Security Command Center 加密货币挖矿防护计划
计划概览
Google 为 Security Command Center 高级方案层级或 Security Command Center Enterprise 层级的客户提供财务保护,以支付与其 Compute Engine 虚拟机环境中未检测到的和未经授权的加密货币挖矿攻击相关的 Compute Engine 虚拟机费用。若要参与此计划,客户必须遵守 Security Command Center 加密货币挖矿检测最佳做法,以降低成功攻击的风险,并遵守以下计划的条款及条件。
如果 Google、Security Command Center 高级方案或 Security Command Center Enterprise 未能在客户的 Compute Engine 虚拟机环境中检测到加密货币挖矿攻击并通知客户,并且客户因未检测到的攻击而产生 Compute Engine 费用,客户可以在攻击开始之日起的 30 天内申请 Google Cloud 赠金,以偿付未经授权的 Compute Engine 费用。
Google 将与客户共同确定因加密货币挖矿攻击而产生的 Compute Engine 费用。在任意 12 个月内,根据此计划向任何客户发放的最高赠金金额不超过 100 万美元。
Google 的责任仅限于检测加密货币挖矿攻击并通知客户。攻击响应和补救仍由客户负责。
如果客户的 Security Command Center 高级方案或 Security Command Center Enterprise 部署生成与针对其 Compute Engine 虚拟机的加密货币挖矿攻击相关的检测结果,或者 Google 以其他方式向客户发送通知,警告客户在其 Compute Engine 虚拟机环境中检测到了可疑的加密货币挖矿活动,那么对于发现或通知后产生的费用,客户将无权获得任何赠金。
计划的覆盖范围
此保护计划以 Google 对加密货币挖矿检测技术的投资为基础,该技术是仅在 Security Command Center 高级方案和 Security Command Center Enterprise 层级才提供的 Virtual Machine Threat Detection (VMTD) 服务的一部分。因此,此计划仅涵盖 VMTD 支持的 Compute Engine 虚拟机类型和计算环境。
计划的覆盖范围包括:
- 基于 Linux 的 Compute Engine 实例中发生的未检测到的和未经授权的加密货币挖矿。
计划覆盖范围不包括所有其他 Google Cloud 服务,包括但不限于:
- Windows 虚拟机
- 机密计算虚拟机
- Google Kubernetes 实例
- App Engine 实例
- Cloud Run
- Cloud Functions
我们建议 Security Command Center 高级方案或 Security Command Center Enterprise 的客户监控此计划未涵盖的 Google Cloud 服务的使用情况,以降低未检测到的加密货币挖矿攻击的风险。
此计划不涵盖客户发起的加密货币挖矿活动。在 Google Cloud 中运行加密货币挖矿软件将违反 Google Cloud Platform 服务条款。
Security Command Center 加密货币挖矿检测最佳做法
下面列出了一些最佳做法,您必须查看并遵循以下最佳做法,才有资格加入该计划。如需了解详情,请参阅 Security Command Center 加密货币挖矿检测最佳做法。
- 在客户的完整 Google Cloud 组织中激活 Security Command Center 高级方案或 Security Command Center Enterprise
- 为客户的 Google Cloud 组织中的所有项目启用 Virtual Machine Threat Detection (VMTD) 和 Event Threat Detection (ETD)
- 启用 Cloud DNS 日志记录
- 对于 Security Command Center 高级方案,请将 Security Command Center 发现结果与任何现有的客户安全运维工具(例如 Google Sec)集成,对表明可能存在或存在加密货币挖矿攻击的安全发现结果进行响应和分类
- 为 Security Command Center 用户和服务账号维护必要的 IAM 角色和权限分配
- 更新和维护安全重要联系人
为帮助客户检查其环境中是否落实了这些最佳做法,Google Cloud 安全专家发布了此验证脚本,其输出结果仅对客户可见。
加密货币挖矿检测方法和通知
Security Command Center 通过发布一个或多个第 0 阶段或第 1 阶段检测结果,即在客户 Compute Engine 虚拟机环境中向客户发出加密货币挖矿攻击通知。
第 0 阶段检测结果是加密货币挖矿攻击的先行指标,有助于控制平面了解即将到来或正在进行的攻击。第 1 阶段检测结果是加密货币挖矿攻击的明确标志。
第 0 阶段检测结果
- 账号的凭据已泄露
- 防御规避:访问来自匿名代理
- 初始访问:休眠服务账号操作
第 1 阶段检测结果
- 恶意软件:加密货币挖矿不良网域 (Event Threat Detection)
- 恶意软件:加密货币挖矿不良 IP (Event Threat Detection)
- 执行:加密货币 YARA 规则 (VM Threat Detection)
- 执行:加密货币挖矿哈希匹配 (VM Threat Detection)
- 执行:联合检测 - YARA 规则和哈希匹配 (VM Threat Detection)
或者,Google 可能会通知客户,Google 在其环境中检测到可能的加密货币挖矿活动。
发布第 0 阶段或第 1 阶段 Security Command Center 检测结果,或者以其他方式向客户发送通知,即构成 Google 根据本计划的条款履行通知责任。
如果从攻击开始到 Security Command Center 发布检测结果时存在延迟,或者到 Google 以其他方式向客户发送通知时存在延迟,则客户可以针对从攻击开始到收到通知这期间的额外 Compute Engine 费用申请赠金。如需了解详情,请参阅 Security Command Center 加密货币挖矿检测最佳做法。
共享攻击信息
如要有资格获得此计划下的 Google Cloud 赠金,根据要求客户必须:
- 提交证据来合理证明发生了加密货币挖矿攻击,例如事件日志和/或异常 Compute Engine 费用;以及
- 出示并提供证据来合理证明客户遵守了 Security Command Center 加密货币挖矿检测最佳做法中所述的有关此计划的 Security Command Center 加密货币挖矿检测最佳做法,并且未收到 Google 关于加密货币挖矿攻击的检测结果或其他通知。
Google 确认 Security Command Center 高级方案或 Security Command Center Enterprise 的客户在其 Compute Engine 虚拟机环境中遭遇未检测到的加密货币挖矿攻击后,该客户需要与 Google Cloud 安全工程师协作,识别和分享取证工件,以协助 Google 提高其威胁检测能力。
要求提供的取证信息可能包括攻击者上传的图像、执行的加密货币挖矿二进制文件,以及描述对手在攻击期间的行为的 Cloud Audit Logs。客户将应要求向 Google 提供这些信息,并有机会在与 Google 分享之前查看要求提供的信息和移除敏感或专有数据。
计划条款和赠金
i. 一般信息:本计划条款是对 Google Cloud Platform 服务条款的补充。Google 保留提前 30 天通过更新此网页进行通知后,以任何理由或无理由对本计划进行任何更改或终止的权利。
如要有资格获得该计划下的 Google Cloud 赠金,客户必须在攻击开始之日后的 30 天内提出 Google Cloud 赠金申请。
ii. Google Cloud 赠金:Google 将与客户共同确定因加密货币挖矿攻击而产生的 Compute Engine 费用,Google 将合理判断是否应付赠金以及相应金额。在任意 12 个月内,根据此计划发放的最高赠金金额不超过 100 万美元。关于本计划,我们不提供任何其他救济,或者明示、默示或法定保证,包括但不限于对适销性和对特定用途的适用性方面的保证。向客户提供的 Google Cloud 赠金的时间范围只能从加密货币挖矿攻击开始时算起,到 Google 向客户发出加密货币挖矿攻击通知时结束。Google 向客户发出通知后,与加密货币挖矿攻击相关的任何费用均不适用于该计划下的 Google Cloud 赠金。提供给客户的任何赠金均不具有现金价值。所有赠金将在发放 12 个月后或者在客户的 Google Cloud 协议终止或期满后过期。
