il processo di risposta agli incidenti relativi ai dati.

Attiva il tuo piano di risposta agli incidenti

Quando rilevi un attacco ransomware, attiva il tuo piano. Dopo aver verificato che l'incidente non è un falso positivo e che interessa i tuoi servizi Google Cloud, apri un ticket P1 dell'Assistenza Google. L'Assistenza Google risponde come descritto nelle linee guida per i servizi di assistenza tecnica di Google Cloud.

Se la tua organizzazione ha un Technical Account Manager (TAM) di Google o un altro rappresentante di Google, contattalo.

Coordinare l'indagine sugli incidenti

Dopo aver attivato il piano, riunisci il team interno all'organizzazione che deve essere coinvolto nelle procedure di coordinamento e risoluzione degli incidenti. Assicurati che questi strumenti e procedure siano in atto per esaminare e risolvere l'incidente.

Continua a monitorare il tuo ticket dell'Assistenza Google e collabora con il tuo rappresentante di Google. Rispondi a eventuali richieste di ulteriori informazioni. Prendi note dettagliate sulle tue attività.

Risolvere l'incidente

Al termine dell'indagine, segui il piano di risposta agli incidenti per rimuovere il ransomware e ripristinare lo stato normale dell'ambiente. A seconda della gravità dell'attacco e dei controlli di sicurezza che hai attivato, il tuo piano può includere attività come le seguenti:

• Mettere in quarantena i sistemi infetti.
• Ripristino da backup integri.
• Ripristinare l'infrastruttura a uno stato precedentemente noto come buono utilizzando la pipeline CI/CD.
• Verificare che la vulnerabilità sia stata rimossa.
• Applicazione di patch a tutti i sistemi che potrebbero essere vulnerabili a un attacco simile.
• Implementare i controlli necessari per evitare un attacco simile.

Man mano che avanzi nella fase di risoluzione, continua a monitorare il tuo ticket dell'assistenza Google. L'Assistenza Google adotta le azioni appropriate in Google Cloud per contenere, eliminare e (se possibile) recuperare il tuo ambiente.

Continua a prendere note dettagliate sulle tue attività.

Chiudi l'incidente

Puoi chiudere l'incidente dopo aver ripristinato lo stato di salute dell'ambiente e aver verificato che il ransomware sia stato eliminato dall'ambiente.

Comunica all'Assistenza Google quando l'incidente è stato risolto e l'ambiente è stato ripristinato. Se ne è stata pianificata una, partecipa a un'analisi retrospettiva congiunta con il tuo rappresentante di Google.

Assicurati di acquisire le lezioni apprese dall'incidente e di impostare i controlli necessari per evitare un attacco simile. A seconda della natura dell'attacco, potresti prendere in considerazione le seguenti azioni:

• Scrivere regole di rilevamento e avvisi che si attiveranno automaticamente se l'attacco si ripresenta.
• Aggiorna il tuo playbook per la risposta agli incidenti in modo da includere le lezioni apprese.
• Migliorare la tua strategia di sicurezza in base ai risultati della revisione.

Passaggi successivi

• Scopri di più sulla procedura di risposta agli incidenti di Google.
• Aggiungi come preferito Dashboard dello stato di Google Cloud per visualizzare lo stato di Google Cloud.
• Migliora il tuo piano di risposta agli incidenti con il libro di Google SRE - Incident Response.
• Leggi il framework dell'architettura per scoprire altre best practice per Google Cloud.

• Pianifica le procedure di ripristino di emergenza.

• Contribuisci a proteggere le catene di fornitura del software su GKE.

• Scopri in che modo Google identifica e protegge dai più grandi attacchi DDoS.