Il codice creato da terze parti per infiltrarsi nei tuoi sistemi al fine di rubare, criptare e rubare i dati è chiamato ransomware. Per aiutarti a mitigare gli attacchi di ransomware,Google Cloud ti fornisce controlli per identificare, proteggere, rilevare, rispondere e recuperare dagli attacchi. Questi controlli ti consentono di:
- Valuta il rischio.
- Proteggi la tua attività dalle minacce.
- Mantenere le operazioni ininterrotte.
- Consente una risposta e un recupero rapidi.
Questo documento fa parte di una serie destinata ad architetti e amministratori della sicurezza. Descrive in che modo Google Cloud può aiutare la tua organizzazione a ridurre gli effetti degli attacchi di ransomware. Descrive inoltre la sequenza di attacco del ransomware e i controlli di sicurezza integrati nei prodotti Google che ti aiutano a prevenire gli attacchi di ransomware.
La serie è composta dalle seguenti parti:
- Mitigare gli attacchi di ransomware utilizzando Google Cloud (questo documento)
- Best practice per mitigare gli attacchi di ransomware utilizzando Google Cloud
Sequenza di attacco di ransomware
Gli attacchi ransomware possono iniziare come campagne collettive alla ricerca di potenziali vulnerabilità o come campagne mirate. Una campagna mirata inizia con l'identificazione e la ricognizione, in cui un malintenzionato determina quali organizzazioni sono vulnerabili e quale vettore di attacco da utilizzare.
Esistono molti vettori di attacco ransomware. Le più comuni sono le email di phishing con URL dannosi o che sfruttano una vulnerabilità del software esposta. Questa vulnerabilità del software può essere nel software utilizzato dalla tua organizzazione o una vulnerabilità esistente nella catena di fornitura del software. Gli autori di attacchi di ransomware scelgono come bersaglio le organizzazioni, la loro catena di approvvigionamento e i loro clienti.
Se l'attacco iniziale va a buon fine, il ransomware si installa e contatta il server di comando e controllo per recuperare le chiavi di crittografia. Man mano che il ransomware si diffonde nella rete, può infettare le risorse, criptare i dati utilizzando le chiavi recuperate ed esfiltrarli. Gli aggressori richiedono un riscatto, in genere in criptovalute, all'organizzazione per poter ottenere la chiave di decrittografia.
Il seguente diagramma riassume la sequenza di attacco di ransomware tipica spiegata nei paragrafi precedenti, dall'identificazione e dalla ricognizione alla esfiltrazione dei dati e alla richiesta di riscatto.
Spesso è difficile rilevare il ransomware. Secondo Sophos, un'organizzazione impiega circa 11 giorni per rilevare un attacco ransomware, mentre FireEye registra un tempo medio di 24 giorni. È quindi fondamentale implementare funzionalità di prevenzione, monitoraggio e rilevamento e assicurarsi che la tua organizzazione sia pronta a rispondere rapidamente quando qualcuno scopre un attacco.
Controlli di sicurezza e resilienza in Google Cloud
Google Cloud include controlli di sicurezza e resilienza integrati per contribuire a proteggere i clienti dagli attacchi ransomware. Questi controlli includono:
- Infrastruttura globale progettata con sicurezza durante tutto il ciclo di vita del trattamento delle informazioni.
- Funzionalità di sicurezza integrate per Google Cloud prodotti e servizi, come monitoraggio, rilevamento delle minacce, prevenzione della perdita di dati e controlli dell'accesso.
- Alta disponibilità con cluster regionali e bilanciatori del carico globali.
- Backup integrato, con servizi facilmente scalabili.
- Funzionalità di Automation che utilizzano Infrastructure as Code e linee guida per la configurazione.
Google Cloud Threat Intelligence per Google Security Operations e VirusTotal monitorano e rispondono a molti tipi di malware, inclusi i ransomware, nell'� Google Cloud VirusTotal è una soluzione di visualizzazione e database di malware che ti consente di comprendere meglio il funzionamento dei malware all'interno della tua azienda.
Per ulteriori informazioni sui controlli di sicurezza integrati, consulta il documento sulla sicurezza di Google e la Panoramica sulla progettazione della sicurezza per l'infrastruttura Google.
Controlli di sicurezza e resilienza in Google Workspace, nel browser Chrome e sui Chromebook
Oltre ai controlli all'interno di Google Cloud, altri prodotti Google come Google Workspace, il browser Google Chrome e i Chromebook includono controlli di sicurezza che possono contribuire a proteggere la tua organizzazione dagli attacchi di ransomware. Ad esempio, i prodotti Google forniscono controlli di sicurezza che consentono ai lavoratori da remoto di accedere alle risorse da qualsiasi luogo, in base alla loro identità e al contesto (ad esempio posizione o indirizzo IP).
Come descritto nella sezione Sequenza di attacco ransomware, l'email è un vettore chiave per molti attacchi ransomware. Può essere sfruttato per rubare le credenziali per l'accesso fraudolento alla rete e per distribuire direttamente i file binari del ransomware. La protezione avanzata da malware e phishing in Gmail fornisce controlli per mettere in quarantena le email, protegge da tipi di allegati pericolosi e aiuta a proteggere gli utenti dalle email di spoofing in entrata. Sandbox per la sicurezza è progettata per rilevare la presenza di malware precedentemente sconosciuto negli allegati.
Il browser Chrome include Google Navigazione sicura, progettato per fornire avvisi agli utenti quando tentano di accedere a un sito infetto o dannoso. Le sandbox e l'isolamento dei siti aiutano a proteggere dalla diffusione di codice dannoso all'interno di diversi processi nella stessa scheda. La protezione tramite password è progettata per fornire avvisi quando una password aziendale viene utilizzata su un account personale e controlla se una delle password salvate dell'utente è stata compromessa in seguito a una violazione online. In questo caso, il browser chiede all'utente di modificare la password.
Le seguenti funzionalità di Chromebook aiutano a proteggerti da attacchi di phishing e ransomware:
- Sistema operativo di sola lettura (ChromeOS). Questo sistema è progettato per aggiornarsi costantemente e in modo invisibile. ChromeOS contribuisce a proteggerti dalle vulnerabilità più recenti e include controlli che garantiscono che applicazioni ed estensioni non possano modificarlo.
- Limitazione tramite sandbox. Ogni applicazione viene eseguita in un ambiente isolato, pertanto un'applicazione dannosa non può infettare facilmente altre applicazioni.
- Avvio verificato. Durante l'avvio, Chromebook è progettato per verificare che il sistema non sia stato modificato.
- Navigazione sicura. Chrome scarica periodicamente l'elenco più recente dei siti non sicuri di Navigazione sicura. È progettato per controllare gli URL di ogni sito visitato da un utente e ogni file scaricato dall'utente in base a questo elenco.
- Chip di sicurezza Titan C. Questi chip aiutano a proteggere gli utenti dagli attacchi di phishing attivando l'autenticazione a due fattori e proteggono il sistema operativo da manomissioni dannose.
Per contribuire a ridurre la superficie di attacco della tua organizzazione, valuta la possibilità di utilizzare Chromebook per gli utenti che lavorano principalmente in un browser.
Passaggi successivi
- Implementa le best practice per mitigare gli attacchi ransomware (documento successivo).
- Consulta 5 pilastri della protezione per impedire gli attacchi di ransomware per conoscere le tecniche di prevenzione e risposta agli attacchi di ransomware.
- Scopri di più sulle soluzioni Zero Trust in Dispositivi e Zero Trust.
- Garantisci la continuità e proteggi la tua azienda da eventi informatici avversi utilizzando il framework per la sicurezza e la resilienza.