Security Command Center 암호화폐 채굴 보호 프로그램

이 보호 프로그램은 Virtual Machine Threat Detection(VMTD) 서비스의 일부로 암호화폐 채굴 감지 기술에 대한 Google의 투자를 기반으로 합니다. VMTD는 Security Command Center의 프리미엄 및 Enterprise 등급에서만 사용할 수 있습니다. 따라서 이 프로그램은 VMTD가 지원하는 Compute Engine VM 유형과 컴퓨팅 환경만 다룹니다. 

프로그램 적용 범위는 다음과 같습니다.

• Linux 기반 Compute Engine 인스턴스에서 발생하는 감지되지 않고 승인되지 않은 암호화폐 채굴 

다음을 포함하되 이에 국한되지 않는 다른 모든 Google Cloud 서비스는 프로그램 적용 범위에 포함되지 않습니다.

• Windows VM
• 컨피덴셜 컴퓨팅 VM
• Google Kubernetes 인스턴스
• App Engine 인스턴스
• Cloud Run
• Cloud Functions

Security Command Center 프리미엄 또는 Enterprise 고객은 감지되지 않는 암호화폐 채굴 공격의 위험을 줄이기 위해 이 프로그램이 적용되지 않는 Google Cloud 서비스의 사용량을 모니터링하는 것이 좋습니다.

이 프로그램은 고객이 시작한 암호화폐 채굴 활동은 다루지 않습니다. Google Cloud에서 암호화폐 채굴 소프트웨어를 실행하는 것은 Google Cloud Platform 서비스 약관에 위반됩니다.

다음은 프로그램 자격요건을 충족하기 위해 검토하고 준수해야 하는 권장사항 목록입니다. 자세한 내용은 Security Command Center 암호화폐 채굴 감지 권장사항을 참조하세요.

• 고객의 전체 Google Cloud 조직에서 Security Command Center 프리미엄 또는 Security Command Center Enterprise 활성화
• 고객의 Google Cloud 조직의 모든 프로젝트에 Virtual Machine Threat Detection(VMTD) 및 Event Threat Detection(ETD)를 사용 설정합니다.
• Cloud DNS 로깅 사용 설정
• Security Command Center 프리미엄의 경우 암호화폐 채굴 공격의 발생 가능성 또는 존재 여부를 나타내는 보안 발견 항목에 대응하고 분류하기 위해 Security Command Center 발견 항목을 고객의 기존 보안 운영 도구(예: Google Sec)와 통합합니다.
• Security Command Center 사용자 및 서비스 계정에 필요한 IAM 역할 및 권한 할당을 유지합니다.
• 필수 보안 연락처를 업데이트 및 유지관리합니다.

이러한 권장사항이 환경에 구현되어 있는지 고객이 확인할 수 있도록 Google Cloud 보안 전문가는 이 검증 스크립트를 게시했으며 결과물은 고객에게만 표시됩니다.

Security Command Center에서 0단계 또는 1단계 감지 발견 항목을 하나 이상 생성하여 고객이 Compute Engine VM 환경의 암호화폐 채굴 공격에 대한 알림을 받습니다.

0단계 감지 발견 항목은 암호화폐 채굴 공격의 주요 지표이며 임박한 공격이나 진행 중인 공격에 대한 제어 영역 가시성을 제공합니다. 1단계의 감지 발견 항목은 암호화폐 채굴 공격에 대한 결정적인 신호입니다.

0단계 감지 발견 항목

• 계정에서 사용자 인증 정보 유출
• 방어 회피: 익명처리 프록시에서 액세스
• 초기 액세스: 휴면 서비스 계정 작업

1단계 감지 발견 항목

• 멀웨어: 암호화폐 채굴 잘못된 도메인(Event Threat Detection)
• 멀웨어: 암호화폐 채굴 잘못된 IP(Event Threat Detection)
• 실행: 암호화폐 YARA 규칙(VM Threat Detection)
• 실행: 암호화폐 채굴 해시 일치(VM Threat Detection)
• 실행: 결합된 탐지 - YARA 규칙 및 해시 일치(VM Threat Detection)

또는 Google이 고객의 환경에서 암호화폐 채굴 활동이 감지되었음을 고객에게 알릴 수도 있습니다.

0단계 또는 1단계 Security Command Center 감지 발견 항목을 생성하거나 고객에게 알림을 전송하는 것은 이 프로그램의 약관에 따라 Google의 알림 의무를 이행하는 것입니다. 

공격이 시작된 후 Security Command Center에서 감지 발견 항목을 생성할 때까지 또는 Google이 고객에게 알림을 보낼 때까지 지연이 발생하는 경우 고객은 공격이 시작된 시점부터 알림을 받은 시점까지 발생한 Compute Engine 비용 초과분에 대한 크레딧을 요청할 수 있습니다. 자세한 내용은 Security Command Center 암호화폐 채굴 감지 권장사항을 참조하세요. 

프로그램에 따른 Google Cloud 크레딧을 받으려면 요청 시 고객은 다음 요건을 충족해야 합니다.

• 이벤트 로그 또는 비정상적인 Compute Engine 비용과 같이 암호화폐 채굴 공격 발생을 합리적으로 입증하는 증거를 제출해야 합니다. 

• 고객이 Security Command Center 암호화폐 채굴 감지 권장사항에 설명된 대로 이 프로그램의 Security Command Center 암호화폐 채굴 감지 권장사항을 준수했으며, 암호화폐 채굴 공격과 관련된 발견 항목이나 알림을 Google에서 받지 못했다는 것을 합리적으로 입증하는 증거를 제출해야 합니다.

Security Command Center 프리미엄 또는 Enterprise 고객이 Compute Engine VM 환경에서 감지되지 않은 암호화폐 채굴 공격을 경험했음을 Google이 확인한 후 고객은 Google Cloud 보안 엔지니어와 협력하여 포렌식 아티팩트를 식별하고 공유하여 Google이 위협 감지 기능 개선하도록 지원해야 합니다.

요청된 포렌식 정보에는 공격자가 업로드한 이미지, 실행된 암호화폐 채굴 바이너리, 공격 중 공격자의 행동을 설명하는 Cloud 감사 로그가 포함될 수 있습니다. 요청 시 고객은 이 정보를 Google에 제공하며, Google과 공유하기 전에 요청된 정보를 검토하고 민감한 정보나 독점 데이터를 삭제할 수 있습니다.

i. 일반: 이 프로그램 약관은 Google Cloud Platform 서비스 약관을 보완합니다.  Google은 이 웹페이지를 업데이트하여 30일 전에 사전 통지한 후 이유를 불문하고 이 프로그램을 변경하거나 중단할 권리를 보유합니다. 

프로그램에 따른 Google Cloud 크레딧을 받으려면 공격이 시작된 후 30일 이내에 고객이 Google Cloud 크레딧 요청을 제출해야 합니다. 

ii. Google Cloud 크레딧: Google은 고객과 협력하여 암호화폐 채굴 공격으로 인해 발생한 Compute Engine 비용을 결정합니다. Google은 크레딧 지불 기한과 적절한 금액을 합리적인 방식으로 결정합니다. 이 프로그램에서 발행되는 최대 크레딧 금액은 12개월 동안 100만 달러(USD)를 초과할 수 없습니다.이 프로그램과 관련하여 다른 구제 조치나 명시적, 암시적 또는 법적 보증(상품성, 특정 목적에의 적합성에 대한 보증을 포함하되 이에 국한되지 않음)이 제공되지 않습니다. Google Cloud 크레딧은 암호화폐 채굴 공격이 시작된 시점부터 Google이 암호화폐 채굴 공격을 고객에게 통지한 시점의 기간에만 고객에게 제공됩니다. Google이 고객에게 통지한 후에 발생한 암호화폐 채굴 공격과 관련된 비용은 프로그램에 따른 Google Cloud 크레딧으로 받을 수 없습니다. 고객에게 제공된 크레딧은 현금 가치가 없습니다. 모든 크레딧은 발행 후 12개월이 지나거나 고객의 Google Cloud 계약이 해지 또는 만료되는 즉시 만료됩니다.