O ransomware é um código criado por terceiros para se infiltrar nos seus sistemas a fim de invadir, criptografar e roubar dados. Para reduzir ataques de ransomware, o Google Cloud oferece controles para identificar, proteger, detectar, responder e se recuperar de ataques. Esses controles ajudam a fazer o seguinte:
- avaliar seu risco;
- proteger seu negócio contra ameaças;
- manter operações contínuas;
- ativar resposta e recuperação rápidas.
Este documento faz parte de uma série destinada a arquitetos e administradores de segurança. Nele, explicamos como o Google Cloud pode ajudar sua organização a reduzir os efeitos dos ataques de ransomware. Ele também descreve a sequência de um ataque de ransomware e os controles de segurança integrados nos produtos do Google que ajudam a evitar esse tipo de ataque.
A série tem as seguintes partes:
- Como reduzir ataques de ransomware usando o Google Cloud (este documento)
- Práticas recomendadas para reduzir ataques de ransomware usando o Google Cloud
Sequência de ataques de ransomware
Os ataques de ransomware podem começar como campanhas em massa que buscam possíveis vulnerabilidades ou como campanhas direcionadas. Uma campanha direcionada começa com identificação e reconhecimento, em que um invasor determina quais organizações são vulneráveis e qual vetor de ataque usar.
Há muitos vetores de ataque de ransomware. Os mais comuns são e-mails de phishing com URLs maliciosos ou exploração de uma vulnerabilidade de software exposta. Essa vulnerabilidade de software pode estar no software usado pela organização ou em uma vulnerabilidade da cadeia de suprimentos de software. Os invasores de ransomware visam organizações, a cadeia de suprimentos e os clientes.
Quando o ataque inicial é bem-sucedido, o ransomware é instalado automaticamente e entra em contato com o comando e o servidor de controle para recuperar as chaves de criptografia. À medida que o ransomware se espalha por toda a rede, ele pode infectar recursos, criptografar dados usando as chaves recuperadas e exfiltrar dados. Os invasores pedem para a organização um resgate, normalmente em criptomoedas, para que possam receber a chave de descriptografia.
O diagrama a seguir resume a sequência típica de ataques de ransomware explicada nos parágrafos anteriores, desde a identificação e o reconhecimento até a exfiltração de dados e o pedido de resgate.
O ransomware costuma ser difícil de detectar. De acordo com a Sophos, uma organização leva cerca de 11 dias para descobrir um ataque de ransomware, enquanto o FireEye (em inglês) informa um tempo médio de 24 dias. Portanto, é fundamental que você implemente recursos de prevenção, monitoramento e detecção e que sua organização esteja pronta para responder rapidamente quando alguém descobrir um ataque.
Controles de segurança e resiliência no Google Cloud
O Google Cloud inclui controles integrados de segurança e resiliência para proteger os clientes contra ataques de ransomware. Esses controles incluem o seguinte:
- Infraestrutura global projetada com segurança durante todo o ciclo de vida do processamento de informações.
- Recursos de segurança integrados para produtos e serviços do Google Cloud, como monitoramento, detecção de ameaças, prevenção contra perda de dados e controles de acesso.
- Alta disponibilidade com clusters regionais e balanceadores de carga globais.
- Backup integrado, com serviços escalonáveis.
- Recursos de automação usando Infraestrutura como código e proteções de configuração.
O Google Cloud Threat Intelligence for Chronicle e o VirusTotal monitoram e respondem a muitos tipos de malware, incluindo ransomware, na infraestrutura e nos produtos do Google. O Google Cloud Threat Intelligence for Chronicle é uma equipe de pesquisadores de ameaças que desenvolve inteligência de ameaças para o Chronicle. O VirusTotal é um banco de dados de malware e uma solução de visualização que oferece uma melhor compreensão de como o malware opera dentro da sua empresa.
Saiba mais sobre os controles de segurança integrados, consulte o documento de segurança do Google e a Visão geral do design de segurança da infraestrutura do Google.
Controles de segurança e resiliência no Google Workspace, no navegador Chrome e nos Chromebooks
Além dos controles do Google Cloud, outros produtos do Google, como o Google Workspace, o navegador Google Chrome e os Chromebooks, incluem controles de segurança que podem ajudar a proteger sua organização contra ataques de ransomware. Por exemplo, os produtos do Google oferecem controles de segurança que permitem que trabalhadores remotos acessem recursos de qualquer lugar, com base na identidade e no contexto (como localização ou endereço IP).
Conforme descrito na seção Sequência de ataque de ransomware, o e-mail é um vetor importante para muitos ataques de ransomware. Ele pode ser explorado para phishing de credenciais para acesso fraudulento à rede e distribuição direta de binários de ransomware. A proteção avançada contra phishing e malware no Gmail oferece controles para colocar e-mails em quarentena, proteção contra tipos de anexos perigosos e ajuda a proteger os usuários contra e-mails de spoofing. O sandbox de segurança foi projetado para detectar a presença de malware anteriormente desconhecido nos anexos.
O navegador Chrome inclui a Navegação segura do Google, que foi criada para fornecer avisos quando os usuários tentam acessar um site infectado ou malicioso. Os sandboxes e o isolamento de sites ajudam a proteger contra a propagação de código malicioso em diferentes processos na mesma guia. A Proteção por senha foi criada para fornecer alertas quando uma senha corporativa estiver sendo usada em uma conta pessoal e verificar se alguma das senhas salvas do usuário foi comprometida em uma violação on-line. Nesse cenário, o navegador solicita que o usuário altere a senha.
Os seguintes recursos do Chromebook ajudam a proteger contra ataques de phishing e ransomware:
- Sistema operacional com acesso somente leitura (Chrome OS). Esse sistema foi projetado para ser atualizado constantemente e de forma invisível. O Chrome OS ajuda a proteger contra as vulnerabilidades mais recentes e inclui controles que garantem que aplicativos e extensões não possam modificá-la.
- Como colocar no sandbox. Cada aplicativo é executado em um ambiente isolado. Portanto, um aplicativo nocivo pode não infectar facilmente outros aplicativos.
- Inicialização verificada. Enquanto o Chromebook está sendo inicializado, ele foi projetado para verificar se o sistema não foi modificado.
- Navegação segura. O Chrome faz o download periódico da lista de sites não seguros mais recentes. Ela foi projetada para verificar os URLs de cada site que um usuário visita e verifica cada download de arquivo que um usuário faz nessa lista.
- Chips de segurança Titan C. Esses chips ajudam a proteger os usuários contra ataques de phishing, ativando a autenticação de dois fatores, e protegem o sistema operacional contra adulterações maliciosas.
Para ajudar a reduzir a superfície de ataque da organização, considere os Chromebooks para usuários que trabalham principalmente em um navegador.
A seguir
- Implemente as práticas recomendadas para reduzir ataques de ransomware (próximo documento).
- Veja cinco pilares de proteção para impedir ataques de ransomware para técnicas de prevenção e resposta a ataques de ransomware.
- Leia mais sobre soluções de confiança zero em Dispositivos e confiança zero.
- Ajude a garantir a continuidade e proteja seus negócios contra eventos cibernéticos adversos usando o Framework de segurança e resiliência.