Mitigasi serangan ransomware menggunakan Google Cloud

Last reviewed 2021-11-15 UTC

Kode yang dibuat oleh pihak ketiga untuk menyusup ke sistem Anda untuk membajak, mengenkripsi, dan mencuri data disebut sebagai ransomware. Untuk membantu Anda memitigasi serangan ransomware, Google Cloud menyediakan Anda kontrol untuk mengidentifikasi, melindungi, mendeteksi, merespons, dan memulihkan dari serangan. Kontrol ini membantu Anda melakukan hal berikut:

  • Menilai risiko Anda.
  • Melindungi bisnis Anda dari ancaman.
  • Mempertahankan operasi yang berkelanjutan.
  • Memungkinkan respons dan pemulihan yang cepat.

Dokumen ini adalah bagian dari seri yang ditujukan untuk arsitek dan administrator keamanan. Dokumen ini menjelaskan cara Google Cloud dapat membantu organisasi Anda memitigasi efek serangan ransomware. Dokumen ini juga menjelaskan urutan serangan ransomware dan kontrol keamanan bawaan dalam produk Google yang membantu Anda mencegah serangan ransomware.

Seri ini memiliki bagian berikut:

Urutan serangan ransomware

Serangan ransomware dapat dimulai sebagai kampanye massal untuk mencari potensi kerentanan atau sebagai kampanye yang diarahkan. Kampanye terarah dimulai dengan identifikasi dan pengintaian, yakni saat penyerang menentukan organisasi mana yang rentan dan vektor serangan apa yang akan digunakan.

Ada banyak vektor serangan ransomware. Yang paling umum adalah email phishing dengan URL berbahaya atau mengeksploitasi kerentanan software yang terekspos. Kerentanan software ini dapat terjadi pada software yang digunakan organisasi Anda, atau kerentanan yang ada dalam supply chain software Anda. Penyerang ransomware menarget organisasi, supply chain mereka, dan pelanggan mereka.

Jika serangan awal berhasil, ransomware akan menginstal dengan sendirinya dan menghubungi server command and control untuk mengambil kunci enkripsi. Saat ransomware menyebar di seluruh jaringan, ransomware dapat menginfeksi resource, mengenkripsi data menggunakan kunci yang diambil, dan memindahkan data secara tidak sah. Penyerang meminta tebusan, biasanya dalam mata uang kripto, dari organisasi agar mereka dapat mendapatkan kunci dekripsi.

Diagram berikut merangkum urutan serangan ransomware yang umum yang dijelaskan dalam paragraf sebelumnya, mulai dari identifikasi dan pengintaian hingga pemindahan data yang tidak sah dan permintaan tebusan.

Urutan serangan ransomware.

Ransomware sering kali sulit dideteksi. Menurut Sophos, organisasi memerlukan waktu sekitar 11 hari untuk menemukan serangan ransomware, sementara FireEye melaporkan rata-rata memerlukan waktu 24 hari. Oleh karena itu, sangat penting untuk Anda menerapkan kemampuan pencegahan, pemantauan, dan deteksi, dengan itu organisasi Anda siap untuk merespons dengan cepat saat seseorang menemukan serangan.

Kontrol keamanan dan ketahanan di Google Cloud

Google Cloud menyertakan kontrol keamanan dan ketahanan bawaan untuk membantu melindungi pelanggan dari serangan ransomware. Kontrol ini mencakup hal berikut:

  • Infrastruktur global yang didesain dengan keamanan di sepanjang siklus proses pemrosesan informasi.
  • Fitur keamanan bawaan untuk produk dan layanan Google Cloud, seperti pemantauan, deteksi ancaman, pencegahan kebocoran data, dan kontrol akses.
  • Ketersediaan tinggi dengan cluster regional dan load balancer global.
  • Pencadangan bawaan dengan layanan skalabel yang mudah.
  • Kemampuan otomatisasi menggunakan Infrastruktur sebagai Kode dan pengaman konfigurasi.

Google Cloud Threat Intelligence for Google Security Operations dan VirusTotal melacak serta merespons berbagai jenis malware, termasuk ransomware, di seluruh infrastruktur dan produk Google. Google Cloud Threat Intelligence for Google Security Operations adalah tim peneliti ancaman yang mengembangkan kecerdasan ancaman untuk Google Security Operations. VirusTotal adalah solusi database dan visualisasi malware yang menyediakan Anda pemahaman yang lebih baik tentang cara malware beroperasi di dalam perusahaan Anda.

Untuk informasi kontrol keamanan bawaan selengkapnya, lihat makalah keamanan Google dan Ringkasan Desain Keamanan Infrastruktur Google.

Kontrol keamanan dan ketahanan di Google Workspace, browser Chrome, dan Chromebook

Selain kontrol dalam Google Cloud, produk Google lainnya seperti Google Workspace, browser Google Chrome, dan Chromebook menyertakan kontrol keamanan yang dapat membantu melindungi organisasi Anda dari serangan ransomware. Contohnya, produk Google menyediakan kontrol keamanan yang memungkinkan pekerja jarak jauh mengakses resource dari mana saja, berdasarkan identitas dan konteks mereka (seperti lokasi atau alamat IP).

Seperti yang dijelaskan di bagian Urutan serangan ransomware, email adalah vektor utama untuk banyak serangan ransomware. Email ini dapat dieksploitasi untuk melakukan phishing kredensial untuk akses jaringan yang bersifat menipu dan mendistribusikan biner ransomware secara langsung. Perlindungan lanjutan terhadap phishing dan malware di Gmail menyediakan kontrol untuk mengarantina email, melindungi dari jenis lampiran berbahaya, dan membantu melindungi pengguna dari email spoofing masuk. Sandbox Keamanan didesain untuk mendeteksi adanya malware yang sebelumnya tidak dikenal dalam lampiran.

Browser Chrome menyertakan Google Safe Browsing, yang didesain untuk menyediakan peringatan kepada pengguna saat mereka mencoba mengakses situs yang terinfeksi atau berbahaya. Sandbox dan isolasi situs membantu melindungi dari penyebaran kode berbahaya dalam berbagai proses pada tab yang sama. Perlindungan sandi didesain untuk memberikan peringatan saat sandi perusahaan digunakan pada akun pribadi, dan memeriksa apakah ada sandi tersimpan pengguna yang telah disusupi melalui pelanggaran online. Dalam skenario ini, browser akan meminta pengguna untuk mengubah sandi mereka.

Fitur Chromebook berikut membantu melindungi dari serangan phishing dan ransomware:

  • Sistem operasi hanya baca (ChromeOS). Sistem ini didesain untuk diperbarui secara konstan dan tidak terlihat. ChromeOS membantu memberikan perlindungan dari kerentanan terbaru dan menyertakan kontrol yang memastikan bahwa aplikasi dan ekstensi tidak dapat mengubahnya.
  • Sandbox. Setiap aplikasi berjalan di lingkungan yang terisolasi, sehingga satu aplikasi berbahaya tidak dapat menginfeksi aplikasi lain dengan mudah.
  • Booting terverifikasi. Selagi Chromebook melakukan booting, Chromebook didesain untuk memeriksa bahwa sistem belum diubah.
  • Safe Browsing. Chrome secara berkala mendownload daftar Safe Browsing terbaru dari situs yang tidak aman. Fitur ini didesain untuk memeriksa URL setiap situs yang dikunjungi pengguna dan memeriksa setiap file yang didownload pengguna berdasarkan daftar ini.
  • Chip keamanan Titan C. Chip ini membantu melindungi pengguna dari serangan phishing dengan mengaktifkan autentikasi 2 langkah dan melindungi sistem operasi dari sabotase berbahaya.

Untuk membantu mengurangi permukaan serangan organisasi Anda, pertimbangkan Chromebook untuk pengguna yang terutama bekerja menggunakan browser.

Langkah berikutnya