Codice creato da una terza parte per infiltrarsi nei tuoi sistemi per dirottare crittografare e rubare i dati sono chiamati ransomware. Per aiutarti a ridurre attacchi ransomware, Google Cloud ti offre i controlli per identificare, proteggere rilevare, rispondere e recuperare dagli attacchi. Questi controlli ti consentono di:
- Valuta il tuo rischio.
- Proteggi la tua attività dalle minacce.
- Mantenere la continuità operativa.
- Consenti una risposta e un ripristino rapidi.
Questo documento fa parte di una serie destinata agli architetti della sicurezza e Google Workspace for Education. Descrive in che modo Google Cloud può aiutare la tua organizzazione per mitigare gli effetti degli attacchi ransomware. Descrive inoltre il ransomware la sequenza di attacchi e i controlli di sicurezza integrati nei prodotti Google, per prevenire gli attacchi ransomware.
La serie è composta dalle seguenti parti:
- Mitigazione degli attacchi ransomware utilizzando Google Cloud (questo documento)
- Best practice per la mitigazione degli attacchi ransomware utilizzando Google Cloud
Sequenza di attacchi ransomware
Gli attacchi ransomware possono iniziare come campagne di massa alla ricerca di potenziali vulnerabilità o come campagne dirette. Una campagna diretta inizia con l'identificazione e la ricognizione, dove un aggressore determina quali organizzazioni sono vulnerabili e quale attacco vettore da utilizzare.
Esistono molti vettori di attacco ransomware. I più comuni sono le e-mail di phishing con URL dannosi o lo sfruttamento di una vulnerabilità software esposta. Questa vulnerabilità può riguardare il software utilizzato dall'organizzazione, o una vulnerabilità nella tua catena di fornitura del software. Ransomware gli aggressori prendono di mira le aziende, la catena di fornitura e i clienti.
Quando l’attacco iniziale ha esito positivo, il ransomware si installa automaticamente contatta il server di comando e controllo per recuperare le chiavi di crittografia. Come il ransomware si diffonde in tutta la rete, può infettare le risorse, criptare i dati utilizzando le chiavi recuperate e eseguire l'esfiltrazione dei dati. Gli aggressori chiedono un riscatto, solitamente in criptovalute, dell'organizzazione in modo da poter ottenere la chiave di decrittografia.
Il seguente diagramma riassume la tipica sequenza di attacchi ransomware descritti nei paragrafi precedenti, dall’identificazione e la ricognizione alla esfiltrazione di dati e la richiesta di riscatto.
Il ransomware è spesso difficile da rilevare. In base a Sophos ci vuole circa 11 giorni per un'organizzazione di scoprire un attacco ransomware, FireEye segnala un tempo medio di 24 giorni. È quindi fondamentale adottare misure di prevenzione, monitoraggio e rilevamento e che la tua organizzazione sia pronta a rispondere rapidamente quando qualcuno scopre un attacco.
Controlli di sicurezza e resilienza in Google Cloud
Google Cloud include controlli integrati per la sicurezza e la resilienza per aiutarti proteggere i clienti dagli attacchi ransomware. Questi controlli includono:
- Infrastruttura globale progettata con sicurezza per tutto il ciclo di vita dell'elaborazione delle informazioni.
- Funzionalità di sicurezza integrate per i prodotti e i servizi Google Cloud, come monitoraggio, rilevamento delle minacce, prevenzione della perdita di dati e controlli dell'accesso.
- Disponibilità elevata con cluster a livello di regione e bilanciatori del carico globali.
- Backup integrato, con servizi facilmente scalabili.
- di Automation grazie all'uso di Infrastructure as Code della configurazione.
Google Cloud Threat Intelligence per le operazioni di sicurezza di Google e VirusTotal monitorare e rispondere a molti tipi di malware, incluso il ransomware, su Google infrastruttura e prodotti. Google Cloud Threat Intelligence per Google Security Operations è un team di ricercatori di minacce che per sviluppare la threat intelligence Google Security Operations. VirusTotal è una soluzione di database e visualizzazione per malware che ti consente di capire meglio come funziona il malware all'interno della tua azienda.
Per ulteriori informazioni sui controlli di sicurezza integrati, vedi Documento sulla sicurezza di Google e Panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
Controlli di sicurezza e resilienza in Google Workspace, nel browser Chrome e nei Chromebook
Oltre ai controlli all'interno di Google Cloud, ci sono altri prodotti Google come Google Workspace, il browser Google Chrome e I Chromebook includono controlli di sicurezza che possono aiutarti a proteggere la tua organizzazione dagli attacchi ransomware. Ad esempio, i prodotti Google offrono controlli di sicurezza che consentono ai lavoratori da remoto di accedere alle risorse da qualsiasi luogo, in base alla loro identità e al loro contesto (come località o indirizzo IP).
Come descritto nei nella sezione Sequenza di attacchi ransomware, le e-mail sono un vettore chiave per molti attacchi ransomware. Può essere sfruttata per fare phishing credenziali per l’accesso fraudolento alla rete e per la distribuzione di ransomware direttamente i file binari. Protezione da phishing e malware avanzata di Gmail fornisce i controlli per mettere in quarantena le email, protegge dai tipi di allegati pericolosi e contribuisce a proteggere gli utenti dalle email di spoofing in entrata. Sandbox per la sicurezza è progettato per rilevare la presenza di malware precedentemente sconosciuti negli allegati.
Il browser Chrome include Google Navigazione sicura, che è progettato per fornire avvisi agli utenti quando tentano di accedere a un sito web infetto o sito dannoso. Sandbox e isolamento dei siti aiutano a proteggere dalla diffusione di codice dannoso all'interno di diversi processi nella stessa scheda. Protezione tramite password è progettato per fornire avvisi quando una password aziendale viene utilizzata su un account personale, e controlla se una delle password salvate dell'utente è stata compromessa in una violazione online. In questo scenario, il browser chiede all'utente di modificare password.
Le seguenti Funzionalità di Chromebook contribuiscono alla protezione dagli attacchi di phishing e ransomware:
- Sistema operativo di sola lettura (Chrome OS). Questo sistema è progettato per aggiornarsi costantemente e in modo invisibile. ChromeOS aiuta a proteggere dalle vulnerabilità più recenti e include controlli che assicurano da parte di applicazioni ed estensioni non possono modificarlo.
- Limitazione tramite sandbox. Ogni applicazione viene eseguita in un ambiente isolato, quindi una non sia in grado di infettare facilmente altre applicazioni.
- Avvio verificato. Durante l'avvio, il Chromebook è progettato per controllare che il sistema non è stato modificato.
- Navigazione sicura. Chrome scarica periodicamente la versione più recente di Navigazione sicura elenco di siti non sicuri. È progettato per controllare gli URL di ogni sito visitato da un utente. e confronta ogni file scaricato da un utente con l'elenco.
- Chip di sicurezza Titan C. Questi chip aiutano a proteggere gli utenti dagli attacchi di phishing grazie all'attivazione l'autenticazione e proteggono il sistema operativo da manomissioni dannose.
Per ridurre la superficie di attacco della tua organizzazione, prendi in considerazione i Chromebook per utenti che lavorano principalmente su un browser.
Passaggi successivi
- Implementare le best practice per la mitigazione degli attacchi ransomware (prossimo documento).
- Consulta 5 pilastri di protezione per prevenire gli attacchi ransomware delle tecniche di prevenzione e risposta agli attacchi ransomware.
- Scopri di più sulle soluzioni Zero Trust in Dispositivi e Zero Trust.
- Garantisci la continuità e proteggi la tua azienda dagli attacchi informatici utilizzando Framework di sicurezza e resilienza.