Praktik terbaik untuk memitigasi serangan ransomware menggunakkan Google Cloud

Kode yang dibuat oleh pihak ketiga untuk menyusup ke sistem Anda guna membajak, mengenkripsi, dan mencuri data disebut sebagai ransomware. Untuk melindungi resource dan data perusahaan Anda dari serangan ransomware, Anda harus menerapkan keamanan berlapis di seluruh jaringan lokal dan lingkungan cloud Anda. Dokumen ini menjelaskan beberapa praktik terbaik untuk membantu organisasi Anda mengidentifikasi, mencegah, mendeteksi, dan merespons serangan ransomware.

Dokumen ini adalah bagian dari sebuah seri yang ditujukan untuk arsitek keamanan dan administrator. Panduan ini menjelaskan bagaimana cara Google Cloud dapat membantu organisasi Anda mengurangi efek serangan ransomware.

Seri ini memiliki bagian-bagian sebagai berikut:

• Memitigasi serangan ransomware menggunakan Google Cloud
• Praktik terbaik untuk memitigasi serangan ransomware menggunakan Google Cloud (dokumen ini)

Mengidentifikasi risiko dan aset Anda

Untuk mengenali eksposur organisasi Anda terhadap serangan ransomware, Anda harus mengembangkan pemahaman tentang risiko pada sistem, personel, aset, data, dan kemampuan Anda. Untuk membantu Anda, Google Cloud menyediakan beberapa fitur berikut:

• Pengelolaan aset dengan Cloud Asset Inventory
• Program manajemen risiko
• Klasifikasi data
• Pengelolaan risiko supply chain

Mengelola aset Anda dengan Cloud Asset Inventory

Untuk membantu memitigasi serangan ransomware, Anda perlu mengetahui apa saja aset organisasi Anda, statusnya, dan tujuannya, baik di Google Cloud maupun di jaringan cloud lokal atau jaringan cloud lainnya. Untuk aset statis, pertahankan dasar konfigurasi terbaik dari konfigurasi terakhir di lokasi terpisah.

Gunakan Cloud Asset Inventory untuk mendapatkan histori resource Anda selama lima minggu terakhir di Google Cloud. Siapkan monitoring feeds untuk menerima notifikasi saat terjadi perubahan tertentu pada resource, atau saat ada penyimpangan kebijakan. Ekspor feed untuk melacak perubahan agar Anda dapat mengawasi serangan yang berlangsung dalam jangka waktu yang lebih. Untuk melakukan ekspor, Anda dapat menggunakan alat bantu seperti Terraform. Untuk jenis analisis ini, Anda dapat mengekspor inventaris tersebut ke tabel BigQuery atau bucket Cloud Storage.

Menilai dan mengelola risiko Anda

Gunakan framework penilaian risiko yang ada untuk membantu Anda membuat daftar risiko dan menentukan seberapa kemampuan organisasi Anda dalam mendeteksi dan menangkal serangan ransomware. Penilaian ini memeriksa faktor-faktor seperti apakah Anda memiliki kontrol perlindungan dari malware, kontrol akses yang terkonfigurasi dengan benar, perlindungan database, dan pencadangan

Sebagai contoh, Cloud Security Alliance (CSA) menyediakan Cloud Controls Matrix (CCM) untuk membantu organisasi dalam penilaian risiko cloud mereka. Untuk informasi CCM khusus untuk Google Cloud, lihat Tolok Ukur CIS Baru untuk Platform Google Cloud Computing.

Untuk mengidentifikasi potensi celah aplikasi dan melakukan tindakan untuk memperbaikinya, Anda dapat menggunakan model ancaman seperti Model Ancaman Aplikasi OWASP. Untuk informasi lebih lanjut tentang cara membantu memitigasi 10 risiko keamanan OWASP teratas dengan Google Cloud, lihat 10 opsi mitigasi teratas OWASP di Google Cloud.

Setelah Anda membuat daftar risiko, tentukan cara merespons risiko tersebut, dan tentukan juga apakah Anda ingin menerima, menghindari, mengalihkan, atau memitigasi risiko tersebut Program Perlindungan Risiko menyediakan akses ke Risk Manager dan asuransi cyber. Gunakan Risk Manager untuk memindai workload Anda di Google Cloud dan terapkan rekomendasi keamanan yang membantu Anda mengurangi risiko terkait ransomware.

Mengonfigurasi Perlindungan Data Sensitif

Perlindungan Data Sensitif memungkinkan Anda untuk memeriksa data di organisasi Google Cloud Anda dan data yang berasal dari sumber eksternal. Konfigurasikan Perlindungan Data Sensitif untuk mengklasifikasi dan melindungi data rahasia Anda menggunakan teknik de-identifikasi. Mengklasifikasikan data membantu Anda memfokuskan upaya pemantauan dan pendeteksian pada data yang paling penting bagi organisasi Anda.

Gabungkan Perlindungan Data Sensitif dengan produk lain seperti Security Command Center atau dengan SIEM pihak ketiga untuk membantu memastikan pemantauan dan pemberitahuan yang tepat pada perubahan yang tidak terduga pada data Anda.

Mengelola risiko pada supply chain Anda

Vektor serangan utama pada serangan ransomware adalah kerentanan dalam supply chain. Tantangan terhadap vektor serangan ini adalah sebagian besar organisasi memiliki banyak vendor yang harus mereka lacak, masing-masing dengan daftar vendor mereka sendiri.

Jika Anda membuat dan men-deploy aplikasi, gunakan framework seperti Supply-chain Levels for Software Architects (SLSA). Framework ini membantu mendefinisikan persyaratan dan praktik terbaik yang dapat digunakan perusahaan Anda untuk melindungi kode sumber dan proses build. Dengan menggunakan SLSA, Anda dapat bekerja melalui empat tingkat keamanan untuk meningkatkan keamanan software yang Anda buat.

Jika Anda menggunakan paket open source dalam aplikasi Anda, pertimbangkan untuk menggunakan security scorecards guna membuat security score secara otomatis untuk paket open source tertentu. Security adalah metode yang murah dan mudah digunakan untuk mendapatkan penilaian sebelum developer mengintegrasikan paket open source dengan sistem Anda.

Untuk mempelajari resource yang dapat Anda gunakan untuk membantu memverifikasi keamanan Google Cloud, lihat Penilaian risiko keamanan vendor.

Mengontrol akses ke resource dan data Anda

Saat organisasi Anda memindahkan workload ke luar jaringan lokal, Anda harus mengelola akses ke workload tersebut di semua jaringan yang menghosting resource dan data Anda. Google Cloud menyediakan beberapa kontrol yang membantu Anda menyiapkan akses yang sesuai. Bagian berikut ini menyoroti beberapa hal di antaranya.

Menyiapkan keamanan zero-trust dengan BeyondCorp Enterprise

Saat Anda memindahkan workload dari jaringan lokal ke cloud, model kepercayaan jaringan Anda akan berubah. Keamanan zero-trust berarti tidak ada orang yang dipercaya secara implisit, baik mereka berada di dalam maupun di luar jaringan organisasi Anda.

Tidak seperti VPN, keamanan zero trust mengalihkan kontrol akses dari perimeter jaringan ke pengguna dan perangkat mereka. Keamanan zero-trust berarti bahwa identitas dan konteks pengguna dipertimbangkan selama autentikasi. Kontrol keamanan ini menyediakan taktik pencegahan yang penting terhadap serangan ransomware yang hanya berhasil setelah penyerang melanggar masuk ke jaringan Anda.

Gunakan BeyondCorp Enterprise untuk menyiapkan keamanan zero-trust di Google Cloud. BeyondCorp Enterprise provides perlindungan data dan perlindungan terhadap ancaman serta kontrol akses. Untuk mempelajari cara menyiapkannya, lihat Cara mulai menggunakan BeyondCorp Enterprise.

Jika workload Anda berada dalam jaringan lokal dan di Google Cloud, konfigurasikan Identity-Aware Proxy (IAP). IAP memungkinkan Anda untuk memperluas keamanan zero-trust ke aplikasi Anda di kedua lokasi. Layanan ini menyediakan autentikasi dan otorisasi bagi pengguna yang mengakses aplikasi dan resource Anda, menggunakan kebijakan kontrol akses.

Mengonfigurasi hak istimewa terendah

Hak istimewa terendah memastikan pengguna dan layanan hanya memiliki akses yang mereka perlukan untuk menjalankan tugas spesifik mereka. Hak istimewa terendah memperlambat kemampuan ransomware untuk menyebar ke seluruh organisasi karena penyerang tidak dapat mengeskalasi hak istimewa mereka dengan mudah.

Untuk memenuhi kebutuhan khusus organisasi Anda, gunakan kebijakan, peran, dan izin yang lebih terperinci di Identity and Access Management (IAM). Selain itu, analisis izin Anda secara rutin menggunakan pemberi rekomendasi peran dan Policy Analyzer. Pemberi rekomendasi peran menggunakan machine learning untuk menganalisis setelan Anda dan memberikan rekomendasi guna membantu memastikan setelan peran Anda mematuhi prinsip hak istimewa terendah. Dengan Policy Analyzer, Anda dapat melihat akun mana yang memiliki akses ke resource cloud Anda.

Untuk informasi selengkapnya tentang hak istimewa terendah, lihat Menggunakan IAM dengan aman.

Mengonfigurasi autentikasi multi-faktor dengan Kunci Keamanan Titan

Multi-factor authentication (MFA) memastikan bahwa pengguna harus memberikan sandi dan faktor biometrik atau faktor kepemilikan (seperti token) sebelum mereka dapat mengakses resource. Karena sandi relatif mudah ditemukan atau dicuri, MFA membantu mencegah penyerang ransomware dari upaya untuk mengambil alih akun.

Pertimbangkan Kunci Keamanan Titan untuk MFA guna membantu mencegah upaya pengambilalihan akun dan serangan phishing. Kunci Keamanan Titan tahan terhadap kerusakan dan dapat digunakan dengan layanan apa pun yang mendukung standar Fast IDentity Online (FIDO) Alliance.

Aktifkan MFA untuk aplikasi Anda, Google Cloud administrators, koneksi SSH ke VM Anda (dengan menggunakan OS Login), dan untuk siapa saja yang memerlukan akses khusus ke informasi sensitif.

Gunakan Cloud Identity guna mengonfigurasi MFA untuk resource Anda. Untuk informasi selengkapnya, lihat Menerapkan MFA seragam untuk resource yang dimiliki perusahaan.

Melindungi akun layanan Anda

Akun layanan adalah identitas khusus yang dapat memberikan akses ke resource Google Cloud Anda, sehingga penyerang akan menganggapnya berharga. Untuk praktik terbaik mengenai cara melindungi akun layanan, lihat Praktik terbaik untuk menggunakan akun layanan.

Melindungi data penting Anda

Tujuan utama dari serangan ransomware pada umumnya adalah sebagai berikut:

• Untuk membuat data penting Anda tidak dapat diakses sampai Anda membayar uang tebusan
• Untuk memindahkan data Anda secara tidak sah.

Untuk melindungi data penting Anda dari serangan, gabungkan berbagai kontrol keamanan untuk mengontrol akses ke data, berdasarkan sensitivitas data. Bagian berikut ini menjelaskan tentang beberapa praktik terbaik yang dapat Anda gunakan untuk membantu melindungi data Anda dan membantu memitigasi serangan ransomware secara efektif.

Mengonfigurasi redundansi data

Google Cloud memiliki infrastruktur berskala global yang dirancang untuk memberikan ketahanan, skalabilitas, dan ketersediaan tinggi. Ketahanan cloud membantu Google Cloud untuk melakukan pemulihan dan beradaptasi dengan berbagai kejadian. Untuk mengetahui informasi selengkapnya, lihat panduan keandalan infrastruktur Google Cloud.

Selain kemampuan ketahanan default di Google Cloud, konfigurasikan redundansi (N+2) pada opsi penyimpanan cloud yang Anda gunakan untuk menyimpan data. Redundansi membantu mengurangi efek dari serangan ransomware karena ia menghilangkan titik tunggal kegagalan dan menyediakan pencadangan untuk sistem utama Anda jika seandainya sistem tersebut disusupi.

Jika Anda menggunakan Cloud Storage, Anda dapat mengaktifkan Pembuatan Versi Objek atau fitur Penguncian Bucket. Anda dapat mengonfigurasi kebijakan retensi data untuk bucket Cloud Storage dengan fitur Penguncian Bucket.

Untuk informasi selengkapnya tentang redundansi data di Google Cloud, lihat hal berikut:

• Redundansi di seluruh region dengan bucket Cloud Storage
• Menyalin set data BigQuery di seluruh region

Mencadangkan database dan filestore Anda

Pencadangan memungkinkan Anda untuk menyimpan salinan data untuk tujuan pemulihan dari bencana (disaster recovery), agar Anda dapat membuat lingkungan yang dapat direplikasi. Simpan cadangan dalam format yang Anda perlukan dan dalam bentuk sumber mentah jika memungkinkan. Untuk menghindari risiko kehilangan data cadangan Anda, simpan salinan tersebut di zona terpisah yang terisolasi dari zona produksi Anda. Selain itu, cadangkan file biner dan file yang dapat dieksekusi secara terpisah dari data Anda.

Saat merencanakan lingkungan yang dapat direplikasi, pastikan Anda menerapkan kontrol keamanan yang sama (atau lebih kuat) di lingkungan mirror Anda. Tentukan waktu yang Anda perlukan untuk membuat ulang lingkungan dan akun administrator baru yang Anda perlukan.

Untuk beberapa contoh pencadangan di Google Cloud, lihat hal berikut ini:

• Mencadangkan di Cloud SQL untuk SQL Server

• Mencadangkan di Filestore

Selain opsi pencadangan ini, pertimbangkan untuk menggunakan Layanan Pencadangan dan DR untuk mencadangkan data lokal Anda ke Google Cloud. Dengan pencadangan dan DR, Anda dapat menyiapkan lingkungan pemulihan dari bencana di Google Cloud untuk VM dan database. Anda. Untuk informasi selengkapnya, lihat solusi untuk pencadangan dan pemulihan dari bencana (disaster recovery).

Melindungi dan mencadangkan kunci enkripsi data

Untuk membantu mencegah penyerang mendapatkan akses ke kunci enkripsi data Anda, rotasikan kunci Anda secara rutin dan pantau aktivitas yang terkait dengan kunci. Implementasikan strategi pencadangan utama yang mempertimbangkan lokasi kunci dan apakah kunci tersebut dikelola Google (software atau HSM), atau apakah Anda menyediakan kunci tersebut kepada Google. Jika Anda menyuplai kunci Anda sendiri, konfigurasikan pencadangan dan rotasi kunci menggunakan kontrol dalam sistem pengelolaan kunci eksternal.

Untuk informasi selengkapnya, lihat Mengelola kunci enkripsi dengan Cloud Key Management Service.

Melindungi jaringan dan infrastruktur Anda

Untuk melindungi jaringan Anda, Anda harus memastikan bahwa penyerang tidak dapat melewati jaringan tersebut dengan mudah untuk mendapatkan akses ke data sensitif Anda. Bagian berikut ini menjelaskan beberapa hal yang perlu dipertimbangkan saat merencanakan dan men-deploy jaringan Anda.

Mengotomatiskan penyediaan infrastruktur

Otomatisasi merupakan kontrol penting terhadap penyerang ransomware, karena otomatisasi memberi tim operasi Anda kondisi baik, rollback cepat, dan kemampuan pemecahan masalah. Otomatisasi memerlukan berbagai alat seperti Terraform, Jenkins, Cloud Build, dan lain-lain.

Deploy lingkungan Google Cloud yang aman menggunakan blueprint dasar-dasar perusahaan. Jika perlu, kembangkan blueprint fondasi keamanan dengan blueprint tambahan atau desain otomatisasi Anda sendiri.

Untuk mengetahui informasi selengkapnya tentang otomatisasi, lihat Menggunakan pipeline CI/CD untuk alur kerja pemrosesan data. Untuk panduan keamanan lebih lanjut, lihat Pusat Praktik Terbaik Keamanan Cloud.

Menyegmentasikan jaringan Anda

Segmen dan perimeter jaringan dapat membantu memperlambat progres yang dilakukan penyerang di lingkungan Anda.

Untuk menyegmentasikan layanan dan data serta membantu mengamankan perimeter Anda, Google Cloud menyediakan alat bantu berikut ini:

• Untuk mengarahkan dan melindungi alur traffic, gunakan Cloud Load Balancing dengan aturan firewall.
• Untuk mengatur perimeter dalam organisasi Anda guna menyegmentasikan resource dan data, gunakan Kontrol Layanan VPC.
• Untuk mengatur koneksi dengan workload Anda yang lain, baik di infrastruktur lokal atau di lingkungan cloud lainnya, gunakan Cloud VPN atau Cloud Interconnect.
• Untuk membatasi akses ke port dan alamat IP, konfigurasikan kebijakan organisasi seperti "Batasi akses IP Publik pada instance Cloud SQL" dan "Nonaktifkan akses port serial VM".
• Untuk melakukan hardening VM pada jaringan Anda, konfigurasikan kebijakan organisasi seperti "Shielded VM".

Sesuaikan kontrol keamanan jaringan agar sesuai dengan risiko untuk resource dan data yang berbeda.

Melindungi workload Anda

Google Cloud mencakup layanan yang memungkinkan Anda membangun, men-deploy, dan mengelola kode. Gunakan layanan ini untuk mencegah dan mendeteksi penyimpangan serta memperbaiki masalah seperti kesalahan konfigurasi dan kerentanan dengan cepat. Untuk melindungi workload Anda, buatlah proses deployment dengan akses terbatas yang dapat mencegah penyerang ransomware untuk mendapatkan akses awal melalui kerentanan dan kesalahan konfigurasi yang belum di-patch. Bagian ini menjelaskan beberapa praktik terbaik yang dapat Anda terapkan untuk membantu melindungi workload Anda.

Misalnya, untuk men-deploy workload di GKE Enterprise, Anda dapat melakukan hal berikut:

• Mengkonfigurasi build terpercaya dan deployments.
• Mengisolasi aplikasi dalam cluster.
• Mengisolasi pod pada node.

Untuk mengetahui informasi selengkapnya tentang keamanan GKE Enterprise, lihat Meningkatkan keamanan cluster Anda.

Menggunakan software development lifecycle yang aman

Saat mengembangkan software development lifecycle (SDLC), gunakan praktik industri terbaik seperti DevSecOps. Program DevOps Research and Assessment (DORA) ini menjelaskan banyak hal teknis, proses, pengukuran, dan budaya dari DevSecOps. DevSecOps dapat membantu mengurangi serangan ransomware karena ia dapat membantu memastikan bahwa berbagai aspek keamanan disertakan pada setiap langkah siklus pengembangan dan memungkinkan organisasi Anda dapat men-deploy perbaikan dengan cepat.

Untuk mengetahui informasi selengkapnya tentang cara menggunakan SDLC dengan Google Kubernetes Engine (GKE), lihat Ringkasan Software Delivery Shield.

Menggunakan pipeline continuous integration dan continuous delivery yang aman

Continuous integration dan continuous delivery (CI/CD) menyediakan mekanisme untuk memberikan fungsionalitas terbaru kepada pelanggan Anda dengan cepat. Untuk mencegah serangan ransomware terhadap pipeline, Anda harus melakukan analisis kode yang sesuai dan memantau pipeline terhadap serangan berbahaya.

Untuk melindungi CI/CD pipelineAnda di Google Cloud, gunakan kontrol akses, tugas terpisah, dan verifikasi kode kriptografi saat kode berpindah melalui pipeline CI/CD. Gunakan Cloud Build untuk melacak tahapan built Anda dan Artifact Registry untuk menyelesaikan vulnerability scanning on your container images. Gunakan Binary Authorization untuk memverifikasi bahwa gambar Anda telah memenuhi standar.

Saat mem-built pipeline, pastikan Anda memiliki pencadangan dari biner aplikasi Anda dan file yang dapat dieksekusi. Cadangkan file tersebut secara terpisah dari data rahasia Anda.

Melindungi aplikasi yang di-deploy

Penyerang dapat mencoba mengakses jaringan Anda dengan menemukan kerentanan pada Layer ke 7 dalam aplikasi yang di-deploy. Untuk membantu memitigasi serangan ini selesaikan aktivitas pemodelan ancaman untuk menemukan potensi ancaman. Setelah Anda meminimalkan area serangan, konfigurasikan Google Cloud Armor, yang merupakan web-application firewall (WAF) dengan pemfilteran 7 lapis dan kebijakan keamanan.

Aturan WAF membantu Anda melindungi aplikasi dari serangkaian Top 10 masalah OWASP. Untuk informasi selengkapnya, lihat 10 opsi mitigasi teratas OWASP di Google Cloud.

Untuk mengetahui informasi tentang penerapan Google Cloud Armor dengan Aplikasi Load Balancer eksternal global untuk melindungi aplikasi Anda di berbagai wilayah, lihat Mengenal Google Cloud Armor—pertahanan dalam skala besar untuk layanan internet. Untuk mengetahui informasi tentang penggunaan Google Cloud Armor dengan aplikasi yang berjalan di luar Google Cloud, lihat Mengintegrasikan Google Cloud Armor dengan produk Google lainnya.

Melakukan patch pada kerentanan dengan cepat

Vektor serangan utama dari ransomware adalah kerentanan pada software {i>open source<i}. Untuk memitigasi dampak yang mungkin ditimbulkan oleh ransomware, Anda harus cepat-cepat men-deploy perbaikan di seluruh perangkat.

Menurut model tanggung jawab bersama, Anda bertanggung jawab atas setiap kerentanan software dalam aplikasi Anda, sedangkan Google bertanggung jawab untuk menjaga keamanan infrastruktur dasar

Untuk melihat kerentanan yang terkait dengan sistem operasi yang dijalankan VM Anda dan untuk mengelola proses penambalan, gunakan OS patch management di Compute Engine. Untuk GKE dan GKE Enterprise, Google otomatis menambal kerentanan, meskipun Anda memiliki kendali atas masa pemeliharaan GKE.

Jika Anda menggunakan Cloud Build, otomatiskan build setiap kali developer meng-commit perubahan ke repositori sumber kode. Pastikan file konfigurasi build Anda menyertakan pemeriksaan verifikasi yang sesuai, seperti pemindaian kerentanan dan pemeriksaan integritas.

Untuk mengetahui informasi tentang cara mem-patch Cloud SQL, lihat Pemeliharaan pada instance Cloud SQL.

Mendeteksi serangan

Kemampuan Anda untuk mendeteksi serangan tergantung pada kemampuan deteksi, sistem pemantauan dan peringatan Anda, serta aktivitas yang mempersiapkan tim operasi Anda untuk mengidentifikasi serangan ketika terjadi. Bagian ini menjelaskan beberapa praktik terbaik untuk mendeteksi serangan.

Mengonfigurasi pemantauan dan pemberitahuan

Aktifkan Security Command Center visibilitas terpusat terhadap segala masalah dan risiko keamanan dalam lingkungan Google Cloud Anda. Sesuaikan dasbor untuk memastikan kejadian yang paling penting bagi organisasi Anda adalah yang paling terlihat.

Gunakan Cloud Logging untuk untuk mengelola dan menganalisis log dari layanan Anda di Google Cloud. Untuk analisis tambahan, Anda dapat memilih untuk mengintegrasikan dengan Chronicle atau mengekspor log ke SIEM organisasi Anda.

Selain itu, gunakan Cloud Monitoring untuk mengukur kinerja layanan dan sumber daya Anda serta menyiapkan pemberitahuan. Sebagai contoh, Anda dapat memantau sperubahan mendadak pada jumlah VM yang berjalan di lingkungan Anda, yang mungkin merupakan tanda bahwa malware ada di lingkungan Anda.

Sediakan semua informasi ini ke pusat operasi keamanan Anda secara terpusat.

Membangun kemampuan deteksi

Bangun kemampuan deteksi di Google Cloud yang sesuai dengan risiko dan kebutuhan workload Anda Kemampuan ini memberi Anda lebih banyak insight tentang ancaman tingkat lanjut, dan membantu Anda memantau persyaratan kepatuhan dengan lebih baik.

Jika Anda memiliki paket Premium Security Command Center, gunakan Event Threat Detection dan Chronicle. Event Threat Detection menelusuri log Anda untuk menemukan potensi serangan keamanan dan mencatat temuannya ke dalam log di Security Command Center. Dengan Event Threat Detection, Anda dapat memantau Google Cloud dan Google Workspace secara bersamaan. Event Threat Detection memeriksa malware berdasarkan domain dan alamat IP jahat yang diketahui. Untuk informasi selengkapnya, lihat Menggunakan Event Threat Detection.

Gunakan Chronicle untuk menyimpan dan menganalisis data keamanan Anda di satu tempat. Chronicle membantu meningkatkan proses penanganan ancaman di Google Cloud dengan menambahkan kemampuan investigasi ke Security Command Center Premium. Anda dapat menggunakan Chronicle untuk membuat aturan deteksi, menyiapkan indikator pencocokan penyusupan, dan melakukan aktivitas perburuan ancaman. Chronicle memiliki fitur berikut:

• Saat Anda memetakan log, Chronicle akan memperkaya log dan menautkannya ke linimasa, sehingga Anda dapat melihat seluruh rentang serangan.
• Chronicle secara konstan mengevaluasi ulang aktivitas log berdasarkan kecerdasan ancaman yang dikumpulkan oleh tim Google Cloud Threat Intelligence for Chronicle. Saat kecerdasan ancaman berubah, Chronicle akan secara otomatis menerapkannya kembali terhadap semua aktivitas historis.
• Anda dapat menulis aturan YARA Anda sendiri untuk meningkatkan kemampuan deteksi ancaman.

Secara opsional, Anda dapat menggunakan partner Google Cloud untuk meningkatkan kemampuan deteksi Anda lebih lanjut.

Merencanakan serangan ransomware

Untuk bersiap menghadapi serangan ransomware, selesaikan kelangsungan bisnis dan rencana pemulihan dari bencana (disaster recovery plans), buat playbook respons insiden terhadap ransomware, dan lakukan Diskusi Simulasi Bencana (Tabletop Exercise).

Untuk playbook respons insiden Anda, pertimbangkan fungsionalitas yang tersedia untuk setiap layanan. Misalnya, jika Anda menggunakan GKE dengan Otorisasi Biner, Anda dapat menambahkan proses akses darurat

Pastikan playbook respons insiden dapat dengan cepat membantu Anda menangani resource dan akun yang terinfeksi, serta mengalihkannya ke resource dan cadangan yang masih sehat. Jika Anda menggunakan layanan pencadangan seperti Pencadangan dan DR, praktikkan prosedur pemulihan secara rutin dari Google Cloud ke jaringan lokal Anda.

Buatlah program ketahanan cyber dan strategi cadangan yang dapat membekali Anda untuk memulihkan sistem ini atau aset yang terpengaruh oleh insiden ransomware. Ketahanan cyber sangat penting untuk mendukung linimasa pemulihan dan mengurangi efek serangan sehingga Anda dapat kembali menjalankan bisnis.

Anda mungkin perlu melaporkan serangan tersebut kepada pihak yang berwenang tergantung pada cakupan serangan dan peraturan yang berlaku pada organisasi Anda. Pastikan informasi kontak dicatat secara akurat dalam playbook respons insiden Anda.

Merespons dan memulihkan dari serangan

Ketika serangan terjadi, Anda perlu mengikuti rencana respons insiden Anda. Respons Anda kemungkinan besar akan melalui empat fase, yaitu:

• Identifikasi insiden
• Koordinasi dan investigasi insiden
• Penyelesaian insiden
• Penutupan insiden

Praktik terbaik yang terkait dengan respons insiden dijelaskan lebih lanjut dalam bagian berikut.

Untuk informasi tentang bagaimana cara Google mengelola insiden, lihat Proses respons insiden data.

Mengaktifkan rencana respons insiden Anda

Ketika Anda mendeteksi serangan ransomware, segera aktivasi rencana Anda. Setelah Anda mengonfirmasi bahwat insiden tersebut bukan positif palsu (PP) dan memengaruhi layanan Google Cloud Anda, buka tiket Bantuan Google P1. Dukungan Google merespons seperti yang didokumentasikan dalam Panduan Layanan Dukungan Teknis Google Cloud.

Jika organisasi Anda memiliki Google Technical Account Manager (TAM) atau perwakilan Google lainnya, hubungi mereka juga.

Mengkoordinasikan investigasi insiden Anda

Setelah mengaktivasi rencana Anda, kumpulkan tim dalam organisasi Anda yang perlu dilibatkan dalam proses koordinasi dan resolusi insiden. Pastikan bahwa alat dan proses ini tersedia untuk menyelidiki dan menyelesaikan insiden.

Terus pantau tiket Dukungan Google Anda dan bekerja samalah dengan perwakilan Google Anda. Respon setiap permintaan informasi lebih lanjut. Buatlah catatan yang terperinci pada setiap aktivitas Anda.

Menyelesaikan insiden tersebut

Setelah Anda menyelesaikan investigasi Anda, ikuti rencana respons insiden untuk menghapus ransomware dan memulihkan lingkungan Anda ke kondisi yang sehat. Tergantung pada tingkat parahnya serangan dan kontrol keamanan yang telah Anda aktifkan, rencana Anda dapat mencakup aktivitas seperti berikut ini:

• Mengarantina sistem yang terinfeksi.
• Memulihkan dari cadangan yang masih sehat.
• Mengembalikan infrastruktur Anda ke kondisi baik sebelumnya menggunakan pipeline CI/CD Anda.
• Memverifikasi bahwa kerentanan telah diperbaiki.
• Mem-patch semua sistem yang mungkin rentan terhadap serangan serupa.
• Menerapkan kontrol yang Anda perlukan untuk menghindari serangan serupa.

Seiring Anda melewati tahap penyelesaian, terus pantau tiket Dukungan Google Anda. Dukungan Google mengambil tindakan yang sesuai dalam Google Cloud untuk mengatasi, membasmi, dan (jika memungkinkan) memulihkan lingkungan Anda.

Terus buat catatan terperinci pada setiap aktivitas Anda.

Menutup insiden

Anda bisa menutup insiden ini setelah lingkungan Anda telah dipulihkan ke kondisi yang sehat dan Anda telah memverifikasi bahwa ransomware telah diberantas dari lingkungan Anda.

Beri tahu Dukungan Google saat insiden Anda telah teratasi dan lingkungan Anda telah dipulihkan. Jika ada agenda yang dijadwalkan, berpartisipasilah dalam retrospektif bersama dengan perwakilan Google Anda.

Pastikan bahwa Anda mengambil pelajaran yang dapat dipetik dari insiden tersebut, dan tetapkan kontrol yang Anda perlukan untuk menghindari serangan serupa. Bergantung pada sifat serangannya, Anda dapat mempertimbangkan tindakan berikut ini:

• Menulis aturan deteksi dan peringatan yang secara otomatis akan terpicu jika serangan terjadi lagi.
• Memperbarui playbook respons insiden Anda untuk mencantumkan semua pelajaran yang diperoleh.
• Meningkatkan postur keamanan berdasarkan temuan retrospektif Anda.

Langkah selanjutnya

• Pelajari lebih lanjut tentang incident response process di Google.
• Tandai (bookmark) Dasbor Status Google Cloud untuk melihat status Google Cloud.
• Tingkatkan rencana respons insiden Anda dengan buku SRE Google - Incident Response.
• Baca Framework Arsitektur untuk mengetahui praktik terbaik lainnya Terkait Google Cloud.

• Rencanakan proses pemulihan dari bencana Anda.

• Bantu amankan supply chain software di GKE.

• Pelajari cara Google mengidentifikasi dan melindungi dari serangan DDoS terbesar.