Il codice creato da una terza parte per infiltrarsi nei tuoi sistemi al fine di assumere il controllo, criptare e rubare i dati, è definito ransomware. Per aiutarti a mitigare gli attacchi ransomware, Google Cloud fornisce controlli per l'identificazione, la protezione, il rilevamento, la risposta e il ripristino dagli attacchi. Questi controlli ti consentono di:
- Valuta il tuo rischio.
- Proteggi la tua attività dalle minacce.
- Mantenere la continuità operativa.
- Consenti una risposta e un ripristino rapidi.
Questo documento fa parte di una serie destinata agli architetti e agli amministratori della sicurezza. Descrive come Google Cloud può aiutare la tua organizzazione a mitigare gli effetti degli attacchi ransomware. Descrive inoltre la sequenza degli attacchi ransomware e i controlli di sicurezza integrati nei prodotti Google che ti aiutano a prevenire gli attacchi ransomware.
La serie è composta dalle seguenti parti:
- Mitigazione degli attacchi ransomware utilizzando Google Cloud (questo documento)
- Best practice per la mitigazione degli attacchi ransomware utilizzando Google Cloud
Sequenza di attacchi ransomware
Gli attacchi ransomware possono iniziare come campagne di massa alla ricerca di potenziali vulnerabilità o come campagne dirette. Una campagna diretta inizia con l'identificazione e la ricognizione, in cui un utente malintenzionato determina quali organizzazioni sono vulnerabili e quale vettore di attacco utilizzare.
Esistono molti vettori di attacco ransomware. I più comuni sono le e-mail di phishing con URL dannosi o lo sfruttamento di una vulnerabilità software esposta. Questa vulnerabilità può riguardare il software utilizzato dalla tua organizzazione o una vulnerabilità presente nella catena di fornitura del software. Gli aggressori ransomware prendono di mira le organizzazioni, la catena di fornitura e i clienti.
Una volta che l'attacco iniziale ha esito positivo, il ransomware si installa automaticamente e contatta il server di comando e controllo per recuperare le chiavi di crittografia. Man mano che il ransomware si diffonde nella rete, può infettare le risorse, criptare i dati utilizzando le chiavi recuperate ed esfiltrare i dati. Gli aggressori chiedono all'organizzazione un riscatto, solitamente in criptovalute, per ottenere la chiave di decrittografia.
Il seguente diagramma riassume la sequenza tipica di attacchi ransomware spiegata nei paragrafi precedenti, dall'identificazione e la ricognizione all'esfiltrazione di dati e alla richiesta di riscatto.
Il ransomware è spesso difficile da rilevare. Secondo Sophos, un'organizzazione impiega circa 11 giorni per scoprire un attacco ransomware, mentre FireEye segnala un tempo medio di 24 giorni. È quindi fondamentale mettere in atto funzionalità di prevenzione, monitoraggio e rilevamento e che la tua organizzazione sia pronta a rispondere rapidamente quando qualcuno scopre un attacco.
Controlli di sicurezza e resilienza in Google Cloud
Google Cloud include controlli integrati di sicurezza e resilienza per aiutare a proteggere i clienti dagli attacchi ransomware. Questi controlli includono:
- Infrastruttura globale progettata con sicurezza per tutto il ciclo di vita dell'elaborazione delle informazioni.
- Funzionalità di sicurezza integrate per i prodotti e i servizi Google Cloud, come monitoraggio, rilevamento delle minacce, prevenzione della perdita di dati e controlli dell'accesso.
- Disponibilità elevata con cluster a livello di regione e bilanciatori del carico globali.
- Backup integrato, con servizi facilmente scalabili.
- di Automation grazie all'uso di Infrastructure as Code e ai sistemi di protezione.
Google Cloud Threat Intelligence per Google Security Operations e VirusTotal monitorano e rispondono a molti tipi di malware, incluso il ransomware, nell'infrastruttura e nei prodotti Google. Google Cloud Threat Intelligence per Google Security Operations è un team di ricercatori sulle minacce che sviluppa la threat intelligence per Google Security Operations. VirusTotal è una soluzione di database e visualizzazione dei malware che consente di capire meglio come funziona il malware all'interno dell'azienda.
Per ulteriori informazioni sui controlli di sicurezza integrati, consulta il documento sulla sicurezza di Google e la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
Controlli di sicurezza e resilienza in Google Workspace, nel browser Chrome e nei Chromebook
Oltre ai controlli all'interno di Google Cloud, altri prodotti Google come Google Workspace, il browser Google Chrome e i Chromebook includono controlli di sicurezza che possono aiutare a proteggere la tua organizzazione dagli attacchi ransomware. Ad esempio, i prodotti Google forniscono controlli di sicurezza che consentono ai lavoratori da remoto di accedere alle risorse da qualsiasi luogo, in base alla loro identità e al loro contesto (come posizione o indirizzo IP).
Come descritto nella sezione Sequenza di attacchi ransomware, l'email è un vettore chiave per molti attacchi ransomware. Può essere sfruttata per ottenere credenziali di phishing per l’accesso fraudolento alla rete e per distribuire direttamente i file binari di ransomware. La protezione da phishing e malware avanzata in Gmail fornisce controlli per mettere in quarantena le email, difende da tipi di allegati pericolosi e contribuisce a proteggere gli utenti dalle email di spoofing in entrata. La sandbox per la sicurezza è progettata per rilevare la presenza di malware precedentemente sconosciuti negli allegati.
Il browser Chrome include Google Navigazione sicura, progettata per fornire avvisi agli utenti quando tentano di accedere a un sito infetto o dannoso. Le sandbox e l'isolamento dei siti proteggono dalla diffusione di codice dannoso all'interno di diversi processi nella stessa scheda. La protezione tramite password è progettata per fornire avvisi quando una password aziendale viene utilizzata in un account personale e controlla se una delle password salvate degli utenti è stata compromessa a causa di una violazione online. In questo scenario, il browser chiede all'utente di cambiare la password.
Le seguenti funzionalità di Chromebook contribuiscono alla protezione da attacchi di phishing e ransomware:
- Sistema operativo di sola lettura (Chrome OS). Questo sistema è progettato per aggiornarsi costantemente e in modo invisibile. ChromeOS contribuisce a proteggere dalle vulnerabilità più recenti e include controlli che assicurano che applicazioni ed estensioni non possano modificarlo.
- Limitazione tramite sandbox. Ogni applicazione viene eseguita in un ambiente isolato, quindi un'applicazione dannosa non può facilmente infettare altre applicazioni.
- Avvio verificato. Durante l'avvio, il Chromebook è progettato per controllare che il sistema non sia stato modificato.
- Navigazione sicura. Chrome scarica periodicamente l'elenco di siti non sicuri più recente di Navigazione sicura. È progettata per verificare gli URL di ogni sito visitato da un utente e confrontare ogni file scaricato dall'utente in base all'elenco.
- Chip di sicurezza Titan C. Questi chip contribuiscono a proteggere gli utenti dagli attacchi phishing abilitando l'autenticazione a due fattori e proteggono il sistema operativo da manomissioni dannose.
Per ridurre la superficie di attacco della tua organizzazione, prendi in considerazione i Chromebook per gli utenti che lavorano principalmente su un browser.
Passaggi successivi
- Implementare le best practice per la mitigazione degli attacchi ransomware (prossimo documento).
- Vedi 5 pilastri di protezione per prevenire gli attacchi ransomware per le tecniche di prevenzione e risposta agli attacchi ransomware.
- Scopri di più sulle soluzioni Zero Trust in Dispositivi e Zero Trust.
- Garantisci la continuità e proteggi la tua azienda da eventi informatici avversi utilizzando il framework per sicurezza e resilienza.