Best Practices zur Abschwächung von Ransomware-Angriffen mit Google Cloud

Code, der von einem Dritten zum Infiltrieren Ihrer Systeme zum Hacken, Verschlüsseln und Stehlen von Daten erstellt wurde, wird als Ransomware bezeichnet. Zum Schutz Ihrer Unternehmensressourcen und Daten vor Ransomware-Angriffen müssen Sie mehrstufige Funktionen in Ihren lokalen und Cloud-Umgebungen einrichten. In diesem Dokument werden einige Best Practices beschrieben, mit denen Sie Ihre Organisation bei der Identifikation, Verhinderung und Erkennung von Ransomware-Angriffen sowie bei der Reaktion darauf unterstützen können.

Dieses Dokument ist Teil einer Reihe, die sich an Sicherheitsarchitekten und Administratoren richtet. Es wird beschrieben, wie Google Cloud dabei helfen kann, die Auswirkungen von Ransomware-Angriffen abzumildern.

Die Reihe besteht aus folgenden Teilen:

• Ransomware-Angriffe mit Google Cloud abschwächen
• Best Practices zur Abschwächung von Ransomware-Angriffen mit Google Cloud (dieses Dokument)

Risiken und Assets identifizieren

Um das Risiko von Ransomware-Angriffen in Ihrer Organisation zu bestimmen, müssen Sie sich der Risiken für Systeme, Personen, Assets, Daten und Funktionen bewusst sein. Google Cloud bietet Ihnen folgende Funktionen:

• Asset-Verwaltung mit Cloud Asset Inventory
• Programme für das Risikomanagement
• Datenklassifizierung
• Risikomanagement für Lieferketten

Assets mit Cloud Asset Inventory verwalten

Um Ransomware-Angriffe zu abzuschwächen, müssen Sie wissen, was die Assets Ihrer Organisation sind, und deren Status und Zweck kennen, sowohl in Google Cloud als auch in Ihren lokalen oder anderen Cloud-Umgebungen. Verwalten Sie bei statischen Assets eine Baseline der letzten als funktionierend bekannten Konfiguration an einem separaten Standort.

Mit Cloud Asset Inventory können Sie einen fünfwöchigen Verlauf Ihrer Ressourcen in Google Cloud abrufen. Richten Sie Monitoring-Feeds ein, um Benachrichtigungen zu erhalten, wenn bestimmte Änderungen an Ressourcen auftreten oder wenn Richtlinienabweichungen auftreten. Exportieren Sie den Feed, um Änderungen zu verfolgen, damit Sie nach Angriffen suchen können, die sich über einen längeren Zeitraum auswirken. Zum Erstellen des Exports können Sie Tools wie Terraform verwenden. Für diese Art der Analyse können Sie das Inventar in eine BigQuery-Tabelle oder einen Cloud Storage-Bucket exportieren.

Risiken bewerten und verwalten

Verwenden Sie ein vorhandenes Framework zur Risikobewertung, um Ihre Risiken zu katalogisieren und zu ermitteln, wie gut Ihr Unternehmen bei der Erkennung und Abwehr von Ransomware-Angriffen ist. Bei diesen Bewertungen werden Faktoren wie das Vorhandensein von Malwareschutzfunktionen, ordnungsgemäß konfigurierten Zugriffssteuerungen, Datenbankschutz und Sicherungen geprüft.

Beispielsweise bietet die Cloud Security Alliance (CSA) die Cloud Controls Matrix (CCM), um Organisationen bei ihren Cloud-Risikobewertungen zu unterstützen. CCM-spezifische Informationen für Google Cloud finden Sie unter Neue CIS-Benchmark für die Google Cloud-Computing-Plattform.

Sie können Bedrohungsmodelle wie OWASP Application Threat Modeling verwenden, um potenzielle Anwendungslücken zu identifizieren und Maßnahmen zu deren Behebung zu ergreifen. Weitere Informationen dazu, wie Sie die wichtigsten 10 OWASP-Sicherheitsrisiken mit Google Cloud minimieren können, finden Sie unter OWASP Top 10 – Optionen zur Risikominimierung in Google Cloud.

Legen Sie nach dem Katalogisieren Ihrer Risiken fest, wie Sie auf diese Risiken reagieren möchten und ob Sie die Risiken akzeptieren, vermeiden, übertragen oder mindern möchten. Das Risikosicherheitsprogramm bietet Zugriff auf Risk Manager und Cyberversicherung. Verwenden Sie Risk Manager, um Ihre Arbeitslasten in Google Cloud zu scannen und die Sicherheitsempfehlungen zu implementieren, die Ihnen helfen, die mit Ransomware verbundenen Risiken zu reduzieren.

Schutz sensibler Daten konfigurieren

Mit dem Schutz sensibler Daten können Sie Daten in Ihrer Google Cloud-Organisation und Daten aus externen Quellen prüfen. Konfigurieren Sie den Schutz sensibler Daten, um Ihre vertraulichen Daten mit De-Identifikationstechniken zu klassifizieren und zu schützen. Durch die Klassifizierung Ihrer Daten können Sie sich auf Ihre Monitoring- und Erkennungsaktivitäten für die Daten konzentrieren, die für Ihr Unternehmen am wichtigsten sind.

Kombinieren Sie den Schutz sensibler Daten mit anderen Produkten wie dem Security Command Center oder mit einem SIEM eines Drittanbieters, um ein angemessenes Monitoring und eine entsprechende Benachrichtigung bei unerwarteten Änderungen an Ihren Daten zu gewährleisten.

Risiken für Ihre Lieferkette verwalten

Ein wichtiger Angriffsvektor für Ransomware-Angriffe sind Sicherheitslücken innerhalb der Lieferkette. Die Herausforderung bei diesem Angriffsvektor besteht darin, dass die meisten Organisationen viele Anbieter haben, die sie jeweils überwachen müssen, jeweils mit einer eigenen Liste von Anbietern.

Verwenden Sie zum Erstellen und Bereitstellen von Anwendungen Frameworks wie Supply-chain Levels for Software Architects (SLSA). Mit diesen Frameworks können Sie die Anforderungen und Best Practices definieren, mit denen Ihr Unternehmen Ihren Quellcode und Ihre Build-Prozesse schützen kann. Mit SLSA können Sie vier Sicherheitsstufen durchgehen, um die Sicherheit der von Ihnen erstellten Software zu verbessern.

Wenn Sie in Ihren Anwendungen Open-Source-Pakete verwenden, können Sie mithilfe von Sicherheitsübersichten die Sicherheitspunktzahl eines bestimmten Open-Source-Pakets automatisch generieren. Sicherheitsübersichten sind eine kostengünstige, nutzerfreundliche Methode, um eine Bewertung zu erhalten, bevor Ihre Entwickler Open-Source-Pakete in Ihre Systeme integrieren.

Informationen zu Ressourcen, mit denen Sie die Sicherheit von Google Cloud prüfen können, finden Sie unter Bewertung der Anwender-Sicherheitsrisiken.

Zugriff auf Ressourcen und Daten steuern

Wenn Ihre Organisation Arbeitslasten aus dem lokalen Netzwerk heraus verschiebt, müssen Sie den Zugriff auf diese Arbeitslasten in allen Umgebungen verwalten, in denen Ihre Ressourcen und Daten gehostet werden. Google Cloud unterstützt mehrere Funktionen, mit denen Sie geeigneten Zugriff einrichten können. In den folgenden Abschnitten werden einige davon hervorgehoben.

Zero-Trust-Sicherheit mit BeyondCorp Enterprise einrichten

Wenn Sie Ihre Arbeitslasten von der lokalen Umgebung in die Cloud verschieben, ändert sich das Netzwerkvertrauensmodell. Zero-Trust-Sicherheit bedeutet, dass niemand implizit als vertrauenswürdig eingestuft wird, unabhängig davon, ob er sich innerhalb oder außerhalb des Netzwerks Ihrer Organisation befindet.

Im Gegensatz zu einem VPN verschiebt die Zero-Trust-Sicherheit die Zugriffssteuerungen vom Netzwerkperimeter auf Nutzer und deren Geräte. Zero-Trust-Sicherheit bedeutet, dass die Identität des Nutzers und der Kontext während der Authentifizierung berücksichtigt werden. Diese Sicherheitsfunktion bietet eine wichtige Prävention gegen Ransomware-Angriffe, die erst erfolgreich sind, wenn Angreifer Ihr Netzwerk durchbrechen.

Mit BeyondCorp Enterprise können Sie in Google Cloud Zero-Trust-Sicherheit einrichten. BeyondCorp Enterprise bietet Bedrohungs- und Datenschutz sowie Zugriffssteuerungen. Informationen zum Einrichten finden Sie unter Erste Schritte mit BeyondCorp Enterprise.

Wenn sich Ihre Arbeitslasten sowohl lokal als auch in Google Cloud befinden, konfigurieren Sie Identity-Aware Proxy (IAP). Mit IAP können Sie die Zero-Trust-Sicherheit auf Ihre Anwendungen an beiden Standorten ausdehnen. Es bietet Authentifizierung und Autorisierung für Nutzer, die mithilfe von Zugriffssteuerungsrichtlinien auf Ihre Anwendungen und Ressourcen zugreifen.

Geringste Berechtigung konfigurieren

Das Prinzip der geringsten Berechtigung stellt sicher, dass Nutzer und Dienste nur den Zugriff haben, den sie für ihre spezifischen Aufgaben benötigen. Das Prinzip der geringsten Berechtigung verlangsamt die Verteilung von Ransomware auf eine Organisation, da ein Angreifer seine Berechtigungen nicht einfach eskalieren kann.

Verwenden Sie die detaillierten Richtlinien, Rollen und Berechtigungen in Identity and Access Management (IAM), um die speziellen Anforderungen Ihrer Organisation zu erfüllen. Analysieren Sie außerdem Ihre Berechtigungen regelmäßig mit dem Rollen-Recommender und mit Policy Analyzer. Der Rollen-Recommender verwendet maschinelles Lernen, um Ihre Einstellungen zu analysieren und Empfehlungen zu geben, damit Ihre Rolleneinstellungen dem Prinzip der geringsten Berechtigung entsprechen. Mit Policy Analyzer können Sie sehen, welche Konten Zugriff auf Ihre Cloud-Ressourcen haben.

Weitere Informationen zum Prinzip der geringsten Berechtigung finden Sie unter IAM sicher verwenden.

Multi-Faktor-Authentifizierung mit Titan-Sicherheitsschlüsseln konfigurieren

Multi-Faktor-Authentifizierung (MFA) gewährleistet, dass Nutzer ein Passwort und einen biometrischen Faktor oder einen Possessivfaktor (z. B. ein Token) angeben müssen, bevor sie auf eine Ressource zugreifen können. Da Passwörter relativ einfach herauszufinden oder zu stehlen sind, trägt die MFA dazu bei zu verhindern, dass Ransomware-Angreifer Konten übernehmen.

Erwägen Sie Titan-Sicherheitsschlüssel für MFA, um Kontoübernahmen und erfolgreiche Phishing-Angriffe zu verhindern. Titan-Sicherheitsschlüssel sind manipulationssicher und können mit jedem Dienst verwendet werden, der die Standards der Fast IDentity Online (FIDO)-Alliance unterstützt.

Aktivieren Sie MFA für Ihre Anwendungen, für Google Cloud-Administratoren, für SSH-Verbindungen zu Ihren VMs (mithilfe von OS Login) und für alle, die Zugriff auf vertrauliche Informationen benötigen.

Verwenden Sie Cloud Identity, um MFA für Ihre Ressourcen zu konfigurieren. Weitere Informationen finden Sie unter Einheitliche Multi-Faktor-Authentifizierung für unternehmenseigene Ressourcen erzwingen.

Dienstkonten schützen

Dienstkonten sind privilegierte Identitäten, die Zugriff auf Ihre Google Cloud-Ressourcen gewähren. Deshalb werden sie von Angreifern als wertvoll eingestuft. Best Practices zum Schutz von Dienstkonten finden Sie unter Best Practices für die Arbeit mit Dienstkonten.

Kritische Daten schützen

Die wichtigsten Ziele eines Ransomware-Angriffs sind im Allgemeinen folgende:

• Ihre kritischen Daten unzugänglich zu machen, bis Sie das Lösegeld bezahlen
• Ihre Daten exfiltrieren

Um Ihre kritischen Daten vor Angriffen zu schützen, kombinieren Sie verschiedene Sicherheitsfunktionen, um den Zugriff auf Daten je nach Vertraulichkeit der Daten zu steuern In den folgenden Abschnitten werden einige Best Practices beschrieben, mit denen Sie Ihre Daten schützen und Ransomware-Angriffe abschwächen können.

Datenredundanz konfigurieren

Google Cloud verfügt über eine globale Infrastruktur, die Ausfallsicherheit, Skalierbarkeit und Hochverfügbarkeit bietet. Dank der Ausfallsicherheit von Google Cloud kann Google Cloud bei verschiedenen Ereignissen eine Wiederherstellung und Anpassung vornehmen. Weitere Informationen finden Sie im Leitfaden zur Zuverlässigkeit der Google Cloud-Infrastruktur.

Zusätzlich zu den standardmäßigen Ausfallsicherheitsfunktionen in Google Cloud konfigurieren Sie Redundanz (N+2) für die Cloud-Speicheroption, mit der Sie Ihre Daten speichern. Redundanz hilft, die Auswirkungen eines Ransomware-Angriffs zu mindern, da sie einen Single Point of Failure beseitigt und Sicherungen Ihrer primären Systeme bereitstellt für den Fall, dass sie manipuliert wurden.

Wenn Sie Cloud Storage verwenden, können Sie die Objektversionsverwaltung oder das Bucket-Sperrfeature aktivieren. Mit dem Bucket-Sperrfeature können Sie eine Datenaufbewahrungsrichtlinie für Ihre Cloud Storage-Buckets konfigurieren.

Weitere Informationen zur Datenredundanz in Google Cloud finden Sie hier:

• Redundanz zwischen Regionen mit Cloud Storage-Buckets
• BigQuery-Datasets regionenübergreifend kopieren

Datenbanken und Dateispeicher sichern

Mit Sicherungen können Sie Kopien Ihrer Daten für die Notfallwiederherstellung aufbewahren, sodass Sie eine replizierte Umgebung erstellen können. Speichern Sie Sicherungen im gewünschten Format und nach Möglichkeit in der Rohursprungsform. Speichern Sie diese Kopien in separaten, von Ihrer Produktionszone isolierten Zonen, um Manipulationen an den Sicherungsdaten zu vermeiden. Sichern Sie außerdem Binärdateien und ausführbare Dateien getrennt von Ihren Daten.

Achten Sie bei der Planung einer replizierten Umgebung darauf, dass Sie in Ihrer Spiegelungsumgebung dieselben (oder stärkere) Sicherheitsfunktionen nutzen. Bestimmen Sie die Zeit, die für die Neuerstellung Ihrer Umgebung und die Neuerstellung erforderlicher Administratorkonten nötig ist.

Einige Beispiele für Sicherungen in Google Cloud finden Sie hier:

• Sicherungen in Cloud SQL for SQL Server

• Sicherungen in Filestore

Zusätzlich zu diesen Sicherungsoptionen können Sie mit dem Sicherungs- und Notfallwiederherstellungsdienst Ihre lokalen Daten in Google Cloud sichern. Mit Sicherung und Notfallwiederherstellung können Sie in Google Cloud eine Notfallwiederherstellungsumgebung für Ihre VMs und Ihre Datenbanken einrichten. Weitere Informationen finden Sie unter Lösungen für die Sicherung und Notfallwiederherstellung.

Datenverschlüsselungsschlüssel schützen und sichern

Um Angreifer am Zugriff auf Ihre Datenverschlüsselungsschlüssel zu hindern, rotieren Sie Ihre Schlüssel regelmäßig und überwachen Sie schlüsselbezogene Aktivitäten. Implementieren Sie eine Strategie für eine Schlüsselsicherung, die den Schlüsselstandort und die Tatsache, ob die Schlüssel von Google verwaltet werden (Software oder HSM) oder ob Sie selbst die Schlüssel für Google bereitstellen, berücksichtigt. Wenn Sie Ihre eigenen Schlüssel bereitstellen, konfigurieren Sie Sicherungen und Schlüsselrotation mithilfe der Funktionen in Ihrem externen Schlüsselverwaltungssystem.

Weitere Informationen finden Sie unter Verschlüsselungsschlüssel mit dem Cloud Key Management Service verwalten.

Netzwerk und Infrastruktur schützen

Zum Schutz Ihres Netzwerks müssen Sie dafür sorgen, dass Angreifer es nicht einfach durchqueren können, um Zugriff auf Ihre vertraulichen Daten zu erhalten. In den folgenden Abschnitten werden einige Punkte beschrieben, die bei der Planung und Bereitstellung Ihres Netzwerks zu berücksichtigen sind.

Infrastrukturbereitstellung automatisieren

Die Automatisierung ist eine wichtige Kontrollmaßnahme gegen Ransomware-Angriffe, da Ihr operatives Team durch seine Funktionen einen als gut bekannten Zustand, ein schnelles Rollback und Fehlerbehebungsfunktionen erhält. Die Automatisierung erfordert verschiedene Tools wie Terraform, Jenkins, Cloud Build und andere.

Mit dem Blueprint zu Unternehmensgrundlagen können Sie eine sichere Google Cloud-Umgebung bereitstellen. Bauen Sie bei Bedarf auf dem Blueprint zu den Sicherheitsgrundlagen mit zusätzlichen Blueprints auf oder entwerfen Sie Ihre eigene Automatisierung.

Weitere Informationen zur Automatisierung finden Sie unter CI/CD-Pipeline für Workflows zur Datenverarbeitung verwenden. Weitere Informationen zur Sicherheit finden Sie im Best Practices-Center für Cloud-Sicherheit.

Netzwerk segmentieren

Netzwerksegmente und -perimeter verlangsamen den Fortschritt, den ein Angreifer in Ihrer Umgebung machen kann.

Google Cloud bietet die folgenden Tools, um Dienste und Daten zu segmentieren und Ihre Perimeter zu schützen:

• Verwenden Sie Cloud Load Balancing mit Firewallregeln, um den Traffic-Fluss zu leiten und zu schützen.
• Zum Einrichten von Perimetern in Ihrer Organisation zum Segmentieren von Ressourcen und Daten verwenden Sie VPC Service Controls.
• Verwenden Sie Cloud VPN oder Cloud Interconnect, um Verbindungen zu anderen anderen Arbeitslasten einzurichten, ob lokal oder in anderen Cloud-Umgebungen.
• Wenn Sie den Zugriff auf IP-Adressen und Ports einschränken möchten, konfigurieren Sie Organisationsrichtlinien wie z. B. "Zugriff auf öffentliche IP-Adressen bei Cloud SQL-Instanzen einschränken" und "Zugriff auf serielle Ports der VM deaktivieren".
• Zum Härten der VMs in Ihrem Netzwerk konfigurieren Sie Organisationsrichtlinien wie "Shielded VM".

Passen Sie die Netzwerksicherheitsfunktionen an die Risiken für verschiedene Ressourcen und Daten an.

Arbeitslasten schützen

Google Cloud umfasst Dienste, mit denen Sie Code erstellen, bereitstellen und verwalten können. Verwenden Sie diese Dienste, um Abweichungen zu verhindern und Probleme wie Fehlkonfigurationen und Sicherheitslücken schnell zu erkennen und zu patchen. Erstellen Sie zum Schutz Ihrer Arbeitslasten einen geschützten Bereitstellungsprozess, der verhindert, dass Ransomware-Angreifer über nicht gepatchte Sicherheitslücken und Fehlkonfigurationen einen ersten Zugriff erhalten. In den folgenden Abschnitten werden einige der Best Practices beschrieben, die Sie zum Schutz Ihrer Arbeitslasten implementieren können.

So stellen Sie beispielsweise Arbeitslasten in GKE Enterprise bereit:

• Konfigurieren Sie vertrauenswürdige Builds und Bereitstellungen.
• Isolieren Sie Anwendungen in einem Cluster.
• Isolieren Sie Pods auf einem Knoten.

Mehr über die Sicherheit von GKE Enterprise erfahren Sie unter Cluster-Sicherheit optimieren.

Sicheren Softwareentwicklungslebenszyklus verwenden

Verwenden Sie bei der Entwicklung Ihres Softwareentwicklungslebenszyklus (SDLC) Best Practices der Branche wie DevSecOps. Im Forschungsprogramm DevOps Research and Assessment (DORA) werden viele der technischen, Prozess-, Mess- und kulturellen Funktionen von DevSecOps beschrieben. DevSecOps kann dabei helfen, Ransomware-Angriffe abzuwenden, da es dafür sorgt, dass in jedem Schritt des Entwicklungslebenszyklus Sicherheitsaspekte berücksichtigt werden und Ihre Organisation schnell Korrekturen bereitstellen kann.

Weitere Informationen zur Verwendung eines SDLC mit Google Kubernetes Engine (GKE) finden Sie unter Software Delivery Shield – Übersicht.

Sichere Pipeline für Continuous Integration und Continuous Delivery verwenden

Continuous Integration und Continuous Delivery (CI/CD) bietet einen Mechanismus, mit dem Sie Ihren Kunden die neuesten Funktionen schnell zur Verfügung stellen können. Um Ransomware-Angriffe auf Ihre Pipeline zu verhindern, müssen Sie eine entsprechende Codeanalyse durchführen und Ihre Pipeline auf böswillige Angriffe überwachen.

Zum Schutz Ihrer CI/CD-Pipeline in Google Cloud verwenden Sie Zugriffssteuerungen, getrennte Aufgaben und kryptografische Codeüberprüfung, während sich der Code durch die CI/CD-Pipeline bewegt. Verwenden Sie Cloud Build, um Ihre Build-Schritte zu verfolgen, und Artifact Registry, um das Scannen auf Sicherheitslücken für Ihre Container-Images durchzuführen. Prüfen Sie mithilfe der Binärautorisierung, ob Ihre Images Ihren Standards entsprechen.

Achten Sie beim Erstellen der Pipeline darauf, dass Sie Sicherungen für die Binärdateien und ausführbaren Dateien Ihrer Anwendung haben. Sichern Sie sie getrennt von Ihren vertraulichen Daten.

Bereitgestellte Anwendungen schützen

Angreifer können auf Ihr Netzwerk zugreifen, indem sie Layer-7-Sicherheitslücken in Ihren bereitgestellten Anwendungen ermitteln. Um diese Angriffe abzuschächen, führen Sie Aktivitäten zur Bedrohungsmodellierung durch, um potenzielle Bedrohungen zu finden. Nachdem Sie die Angriffsfläche minimiert haben, konfigurieren Sie Google Cloud Armor, eine Web Application Firewall (WAF), die Layer-7-Filterung und -Sicherheitsrichtlinien verwendet.

Mit WAF-Regeln können Sie Ihre Anwendungen vor zahlreichen OWASP Top 10-Problemen schützen. Weitere Informationen finden Sie unter OWASP Top 10 – Optionen zur Risikominimierung in Google Cloud.

Informationen zum Bereitstellen von Google Cloud Armor mit einem globalen externen Application Load Balancer zum Schutz Ihrer Anwendungen in mehreren Regionen finden Sie unterGoogle Cloud Armor kennenlernen – Verteidigung im großen Maßstab für über das Internet genutzte Dienste. Informationen zur Verwendung von Google Cloud Armor mit Anwendungen, die außerhalb von Google Cloud ausgeführt werden, finden Sie unter Google Cloud Armor in andere Google-Produkte integrieren.

Sicherheitslücken schnell patchen

Ein wichtiger Angriffsvektor für Ransomware sind Open-Source-Software-Sicherheitslücken. Um die Auswirkungen von Ransomware abzuschwächen, müssen Sie Korrekturen schnell in Ihrer gesamten Flotte bereitstellen können.

Gemäß dem Modell der geteilten Verantwortung sind Sie für alle Sicherheitslücken in Ihren Anwendungen verantwortlich, während Google für die Sicherheit der zugrunde liegenden Infrastruktur verantwortlich ist.

Verwenden Sie in Compute Engine OS Patch Management, um Sicherheitslücken im Zusammenhang mit den Betriebssystemen anzuzeigen, die auf Ihren VMs ausgeführt werden, und den Patch-Prozess zu verwalten. Für GKE und GKE Enterprise patcht Google automatisch Sicherheitslücken, wobei Sie einen gewissen Einfluss auf die GKE-Wartungsfenster haben.

Wenn Sie Cloud Build verwenden, automatisieren Sie Builds, wenn ein Entwickler eine Änderung am Code-Quell-Repository festschreibt. Achten Sie darauf, dass Ihre Build-Konfigurationsdatei geeignete Überprüfungen wie das Scannen auf Sicherheitslücken und Integritätsprüfungen enthält.

Informationen zum Patchen von Cloud SQL finden Sie unter Wartung auf Cloud SQL-Instanzen.

Angriffe erkennen

Ihre Fähigkeit zur Erkennung von Angriffen hängt von Ihren Erkennungsfunktionen, Ihrem Monitoring- und Benachrichtigungssystem und den Aktivitäten ab, mit denen Ihre operativen Teams auf die Erkennung von Angriffen vorbereitet werden. In diesem Abschnitt werden einige Best Practices zum Erkennen von Angriffen beschrieben.

Monitoring und Benachrichtigungen konfigurieren

Aktivieren Sie Security Command Center, um zentralisierte Einblicke in alle Sicherheitsaspekte und -risiken in Ihrer Google Cloud-Umgebung zu erhalten. Passen Sie das Dashboard an, damit die Ereignisse, die für Ihre Organisation am wichtigsten sind, besonders gut sichtbar sind.

Mit Cloud Logging können Sie die Logs Ihrer Dienste in Google Cloud verwalten und analysieren. Für weitere Analysen können Sie entweder Google Security Operations einbinden oder die Logs in das SIEM Ihrer Organisation exportieren.

Außerdem können Sie mit Cloud Monitoring die Leistung Ihres Dienstes und Ihrer Ressourcen messen und Benachrichtigungen einrichten. Sie können beispielsweise prüfen, ob plötzliche Änderungen an der Anzahl der in Ihrer Umgebung ausgeführten VMs vorliegen. Dies kann ein Zeichen dafür sein, dass Malware in Ihrer Umgebung vorhanden ist.

Stellen Sie alle diese Informationen zentral für Ihr Sicherheitscenter zur Verfügung.

Erkennungsfunktionen erstellen

Erstellen Sie in Google Cloud Erkennungsfunktionen, die den Risiken und Arbeitslastanforderungen entsprechen. Mit diesen Funktionen erhalten Sie einen besseren Einblick in erweiterte Bedrohungen und können Ihre Complianceanforderungen besser überwachen.

Wenn Sie die Premium-Stufe von Security Command Center haben, verwenden Sie Event Threat Detection und Google SecOps. Event Threat Detection durchsucht Ihre Logs nach potenziellen Angriffen und protokolliert die Ergebnisse im Security Command Center. Mit Event Threat Detection können Sie sowohl Google Cloud als auch Google Workspace gleichzeitig überwachen. Es prüft auf Grundlage bekannter bekannter Domains und bekanntermaßen problematischer IP-Adressen nach Malware. Weitere Informationen finden Sie unter Event Threat Detection verwenden.

Mit Google SecOps können Sie Ihre Sicherheitsdaten an einem zentralen Ort speichern und analysieren. Google SecOps erweitert Security Command Center Premium um Prüffunktionen, um Bedrohungen in Google Cloud besser zu handhaben. Sie können Google SecOps verwenden, um Erkennungsregeln zu erstellen, den Abgleich von Kompromittierungsindikatoren einzurichten und Aktivitäten zur Bedrohungssuche auszuführen. Google SecOps bietet folgende Funktionen:

• Wenn Sie Logs zuordnen, reichert Google SecOps sie an und verknüpft sie mit Zeitachsen, sodass Sie den gesamten Zeitraum eines Angriffs sehen können.
• Google SecOps wertet Logaktivitäten ständig mit Bedrohungsinformationen aus, die vom Google Cloud Threat Intelligence for Google Security Operations-Team erfasst wurden. Wenn sich die Informationen ändern, wendet Google SecOps sie automatisch auf alle früheren Aktivitäten an.
• Sie können Ihre eigenen YARA-Regeln schreiben, um Ihre Bedrohungserkennungsfunktionen zu verbessern.

Optional können Sie Ihre Erkennungsfunktionen mit einem Google Cloud-Partner erweitern.

Auf einen Ransomware-Angriff vorbereiten

Erstellen Sie zur Vorbereitung auf einen Ransomware-Angriff Pläne für Geschäftskontinuität und Notfallwiederherstellung, erstellen Sie ein Playbook zur Reaktion auf Ransomware-Vorfälle und führen Sie theoretische Übungen durch.

Beachten Sie für Ihr Playbook zur Reaktion auf Vorfälle die für jeden Dienst verfügbaren Funktionen. Wenn Sie beispielsweise GKE mit Binärautorisierung verwenden, können Sie Break-Glass-Prozesse hinzufügen.

Achten Sie darauf, dass Ihr Playbook zur Reaktion auf Vorfälle dabei hilft, infizierte Ressourcen und Konten schnell unter Kontrolle zu bringen und zu fehlerfreien sekundären Quellen und Sicherungen zu wechseln. Wenn Sie einen Sicherungsdienst wie Sicherung und Notfallwiederherstellung nutzen, sollten Sie regelmäßig Ihre Wiederherstellungsverfahren von der Google Cloud auf Ihre lokale Umgebung üben.

Erstellen Sie ein Programm zur Cyber-Ausfallsicherheit und eine Sicherungsstrategie, mit der Sie zentrale Systeme oder Assets wiederherstellen können, die von einem Ransomware-Vorfall betroffen sind. Cyber-Ausfallsicherheit ist wichtig, um Wiederherstellungszeitpläne zu unterstützen und die Auswirkungen eines Angriffs zu reduzieren, damit Sie wieder zum normalen Betrieb Ihres Unternehmens zurückkehren können.

Je nach Umfang eines Angriffs und der für Ihre Organisation geltenden Vorschriften müssen Sie den Angriff möglicherweise den entsprechenden Behörden melden. Achten Sie darauf, dass die Kontaktdaten in Ihrem Playbook zur Reaktion auf Vorfälle genau erfasst sind.

Auf Angriffe reagieren und ihre Folgen beseitigen

Wenn ein Angriff auftritt, müssen Sie dem Reaktionsplan für Vorfälle folgen. Die Reaktion durchläuft wahrscheinlich vier Phasen:

• Erkennung des Vorfalls
• Koordination und Untersuchung des Vorfalls
• Behebung des Vorfalls
• Schließen des Vorfalls

Best Practices für die Reaktion auf Vorfälle werden in den folgenden Abschnitten weiter beschrieben.

Informationen dazu, wie Google Vorfälle verwaltet, finden Sie unter Reaktion auf Vorfälle im Zusammenhang mit Kundendaten.

Reaktionsplan für Vorfälle aktivieren

Wenn Sie einen Ransomware-Angriff erkennen, aktivieren Sie Ihren Plan. Nachdem Sie bestätigt haben, dass der Vorfall kein falsch positives Ergebnis ist und sich auf Ihre Google Cloud-Dienste auswirkt, öffnen Sie ein P1-Google-Support-Ticket. Der Google-Support reagiert wie in Google Cloud: Richtlinien für technische Supportdienste dokumentiert.

Wenn Ihre Organisation einen Google Technical Account Manager (TAM) oder einen anderen Google-Ansprechpartner hat, wenden Sie sich auch an diesen.

Untersuchung von Vorfällen koordinieren

Nachdem Sie Ihren Plan aktiviert haben, erstellen Sie das Team in Ihrer Organisation, das an den Prozessen zur Koordination und Behebung von Vorfällen beteiligt sein muss. Sorgen Sie dafür, dass diese Tools und Prozesse vorhanden sind, um den Vorfall zu untersuchen und zu beheben.

Überwachen Sie weiterhin Ihr Google-Support-Ticket und arbeiten Sie mit Ihrem Google-Ansprechpartner zusammen. Antworten Sie auf alle Anfragen nach weiteren Informationen. Erfassen Sie detaillierte Informationen zu Ihren Aktivitäten.

Vorfall beheben

Nachdem Sie die Untersuchung abgeschlossen haben, folgen Sie dem Reaktionsplan für Vorfälle, um die Ransomware zu entfernen und die Umgebung in einem fehlerfreien Zustand wiederherzustellen. Je nach dem Schweregrad des Angriffs und den aktivierten Sicherheitsfunktionen kann Ihr Plan Aktivitäten wie die folgenden umfassen:

• Infizierte Systeme in Quarantäne versetzen
• Daten aus fehlerfreien Sicherungen wiederherstellen
• Ihre Infrastruktur mit der CI/CD-Pipeline in einem als funktionierend bekannten Zustand wiederherstellen
• Prüfen, ob die Sicherheitslücke entfernt wurde
• Alle Systeme patchen, die möglicherweise für einen ähnlichen Angriff anfällig sind
• Erforderliche Funktionen implementieren, um einen ähnlichen Angriff zu vermeiden

Überwachen Sie während der Behebung des Vorfalls das Google-Support-Ticket weiter. Der Google-Support ergreift entsprechende Maßnahmen in Google Cloud, um Ihre Umgebung unter Kontrolle zu bringen und (falls möglich) wiederherzustellen.

Erstellen Sie weiter detaillierte Notizen zu Ihren Aktivitäten.

Vorfall schließen

Sie können den Vorfall schließen, nachdem Ihre Umgebung in einem fehlerfreien Zustand wiederhergestellt wurde und Sie kontrolliert haben, dass die Ransomware aus Ihrer Umgebung entfernt wurde.

Informieren Sie den Google-Support, wenn Ihr Vorfall gelöst ist und Ihre Umgebung wiederhergestellt wurde. Wenn es geplant ist, nehmen Sie an einer gemeinsamen Analyse mit Ihrem Google-Ansprechpartner teil.

Erfassen Sie alle Erkenntnisse, die aus dem Vorfall gezogen wurden, und implementieren Sie die Funktionen, die Sie benötigen, um einen ähnlichen Angriff zu vermeiden. Je nach Art des Angriffs können Sie folgende Aktionen in Betracht ziehen:

• Schreiben von Erkennungsregeln und Benachrichtigungen, die automatisch ausgelöst werden, sollte der Angriff wiederholt werden
• Playbook zur Reaktion auf Vorfälle aktualisieren, um alle gewonnenen Erkenntnisse einzubeziehen
• Verbessern der Sicherheitslage anhand der gewonnenen Erkenntnisse

Nächste Schritte

• Weitere Informationen zum Reaktionsprozess für Vorfälle bei Google
• Speichern Sie ein Lesezeichen für das Google Cloud-Status-Dashboard, um den Google Cloud-Status zu sehen.
• Verbessern Sie den Reaktionsplan für Vorfälle mit dem Google-SRE-Buch – Reaktion auf Vorfälle.
• Weitere Informationen zu Best Practices für Google Cloud finden Sie im Architektur-Framework.

• Planen Sie Ihre Notfallwiederherstellungsprozesse.

• Sicherheit der Softwarelieferketten in GKE unterstützen

• Erfahren Sie, wie Google die größten DDoS-Angriffe identifiziert und vor ihnen schützt.