Mitigue ataques de ransomware com Google Cloud

O código criado por terceiros para se infiltrar nos seus sistemas de forma a roubar, encriptar e roubar dados é denominado ransomware. Para ajudar a mitigar ataques de ransomware, Google Cloud oferece controlos para identificar, proteger, detetar, responder e recuperar de ataques. Estes controlos ajudam a realizar o seguinte:

• Avalie o seu risco.
• Proteja a sua empresa contra ameaças.
• Manter as operações contínuas.
• Ativar resposta e recuperação rápidas.

Este documento destina-se a arquitetos e administradores de segurança. Descreve a sequência de ataques de ransomware e como o Google Workspace pode ajudar a sua organização a mitigar os efeitos dos ataques de ransomware. Google Cloud

Sequência de ataque de ransomware

Os ataques de ransomware podem começar como campanhas em massa à procura de potenciais vulnerabilidades ou como campanhas direcionadas. Uma campanha direcionada começa com a identificação e o reconhecimento, em que um atacante determina que organizações são vulneráveis e que vetor de ataque usar.

Existem muitos vetores de ataque de ransomware. Os vetores mais comuns são emails de phishing com URLs maliciosos ou a exploração de uma vulnerabilidade de software exposta. Esta vulnerabilidade de software pode estar no software que a sua organização usa ou ser uma vulnerabilidade que existe na sua cadeia de fornecimento de software. Os atacantes de ransomware segmentam organizações, a respetiva cadeia de fornecimento e os respetivos clientes.

Quando o ataque inicial é bem-sucedido, o ransomware instala-se e contacta o servidor de comando e controlo para obter as chaves de encriptação. À medida que o ransomware se propaga pela rede, pode infetar recursos, encriptar dados através das chaves que obteve e exfiltrar dados. Os atacantes exigem um resgate, normalmente em criptomoedas, à organização para que possam obter a chave de desencriptação.

O diagrama seguinte resume a sequência típica de um ataque de ransomware, explicada nos parágrafos anteriores, desde a identificação e o reconhecimento até à exfiltração de dados e à exigência de resgate.

O ransomware é frequentemente difícil de detetar. Por conseguinte, é fundamental que implemente capacidades de prevenção, monitorização e deteção, e que a sua organização esteja preparada para responder rapidamente quando alguém descobrir um ataque.

Controlos de segurança e resiliência no Google Cloud

Google Cloud inclui controlos de segurança e resiliência integrados para ajudar a proteger os clientes contra ataques de ransomware. Estes controlos incluem o seguinte:

• Infraestrutura global concebida com segurança ao longo do ciclo de vida do processamento de informações.
• Funcionalidades de deteção integradas para Google Cloud produtos e serviços, como monitorização, deteção de ameaças, prevenção contra a perda de dados e controlos de acesso.
• Controlos preventivos incorporados, como o Assured Workloads
• Elevada disponibilidade com clusters regionais e balanceadores de carga globais.
• Cópia de segurança integrada com serviços escaláveis.
• Capacidades de automatização através da infraestrutura como código e das restrições de segurança de configuração.

O Google Threat Intelligence, o VirusTotal e o Mandiant Digital Threat Monitoring monitorizam e respondem a muitos tipos de software malicioso, incluindo ransomware, na infraestrutura e nos produtos Google. A Google Threat Intelligence é uma equipa de investigadores de ameaças que desenvolve informações sobre ameaças para os produtos. Google Cloud O VirusTotal é uma base de dados e uma solução de visualização de software malicioso que lhe oferece uma melhor compreensão do funcionamento do software malicioso na sua empresa. A Mandiant Digital Threat Monitoring e outros serviços da Mandiant oferecem investigação de ameaças, consultoria e apoio técnico de resposta a incidentes.

Para mais informações acerca dos controlos de segurança integrados, consulte a vista geral da segurança da Google e a vista geral do design da segurança da infraestrutura da Google.

Controlos de segurança e resiliência no Google Workspace, no navegador Chrome e nos Chromebooks

Além dos controlos no Google Cloud, outros produtos Google, como o Google Workspace, o navegador Google Chrome e os Chromebooks, incluem controlos de segurança que podem ajudar a proteger a sua organização contra ataques de ransomware. Por exemplo, os produtos Google oferecem controlos de segurança que permitem aos trabalhadores remotos aceder a recursos a partir de qualquer lugar, com base na respetiva identidade e contexto (como a localização ou o endereço IP).

Conforme descrito na secção Sequência de ataque de ransomware, o email é um vetor fundamental para muitos ataques de ransomware. Pode ser explorado para roubar credenciais para acesso fraudulento à rede e distribuir ficheiros binários de ransomware diretamente. A proteção avançada contra phishing e software malicioso no Gmail oferece controlos para colocar emails em quarentena, defende contra tipos de anexos perigosos e ajuda a proteger os utilizadores contra emails de spoofing recebidos. O sandbox de segurança foi concebido para detetar a presença de software malicioso anteriormente desconhecido em anexos.

O navegador Chrome inclui a Navegação Segura do Google, que foi concebida para apresentar avisos aos utilizadores quando tentam aceder a um site infetado ou malicioso. Os isolamentos de processos e o isolamento de sites ajudam a proteger contra a propagação de código malicioso em diferentes processos no mesmo separador. A proteção de palavras-passe foi concebida para enviar alertas quando uma palavra-passe empresarial está a ser usada numa conta pessoal e verifica se alguma das palavras-passe guardadas do utilizador foi comprometida numa violação online. Neste cenário, o navegador pede ao utilizador para alterar a respetiva palavra-passe.

As seguintes funcionalidades do Chromebook ajudam a proteger contra ataques de phishing e ransomware:

• Sistema operativo só de leitura (Chrome OS). Este sistema foi concebido para ser atualizado constantemente e de forma invisível. O ChromeOS ajuda a proteger contra as vulnerabilidades mais recentes e inclui controlos que garantem que as aplicações e as extensões não o podem modificar.
• Sandboxing. Cada aplicação é executada num ambiente isolado, pelo que uma aplicação prejudicial não consegue infetar facilmente outras aplicações.
• Arranque validado. Enquanto o Chromebook está a arrancar, foi concebido para verificar se o sistema foi modificado.
• Navegação Segura. O Chrome transfere periodicamente a lista de sites inseguros do Navegação Segura mais recente. Foi concebida para verificar os URLs de cada site que um utilizador visita e verificar cada ficheiro que um utilizador transfere em relação a esta lista.
• Chips de segurança da Google. Estes chips ajudam a proteger o sistema operativo contra adulterações maliciosas.

Para ajudar a reduzir a superfície de ataque da sua organização, considere os Chromebooks para utilizadores que trabalham principalmente num navegador.

Práticas recomendadas para mitigar ataques de ransomware no Google Cloud

Para proteger os recursos e os dados da sua empresa contra ataques de ransomware, tem de implementar controlos de várias camadas nos seus ambientes nas instalações e na nuvem.

As secções seguintes descrevem as práticas recomendadas para ajudar a sua organização a identificar, prevenir, detetar e responder a ataques de ransomware no Google Cloud.

Identifique os seus riscos e recursos

Considere as seguintes práticas recomendadas para identificar os seus riscos e recursos na Google Cloud:

• Use o Cloud Asset Inventory para manter um inventário de cinco semanas dos seus recursos no Google Cloud. Para analisar as alterações, exporte os metadados dos recursos para o BigQuery.
• Use o Audit Manager e as simulações de caminhos de ataque no Security Command Center para fazer uma avaliação de risco e avaliar o seu perfil de risco atual. Considere as opções de seguro cibernético disponíveis através do programa de proteção contra o risco.
• Use a proteção de dados confidenciais para descobrir e classificar os seus dados confidenciais.

Controle o acesso aos seus recursos e dados

Considere as seguintes práticas recomendadas para limitar o acesso a Google Cloud recursos e dados:

• Use a gestão de identidade e de acesso (IAM) para configurar o acesso detalhado. Pode analisar as suas autorizações regularmente através do recomendador de funções, do analisador de políticas e da gestão de autorizações da infraestrutura na nuvem (CIEM).
• Trate as contas de serviço como identidades com privilégios elevados. Considere a autenticação sem chave através da federação de identidades da carga de trabalho e defina as suas autorizações de forma adequada. Para ver práticas recomendadas sobre a proteção de contas de serviço, consulte o artigo Práticas recomendadas para usar contas de serviço.
• Aplique a autenticação multifator a todos os utilizadores através do Cloud Identity e use a chave de segurança Titan resistente ao phishing.

Proteja os dados críticos

Considere as seguintes práticas recomendadas para ajudar a proteger os seus dados confidenciais:

• Configure a redundância (N+2) na opção de armazenamento na nuvem que usa para armazenar os seus dados. Se usar o Cloud Storage, pode ativar o controlo de versões de objetos ou a funcionalidade de bloqueio de contentores.
• Implemente e teste regularmente cópias de segurança para bases de dados (por exemplo, Cloud SQL) e armazenamentos de ficheiros (por exemplo, Filestore), armazenando cópias em localizações isoladas. Considere o serviço de cópias de segurança e RD para uma cópia de segurança abrangente da carga de trabalho. Valide as capacidades de recuperação com frequência.
• Rode as chaves regularmente e monitorize as atividades relacionadas com as chaves. Se usar chaves fornecidas pelo cliente (CSEK) ou o Cloud External Key Manager (Cloud EKM), certifique-se de que tem processos de rotação e cópia de segurança externos robustos.

Infraestrutura e rede seguras

Tenha em conta as seguintes práticas recomendadas para proteger a sua rede e infraestrutura:

• Use a infraestrutura como código (como o Terraform) com o projeto de base das empresas como base segura para garantir estados conhecidos e permitir implementações rápidas e consistentes.
• Ative os VPC Service Controls para criar um perímetro que isole os seus recursos e dados. Use o Cloud Load Balancing com regras de firewall e conectividade segura (através do Cloud VPN ou do Cloud Interconnect) para ambientes híbridos.

• Implemente políticas da organização restritivas, como as seguintes:

  • Restrinja o acesso a IPs públicos em novas instâncias e notebooks do Vertex AI Workbench
  • Restrinja o acesso ao IP público em instâncias do Cloud SQL
  • Desative o acesso à porta de série da VM
  • VMs protegidas

Proteja as suas cargas de trabalho

Considere as seguintes práticas recomendadas para ajudar a proteger as suas cargas de trabalho:

• Integre a segurança em todas as fases do ciclo de vida de desenvolvimento de software. Para cargas de trabalho do GKE, implemente a segurança da cadeia de fornecimento de software, incluindo compilações fidedignas, isolamento de aplicações e isolamento de pods.
• Use o Cloud Build para acompanhar os passos de compilação e o Artifact Registry para concluir a análise de vulnerabilidades nas suas imagens de contentores. Use a autorização binária para verificar se as suas imagens cumprem os seus padrões.
• Use o Google Cloud Armor para filtragem da camada 7 e proteção contra ataques Web comuns.
• Use as atualizações automáticas do GKE e as janelas de manutenção. Automatize as compilações no Cloud Build para incluir a análise de vulnerabilidades após os commits de código.

Detetar ataques

Considere as seguintes práticas recomendadas para ajudar a detetar ataques:

• Use o Cloud Logging para gerir e analisar os registos dos seus serviços no Google Cloud e o Cloud Monitoring para medir o desempenho do seu serviço e recursos.
• Use o Security Command Center para detetar potenciais ataques e analisar alertas.
• Para uma análise de segurança detalhada e deteção de ameaças, faça a integração com o Google Security Operations.

Planeie incidentes

• Conclua os planos de continuidade do negócio e de recuperação de desastres.

• Crie um guia de resposta a incidentes de ransomware e faça exercícios de simulação. Pratique regularmente os procedimentos de recuperação para garantir a prontidão e identificar lacunas.

• Compreenda as suas obrigações de denúncia de ataques às autoridades e inclua informações de contacto relevantes no seu plano de ação.

Para ver mais práticas recomendadas de segurança, consulte o Well-Architected Framework: Security, privacy, and compliance pillar (Estrutura bem arquitetada: pilar de segurança, privacidade e conformidade).

Responda a ataques e recupere-se dos mesmos

Quando detetar um ataque de ransomware, ative o seu plano de resposta a incidentes. Depois de confirmar que o incidente não é um falso positivo e que afeta os seusGoogle Cloud serviços, abra um registo de apoio técnico de P1. O apoio ao cliente do Google Cloud responde conforme documentado nas Google Cloud: Diretrizes dos Serviços de Apoio Técnico.

Depois de ativar o seu plano, reúna a equipa da sua organização que tem de estar envolvida nos processos de coordenação e resolução de incidentes. Certifique-se de que estas ferramentas e processos estão implementados para investigar e resolver o incidente.

Siga o seu plano de resposta a incidentes para remover o ransomware e restaurar o seu ambiente para um estado saudável. Consoante a gravidade do ataque e os controlos de segurança que ativou, o seu plano pode incluir atividades como as seguintes:

• Colocar sistemas infetados em quarentena.
• Restaurar a partir de cópias de segurança em bom estado.
• Restaurar a sua infraestrutura para um estado bom conhecido anteriormente através do seu pipeline de CI/CD.
• Verificar se a vulnerabilidade foi removida.
• Aplicar patches a todos os sistemas que possam ser vulneráveis a um ataque semelhante.
• Implementar os controlos necessários para evitar um ataque semelhante.

À medida que avança no processo de resposta, continue a monitorizar o seu pedido de apoio técnico da Google. O apoio técnico ao cliente da Google Cloud toma as medidas adequadas no prazo deGoogle Cloud para conter, erradicar e (se possível) recuperar o seu ambiente.

Informe o apoio técnico ao cliente do Google Cloud quando o incidente for resolvido e o seu ambiente for restaurado. Se estiver agendada, participe numa retrospetiva conjunta com o seu representante da Google.

Certifique-se de que regista as lições aprendidas com o incidente e implementa os controlos necessários para evitar um ataque semelhante. Consoante a natureza do ataque, pode considerar as seguintes ações:

• Escrever regras de deteção e alertas que seriam acionados automaticamente se o ataque ocorresse novamente.
• Atualize o seu plano de resposta a incidentes para incluir as lições aprendidas.
• Melhore a sua postura de segurança com base nas conclusões retrospetivas.

O que se segue?

• Ajude a garantir a continuidade e proteja a sua empresa contra eventos cibernéticos adversos através da estrutura de segurança e resiliência.
• Contacte os consultores da Mandiant para uma avaliação de defesa contra ransomware.
• Reveja o Google Cloud Well-Architected Framework para ver práticas recomendadas adicionais.
• Para obter informações sobre como a Google gere incidentes, consulte o processo de resposta a incidentes de dados.