Il codice creato da terze parti per infiltrarsi nei tuoi sistemi al fine di rubare, criptare e sottrarre dati è chiamato ransomware. Per aiutarti a ridurre attacchi ransomware, Google Cloud ti offre i controlli per identificare, proteggere rilevare, rispondere e recuperare dagli attacchi. Questi controlli ti consentono di:
- Valuta il rischio.
- Proteggi la tua attività dalle minacce.
- Mantenere la continuità operativa.
- Consenti una risposta e un ripristino rapidi.
Questo documento fa parte di una serie destinata agli architetti della sicurezza e Google Workspace for Education. Descrive in che modo Google Cloud può aiutare la tua organizzazione a ridurre gli effetti degli attacchi di ransomware. Descrive inoltre il ransomware la sequenza di attacchi e i controlli di sicurezza integrati nei prodotti Google, per prevenire gli attacchi ransomware.
La serie è composta dalle seguenti parti:
- Mitigazione degli attacchi ransomware utilizzando Google Cloud (questo documento)
- Best practice per la mitigazione degli attacchi ransomware utilizzando Google Cloud
Sequenza di attacchi ransomware
Gli attacchi ransomware possono iniziare come campagne di massa alla ricerca di potenziali vulnerabilità o come campagne dirette. Una campagna mirata inizia con l'identificazione e la ricognizione, in cui un malintenzionato determina quali organizzazioni sono vulnerabili e quale vettore di attacco utilizzare.
Esistono molti vettori di attacco ransomware. I più comuni sono le e-mail di phishing con URL dannosi o lo sfruttamento di una vulnerabilità software esposta. Questa vulnerabilità può riguardare il software utilizzato dall'organizzazione, o una vulnerabilità nella tua catena di fornitura del software. Ransomware gli aggressori prendono di mira le aziende, la catena di fornitura e i clienti.
Quando l’attacco iniziale ha esito positivo, il ransomware si installa automaticamente contatta il server di comando e controllo per recuperare le chiavi di crittografia. Man mano che il ransomware si diffonde nella rete, può infettare le risorse, criptare i dati utilizzando le chiavi recuperate ed esfiltrarli. Gli aggressori richiedono un riscatto, in genere in criptovalute, all'organizzazione per poter ottenere la chiave di decrittografia.
Il seguente diagramma riassume la sequenza di attacco di ransomware tipica spiegata nei paragrafi precedenti, dall'identificazione e dalla ricognizione alla esfiltrazione dei dati e alla richiesta di riscatto.
Spesso è difficile rilevare il ransomware. In base a Sophos ci vuole circa 11 giorni per un'organizzazione di scoprire un attacco ransomware, FireEye segnala un tempo medio di 24 giorni. È quindi fondamentale implementare funzionalità di prevenzione, monitoraggio e rilevamento e assicurarsi che la tua organizzazione sia pronta a rispondere rapidamente quando qualcuno scopre un attacco.
Controlli di sicurezza e resilienza in Google Cloud
Google Cloud include controlli integrati per la sicurezza e la resilienza per aiutarti per proteggere i clienti dagli attacchi ransomware. Questi controlli includono:
- Infrastruttura globale progettata con sicurezza durante tutto il ciclo di vita del trattamento delle informazioni.
- Funzionalità di sicurezza integrate per i prodotti e i servizi Google Cloud, come monitoraggio, rilevamento delle minacce, prevenzione della perdita di dati e controlli dell'accesso.
- Disponibilità elevata con cluster a livello di regione e bilanciatori del carico globali.
- Backup integrato, con servizi facilmente scalabili.
- Funzionalità di automazione che utilizzano Infrastructure as Code e linee guida per la configurazione.
Google Cloud Threat Intelligence per le operazioni di sicurezza di Google e VirusTotal monitorare e rispondere a molti tipi di malware, incluso il ransomware, su Google infrastruttura e prodotti. Google Cloud Threat Intelligence per Google Security Operations è un team di ricercatori che si occupano di threat intelligence per Google Security Operations. VirusTotal è una soluzione di visualizzazione e database di malware che ti consente di comprendere meglio il funzionamento dei malware all'interno della tua azienda.
Per ulteriori informazioni sui controlli di sicurezza integrati, vedi Documento sulla sicurezza di Google e Panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
Controlli di sicurezza e resilienza in Google Workspace, nel browser Chrome e sui Chromebook
Oltre ai controlli all'interno di Google Cloud, ci sono altri prodotti Google come Google Workspace, il browser Google Chrome e I Chromebook includono controlli di sicurezza che possono aiutarti a proteggere la tua organizzazione dagli attacchi ransomware. Ad esempio, i prodotti Google forniscono controlli di sicurezza che consentono ai lavoratori da remoto di accedere alle risorse da qualsiasi luogo, in base alla loro identità e al contesto (ad esempio posizione o indirizzo IP).
Come descritto nella sezione Sequenza di attacco ransomware, l'email è un vettore chiave per molti attacchi ransomware. Può essere sfruttata per fare phishing credenziali per accesso fraudolento alla rete e per la distribuzione di ransomware direttamente i file binari. Protezione da phishing e malware avanzata di Gmail fornisce i controlli per mettere in quarantena le email, protegge dai tipi di allegati pericolosi e contribuisce a proteggere gli utenti dalle email di spoofing in entrata. Sandbox per la sicurezza è progettato per rilevare la presenza di malware precedentemente sconosciuti negli allegati.
Il browser Chrome include Google Navigazione sicura, progettato per fornire avvisi agli utenti quando tentano di accedere a un sito infetto o dannoso. Le sandbox e l'isolamento dei siti aiutano a proteggerti dalla diffusione di codice dannoso all'interno di diversi processi nella stessa scheda. La protezione tramite password è progettata per fornire avvisi quando una password aziendale viene utilizzata su un account personale e controlla se una delle password salvate dell'utente è stata compromessa in seguito a una violazione online. In questo caso, il browser chiede all'utente di modificare la password.
Le seguenti funzionalità di Chromebook aiutano a proteggerti da attacchi di phishing e ransomware:
- Sistema operativo di sola lettura (Chrome OS). Questo sistema è progettato per aggiornarsi costantemente e in modo invisibile. ChromeOS aiuta a proteggere dalle vulnerabilità più recenti e include controlli che assicurano da applicazioni ed estensioni non possono modificarlo.
- Sandboxing. Ogni applicazione viene eseguita in un ambiente isolato, quindi una non sia in grado di infettare facilmente altre applicazioni.
- Avvio verificato. Durante l'avvio, il Chromebook è progettato per controllare che il sistema non è stato modificato.
- Navigazione sicura. Chrome scarica periodicamente la versione più recente di Navigazione sicura elenco di siti non sicuri. È progettato per controllare gli URL di ogni sito visitato da un utente e ogni file scaricato dall'utente in base a questo elenco.
- Chip di sicurezza Titan C. Questi chip aiutano a proteggere gli utenti dagli attacchi di phishing grazie all'attivazione dell'autenticazione e di proteggere il sistema operativo da manomissioni dannose.
Per ridurre la superficie di attacco della tua organizzazione, prendi in considerazione i Chromebook per utenti che lavorano principalmente su un browser.
Passaggi successivi
- Implementare le best practice per la mitigazione degli attacchi ransomware (prossimo documento).
- Consulta: 5 pilastri di protezione per prevenire gli attacchi ransomware delle tecniche di prevenzione e risposta agli attacchi ransomware.
- Scopri di più sulle soluzioni Zero Trust in Dispositivi e Zero Trust.
- Garantisci la continuità e proteggi la tua azienda dagli attacchi informatici di eventi utilizzando Framework di sicurezza e resilienza.