Ransomware-Angriffe mit Google Cloud abschwächen

Code, der von einem Dritten zum Infiltrieren Ihrer Systeme zum Hacken, Verschlüsseln und Stehlen von Daten erstellt wurde, wird als Ransomware bezeichnet. Damit Sie Ransomware-Angriffe abschwächen können, bietet Ihnen Google Cloud die Möglichkeit, Angriffe zu identifizieren und zu erkennen, auf sie zu reagieren, sich vor ihnen zu schützen und sie zu überwinden. Mit diesen Funktionen können Sie Folgendes tun:

• Das Risiko bewerten
• Ihr Unternehmen vor Bedrohungen schützen
• Kontinuierliche Vorgänge verwalten
• Schnelle Reaktion und Wiederherstellung ermöglichen

Dieses Dokument ist Teil einer Reihe, die sich an Sicherheitsarchitekten und Administratoren richtet. Es wird beschrieben, wie Google Cloud dabei helfen kann, die Auswirkungen von Ransomware-Angriffen abzumildern. Außerdem werden die Ransomware-Angriffssequenz und die integrierten Sicherheitsfunktionen in Google-Produkten beschrieben, mit denen Sie Ransomware-Angriffe verhindern können.

Die Reihe besteht aus folgenden Teilen:

• Ransomware-Angriffe mit Google Cloud abschwächen (dieses Dokument)
• Best Practices zur Abschwächung von Ransomware-Angriffen mit Google Cloud

Ransomware-Angriffssequenz

Ransomware-Angriffe können als Massenkampagnen beginnen, die nach potenziellen Sicherheitslücken suchen, oder als gezielte Kampagnen. Eine gezielte Kampagne beginnt mit Identifizierung und Ausspähung, wobei ein Angreifer feststellt, welche Organisationen anfällig sind und welcher Angriffsvektor verwendet werden soll.

Es gibt viele Ransomware-Angriffsvektoren. Bei den häufigsten handelt es sich um Phishing-E-Mails mit schädlichen URLs und um die Ausnutzung von Softwaresicherheitslücken. Diese Softwaresicherheitslücke kann sich in der Software befinden, die Ihre Organisation verwendet, oder in der Softwarelieferkette. Ransomware-Angreifer zielen auf Organisationen, ihre Lieferkette und ihre Kunden ab.

Wenn der erste Angriff erfolgreich ist, installiert die Ransomware sich selbst und kontaktiert den Befehls- und Steuerungsserver, um die Verschlüsselungsschlüssel abzurufen. Wenn sich Ransomware über das Netzwerk verteilt, kann sie Ressourcen infizieren, Daten mit den abgerufenen Schlüsseln verschlüsseln und Daten exfiltrieren. Für den Entschlüsselungsschlüssel fordern die Angreifer ein Lösegeld (normalerweise in Kryptowährung) von der Organisation.

Das folgende Diagramm fasst die typische Abfolge von Ransomware-Angriffen zusammen, die in den vorherigen Abschnitten erläutert wurden – von der Identifizierung und Ausspähung bis zur Daten-Exfiltration und Lösegeldforderung.

Ransomware ist oft schwer zu erkennen. Gemäß Sophos benötigt eine Organisation ca. 11 Tage dafür, einen Ransomware-Angriff zu erkennen, während FireEye eine durchschnittliche Zeit von 24 Tagen angibt. Daher ist es von zentraler Bedeutung, dass Sie Funktionen zur Prävention, Überwachung und Erkennung einrichten und Ihre Organisation bereit ist, schnell zu reagieren, wenn jemand einen Angriff erkennt.

Sicherheits- und Ausfallsicherheitsfunktionen in Google Cloud

Google Cloud umfasst integrierte Sicherheits- und Ausfallsicherheitsfunktionen, um Kunden vor Ransomware-Angriffen zu schützen. Diese Funktionen umfassen Folgendes:

• Globale Infrastruktur, deren gesamter Informationsverarbeitungszyklus geschützt ist
• Integrierte Sicherheitsfeatures für Google Cloud-Produkte und -Dienste wie Monitoring, Bedrohungserkennung, Schutz vor Datenverlust und Zugriffssteuerung
• Hochverfügbarkeit mit regionalen Clustern und globalen Load-Balancern
• Integrierte Sicherung mit einfach skalierbaren Diensten
• Automatisierungsfunktionen mit Infrastruktur als Code und Konfigurationsvorkehrungen

Google Cloud Threat Intelligence for Chronicle und VirusTotal verfolgen viele Arten von Malware, einschließlich Ransomware, in der Infrastruktur und den Produkten von Google, und reagieren darauf. Google Cloud Threat Intelligence for Chronicle ist ein Team von Bedrohungsforschern, die für Chronicle Bedrohungsinformationen erstellen. VirusTotal ist eine Malware-Datenbank- und Visualisierungslösung, die Ihnen einen besseren Überblick über die Funktionsweise von Malware in Ihrem Unternehmen bietet.

Weitere Informationen zu integrierten Sicherheitsfunktionen finden Sie im Google-Sicherheitsdokument und in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google.

Sicherheits- und Ausfallsicherheitsfunktionen in Google Workspace, Chrome und Chromebooks

Zusätzlich zu den Funktionen in Google Cloud bieten andere Google-Produkte wie Google Workspace, Google Chrome und Chromebooks Sicherheitsfunktionen, mit denen Sie Ihre Organisation besser vor Ransomware-Angriffen schützen können. Google-Produkte bieten beispielsweise Sicherheitsfunktionen, mit denen Remote-Mitarbeiter je nach Identität und Kontext (z. B. Standort oder IP-Adresse) von überall auf Ressourcen zugreifen können.

Wie im Abschnitt Ransomware-Angriffssequenz beschrieben, sind E-Mails ein bedeutender Vektor für viele Ransomware-Angriffe. Sie können dazu genutzt werden, Anmeldedaten für betrügerischen Netzwerkzugriff per Phishing zu stehlen und direkt Ransomware-Binärdateien zu verteilen. Erweiterter Phishing- und Malware-Schutz in Gmail bietet Funktionen für die Quarantäne von E-Mails, schützt vor gefährlichen Anhangstypen und schützt Nutzer vor eingehenden Spoofing-E-Mails. Mit der Sicherheits-Sandbox kann das Vorhandensein zuvor unbekannter Malware in Anhängen erkannt werden.

Der Chrome-Browser umfasst Google Safe Browsing, das Nutzer vor dem Zugriff auf eine infizierte oder schädliche Website warnt. Sandboxes und die Website-Isolierung schützen vor der Weitergabe von schädlichem Code in verschiedenen Prozessen auf demselben Tab. Der Passwortschutz bietet Benachrichtigungen, wenn ein Unternehmenspasswort für ein persönliches Konto verwendet wird, und prüft, ob eines der gespeicherten Passwörter des Nutzers bei einem Online-Sicherheitsvorfall gestohlen wurde. In diesem Szenario fordert der Browser den Nutzer auf, sein Passwort zu ändern.

Die folgenden Chromebooks-Features schützen vor Phishing- und Ransomware-Angriffen:

• Schreibgeschütztes Betriebssystem (Chrome OS). Dieses System ist so konzipiert, dass es ständig und unsichtbar aktualisiert wird. Chrome OS schützt vor den neuesten Sicherheitslücken und bietet Funktionen, damit Anwendungen und Erweiterungen es nicht ändern können.
• Sandbox-Technologie. Jede Anwendung wird in einer isolierten Umgebung ausgeführt, sodass eine schädliche Anwendung andere Anwendungen nicht einfach infizieren kann.
• Verifizierter Bootmodus. Während des Bootens des Chromebooks wird überprüft, ob das System geändert wurde.
• Safe Browsing. Chrome lädt regelmäßig die neueste Safe Browsing-Liste unsicherer Websites herunter. Es wurde dafür entwickelt, die URLs jeder Website, die ein Nutzer aufruft, und jede Datei, die ein Nutzer herunterlädt, anhand dieser Liste zu prüfen.
• Titan C-Sicherheitschips. Diese Chips schützen Nutzer vor Phishing-Angriffen, indem sie die 2-Faktor-Authentifizierung aktivieren und das Betriebssystem vor böswilligen Manipulationen schützen.

Zur Reduzierung der Angriffsfläche Ihrer Organisation sollten Sie Chromebooks für Nutzer verwenden, die hauptsächlich in einem Browser arbeiten.

Nächste Schritte

• Implementieren Sie Best Practices zur Abschwächung von Ransomware-Angriffen (nächstes Dokument).
• Siehe 5 Säulen zum Schutz vor Ransomware-Angriffen für Techniken zur Verhinderung von und Reaktion auf Ransomware-Angriffe.
• Weitere Informationen zu Zero-Trust-Lösungen finden Sie unter Geräte und Zero-Trust.
• Mit dem Sicherheits- und Ausfallsicherheits-Framework können Sie die Kontinuität gewährleisten und Ihr Unternehmen vor negativen Cyberereignissen schützen.