使用 Google Cloud 缓解勒索软件攻击

Last reviewed 2021-11-15 UTC

由第三方创建来侵入系统以非法操作、加密和窃取数据的代码称为勒索软件。为了帮助您缓解勒索软件攻击,Google Cloud 为您提供了针对攻击的识别、保护、检测、响应和恢复等控制措施。这些控制措施可帮助您完成以下操作:

  • 评估您的风险。
  • 保护您的企业免受威胁。
  • 确保持续运营。
  • 实现快速响应和恢复。

本文档是面向安全架构师和管理员的系列文章中的一篇。其中介绍了 Google Cloud 如何帮助您的组织缓解勒索软件攻击的危害。本文档还介绍了勒索软件攻击序列以及 Google 产品中的内置安全控制措施,这些控制措施可帮助您防范勒索软件攻击。

本系列文章包含以下部分:

勒索软件攻击序列

勒索软件攻击可能会从查找潜在漏洞的大规模活动开始,也可能会从定向活动开始。定向活动从识别和试探开始,攻击者由此确定哪些组织易受攻击以及要采用哪种攻击途径。

勒索软件攻击途径有很多种。最常见的是存在恶意网址的网上诱骗电子邮件或利用泄露的软件漏洞。此软件漏洞可能位于您的组织使用的软件中,也可能是存在于软件供应链的漏洞。勒索软件攻击者会以组织及其供应链和客户为目标。

初始攻击成功后,勒索软件会自行安装并联系命令和控制服务器,以检索加密密钥。随着勒索软件在整个网络中传播,它可能会感染资源、使用其检索的密钥加密数据,以及泄露数据。攻击者会要求组织提供赎金(通常是加密货币)来获得解密密钥。

下图总结了前面几段中介绍的典型勒索软件攻击序列(从识别和试探到数据渗漏和赎金要求)。

勒索软件攻击序列。

人们通常难以检测勒索软件。据 Sophos 称,组织发现勒索软件攻击大约需要 11 天,而 FireEye 报告的平均时间为 24 天。因此,请务必部署预防、监控和检测功能,并在有人发现攻击时快速响应。

Google Cloud 中的安全性和弹性控制

Google Cloud 内置了安全性和弹性控制措施,可帮助保护客户免受勒索软件攻击。这些控制措施包括:

  • 在整个信息处理生命周期内设计具备安全性的全球基础架构。
  • Google Cloud 产品和服务的内置安全功能,例如监控、威胁检测、数据泄露防护和访问权限控制。
  • 使用区域级集群和全球负载均衡器实现的高可用性。
  • 具有轻松扩缩服务的内置备份功能。
  • 使用基础架构即代码和配置保护措施的自动化功能。

Google Cloud Threat Intelligence for Google Security OperationsVirusTotal 会跟踪并应对 Google 基础设施和产品中的多种类型的恶意软件,包括勒索软件。Google Cloud Threat Intelligence for Google Security Operations 是一个由威胁研究人员组成的团队,他们负责开发用于 Google Security Operations 的威胁情报。VirusTotal 是一种恶意软件数据库和可视化解决方案,可让您更好地了解恶意软件在企业内的运行方式。

如需详细了解内置安全控制机制,请参阅 Google 安全白皮书Google 基础设施安全设计概览

Google Workspace、Chrome 浏览器和 Chromebook 中的安全性和弹性控制

除了 Google Cloud 内的控制措施外,Google Workspace、Google Chrome 浏览器和 Chromebook 等其他 Google 产品还包括安全控制措施,可帮助保护您的组织免遭勒索软件攻击。例如,Google 产品提供安全控制措施,可根据远程工作人员的身份和上下文(例如位置或 IP 地址)允许其从任何位置访问资源。

勒索软件攻击序列部分所述,电子邮件是许多勒索软件攻击的关键向量。攻击者可以利用此漏洞来骗取凭据以进行欺诈性网络访问以及直接分发恶意软件。Gmail 中的高级钓鱼式攻击和恶意软件防护功能可提供隔离电子邮件控制机制,防范危险附件类型,并帮助保护用户免受入站仿冒电子邮件的侵害。安全沙盒旨在检测附件中是否存在以前未知的恶意软件。

Chrome 浏览器包含 Google 安全浏览功能,旨在当用户尝试访问受感染或恶意的网站时发出警告。沙盒网站隔离有助于防止恶意代码在同一标签页上的不同进程中传播。密码保护旨在当在个人账号上使用公司密码时提供提醒,并检查用户保存的任何密码是否遭遇了在线破解。在这种情况下,浏览器会提示用户更改密码。

以下 Chromebook 功能有助于防范钓鱼式攻击和勒索软件攻击:

  • 只读操作系统(Chrome 操作系统)。此系统旨在以不可见的方式不断更新。Chrome 操作系统有助于防范最新的漏洞,并包含有助于确保应用和扩展程序无法修改它的控制措施。
  • 沙盒。每个应用都在隔离的环境中运行,因此一个有害的应用无法轻易地感染其他应用。
  • 启动时验证。Chromebook 在启动时会检查系统是否未被修改。
  • 安全浏览。Chrome 会定期下载最新的不安全网站的安全浏览列表。安全浏览旨在检查用户访问的每个网站的网址,并根据此列表检查用户下载的每个文件。
  • Titan C 安全芯片。这些芯片通过启用双重验证来帮助保护用户免受钓鱼式攻击,并保护操作系统免遭恶意篡改。

为帮助缩小组织的攻击面,请考虑为主要使用浏览器来工作的用户配备 Chromebook。

后续步骤