Práticas recomendadas para reduzir ataques de ransomware usando o Google Cloud

Last reviewed 2023-08-03 UTC

O ransomware é um código criado por terceiros para se infiltrar nos seus sistemas a fim de invadir, criptografar e roubar dados. Para proteger recursos e dados corporativos contra ataques de ransomware, implemente controles em várias camadas dos seus ambientes locais e na nuvem. Neste documento, você encontra algumas práticas recomendadas que ajudam sua organização a identificar, impedir, detectar e responder a ataques de ransomware.

Este documento faz parte de uma série destinada a arquitetos e administradores de segurança. Nele, explicamos como o Google Cloud pode ajudar sua organização a reduzir os efeitos dos ataques de ransomware.

A série tem as seguintes partes:

Identifique riscos e recursos

Para determinar a exposição da organização a ataques de ransomware, desenvolva desenvolver seu conhecimento sobre os riscos a sistemas, pessoas, bens, dados e recursos. Para ajudar você, o Google Cloud oferece os seguintes recursos:

Gerencie os recursos com o Inventário de recursos do Cloud

Para ajudar a reduzir ataques de ransomware, você precisa saber quais são os recursos da organização, o estado e a finalidade deles, tanto no Google Cloud como no ambiente local ou outros ambientes de nuvem. Para recursos estáticos, mantenha um valor de referência da última configuração válida em um local separado.

Use o Inventário de recursos do Cloud para ter um histórico de cinco semanas dos seus recursos no Google Cloud. Configure feeds de monitoramento para receber notificações quando ocorrerem alterações específicas em recursos ou quando houver desvios de política. Para monitorar alterações e procurar ataques que acontecem durante um período maior, exporte o feed. Para criar a exportação, use ferramentas como o Terraform. Para esse tipo de análise, é possível exportar o inventário para uma tabela do BigQuery ou um bucket do Cloud Storage.

Avalie e gerencie os riscos

Use um framework de avaliação de risco existente para ajudar a catalogar os riscos e determinar a capacidade da organização de detectar e combater um ataque de ransomware. Essas avaliações verificam fatores como se você tem controles de proteção contra malware, controles de acesso configurados corretamente, proteção de banco de dados e backups.

Por exemplo, a Cloud Security Alliance (CSA) fornece a matriz de controles do Cloud (CCM, na sigla em inglês) para ajudar organizações nas avaliações de risco na nuvem. Veja informações sobre a CCM específicas do Google Cloud no Novo comparativo de mercado do CIS para a plataforma de computação do Google Cloud.

Para identificar possíveis falhas no aplicativo e tomar medidas para corrigi-las, use modelos de ameaça, como a OWASP Application Threat Modeling. Saiba mais sobre como reduzir os 10 principais riscos de segurança da OWASP com o Google Cloud em As 10 melhores opções de redução da OWASP no Google Cloud.

Depois de catalogar os riscos, determine como responder a eles e se você quer aceitar, evitar, transferir ou reduzir os riscos. O Programa de Proteção Contra Riscos oferece acesso ao Gerenciador de Risco e ao seguro cibernético. Use o Gerenciador de Risco para verificar as cargas de trabalho no Google Cloud e implementar as recomendações de segurança para reduzir os riscos relacionados ao ransomware.

Configurar a proteção de dados sensíveis

A Proteção de Dados Sensíveis permite inspecionar dados na sua organização do Google Cloud e dados provenientes de fontes externas. Configure a Proteção de Dados Sensíveis para classificar e proteger seus dados confidenciais usando técnicas de desidentificação. A classificação dos dados possibilita que você se concentre no monitoramento e na detecção nos dados mais importantes da sua organização.

Combine o Proteção de Dados Sensíveis com outros produtos, como o Security Command Center, ou com um SIEM de terceiros para garantir monitoramento e alertas apropriados sobre quaisquer alterações inesperadas nos seus dados.

Gerencie os riscos da cadeia de suprimentos

Um vetor importante em ataques de ransomware são as vulnerabilidades da cadeia de suprimentos. O desafio desse vetor de ataque é que a maioria das organizações tem muitos fornecedores que precisam rastrear, cada uma com a própria lista.

Se você criar e implantar aplicativos, use frameworks, como os Níveis de cadeia de suprimentos para arquitetos de software (SLSA, na sigla em inglês). Esses frameworks ajudam a definir os requisitos e as práticas recomendadas que sua empresa pode usar para proteger o código-fonte e os processos de compilação. Usando o SLSA, é possível trabalhar em quatro níveis de segurança para melhorar a segurança do software que você está produzindo.

Se você usa pacotes de código aberto nos aplicativos, troque por visões gerais de segurança para gerar automaticamente a pontuação de segurança de um determinado pacote de código aberto. As visões gerais da segurança são um método econômico e simples de fazer uma avaliação antes que os desenvolvedores integrem pacotes de código aberto aos sistemas.

Saiba mais sobre os recursos que podem ser usados para verificar a segurança do Google Cloud na Avaliação de risco de segurança do fornecedor.

Controle o acesso a recursos e dados

À medida que a organização move cargas de trabalho para fora da rede local, é preciso gerenciar o acesso a essas cargas de trabalho em todos os ambientes que hospedam seus recursos e dados. O Google Cloud oferece suporte para vários controles que ajudam a configurar o acesso apropriado. As seções a seguir destacam algumas delas.

Configure uma segurança de confiança zero com o BeyondCorp Enterprise

À medida que você move as cargas de trabalho do ambiente local para a nuvem, o modelo de confiança de rede é alterado. Um modelo de segurança de confiança zero significa que ninguém é confiável implicitamente, esteja dentro ou fora da rede da organização.

Ao contrário de uma VPN, esse modelo de segurança muda os controles de acesso do perímetro da rede para os usuários e os dispositivos deles. Segurança de confiança zero significa que a identidade e o contexto do usuário são considerados durante a autenticação. Esse controle de segurança fornece uma importante tática de prevenção contra ataques do ransomware, que têm êxito somente após os invasores violarem sua rede.

Use o BeyondCorp Enterprise para configurar a segurança de confiança zero no Google Cloud. O BeyondCorp Enterprise oferece proteção de dados e ameaças e outros controles de acesso. Veja informações de configuração em Primeiros passos com o BeyondCorp Enterprise.

Se as cargas de trabalho estiverem no local e no Google Cloud, configure o Identity-Aware Proxy (IAP). Com o IAP, é possível estender a segurança de confiança zero para seus aplicativos nos dois locais. Ele fornece autenticação e autorização para usuários que acessam seus aplicativos e recursos usando políticas de controle de acesso.

Configure um privilégio mínimo

O privilégio mínimo garante que usuários e serviços tenham apenas o acesso necessário para realizar as tarefas específicas respectivas. O privilégio mínimo diminui a capacidade do ransomware de se espalhar por uma organização porque um invasor não consegue escalonar os privilégios com facilidade.

Para atender às necessidades específicas da sua organização, use as políticas, os papéis e as permissões detalhadas do Identity and Access Management (IAM). Além disso, analise suas permissões regularmente usando as ferramentas Recomendações de papéis e a Análise de políticas. O recomendador de papel usa machine learning para analisar configurações e fornecer recomendações para garantir que elas estejam em conformidade com o princípio do privilégio mínimo. a ferramenta Análise de políticas permite ver quais contas têm acesso aos seus recursos da nuvem.

Saiba mais sobre o privilégio mínimo em Como usar o IAM com segurança.

Configure a autenticação multifator com chaves de segurança Titan

A autenticação multifator (MFA, na sigla em inglês) garante que os usuários forneçam uma senha e um fator biométrico ou um fator possessivo (como um token) antes de acessar um recurso. Como as senhas podem ser relativamente fáceis de descobrir ou roubar, a MFA ajuda a impedir que invasores de ransomware se apossem das contas.

Use as chaves de segurança Titan para MFA e impeça invasões de conta e ataques de phishing. As chaves de segurança Titan são resistentes a adulterações e podem ser usadas com qualquer serviço com suporte para os padrões da Aliança Fast IDentity Online (FIDO) (em inglês).

Ative a MFA para seus aplicativos, administradores do Google Cloud, conexões SSH com suas VMs (usando o Login do SO) e quem precisar de acesso privilegiado a informações sensíveis.

Use o Cloud Identity para configurar a autenticação multifator (MFA) para os recursos. Saiba mais em Aplicar MFA uniforme aos recursos da empresa.

Proteja as contas de serviço

As contas de serviço são identidades privilegiadas que fornecem acesso aos recursos do Google Cloud. Por isso, os invasores as consideram valiosas. Para ver as práticas recomendadas para proteger contas de serviço, consulte Práticas recomendadas para trabalhar com contas de serviço.

Proteja os dados importantes

Os principais objetivos de um ataque de ransomware geralmente são os seguintes:

  • deixar seus dados críticos inacessíveis até que você pague o resgate;
  • exfiltrar dados.

Para proteger os dados críticos contra ataques, combine vários controles de segurança para controlar o acesso aos dados, com base na confidencialidade dos dados. As seções a seguir descrevem algumas práticas recomendadas que podem ser usadas para proteger os dados e evitar ataques de ransomware.

Configure a redundância de dados

O Google Cloud tem uma infraestrutura em escala global projetada para fornecer resiliência, escalonabilidade e alta disponibilidade. A resiliência na nuvem ajuda o Google Cloud a se recuperar e se adaptar a vários eventos. Para mais informações, acesse o Guia de confiabilidade da infraestrutura do Google Cloud.

Além dos recursos de resiliência padrão no Google Cloud, configure redundância (N+2) na opção de armazenamento em nuvem que você usa para armazenar seus dados. A redundância ajuda a atenuar os efeitos de um ataque de ransomware, porque remove um único ponto de falha e fornece backups dos sistemas principais, caso sejam comprometidos.

Se você usar o Cloud Storage, poderá ativar o controle de versões de objeto ou o recurso de bloqueio de buckets. O recurso de bloqueio de bucket permite configurar uma política de retenção de dados para os buckets do Cloud Storage.

Saiba mais sobre redundância de dados no Google Cloud em:

Faça backup dos bancos de dados e filestores

Os backups permitem manter cópias dos dados para fins de recuperação de desastres para que você possa criar um ambiente replicado. Armazene backups no formato que precisar e na forma bruta, se possível. Para evitar comprometer os dados de backup, armazene essas cópias em zonas isoladas separadas da zona de produção. Além disso, faça backup de arquivos executáveis e binários separadamente dos dados.

Ao planejar um ambiente replicado, aplique os mesmos controles de segurança (ou mais fortes) ao ambiente espelhado. Determine o tempo necessário para recriar o ambiente e recriar novas contas de administrador necessárias.

Veja alguns exemplos de backups no Google Cloud em:

Além dessas opções de backup, considere usar o Serviço de backup e DR para fazer backup dos dados no local para o Google Cloud. O backup e a DR permitem que você configure um ambiente de recuperação de desastres no Google Cloud para suas VMs e seus bancos de dados. Para ver mais informações, consulte soluções para backup e recuperação de desastres.

Proteja e faça backup das chaves de criptografia de dados

Para impedir que invasores tenham acesso às suas chaves de criptografia de dados, alterne-as regularmente e monitore as atividades relacionadas. Implemente uma estratégia de backup de chave que considere o local da chave e se as chaves são gerenciadas pelo Google (software ou HSM) ou se você fornecer as chaves ao Google. Se você fornecer as próprias chaves, configure os backups e a rotação de chaves usando os controles no sistema de gerenciamento de chaves externo.

Para mais informações, consulte Gerenciar chaves de criptografia com o Cloud Key Management Service.

Proteja a rede e a infraestrutura

Para proteger sua rede, você precisa garantir que os invasores não possam entrar nela facilmente para ter acesso aos seus dados confidenciais. As seções a seguir descrevem alguns dos itens a serem considerados ao planejar e implantar a rede.

Automatização do provisionamento de infraestrutura

A automação é um controle importante contra invasores de ransomware, já que a automação fornece à sua equipe de operações um bom estado conhecido, reversão rápida e recursos de solução de problemas. A automação requer várias ferramentas, como Terraform, Jenkins, Cloud Build e outras.

Implante um ambiente seguro do Google Cloud usando o Blueprint de bases empresariais. Se necessário, crie o blueprint de bases de segurança com mais blueprints ou projete sua própria automação.

Para mais informações sobre automação, consulte Usar um pipeline de CI/CD para fluxos de trabalho de processamento de dados. Veja mais orientações de segurança na Central de práticas recomendadas de segurança para o Cloud.

Segmente a rede

Os segmentos e os perímetros de rede ajudam a desacelerar o progresso que um invasor pode fazer dentro do seu ambiente.

Para segmentar serviços e dados e ajudar a proteger seu perímetro, o Google Cloud oferece as seguintes ferramentas:

Personalize os controles de segurança de rede de acordo com os riscos para diferentes recursos e dados.

Proteja as cargas de trabalho

O Google Cloud inclui serviços que permitem criar, implantar e gerenciar códigos. Use esses serviços para evitar desvios e também detectar e corrigir problemas como erros de configuração e vulnerabilidades. Para proteger as cargas de trabalho, crie um processo de implantação fechado que impeça que os invasores de ransomware consigam acesso inicial usando vulnerabilidades que não foram corrigidas e configurações inadequadas. As seções a seguir descrevem algumas das práticas recomendadas que podem ser implementadas para proteger as cargas de trabalho.

Por exemplo, para implantar cargas de trabalho no GKE Enterprise, você faz o seguinte:

Para mais informações sobre a segurança do GKE Enterprise, consulte Como aumentar a segurança do cluster.

Use um ciclo de vida seguro de desenvolvimento de software

Ao desenvolver o ciclo de vida de desenvolvimento de software (SDLC, na sigla em inglês), use as práticas recomendadas do setor, como o DevSecOps. O programa de pesquisa DevOps Research and Assessment (DORA) descreve muitos dos recursos técnicos, de processo, medição e cultura do DevSecOps. O DevSecOps pode reduzir ataques de ransomware, porque ajuda a garantir que as considerações de segurança sejam incluídas em cada etapa do ciclo de vida do desenvolvimento, além de permitir que a organização implante correções rapidamente.

Para mais informações sobre como usar um SDLC com o Google Kubernetes Engine (GKE), consulte Visão geral do Software Delivery Shield.

Use um pipeline seguro de integração e entrega contínuas

A integração e a entrega contínuas (CI/CD, na sigla em inglês) oferecem um mecanismo para disponibilizar a funcionalidade mais recente com rapidez aos clientes. Para evitar ataques de ransomware contra o pipeline, execute uma análise de código apropriada e monitore o pipeline em busca de ataques maliciosos.

Para proteger o pipeline de CI/CD no Google Cloud, use controles de acesso, tarefas separadas e verificação de código criptográfico à medida que o código passa pelo pipeline de CI/CD. Use o Cloud Build para rastrear as etapas de build e o Artifact Registry para concluir a verificação de vulnerabilidades nas imagens de contêiner. Use a autorização binária para verificar se as imagens atendem aos seus padrões.

Ao criar o pipeline, verifique se você tem backups dos binários do aplicativo e de arquivos executáveis. Faça backup delas separadamente dos seus dados confidenciais.

Proteja os aplicativos implantados

Os invasores podem tentar acessar sua rede encontrando as vulnerabilidades da Camada 7 nos seus aplicativos implantados. Para ajudar a mitigar esses ataques, conclua as atividades de modelos de ameaça para encontrar possíveis ameaças. Depois de minimizar a superfície de ataque, configure o Google Cloud Armor, um firewall de aplicativos da Web (WAF) que usa políticas de segurança e filtragem da Camada 7.

As regras do WAF protegem os aplicativos contra vários dos 10 maiores problemas da OWASP. Saiba mais em As 10 melhores opções de mitigação da OWASP no Google Cloud.

Saiba mais sobre como implantar o Google Cloud Armor com um balanceador de carga de aplicativo externo global para proteger seus aplicativos em várias regiões em Introdução ao Google Cloud Armor: defesa em escala de serviços voltados para a Internet. Saiba mais sobre como usar o Google Cloud Armor com aplicativos executados fora do Google Cloud em Como integrar o Google Cloud Armor a outros produtos do Google.

Corrija as vulnerabilidades com rapidez

Um vetor de ataque importante do ransomware são as vulnerabilidades de software de código aberto. Para reduzir os efeitos que o ransomware pode ter, é necessário conseguir implantar rapidamente correções em toda a sua frota.

De acordo com o modelo de responsabilidade compartilhada, você é responsável por qualquer vulnerabilidade de software nos seus aplicativos. O Google é responsável pela manutenção da segurança da infraestrutura subjacente de dados.

Para visualizar as vulnerabilidades associadas aos sistemas operacionais que suas VMs estão executando e gerenciar o processo de aplicação de patches, use o Gerenciamento de correções do SO no Compute Engine. Para o GKE e o GKE Enterprise, o Google corrige vulnerabilidades automaticamente, embora você tenha algum controle sobre as janelas de manutenção do GKE.

Se você estiver usando o Cloud Build, automatize os builds sempre que um desenvolvedor confirmar uma alteração no repositório de código-fonte. O arquivo de configuração do build precisa incluir verificações de verificação apropriadas, como verificação de vulnerabilidades e verificações de integridade.

Saiba mais sobre como aplicar patches no Cloud SQL em Manutenção em instâncias do Cloud SQL.

Detecte ataques

A capacidade de detectar ataques depende dos recursos de detecção, do sistema de monitoramento e alerta e das atividades que preparam suas equipes de operações para identificar ataques quando eles ocorrem. Esta seção descreve algumas práticas recomendadas para detectar ataques.

Configure monitoramento e alertas

Ative o Security Command Center para ter visibilidade centralizada de todas as preocupações e riscos de segurança no ambiente do Google Cloud. Personalize o painel para garantir que os eventos mais importantes para a organização fiquem mais visíveis.

Use o Cloud Logging para gerenciar e analisar os registros dos serviços no Google Cloud. Para análises adicionais, é possível optar por integrar com o Google Security Operations ou exportar os registros para o SIEM da organização.

Além disso, use o Cloud Monitoring para medir o desempenho do serviço e dos recursos e configurar alertas. Por exemplo, é possível monitorar mudanças repentinas no número de VMs em execução no ambiente, o que pode ser um sinal de que o malware está presente nele.

Disponibilize todas essas informações na sua central de operações de segurança de maneira centralizada.

Crie recursos de detecção

Crie recursos de detecção no Google Cloud que correspondam aos riscos e às necessidades da carga de trabalho. Esses recursos fornecem mais insights sobre ameaças avançadas e ajudam a monitorar melhor seus requisitos de conformidade.

Se você tiver o nível Security Command Center Premium, use a detecção de ameaça a eventos e o Google SecOps. A detecção de ameaça a eventos busca nos registros possíveis ataques de segurança e registra as descobertas no Security Command Center. O Event Threat Detection permite que você monitore o Google Cloud e o Google Workspace ao mesmo tempo. Ele verifica a existência de malware com base em domínios incomuns conhecidos e endereços IP inválidos. Saiba mais em Como usar o Event Threat Detection.

Use o Google SecOps para armazenar e analisar os dados de segurança em um só lugar. O Google SecOps melhora o processo de gerenciamento de ameaças no Google Cloud ao adicionar capacidades de investigação ao Security Command Center Premium. É possível usar o Google SecOps para criar regras de detecção, configurar indicadores de correspondência de comprometimento e executar atividades de caça a ameaças. O Google SecOps tem os recursos a seguir:

  • Ao mapear os registros, o Google SecOps os enriquece e os vincula em cronogramas, para que seja possível ver todo o período de um ataque.
  • O Google SecOps reavalia constantemente a atividade de registros em relação à inteligência sobre ameaças coletada pela equipe de inteligência contra ameaças do Google Security Operations. Quando a inteligência muda, o Google SecOps a reaplica automaticamente a todo o histórico de atividades.
  • Escreva suas regras YARA para melhorar os recursos de detecção de ameaças.

Também é possível usar um Google Cloud Partner para aumentar ainda mais as capacidades de detecção.

Prepare-se para um ataque de ransomware

Para se preparar para um ataque de ransomware, conclua a continuidades dos negócios e o planos de recuperação de desastres, crie um manual de resposta a incidentes de ransomware e faça exercícios de mesa.

Para o manual de respostas a incidentes, considere a funcionalidade disponível para cada serviço. Por exemplo, se você estiver usando o GKE com autorização binária, será possível adicionar processos de implantação forçada.

Certifique-se de que o manual de resposta a incidentes possa conter rapidamente contas e recursos infectados e migrar para fontes secundárias e backups íntegros. Se você usa um serviço de backup, como o Backup e DR, pratique regularmente os procedimentos de restauração do Google Cloud no ambiente local.

Crie um programa de resiliência cibernética e uma estratégia de backup que prepare você para restaurar os principais sistemas ou recursos afetados por um incidente de ransomware. A resiliência cibernética é essencial para oferecer suporte aos cronogramas de recuperação e diminuir os efeitos de um ataque para que você possa voltar a operar sua empresa.

Dependendo do escopo de um ataque e das regulamentações que se aplicam à sua organização, pode ser necessário informar o ataque às autoridades competentes. Verifique se os dados de contato estão corretos no manual de resposta a incidentes.

Responda a ataques e recupere-se deles

Quando um ataque ocorre, você precisa seguir seu plano de resposta a incidentes. Sua resposta provavelmente passa por quatro fases, que são:

  • Identificação do incidente
  • Coordenação e investigação do incidente
  • Resolução do incidente
  • Encerramento do incidente

As práticas recomendadas relacionadas à resposta a incidentes estão descritas com mais detalhes nas seções a seguir.

Saiba mais sobre como o Google gerencia incidentes em Processo de resposta a incidentes de dados.

Ative seu plano de resposta a incidentes

Quando detectar um ataque de ransomware, ative seu plano. Depois de confirmar que o incidente não é um falso positivo e que afeta os serviços do Google Cloud, abra um tíquete P1 com o Suporte do Google. O Suporte do Google responde conforme documentado nas Diretrizes dos Serviços de Suporte Técnico do Google Cloud.

Se sua organização tiver um gerente técnico de contas (TAM) ou outro representante do Google, entre em contato com eles também.

Coordene uma investigação do incidente

Depois de ativar o plano, reúna a equipe da organização que precisa participar dos processos de coordenação e resolução de incidentes. Verifique se essas ferramentas e processos estão implementados para investigar e resolver o incidente.

Continue a monitorar seu tíquete de suporte do Google e trabalhe junto com seu representante do Google. Responda a qualquer pedido por mais informações. Mantenha anotações detalhadas sobre suas atividades.

Resolva o incidente

Depois de concluir a investigação, siga o plano de resposta a incidentes para remover o ransomware e restaurar o ambiente a um estado íntegro. Dependendo da gravidade do ataque e dos controles de segurança ativados, seu plano pode incluir atividades como as seguintes:

  • colocar sistemas infectados em quarentena;
  • restaurar a partir de backups íntegros;
  • restaurar a infraestrutura para um estado válido conhecido usando o pipeline de CI/CD;
  • verificar se a vulnerabilidade foi removida;
  • corrigir todos os sistemas que podem estar vulneráveis a ataques semelhantes;
  • implementar os controles necessários para evitar um ataque semelhante.

À medida que você avança na etapa de resolução, continue monitorando seu tíquete de suporte do Google. O Suporte do Google toma as medidas apropriadas no Google Cloud para conter, erradicar e, se possível, recuperar seu ambiente.

Continue mantendo notas detalhadas sobre suas atividades.

Encerre o incidente

É possível encerrar o incidente depois que o ambiente for restaurado para um estado íntegro e você tiver verificado que o ransomware foi eliminado do ambiente.

Informe o Suporte do Google quando o incidente for resolvido e o ambiente for restaurado. Se houver um agendado, participe de uma retrospectiva conjunta com seu representante do Google.

Veja se aprendeu todas as lições com o incidente e implante os controles necessários para evitar um ataque semelhante. Dependendo da natureza do ataque, considere as seguintes ações:

  • escreva regras de detecção e alertas que vão ser acionados automaticamente se o ataque ocorrer novamente;
  • atualize o manual de resposta a incidentes para incluir essas lições;
  • melhore a postura de segurança com base nas descobertas retrospectivas.

A seguir