Il tuo ambiente cloud è appena stato colpito da un ransomware. Cosa fai nei prossimi 60 minuti?Il ransomware negli ambienti cloud si comporta diversamente rispetto a quello on-premise: attacca lo storage nativo del cloud, crittografa i volumi EBS, elimina i backup ed esfiltra i dati nello storage controllato dagli aggressori. Questo playbook fornisce procedure dettagliate per le prime ore critiche di un incidente di ransomware cloud.
Punti chiave
- I primi 60 minuti sono fondamentali:Le azioni di contenimento nella prima ora determinano se l’incidente è un’interruzione o una catastrofe.
- Non pagare il riscatto:Il pagamento non garantisce il recupero dei dati e finanzia operazioni criminali. Concentrarsi sul ripristino dai backup.
- Il ransomware cloud prende di mira i backup:Gli aggressori prendono di mira ed eliminano specificamente i backup cloud (istantanee, controllo delle versioni S3) prima di crittografare i dati di produzione.
- I backup immutabili sono la tua assicurazione:I backup che non possono essere modificati o eliminati da credenziali compromesse sono l'unico metodo affidabile di ripristino del ransomware.
- La compromissione delle credenziali abilita il ransomware cloud:Il ransomware cloud in genere inizia con credenziali IAM rubate, non malware su un server.
Manuale di risposta al ransomware cloud
Fase 1: rilevamento e valutazione iniziale (0-15 minuti)
- Conferma l'incidente:Verifica gli indicatori di ransomware: file crittografati, richieste di riscatto, attività insolita API (crittografia di massa di oggetti S3, eliminazione di snapshot EBS)
- Attivare il team di risposta agli incidenti:Avvisare il comandante dell'incidente, il team IR, lo sponsor tecnico, legale ed esecutivo
- Valutare l'ambito:Identificare gli account, le regioni e i servizi interessati. Controlla CloudTrail/Log attività per l'attività recente della credenziale compromessa
- Determinare il vettore di attacco:Come è riuscito ad accedere l'aggressore? Phishing, furto di credenziali, applicazioni vulnerabili, terze parti compromesse?
Fase 2: Contenimento (15-60 minuti)
- Revoca credenziali compromesse:Disabilita tutti gli utenti IAM e le chiavi di accesso associati all'attacco. Revocare tutte le sessioni attive
- Isolare le risorse interessate:Applica i gruppi di sicurezza in quarantena alle istanze compromesse (nega tutto in entrata/in uscita). Disabilita le funzioni Lambda interessate
- Proteggi i backup:Verificare l'integrità del backup. Sposta i backup critici su un account isolato con credenziali separate. Abilita S3 Blocco oggetto se non già configurato
- Blocca l'infrastruttura dell'aggressore:Blocca gli IP degli autori di attacchi noti nei gruppi di sicurezza, WAF e nelle ACL di rete. Blocca i domini degli aggressori in DNS
- Conservare le prove:Esegui uno snapshot di tutti i volumi EBS interessati. Esporta i log CloudTrail rilevanti in un account bloccato separato. Acquisisci metadati dell'istanza
Fase 3: Eradicazione (1-24 ore)
- Identificare la persistenza:Cerca utenti, ruoli, policy, funzioni Lambda e attività pianificate creati dall'utente malintenzionato
- Rimuovere tutti gli accessi degli aggressori:Elimina le risorse create dall'aggressore. Ruota tutte le credenziali negli account interessati, non solo quelli compromessi
- Applicare la patch al punto di ingresso:Correggere la vulnerabilità che ha consentito l'accesso iniziale (aggiornamento dell'applicazione, correzione di errori di configurazione, riqualificazione dell'utente)
- Verificare lo stato pulito:Scansiona tutte le istanze alla ricerca di malware. Esamina tutte le norme IAM per individuare eventuali modifiche non autorizzate. Verifica le configurazioni di rete
Fase 4: Recupero (24-72 ore)
- Ripristino da backup puliti:Ripristina i dati da backup puliti e verificati. Non eseguire il ripristino da snapshot che potrebbero essere stati acquisiti dopo l'inizio della compromissione
- Ricostruire l'infrastruttura compromessa:Ricostruisci le istanze interessate da AMI/immagini pulite anziché tentare di pulire le istanze compromesse
- Convalidare il recupero:Verificare l'integrità dei dati, la funzionalità dell'applicazione e i controlli di sicurezza prima di tornare alla produzione
- Monitorare intensamente:Implementare un monitoraggio avanzato per 30 giorni dopo il ripristino per rilevare l'eventuale presenza residua di un utente malintenzionato
Fase 5: post-incidente (1-4 settimane)
- Condurre l'analisi della causa principale:Documentare la sequenza temporale completa dell'attacco, dall'accesso iniziale al rilevamento e contenimento
- Inviare notifiche normative:NIS2 richiede un preavviso di 24 ore e una notifica dettagliata di 72 ore. GDPR richiede una notifica entro 72 ore se i dati personali sono stati interessati
- Implementare miglioramenti:Affrontare la causa principale, rafforzare il rilevamento, migliorare la resilienza del backup, aggiornare le procedure IR sulla base delle lezioni apprese
- Condurre un'autopsia irreprensibile:Condividere i risultati a livello di organizzazione per prevenire il ripetersi senza attribuire colpe
Prevenzione ransomware: controlli specifici del cloud
| Controllo | AWS Implementazione | Azure Implementazione |
|---|---|---|
| Backup immutabili | S3 Blocco oggetto, AWS Blocco archivio di backup | Archiviazione BLOB immutabile, Azure Immutabilità del backup |
| Protezione delle credenziali | MFA su root, IAM Access Analyser, SCP | MFA su tutti gli amministratori, accesso condizionato, PIM |
| Privilegio minimo IAM | Criteri IAM minimi, nessuna chiave amministratore | Ruoli RBAC minimi, nessun amministratore permanente |
| Monitoraggio | GuardDuty, CloudTrail, Hub di sicurezza | Defender per Cloud, Sentinel, Registro attività |
| Segmentazione della rete | VPC isolamento, gruppi di sicurezza, NACL | Isolamento VNet, gruppi di rete, Azure Firewall |
Come Opsio protegge dai ransomware
- Prevenzione:Implementiamo backup immutabili, privilegi minimi IAM e monitoraggio della sicurezza che rileva gli indicatori di ransomware prima che inizi la crittografia.
- Rilevamento:Il nostro SOC monitora gli indicatori di ransomware 24 ore su 24, 7 giorni su 7: attività insolite API, operazioni di file di massa, tentativi di eliminazione di backup e TTP di ransomware noti.
- Risposta:I playbook di contenimento automatizzato vengono eseguiti in pochi secondi, revocando le credenziali e isolando le risorse prima che il ransomware si diffonda.
- Recupero:Manteniamo e testiamo le procedure di ripristino del backup in modo che il ripristino sia rapido e affidabile quando necessario.
- NIS2 conformità:Aiutiamo a preparare e inviare notifiche normative entro i tempi NIS2 e GDPR.
Domande frequenti
Dovremmo pagare il riscatto?
No. Il pagamento non garantisce il recupero dei dati: molte vittime che pagano non ricevono mai chiavi di decrittazione funzionanti. Il pagamento finanzia operazioni criminali e contrassegna la tua organizzazione come disposta a pagare (aumentando la probabilità di attacchi futuri). Concentrare le risorse sul ripristino dai backup e sulla prevenzione del ripetersi. Le forze dell'ordine sconsigliano universalmente il pagamento.
Come possiamo garantire che i backup sopravvivano al ransomware?
Implementa backup immutabili che non possono essere modificati o eliminati nemmeno dalle credenziali di amministratore. AWS S3 Il blocco oggetto in modalità Conformità impedisce l'eliminazione per un periodo di conservazione definito. Azure L'archiviazione BLOB immutabile fornisce una protezione equivalente. Archivia le copie di backup in un account AWS separato o in un abbonamento Azure con credenziali indipendenti non accessibili dall'ambiente di produzione.
Quanto velocemente possiamo recuperare dal ransomware cloud?
Con procedure di backup e ripristino testate, la maggior parte degli ambienti cloud può ripristinare i sistemi critici entro 4-24 ore e completare il ripristino entro 1-3 giorni. Senza procedure testate, il recupero richiede settimane. La chiave sono test regolari: condurre esercitazioni di ripristino trimestrali per verificare che i backup siano validi e che le procedure di ripristino funzionino.