Il codice creato da una terza parte per infiltrarsi nei sistemi al fine di compromettere, criptare e rubare i dati è noto come ransomware. Per aiutarti a mitigare gli attacchi ransomware, Google Cloud offre controlli per identificare, proteggere, rilevare, rispondere e recuperare dagli attacchi. Questi controlli ti consentono di eseguire le seguenti operazioni:
- Valutare il rischio.
- Proteggi la tua azienda dalle minacce.
- Mantieni la continuità operativa.
- Consenti una risposta e un recupero rapidi.
Questo documento fa parte di una serie destinata agli architetti e agli amministratori di sicurezza. Descrive come Google Cloud può aiutare la tua organizzazione a mitigare gli effetti degli attacchi ransomware. Inoltre, descrive la sequenza degli attacchi ransomware e i controlli di sicurezza integrati nei prodotti Google che ti aiutano a prevenire gli attacchi ransomware.
La serie è costituita dai seguenti componenti:
- Mitigare gli attacchi ransomware tramite Google Cloud (questo documento)
- Best practice per attenuare gli attacchi ransomware utilizzando Google Cloud
Sequenza di attacchi ransomware
Gli attacchi ransomware possono iniziare come campagne di massa alla ricerca di potenziali vulnerabilità o come campagne dirette. Una campagna diretta inizia con l'identificazione e la ricognizione, in cui un utente malintenzionato determina quali organizzazioni sono vulnerabili e quale vettore di attacco utilizzare.
Esistono molti vettori di attacchi ransomware. I più comuni sono le email di phishing con URL dannosi o lo sfruttamento di una vulnerabilità del software esposto. Questa vulnerabilità del software può riguardare il software utilizzato dalla tua organizzazione o una vulnerabilità presente nella catena di fornitura del software. Gli aggressori ransomware prendono di mira le organizzazioni, la catena di fornitura e i clienti.
Se l'attacco iniziale ha esito positivo, il ransomware si installa e contatta il server di comando e controllo per recuperare le chiavi di crittografia. Man mano che il ransomware si diffonde nella rete, può infettare le risorse, criptare i dati usando le chiavi recuperate ed esfiltrare i dati. Gli aggressori chiedono all'organizzazione un riscatto, tipicamente in criptocoin, per poter ottenere la chiave di decrittografia.
Il seguente diagramma riassume la tipica sequenza di attacchi ransomware spiegata nei paragrafi precedenti, dall'identificazione e dalla ricognizione all'esfiltrazione di dati e alla richiesta di riscatto.
Il ransomware è spesso difficile da rilevare. Secondo Sophos, un'organizzazione impiega circa 11 giorni per scoprire un attacco ransomware, mentre FireEye segnala un tempo medio di 24 giorni. È quindi fondamentale implementare funzionalità di prevenzione, monitoraggio e rilevamento e che la tua organizzazione sia pronta a rispondere rapidamente quando qualcuno scopre un attacco.
Controlli di sicurezza e resilienza in Google Cloud
Google Cloud include controlli integrati di sicurezza e resilienza per proteggere i clienti dagli attacchi ransomware. Questi controlli includono:
- Infrastruttura globale progettata con sicurezza per tutto il ciclo di vita dell'elaborazione delle informazioni.
- Funzionalità di sicurezza integrate per i prodotti e i servizi Google Cloud, come monitoraggio, rilevamento delle minacce, prevenzione della perdita di dati e controlli dell'accesso.
- Disponibilità elevata con cluster a livello di regione e bilanciatori del carico globali.
- Backup integrato con servizi facilmente scalabili.
- funzionalità di Automation con sistemi di protezione Infrastructure as Code e di configurazione.
Google Cloud Threat Intelligence per le operazioni di sicurezza di Google e VirusTotal monitorano e rispondono a molti tipi di malware, inclusi i ransomware, nell'infrastruttura e nei prodotti Google. Google Cloud Threat Intelligence for Google Security Operations è un team di ricercatori che sviluppano l'intelligence sulle minacce per le operazioni di sicurezza di Google. VirusTotal è una soluzione di visualizzazione e database di malware che consente di capire meglio come funziona il malware all'interno della tua azienda.
Per ulteriori informazioni sui controlli di sicurezza integrati, consulta il documento sulla sicurezza di Google e la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
Controlli di sicurezza e resilienza in Google Workspace, nel browser Chrome e nei Chromebook
Oltre ai controlli all'interno di Google Cloud, altri prodotti Google come Google Workspace, il browser Google Chrome e Chromebook includono controlli di sicurezza che possono aiutarti a proteggere la tua organizzazione dagli attacchi ransomware. Ad esempio, i prodotti Google offrono controlli di sicurezza che consentono ai lavoratori da remoto di accedere alle risorse ovunque si trovino, in base all'identità e al contesto (come la posizione o l'indirizzo IP).
Come descritto nella sezione Sequenza di attacchi ransomware, le email sono un vettore chiave per molti attacchi ransomware. Può essere sfruttata per effettuare il phishing delle credenziali di accesso fraudolento alla rete e distribuire i file binari dei ransomware direttamente. La protezione da phishing e malware avanzata in Gmail fornisce controlli per mettere in quarantena le email, difendersi da tipi di allegati pericolosi e contribuisce a proteggere gli utenti dalle email di spoofing in entrata. La sandbox per la sicurezza è progettata per rilevare la presenza di malware precedentemente sconosciuto negli allegati.
Il browser Chrome include Google Navigazione sicura, progettata per fornire avvisi agli utenti quando tentano di accedere a un sito infetto o dannoso. Le sandbox e l'isolamento dei siti contribuiscono a proteggere dalla diffusione di codice dannoso all'interno di diversi processi nella stessa scheda. La protezione tramite password è progettata per inviare avvisi quando una password aziendale viene utilizzata in un account personale e per verificare se una delle password salvate degli utenti è stata compromessa a causa di una violazione online. In questo scenario, il browser chiede all'utente di cambiare la password.
Le seguenti funzionalità di Chromebook contribuiscono a proteggere da attacchi di phishing e ransomware:
- Sistema operativo di sola lettura (Chrome OS). Questo sistema è progettato per aggiornarsi costantemente e in modo invisibile. ChromeOS contribuisce a proteggere dalle vulnerabilità più recenti e include controlli che impediscono ad applicazioni ed estensioni di modificarlo.
- Limitazione tramite sandbox. Ogni applicazione viene eseguita in un ambiente isolato, quindi un'applicazione dannosa non può infettare facilmente altre applicazioni.
- Avvio verificato. Durante l'avvio di Chromebook, è progettato per verificare che il sistema non sia stato modificato.
- Navigazione sicura. Chrome scarica periodicamente l'elenco di siti non sicuri più recente di Navigazione sicura. È progettato per verificare gli URL di ogni sito visitato da un utente e controllare ogni file scaricato dall'utente in base a questo elenco.
- Chip di sicurezza Titan C. Questi chip aiutano a proteggere gli utenti dagli attacchi di phishing abilitando l'autenticazione a due fattori e proteggono il sistema operativo da manomissioni dannose.
Per ridurre la superficie di attacco della tua organizzazione, prendi in considerazione i Chromebook per gli utenti che lavorano principalmente in un browser.
Passaggi successivi
- Implementa le best practice per attenuare gli attacchi ransomware (documento successivo).
- Consulta 5 pilastri di protezione per prevenire gli attacchi ransomware per le tecniche di prevenzione e risposta agli attacchi ransomware.
- Scopri di più sulle soluzioni Zero Trust in Dispositivi e Zero Trust.
- Garantisci la continuità e proteggi la tua attività da eventi informatici avversi utilizzando il framework per la sicurezza e la resilienza.