Programma di protezione dal cryptomining di Security Command Center

Panoramica del programma

Google fornisce ai clienti del livello Premium o Enterprise di Security Command Center protezione finanziaria per coprire i costi delle VM di Compute Engine correlati ad attacchi di cryptomining non rilevati e non autorizzati nel loro ambiente VM di Compute Engine. Per partecipare a questo programma, i clienti devono seguire le best practice per il rilevamento del cryptomining di Security Command Center al fine di ridurre il rischio di un attacco riuscito e rispettare Termini e condizioni del programma riportati di seguito. 

Se Google o Security Command Center Premium o Enterprise non riescono a rilevare e notificare al cliente un attacco di cryptomining nell'ambiente VM di Compute Engine del cliente e quest'ultimo riscontra costi di Compute Engine derivanti dall'attacco non rilevato, il cliente può richiedere crediti Google Cloud entro 30 giorni a partire dalla data indicata di inizio dell'attacco per coprire i costi non autorizzati di Compute Engine.

Google collaborerà con il cliente per determinare i costi di Compute Engine sostenuti a seguito dell'attacco di cryptomining. L'importo massimo di crediti emessi nell'ambito di questo programma per qualsiasi cliente non potrà superare 1 milione di $ in un periodo di 12 mesi.

La responsabilità di Google si limita a rilevare e informare i clienti in merito agli attacchi di cryptomining. La risposta all’attacco e la correzione rimangono responsabilità del cliente.

Se il deployment di Security Command Center Premium o Enterprise del cliente produce un risultato di rilevamento relativo a un attacco di cryptomining su una VM di Compute Engine del cliente oppure se Google invia una notifica al cliente per avvisarlo che è stata rilevata una sospetta attività di cryptomining nell'ambiente VM di Compute Engine, il cliente non avrà diritto ad alcun credito per i costi sostenuti dopo l'individuazione o la notifica.

Programma di protezione dal cryptomining di Security Command Center

Copertura del programma

Questo programma di protezione si basa sull'investimento di Google nella tecnologia di rilevamento del cryptomining nell'ambito del servizio Virtual Machine Threat Detection (VMTD), disponibile solo con i livelli Premium ed Enterprise di Security Command Center. Pertanto, questo programma copre solo i tipi di VM di Compute Engine e gli ambienti di computing supportati da VMTD. 

Il programma include:

  • Il cryptomining non rilevato e non autorizzato che avviene nelle istanze di Compute Engine basate su Linux. 

La copertura del programma esclude tutti gli altri servizi Google Cloud, inclusi senza alcuna limitazione:

  • VM Windows
  • VM Confidential Computing
  • Istanze di Google Kubernetes
  • Istanze App Engine
  • Cloud Run
  • Cloud Functions

I clienti di Security Command Center Premium o Enterprise sono invitati a monitorare l'utilizzo dei servizi Google Cloud non coperti da questo programma per ridurre il rischio di attacchi di cryptomining non rilevati.

Questo programma non riguarda le attività di cryptomining avviate dal cliente. L'esecuzione di software di cryptomining in Google Cloud costituisce una violazione dei Termini di servizio della piattaforma Google Cloud.

Best practice per il rilevamento del cryptomining di Security Command Center

Di seguito è riportato l'elenco delle best practice che devi esaminare e seguire per l'idoneità al programma. Per maggiori informazioni, consulta le best practice per il rilevamento del cryptomining di Security Command Center.

Per aiutare i clienti a verificare se queste best practice sono implementate nel loro ambiente, gli esperti di sicurezza di Google Cloud hanno pubblicato questo script di convalida, il cui output è visibile solo al cliente.

Notifiche e metodi di rilevamento del cryptomining

I clienti verranno informati degli attacchi di cryptomining nel loro ambiente VM di Compute Engine da Security Command Center, producendo uno o più risultati di rilevamento di Fase 0 o 1.

I risultati del rilevamento nella Fase 0 sono indicatori principali di un attacco di cryptomining e forniscono la visibilità del piano di controllo su un attacco imminente o in corso. I risultati del rilevamento nella Fase 1 sono indicazioni positive degli attacchi di cryptomining.

Risultati rilevamento Fase 0

  • Credenziali dell'account divulgate
  • Evasione di difesa: accesso da proxy con anonimizzazione
  • Accesso iniziale: azione sull'account di servizio inattivo

Fase 1 - Risultati del rilevamento

  • Malware: domini dannosi per il cryptomining (Event Threat Detection)
  • Malware: IP non valido per il cryptomining (Event Threat Detection)
  • Esecuzione: regola YARA in criptovaluta (VM Threat Detection)
  • Esecuzione: corrispondenza dell'hash per il mining di criptovalute (VM Threat Detection)
  • Esecuzione: rilevamento combinato - regola YARA e corrispondenza hash (VM Threat Detection)

In alternativa, Google potrebbe comunicare al cliente che ha rilevato una possibile attività di cryptomining nel suo ambiente.

La produzione di un risultato di rilevamento di Security Command Center di Fase 0 o 1 o comunque l'invio di una notifica al cliente adempie alla responsabilità di Google relativa alle notifiche ai sensi dei termini di questo programma. .

Se si verifica un ritardo dal momento in cui inizia l'attacco fino a quando Security Command Center genera un esito di rilevamento o da quando Google invia una notifica al cliente, il cliente può richiedere crediti per i costi in eccesso di Compute Engine dall'inizio dell'attacco fino all'avvenuta notifica. Per saperne di più, consulta le best practice per il rilevamento del cryptomining di Security Command Center

Condivisione di informazioni su un attacco

Per avere l'idoneità ai crediti Google Cloud nell'ambito del programma, su richiesta il cliente deve:

  • inviare prove che dimostrino ragionevolmente l'occorrenza di un attacco di cryptomining, come log eventi e/o costi anomali di Compute Engine; e 

  • Rappresentare e fornire prove dimostrando ragionevolmente che stesse seguendo le best practice di rilevamento del cryptomining di Security Command Center per questo programma, come descritto nelle best practice per il rilevamento del cryptomining di Security Command Center, e che non ha ricevuto un risultato o altra notifica da parte di Google in merito all'attacco di cryptomining.

Dopo che Google avrà confermato che un cliente di Security Command Center Premium o Enterprise ha subito un attacco di cryptomining non rilevato nel suo ambiente VM di Compute Engine, il cliente dovrà collaborare con i tecnici della sicurezza Google Cloud per identificare e condividere gli artefatti forensi al fine di aiutare Google a migliorare le sue funzionalità di rilevamento delle minacce.

Le informazioni forensi richieste potrebbero includere immagini caricate dall’aggressore, il file binario di cryptomining eseguito e gli strumenti di controllo Cloud Audit che descrivono il comportamento del malintenzionato durante l’attacco. I clienti forniranno queste informazioni a Google su richiesta e avranno la possibilità di esaminare le informazioni richieste e rimuovere i dati sensibili o di proprietà prima di condividerli con Google.

Termini e crediti del programma

i. Disposizioni generali: questi termini del programma integrano i Termini di servizio della piattaforma Google Cloud.  Google si riserva il diritto di apportare modifiche o interrompere questo programma per qualsiasi motivo o senza motivo, con un preavviso di 30 giorni, aggiornando questa pagina web. 

Per avere diritto a crediti Google Cloud nell'ambito del programma, il cliente deve presentare la richiesta di crediti Google Cloud entro 30 giorni dall'inizio dell'attacco. 

ii. Crediti Google Cloud: Google collaborerà con il cliente per determinare i costi di Compute Engine sostenuti a causa dell'attacco di cryptomining e stabilirà ragionevolmente se i crediti sono dovuti, così come l'importo appropriato. L'importo massimo dei crediti emessi nell'ambito di questo programma non supererà 1 milione di dollari in un periodo di 12 mesi. Non sono disponibili altri rimedi o garanzie esplicite, implicite o di legge (incluse, senza alcuna limitazione, le garanzie di commerciabilità e idoneità a uno scopo particolare) in relazione a questo programma. I crediti Google Cloud saranno disponibili per il cliente solo per il periodo che comincia con l'inizio dell'attacco di cryptomining e termina quando Google comunica al cliente l'attacco di cryptomining. Eventuali costi associati all'attacco di cryptomining in seguito alla notifica di Google al cliente non saranno idonei per i crediti Google Cloud nell'ambito del programma. Eventuali crediti forniti al cliente non hanno valore monetario. Tutti i crediti scadranno 12 mesi dopo l'emissione oppure alla risoluzione o alla scadenza del contratto Google Cloud del cliente.

Google Cloud
DocumentiAssistenza
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Accedi
Assistenza per la risposta agli incidenti
Contattaci
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud