Programme de protection contre le minage de cryptomonnaie de Security Command Center

Ce programme de protection s'appuie sur l'investissement de Google dans la technologie de détection du minage de cryptomonnaie dans le cadre du service Virtual Machine Threat Detection (VMTD), disponible uniquement avec les niveaux Premium et Enterprise de Security Command Center. Par conséquent, ce programme ne couvre que les types de VM et les environnements de calcul Compute Engine compatibles avec le service VMTD.

Le programme couvre les sujets suivants :

• Minage de cryptomonnaie non détecté et non autorisé dans les instances Compute Engine basées sur Linux.

Le programme ne couvre pas tous les autres services Google Cloud, y compris, mais sans s'y limiter :

• VM Windows
• VM avec informatique confidentielle
• Instances Google Kubernetes
• Instances d'App Engine
• Cloud Run
• Cloud Functions

Les clients Security Command Center Premium ou Enterprise sont invités à surveiller l'utilisation des services Google Cloud non couverts par ce programme afin de réduire le risque d'attaques de minage de cryptomonnaie non détectées.

Ce programme ne couvre pas les activités de minage de cryptomonnaie initiées par le client. L'exécution d'un logiciel de minage de cryptomonnaie dans Google Cloud est contraire aux Conditions d'utilisation de Google Cloud Platform.

Vous trouverez ci-dessous la liste des bonnes pratiques que vous devez lire et suivre pour être éligible au programme. Pour en savoir plus, consultez les bonnes pratiques de détection du minage de cryptomonnaie Security Command Center.

• Activer Security Command Center Premium ou Security Command Center Enterprise pour l'ensemble de l'organisation Google Cloud du client.
• Activez Virtual Machine Threat Detection (VMTD) et Event Threat Detection (ETD) pour tous les projets de l'organisation Google Cloud du client.
• Activer la journalisation Cloud DNS
• Pour Security Command Center Premium, intégrez les résultats de Security Command Center à tous les outils d'opérations de sécurité existants des clients (par exemple, Google Sec) pour répondre et trier les résultats de sécurité qui indiquent la présence potentielle ou réelle d'attaques de minage de cryptomonnaie
• Conservez les attributions de rôles et d'autorisations IAM nécessaires pour vos utilisateurs et comptes de service Security Command Center.
• Mettez à jour et gérez un contact essentiel pour la sécurité.

Pour aider les clients à vérifier si ces bonnes pratiques sont mises en œuvre dans leur environnement, les experts en sécurité de Google Cloud ont publié ce script de validation, dont le résultat n'est visible que par le client.

Les clients seront informés des attaques de minage de cryptomonnaie dans leur environnement de VM Compute Engine par Security Command Center en produisant un ou plusieurs résultats de détection de l'étape 0 ou de l'étape 1.

Les résultats de détection de l’étape 0 sont des indicateurs majeurs d’une attaque par minage de cryptomonnaie et offrent une visibilité sur le plan de contrôle d’une attaque imminente ou en cours. Les résultats de l’étape 1 de détection sont des indications positives d’attaques de minage de cryptomonnaie.

Résultats de détection de l'étape 0

• Identifiants divulgués pour le compte
• Contournement des systèmes de défense : accès depuis un proxy anonyme
• Accès initial : action sur un compte de service inactif

Résultats de l'étape 1 de détection

• Logiciels malveillants : domaine incorrect pour le minage de cryptomonnaie (Event Threat Detection)
• Logiciels malveillants : adresse IP incorrecte pour le minage de cryptomonnaie (Event Threat Detection)
• Exécution : règle YARA de minage de cryptomonnaie (VM Threat Detection)
• Exécution : correspondance de hachage de minage de cryptomonnaie (VM Threat Detection)
• Exécution : détection combinée, règle YARA et correspondance de hachage (VM Threat Detection)

Nous pouvons également informer le client que Google a détecté une possible activité de minage de cryptomonnaie dans son environnement.

La réalisation d'un résultat de détection de Security Command Center de niveau 0 ou 1 ainsi que l'envoi d'une notification au client relève de la responsabilité de Google concernant les notifications, conformément aux conditions de ce programme. 

En cas de délai entre le moment où une attaque commence et le moment où Security Command Center produit un résultat de détection, ou le moment où Google envoie une notification au client, celui-ci peut demander des crédits pour les coûts excédentaires de Compute Engine depuis le début de l'attaque jusqu'à ce moment. Pour en savoir plus, consultez les bonnes pratiques de détection du minage de cryptomonnaie Security Command Center. 

Pour être éligible à des crédits Google Cloud dans le cadre du programme, le client doit :

• fournir des preuves raisonnablement justifiées de la survenue d'une attaque de minage de cryptomonnaie, telles que des journaux d'événements et/ou des coûts Compute Engine anormaux ; et

• présenter et fournir des preuves prouvant raisonnablement que le client suivait les bonnes pratiques de détection du minage de cryptomonnaie de Security Command Center pour ce programme, telles que décrites dans les bonnes pratiques de détection du minage de cryptomonnaie de Security Command Center, et qu'il n'a pas reçu de résultat ni d'autre avis de la part de Google concernant une attaque de minage de cryptomonnaie.

Une fois que Google a confirmé qu'un client Security Command Center Premium ou Enterprise a subi une attaque de minage de cryptomonnaie non détectée dans son environnement de VM Compute Engine, le client doit collaborer avec les ingénieurs en sécurité de Google Cloud pour identifier et partager des artefacts forensiques afin d'aider Google à améliorer ses fonctionnalités de détection des menaces.

Les informations forensiques demandées peuvent inclure des images importées par l’attaquant, le binaire de minage de cryptomonnaie exécuté et des journaux d’audit Cloud décrivant le comportement de l’attaquant lors de l’attaque. Les clients fourniront ces informations à Google sur demande. Ils auront la possibilité de les examiner et de supprimer les données sensibles ou propriétaires avant de les partager avec Google.

i. Généralités : les présentes conditions d'utilisation du programme complètent les Conditions d'utilisation de Google Cloud Platform. Google se réserve le droit d'apporter des modifications à ce programme ou d'y mettre fin, pour quelque raison que ce soit ou sans motif, avec un préavis de 30 jours en mettant à jour cette page Web. 

Pour être éligible à des crédits Google Cloud dans le cadre du programme, le client doit envoyer une demande de crédits Google Cloud dans les 30 jours suivant le début de l'attaque. 

ii. Crédits Google Cloud : Google déterminera avec le client les instances Compute Engine encourus en raison de l'attaque par minage de cryptomonnaie, et Google déterminera raisonnablement si des crédits sont dus et le montant approprié. Le montant maximal des crédits octroyés dans le cadre de ce programme ne doit pas dépasser 1 million de dollars (USD) sur une période de 12 mois. Aucun autre recours ni aucune garantie expresse, implicite ou légale n'est disponible (y compris, sans s'y limiter, les garanties de qualité marchande et d'adéquation à un usage particulier) en lien avec ce programme. Les crédits Google Cloud ne seront disponibles pour le client que pour la période commençant au début de l'attaque par minage de cryptomonnaie et se terminant lorsque Google l'en informera. Les coûts associés à l'attaque par minage de cryptomonnaie suite à la notification de Google au client ne permettent pas de bénéficier de crédits Google Cloud dans le cadre du programme. Les crédits offerts au client n'ont aucune valeur monétaire. Tous les crédits expirent 12 mois après leur émission, ou à la résiliation ou à l'expiration du contrat Google Cloud du client.