Atténuer les attaques de rançongiciels à l'aide de Google Cloud

Last reviewed 2021-11-15 UTC

Un code créé par un tiers pour infiltrer vos systèmes afin de pirater, chiffrer et voler les données est appelé rançongiciel. Pour vous aider à minimiser les attaques de rançongiciels, Google Cloud vous fournit des contrôles pour identifier, protéger, détecter, répondre et se rétablir des attaques. Ces contrôles vous aident à effectuer les opérations suivantes :

  • Évaluer les risques.
  • Protéger votre entreprise des menaces.
  • Maintenir les opérations continues.
  • Accélérer la gestion et la récupération.

Ce document fait partie d'une série destinée aux architectes et administrateurs de sécurité. Il explique comment Google Cloud peut aider votre organisation à atténuer les effets des attaques des rançongiciels. Il décrit également la séquence d'attaque de rançongiciel et les contrôles de sécurité intégrés dans les produits Google qui vous aident à empêcher les attaques de rançongiciels.

La série se compose des parties suivantes :

Séquence d'attaque de rançongiciel

Les attaques de rançongiciels peuvent commencer par des campagnes de masse à la recherche de vulnérabilités potentielles ou par des campagnes dirigées. Une campagne dirigée commence par l'identification et la reconnaissance, où un pirate informatique détermine les organisations qui sont vulnérables et le vecteur d'attaque à utiliser.

Il existe de nombreux vecteurs d'attaque de rançongiciel. Le plus souvent, il s'agit d'e-mails d'hameçonnage contenant des URL malveillantes ou l'exploitation d'une faille logicielle exposée. La faille logicielle peut se trouver dans le logiciel utilisé par votre organisation ou dans votre chaîne d'approvisionnement logicielle. Les pirates informatiques ciblent les organisations, leur chaîne d'approvisionnement et leurs clients.

Une fois l'attaque initiale réussie, le rançongiciel s'installe et contacte le serveur de commande et de contrôle pour récupérer les clés de chiffrement. À mesure que le rançongiciel se propage sur le réseau, il peut infecter les ressources, chiffrer les données à l'aide des clés qu'il a récupérées et exfiltrer des données. Les pirates informatiques demandent à l'organisation une rançon, généralement en cryptomonnaie, afin d'obtenir la clé de déchiffrement.

Le schéma suivant résume la séquence d'attaque des rançongiciels classique expliquée dans les paragraphes précédents, de l'identification et la reconnaissance à l'exfiltration de données et à la demande de rançon.

Séquence d'attaque du rançongiciel.

Les rançongiciels sont souvent difficiles à détecter. Selon Sophos, il faut environ 11 jours pour qu'une organisation puisse découvrir une attaque de rançongiciel, tandis que FireEye indique une durée moyenne de 24 jours. Il est donc essentiel de mettre en place des fonctionnalités de prévention, de surveillance et de détection, et que votre organisation soit prête à réagir rapidement lorsqu'une personne découvre une attaque.

Contrôles de sécurité et de résilience dans Google Cloud

Google Cloud intègre des contrôles de sécurité et de résilience qui permettent de protéger les clients contre les attaques de rançongiciels. Ces contrôles incluent les éléments suivants :

  • Infrastructure mondiale conçue dans un souci de sécurité tout au long du cycle de traitement des informations.
  • Fonctionnalités de sécurité intégrées pour les produits et services Google Cloud, tels que la surveillance, la détection des menaces, la prévention contre la perte de données et le contrôle des accès.
  • Haute disponibilité avec des clusters régionaux et des équilibreurs de charge globaux.
  • Sauvegarde intégrée, services facilement évolutifs.
  • Fonctionnalités d'automatisation utilisant l'infrastructure en tant que code (IaC) et les garde-fous de configuration.

Google Cloud Threat Intelligence pour les opérations de sécurité Google et VirusTotal suivent et répondent à de nombreux types de logiciels malveillants, y compris les rançongiciels, sur Google l'infrastructure et les produits. Google Cloud Threat Intelligence pour les opérations de sécurité Google est une équipe de chercheurs de menaces qui exploite les renseignements sur les menaces pour les opérations de sécurité Google. VirusTotal est une base de données et une solution de visualisation des logiciels malveillants qui vous permet de mieux comprendre comment ces derniers opèrent dans votre entreprise.

Pour en savoir plus sur les contrôles de sécurité intégrés, consultez le document sur la sécurité de Google et la présentation de la sécurité sur l'infrastructure de Google.

Contrôles de sécurité et de résilience dans Google Workspace, le navigateur Chrome, et les Chromebooks

Outre les contrôles au sein de Google Cloud, d'autres produits Google tels que Google Workspace, le navigateur Google Chrome et les Chromebooks incluent des contrôles de sécurité qui peuvent vous aider à protéger votre organisation des attaques de rançongiciels. Par exemple, les produits Google fournissent des contrôles de sécurité permettant aux nœuds de calcul distants d'accéder aux ressources depuis n'importe où, en fonction de leur identité et de leur contexte (par exemple, l'emplacement ou l'adresse IP).

Comme décrit dans la section Séquence d'attaque de rançongiciel, l'e-mail est un vecteur de clé pour de nombreuses attaques de rançongiciels. Il peut être exploité à des fins d'hameçonnage dans le cadre d'un accès frauduleux au réseau et pour distribuer directement des binaires de rançongiciels. Dans Gmail, la protection avancée contre l'hameçonnage et les logiciels malveillants offre des contrôles de mise en quarantaine des e-mails et de défense contre les types de pièces jointes dangereuses, et protège les utilisateurs des e-mails de spoofing entrants. Le bac à sable de sécurité est conçu pour détecter la présence de logiciels malveillants jusqu'ici inconnus dans les pièces jointes.

Le navigateur Chrome inclut la navigation sécurisée Google, conçue pour fournir des avertissements aux utilisateurs lorsqu'ils tentent d'accéder à un site infecté ou malveillant. Les bacs à sable et l'isolation de sites permettent d'éviter la propagation de code malveillant dans différents processus dans un même onglet. La protection par mot de passe est conçue pour fournir des alertes lorsqu'un mot de passe d'entreprise est utilisé sur un compte personnel, et vérifie si l'un des mots de passe utilisateur enregistrés a été compromis en raison d'une faille en ligne. Dans ce scénario, le navigateur invite l'utilisateur à modifier son mot de passe.

Les fonctionnalités de Chromebook suivantes aident à se protéger contre les attaques par hameçonnage et rançongiciel :

  • Système d'exploitation en lecture seule (Chrome OS). Ce système est conçu pour se mettre à jour en continu et de manière invisible. Chrome OS vous aide à vous protéger contre les failles les plus récentes et inclut des contrôles qui empêchent les applications et les extensions de les modifier.
  • Bac à sable. Chaque application s'exécute dans un environnement isolé. Ainsi, une application malveillante ne peut pas facilement infecter d'autres applications.
  • Démarrage validé. Pendant son démarrage, le Chromebook est conçu pour vérifier que le système n'a pas été modifié.
  • Navigation sécurisée. Chrome télécharge régulièrement la liste de navigation sécurisée la plus récente des sites non sécurisés. Elle est conçue pour vérifier les URL de chaque site consulté par un utilisateur et comparer chaque fichier téléchargé par l'utilisateur à cette liste.
  • Puces de sécurité Titan C Ces puces contribuent à protéger les utilisateurs contre les attaques par hameçonnage en activant l'authentification à deux facteurs et protègent le système d'exploitation contre les falsifications malveillantes.

Pour réduire la surface d'exposition aux attaques de votre organisation, envisagez d'utiliser des Chromebooks pour les utilisateurs qui travaillent principalement dans un navigateur.

Étape suivante