Programa de protección contra criptominería de Security Command Center

Este programa de protección se basa en la inversión de Google en tecnología de detección de criptominería como parte del servicio Virtual Machine Threat Detection (VMTD), que está disponible solo con los niveles Premium y Enterprise de Security Command Center. Por lo tanto, este programa solo abarca los tipos de VMs de Compute Engine y los entornos de procesamiento compatibles con VMTD. 

La cobertura del programa incluye lo siguiente:

• Criptominería no detectada y no autorizada que se produce en instancias de Compute Engine basadas en Linux. 

La cobertura del programa excluye todos los demás servicios de Google Cloud, incluidos, sin limitarse a ello, los siguientes:

• VM de Windows
• VMs de Confidential Compute
• Instancias de Google Kubernetes
• Instancias de App Engine
• Cloud Run
• Cloud Functions

Se recomienda a los clientes de Security Command Center Premium o Enterprise que supervisen el uso de los servicios de Google Cloud que no están cubiertos por este programa para reducir el riesgo de ataques de criptominería no detectados.

Este programa no cubre las actividades de criptominería que inicia el cliente. Ejecutar software de criptominería en Google Cloud constituye una infracción de las Condiciones del Servicio de Google Cloud Platform.

A continuación, se incluye una lista de las prácticas recomendadas que debes revisar y seguir a fin de ser apto para el programa. Consulta las Prácticas recomendadas para la detección de criptominería de Security Command Center a fin de obtener más información.

• Activar Security Command Center Premium o Security Command Center Enterprise en toda la organización de Google Cloud del cliente
• Habilita la Virtual Machine Threat Detection (VMTD) y la Event Threat Detection (ETD) para todos los proyectos de la organización de Google Cloud del cliente
• Habilita el registro de Cloud DNS
• Para Security Command Center Premium, integra los hallazgos de Security Command Center con cualquier herramienta de operaciones de seguridad del cliente existente (por ejemplo, Google Sec) para responder y clasificar los hallazgos de seguridad que indiquen el potencial o la presencia de ataques de criptominería
• Mantén las asignaciones de permisos y roles de IAM necesarias para tus usuarios y cuentas de servicio de Security Command Center
• Actualizar y mantener un Contacto esencial de seguridad

Para ayudar a los clientes a verificar si se implementan estas prácticas recomendadas en su entorno, los expertos en seguridad de Google Cloud publicaron esta secuencia de comandos de validación, cuyo resultado solo es visible para el cliente.

Security Command Center notificará a los clientes sobre los ataques de criptominería en su entorno de VM de Compute Engine, lo que generará uno o más hallazgos de detección de Etapa 0 o Etapa 1.

Los hallazgos de la detección de la etapa 0 son indicadores principales de un ataque de criptominería y proporcionan visibilidad desde el plano de control de un ataque inminente o en curso. Los hallazgos de la detección de la etapa 1 son indicadores positivos de ataques de criptominería.

Hallazgos de la detección de la etapa 0

• Se filtraron credenciales de la cuenta
• Evasión de defensa: acceso desde un proxy de anonimización
• Acceso inicial: Acción de cuenta de servicio inactiva

Hallazgos de la detección de la etapa 1

• Software malicioso: dominio incorrecto de criptominería (Event Threat Detection)
• Software malicioso: IP incorrecta de criptominería (Event Threat Detection)
• Ejecución: Regla YARA de Criptomonedas (VM Threat Detection)
• Ejecución: Coincidencia de hash de minería de criptomonedas (VM Threat Detection)
• Ejecución: Detección combinada - Regla YARA y coincidencia de hash (VM Threat Detection)

Como alternativa, Google puede notificar al cliente que detectó una posible actividad de criptominería en su entorno.

Producir un resultado de detección de Security Command Center de Etapa 0 o Etapa 1 o enviar una notificación al cliente de cualquier otra manera cumple con la responsabilidad de notificación de Google según las condiciones de este programa. 

Si hay un retraso desde el momento en que comienza un ataque hasta que Security Command Center produce un resultado de detección o desde el momento en que Google envía una notificación al cliente, el cliente puede solicitar créditos por los costos excesivos de Compute Engine desde el comienzo del ataque hasta su notificación. Consulta las prácticas recomendadas para la detección de criptominería de Security Command Center para obtener más información. 

Para calificar para los créditos de Google Cloud en virtud del programa, el cliente debe cumplir con los siguientes requisitos:

• presentar pruebas que demuestren de manera razonable el caso de un ataque de criptominería, como registros de eventos o costos anómalos de Compute Engine; y 

• declarar y proporcionar pruebas que demuestren de forma razonable que el cliente siguió las prácticas recomendadas de detección de criptominería de Security Command Center para este programa tal como se describe en Prácticas recomendadas para la detección de criptominería de Security CommandCenter y que no recibió ningún hallazgo ni otro aviso de Google con respecto al ataque de criptominería.

Después de que Google confirma que un cliente de Security Command Center Premium o Enterprise experimentó un ataque de criptominería no detectado en su entorno de VM de Compute Engine, el cliente deberá trabajar de forma colaborativa con los ingenieros de seguridad de Google Cloud para identificar y compartir artefactos forenses con el objetivo de ayudar a Google a mejorar sus capacidades de detección de amenazas.

La información forense solicitada podría incluir imágenes subidas por el atacante, el objeto binario de criptominería ejecutado y ogs de Cloud Audit que describan el comportamiento del adversario durante el ataque. Los Clientes le proporcionarán esta información a Google cuando se la soliciten y tendrán la oportunidad de revisarla y quitar los datos sensibles o de propiedad antes de compartirlos con Google.

i. Generalidades: Estas condiciones del programa complementan las Condiciones del Servicio de Google Cloud Platform.  Google se reserva el derecho de realizar cambios o descontinuar este programa por cualquier motivo o sin motivo a través de la actualización de esta página web con 30 días de anticipación. 

Para calificar para los créditos de Google Cloud del programa, el cliente debe presentar la solicitud de créditos de Google Cloud en un plazo de 30 días desde el comienzo del ataque. 

ii. Créditos de Google Cloud: Google trabajará con el cliente para determinar la cantidad de costos incurridos de Compute Engine debido al ataque de criptominería, y Google determinará razonablemente si los créditos están vencidos y la cantidad adecuada. La cantidad máxima de créditos emitidos en virtud de este programa no superará el millón de dólares estadounidenses en un período de 12 meses. No hay disponibles otros recursos ni garantías expresas, implícitas o legales (incluidas, sin limitarse a ello, las garantías de comerciabilidad y adecuación para un fin determinado) en relación con este programa. Los créditos de Google Cloud solo estarán disponibles para el cliente durante el período que comience con el inicio del ataque de criptominería y finalice cuando Google le notifique al cliente el ataque de criptominería. Los costos asociados con el ataque de criptominería después de la notificación de Google al cliente no son aptos para los créditos de Google Cloud del programa. Los créditos proporcionados al cliente no tienen valor en efectivo. Todos los créditos vencerán 12 meses después de su emisión o tras la rescisión o el vencimiento del acuerdo de Google Cloud del cliente.