Programa de proteção contra mineração de criptomoedas do Security Command Center

Visão geral do programa

O Google oferece aos clientes do nível Premium ou Enterprise proteção financeira para custear os custos da VM do Compute Engine relacionados a ataques de mineração de criptomoedas não detectados e não autorizados no ambiente de VM do Compute Engine. Para participar, os clientes precisam seguir as Práticas recomendadas de detecção de mineração de criptomoedas do Security Command Center para reduzir o risco de um ataque bem-sucedido e cumprir os Termos e Condições abaixo. 

Se o Google ou o Security Command Center Premium ou Enterprise não detectarem e notificarem o cliente sobre um ataque de criptomineração no ambiente de VM do Compute Engine do cliente e o cliente enfrentar custos do Compute Engine resultantes do ataque não detectado, o cliente poderá solicitar os créditos do Google Cloud em até 30 dias a partir da quando o ataque começou a cobrir os custos não autorizados do Compute Engine.

O Google trabalhará com o cliente para determinar os custos do Compute Engine incorridos como resultado do ataque de criptomineração. O valor máximo de créditos emitidos neste programa para qualquer cliente não excederá US$ 1 milhão em qualquer período de 12 meses.

A responsabilidade do Google se limita a detectar e notificar os clientes sobre ataques de criptomineração. A resposta e a correção de ataques continuam sendo responsabilidade do cliente.

Se a implantação do Security Command Center Premium ou Enterprise do cliente produzir uma descoberta de detecção relacionada a um ataque de mineração de criptomoedas em uma VM do Compute Engine do cliente, ou se o Google enviar uma notificação ao cliente avisando que atividade suspeita de mineração de criptomoedas foi detectada no ambiente de VM do Compute Engine, o cliente não terá direito a nenhum crédito pelos custos incorridos após a descoberta ou notificação.

Programa de proteção contra mineração de criptomoedas do Security Command Center

Cobertura do programa

Esse programa de proteção é baseado no investimento do Google em tecnologia de detecção de criptomineração como parte do serviço de Detecção de ameaças a máquinas virtuais (VMTD) do Security Command Center Premium. Por isso, o programa aborda apenas os tipos de VM do Compute Engine e os ambientes de computação compatíveis com o VMTD.

A cobertura do programa inclui:

  • Mineração de criptomoedas não detectada e não autorizada ocorrendo em instâncias do Compute Engine baseadas em Linux. 

A cobertura do programa exclui todos os outros serviços do Google Cloud, incluindo, sem limitação:

  • VM do Windows
  • VMs de computação confidencial
  • Instâncias do Google Kubernetes
  • Instâncias do App Engine
  • Cloud Run
  • Cloud Functions

Recomendamos que os clientes do Security Command Center Premium monitorem o uso de serviços do Google Cloud não cobertos por este programa para reduzir o risco de ataques de mineração de criptomoedas não detectados.

Este programa não abrange atividades de mineração de criptomoedas iniciadas pelo cliente. Executar software de mineração de criptomoedas no Google Cloud é uma violação dos Termos de Serviço do Google Cloud Platform.

Práticas recomendadas para detecção de mineração de criptomoedas do Security Command Center

Veja abaixo uma lista de práticas recomendadas que você precisa analisar e seguir para se qualificar para o programa. Para mais informações, consulte as Práticas recomendadas de detecção de mineração de criptomoedas do Security Command Center.

Para ajudar os clientes a verificar se essas práticas recomendadas foram implementadas no ambiente deles, os especialistas em segurança do Google Cloud publicaram este script de validação com resultados visíveis apenas para os clientes.

Métodos e notificações de detecção de criptomineração

Os clientes serão notificados sobre ataques de criptomineração no ambiente de VM do Compute Engine pelo Security Command Center que produzem uma ou mais descobertas de detecção nos Estágios 0 ou 1.

Os resultados da detecção no estágio 0 são indicadores principais de um ataque de criptomineração e fornecem visibilidade do plano de controle sobre um ataque iminente ou em andamento. Os resultados da detecção no estágio 1 são indicações positivas de ataques de criptomineração.

Descobertas da detecção no estágio 0

  • A conta vazou credenciais
  • Evasão de defesa: acesso a partir de proxy de anonimização
  • Acesso inicial: ação de uma conta de serviço inativa

Descobertas da detecção do estágio 1

  • Malware: domínio inválido de mineração de criptomoedas (Event Threat Detection)
  • Malware: mineração de IP inválido (Event Threat Detection)
  • Execução: regra YARA de criptomoedas (detecção de ameaças à VM)
  • Execução: correspondência de hash de mineração de criptomoedas (detecção de ameaças da VM)
  • Execução: detecção combinada - regra YARA e correspondência de hash (detecção de ameaças à VM)

Como alternativa, o Google pode notificar o cliente sobre a detecção de possível atividade de criptomineração no ambiente dele.

Produzir uma descoberta de detecção do Security Command Center no Estágio 0 ou no Estágio 1 ou, de outra forma, enviar uma notificação ao cliente, cumpre a responsabilidade de notificação do Google de acordo com os termos deste programa. 

Se houver um atraso a partir do momento em que um ataque começa até que o Security Command Center produz uma descoberta de detecção ou a partir do momento em que o Google envia uma notificação ao cliente, o cliente pode solicitar créditos pelos custos excedentes do Compute Engine desde o início do ataque até notificação. Para mais informações, consulte as Práticas recomendadas de detecção de mineração de criptomoedas do Security Command Center

Compartilhamento de informações de ataque

Para se qualificar para receber os créditos do Google Cloud no programa, o cliente deve:

  • enviar evidências que demonstrem a ocorrência de um ataque de criptomineração, como logs de eventos e/ou custos anômalos do Compute Engine; e
  • declarar e fornecer evidências que demonstrem de forma razoável que o cliente estava seguindo as práticas recomendadas de detecção de mineração de criptomoedas do Security Command Center para este programa, conforme descrito em Práticas recomendadas de detecção de mineração de criptomoedas do Security Command Center, e não recebeu uma descoberta ou outro aviso do Google em relação ao para um ataque de mineração de criptomoedas.

Depois que o Google confirmar que um cliente do Security Command Center Premium sofreu um ataque de mineração de criptomoedas não detectado no ambiente de VM do Compute Engine, o cliente precisará trabalhar de maneira colaborativa com os engenheiros de segurança do Google Cloud para identificar e compartilhar artefatos forenses para ajudar o Google a melhorar a detecção de ameaças.

As informações forenses solicitadas poderiam incluir imagens enviadas pelo invasor, o binário de criptomineração executado e ogs de auditoria do Cloud descrevendo o comportamento do adversário durante o ataque. Os clientes vão apresentar essas informações ao Google mediante solicitação e terão a oportunidade de analisar as informações solicitadas e remover dados confidenciais ou reservados antes de compartilhar com o Google.

Termos e créditos do programa

i. Geral: estes termos do programa complementam os Termos de Serviço do Google Cloud Platform.O Google se reserva o direito de alterar ou descontinuar este programa por qualquer motivo ou sem motivo com um aviso prévio de 30 dias após a atualização desta página da Web. 

Para se qualificar para os créditos do Google Cloud no programa, o cliente precisa registrar a solicitação desses créditos no prazo de 30 dias a partir do início do ataque. 

ii. Créditos do Google Cloud: o Google trabalhará com o cliente para determinar o Compute Engine custos incorridos devido ao ataque de mineração de criptomoedas, e o Google determinará razoavelmente se os créditos são devidos e o valor adequado. O valor máximo de créditos emitidos neste programa não será superior a US$1 milhão em qualquer período de 12 meses. Nenhuma outra medida judicial ou garantias expressas, implícitas ou legais estão disponíveis (incluindo, sem limitação, garantias de comercialidade e adequação para uma finalidade específica) em relação a este programa. Os créditos do Google Cloud só vão estar disponíveis para o cliente no período entre o início do ataque de criptomineração e o término quando o Google enviar um aviso ao cliente. Quaisquer custos associados ao ataque de criptomineração após a notificação do Google ao cliente não se qualificam para os créditos do Google Cloud no programa. Os créditos fornecidos ao cliente não têm valor monetário. Todos os créditos expiram 12 meses após a emissão ou após a rescisão ou expiração do contrato do Google Cloud do cliente.

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Google Cloud