Il codice creato da una terza parte per infiltrarsi nei sistemi al fine di compromettere, criptare e rubare i dati è noto come ransomware. Per aiutarti a mitigare gli attacchi ransomware, Google Cloud ti offre controlli per identificare, proteggere, rilevare, rispondere e recuperare dagli attacchi. Questi controlli ti consentono di:
- Valuta il rischio.
- Proteggi la tua attività dalle minacce.
- Mantieni la continuità delle operazioni.
- Consenti risposta e recupero rapidi.
Questo documento fa parte di una serie destinata agli architetti e agli amministratori della sicurezza. Spiega come Google Cloud può aiutare la tua organizzazione a ridurre gli effetti degli attacchi ransomware. Viene inoltre descritta la sequenza degli attacchi ransomware e i controlli di sicurezza integrati nei prodotti Google che consentono di prevenire gli attacchi ransomware.
La serie è composta dai seguenti componenti:
- Mitigare gli attacchi ransomware tramite Google Cloud (questo documento)
- Best practice per attenuare gli attacchi ransomware utilizzando Google Cloud
Sequenza di attacco ransomware
Gli attacchi ransomware possono iniziare come campagne di massa alla ricerca di potenziali vulnerabilità o come campagne indirizzate. Una campagna diretta inizia con l'identificazione e l'esplorazione, in cui un utente malintenzionato determina quali organizzazioni sono vulnerabili e quale vettore di attacco utilizzare.
Esistono molti vettori di attacco ransomware. I più comuni sono le email di phishing con URL dannosi o lo sfruttamento di una vulnerabilità del software esposto. Questa vulnerabilità del software può riguardare il software utilizzato dalla tua organizzazione o una vulnerabilità presente nella catena di fornitura del software. Gli autori di attacchi ransomware prendono di mira le organizzazioni, la loro catena di fornitura e i loro clienti.
Se l'attacco iniziale ha esito positivo, il ransomware si installa autonomamente e contatta il server di comando e di controllo per recuperare le chiavi di crittografia. Poiché il ransomware si diffonde sulla rete, può infettare le risorse, criptare i dati utilizzando le chiavi recuperate ed esfiltrare i dati. Gli utenti malintenzionati chiedono all'organizzazione un riscatto, solitamente in criptocoin, in modo da poter ottenere la chiave di decriptazione.
Il seguente diagramma riassume la tipica sequenza di attacco ransomware descritta nei paragrafi precedenti, dall'identificazione e la ricognizione all'esfiltrazione di dati e alla domanda di riscatto.
Il ransomware è spesso difficile da rilevare. Secondo Sophos, un'organizzazione impiega circa 11 giorni per rilevare un attacco ransomware, mentre FireEye indica un tempo medio di 24 giorni. È quindi fondamentale mettere in atto funzionalità di prevenzione, monitoraggio e rilevamento e che la tua organizzazione sia pronta a rispondere rapidamente quando qualcuno scopre un attacco.
Controlli di sicurezza e resilienza in Google Cloud
Google Cloud include controlli integrati di sicurezza e resilienza per proteggere i clienti dagli attacchi ransomware. Questi controlli includono:
- Infrastruttura globale progettata con sicurezza per tutto il ciclo di vita dell'elaborazione delle informazioni.
- Funzionalità di sicurezza integrate per i prodotti e i servizi Google Cloud, come monitoraggio, rilevamento delle minacce, prevenzione della perdita di dati e controlli dell'accesso.
- Disponibilità elevata con cluster a livello di regione e bilanciatori del carico globali.
- Backup integrato, con servizi facilmente scalabili.
- le funzionalità di Automation mediante Infrastructure as Code e sistemi di protezione della configurazione.
Google Cloud Threat Intelligence per Chronicle e VirusTotal monitorano e rispondono a molti tipi di malware, incluso il ransomware, nell'infrastruttura e nei prodotti Google. Google Cloud Threat Intelligence per Chronicle è un team di ricercatori sulle minacce che sviluppano l'intelligence sulle minacce per Chronicle. VirusTotal è un database di malware e una soluzione di visualizzazione che consente di comprendere meglio il funzionamento del malware all'interno della tua azienda.
Per ulteriori informazioni sui controlli di sicurezza integrati, consulta il documento sulla sicurezza di Google e la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
Controlli di sicurezza e resilienza in Google Workspace, nel browser Chrome e nei Chromebook
Oltre ai controlli all'interno di Google Cloud, altri prodotti Google come Google Workspace, il browser Google Chrome e Chromebook includono controlli di sicurezza che possono aiutarti a proteggere la tua organizzazione dagli attacchi ransomware. Ad esempio, i prodotti Google offrono controlli di sicurezza che consentono ai lavoratori da remoto di accedere alle risorse da qualsiasi luogo, in base alla loro identità e al contesto (come la posizione o l'indirizzo IP).
Come descritto nella sezione Sequenza di attacco ransomware, l'email è un vettore chiave per molti attacchi ransomware. Può essere sfruttato per effettuare il phishing delle credenziali di accesso fraudolento alla rete e distribuire direttamente binari ransomware. La protezione avanzata da phishing e malware in Gmail offre controlli per mettere in quarantena le email, difendersi dai tipi di allegati pericolosi e contribuisce a proteggere gli utenti da email di spoofing in entrata. La sandbox per la sicurezza è progettata per rilevare la presenza di malware precedentemente sconosciuto negli allegati.
Il browser Chrome include la funzionalità Google Navigazione sicura, progettata per inviare avvisi agli utenti quando tentano di accedere a un sito infetto o dannoso. Le sandbox e l'isolamento dei siti contribuiscono a proteggere dalla diffusione di codice dannoso all'interno di diversi processi sulla stessa scheda. La protezione tramite password è progettata per fornire avvisi quando viene utilizzata una password aziendale in un account personale e per verificare se le password salvate dell'utente sono state compromesse nell'ambito di una violazione online. In questo scenario, il browser chiede all'utente di cambiare la password.
Le seguenti funzionalità di Chromebook contribuiscono a proteggerti dagli attacchi di phishing e ransomware:
- Sistema operativo di sola lettura (Chrome OS). Questo sistema è progettato per aggiornarsi in modo costante e invisibile. ChromeOS contribuisce a proteggere dalle vulnerabilità più recenti e include controlli che impediscono alle applicazioni e alle estensioni di modificarlo.
- Limitazione tramite sandbox. Ogni applicazione viene eseguita in un ambiente isolato, per cui un'applicazione dannosa non può infettare facilmente altre applicazioni.
- Avvio verificato. Durante l'avvio di Chromebook, è progettato per controllare che il sistema non sia stato modificato.
- Navigazione sicura. Chrome scarica periodicamente l'elenco di siti non sicuri più recente di Navigazione sicura. È progettato per verificare gli URL di ogni sito visitato da un utente e confrontato con questo elenco per ciascun file scaricato dall'utente.
- Chip di sicurezza Titan C. Questi chip contribuiscono a proteggere gli utenti dagli attacchi di phishing abilitando l'autenticazione a due fattori e proteggono il sistema operativo da manomissioni dannose.
Per ridurre la superficie di attacco della tua organizzazione, prendi in considerazione i Chromebook per gli utenti che lavorano principalmente in un browser.
Passaggi successivi
- Implementa le best practice per la mitigazione degli attacchi ransomware (documento successivo).
- Consulta i 5 pilastri di protezione per prevenire gli attacchi ransomware per le tecniche di prevenzione e risposta agli attacchi ransomware.
- Scopri di più sulle soluzioni Zero Trust in Dispositivi e Zero Trust.
- Garantisci la continuità e proteggi la tua azienda da eventi informatici avversi utilizzando il framework per la sicurezza e la resilienza.