Security Command Center 加密貨幣挖礦防護計畫
計畫簡介
Google 會為 Security Command Center 進階方案或 Enterprise 方案客戶提供財務保護措施,藉此抵銷 Compute Engine VM 環境中未偵測到和未經授權加密貨幣挖礦攻擊所產生的 Compute Engine VM 費用。如要參與這項計畫,客戶必須遵循 Security Command Center 加密貨幣挖礦偵測最佳做法,以降低攻擊得逞的風險,並遵守下列計畫條款及細則。
如果客戶的 Compute Engine VM 環境發生了加密貨幣挖礦攻擊,Google 或 Security Command Center 進階或 Enterprise 方案未能偵測及通知客戶,且客戶因未偵測到的攻擊而產生 Compute Engine 費用,那麼客戶可以在攻擊開始的 30 天內申請 Google Cloud 抵免額,用以支付未授權的 Compute Engine 費用。
Google 會協助客戶判斷因加密貨幣挖礦攻擊造成的 Compute Engine 成本。透過這項計畫核發給任何客戶的抵免額上限,在 12 個月內將不會超過 $100 萬美元。
Google 的責任僅限於偵測並通知客戶發生加密貨幣挖礦攻擊。攻擊應變和補救措施仍是客戶的責任。
如果客戶的 Security Command Center 進階或 Enterprise 方案部署產生了與客戶的 Compute Engine VM 加密貨幣挖礦攻擊相關的偵測發現項目,或是 Google 另外傳送通知給客戶,警告客戶在其 Compute Engine VM 環境偵測到疑似加密貨幣挖礦活動,客戶將無權申請在發現項目或通知後產生的任何費用抵免額。
計畫涵蓋範圍
這項防護計畫奠基於 Google 的加密貨幣挖礦偵測技術投資項目,是 Security Command Center 進階方案虛擬機器威脅偵測 (VMTD) 服務的一部分。因此,這項計畫僅適用於 VMTD 支援的 Compute Engine VM 類型和運算環境。
計畫涵蓋範圍包括:
- 在 Linux 型 Compute Engine 執行個體中發生未偵測到和未經授權的加密貨幣挖礦。
計畫涵蓋範圍不含所有其他 Google Cloud 服務,包括但不限於:
- Windows VM
- 機密運算 VM
- Google Kubernetes 執行個體
- App Engine 執行個體
- Cloud Run
- Cloud Functions
我們鼓勵 Security Command Center 進階方案客戶監控不在本計畫涵蓋範圍的 Google Cloud 服務使用情形,以降低未偵測到的加密貨幣挖礦攻擊的風險。
本計畫不涵蓋客戶發起的加密貨幣挖礦活動。在 Google Cloud 中執行加密貨幣挖礦軟體違反 Google Cloud Platform 的《服務條款》。
Security Command Center 加密貨幣挖礦偵測最佳做法
如要符合計畫資格,請詳閱並遵循下列最佳做法。詳情請參閱「Security Command Center 加密貨幣挖礦偵測最佳做法」。
- 在客戶的完整 Google Cloud 機構中啟用 Security Command Center 進階方案
- 為客戶 Google Cloud 機構中的所有專案啟用虛擬機器威脅偵測 (VMTD) 和 Event Threat Detection (ETD)
- 啟用 Cloud DNS Logging
- 將 Security Command Center 發現項目與任何現有的客戶資安營運工具 (例如 Chronicle SIEM 和 Chronicle SOAR) 整合,以回應及分類顯示潛在或存在加密貨幣挖礦攻擊的安全性發現項目
- 為 Security Command Center 使用者和服務帳戶保留必要的 IAM 角色和權限指派
- 更新及維護安全性重要聯絡人
為協助客戶確認是否已在環境中實作這些最佳做法,Google Cloud 安全性專家已發布這份驗證指令碼,其輸出內容只會向客戶顯示。
加密貨幣挖礦偵測方法與通知
透過 Security Command Center 所產生一或多個階段 0 或第 1 階段的偵測發現項目,客戶將會收到 Compute Engine VM 環境中的加密貨幣挖礦攻擊通知。
階段 0 偵測發現項目是加密貨幣挖礦攻擊的前導指標,可針對即將發生的或正在進行的攻擊,提供控制層的瀏覽權限。階段 1 偵測發現項目是加密貨幣挖礦攻擊的正指標。
階段 0 偵測發現項目
- 帳戶的憑證外洩
- 規避防禦機制:來自匿名 Proxy 的存取
- 初始存取:停滯服務帳戶動作
階段 1 偵測發現項目
- 惡意軟體:加密貨幣挖礦無效網域 (Event Threat Detection)
- 惡意軟體:加密貨幣挖礦無效 IP (Event Threat Detection)
- 執行:加密貨幣 YARA 規則 (VM 威脅偵測)
- 執行:加密貨幣挖礦雜湊比對 (VM 威脅偵測)
- 執行:聯合偵測 - YARA 規則和雜湊比對 (VM 威脅偵測)
或者,Google 也可能會通知客戶 Google 在其環境中偵測到疑似加密貨幣挖礦的活動。
執行階段 0 或階段 1 的 Security Command Center 偵測發現項目,或是傳送通知給客戶,履行 Google 根據本計畫條款應承擔的通知責任。
如果從攻擊開始到 Security Command Center 產生偵測發現項目或 Google 另外傳送通知給客戶的期間,發生了延遲,客戶可以申請從攻擊開始到收到通知為止的期間所超出的 Compute Engine 費用抵免額。詳情請參閱「Security Command Center 加密貨幣挖礦偵測最佳做法」。
分享攻擊資訊
如要獲得領取 Google Cloud 計畫所提供抵免額的資格,客戶必須應要求提供下列資訊:
- 提交證據來合理證明發生加密貨幣挖礦攻擊事件,例如事件記錄和/或 Compute Engine 異常費用。
- 合理表示並提供證據,證明客戶確實遵循此計畫的 Security Command Center 加密貨幣挖礦偵測最佳做法 (請參閱 Security Command Center 加密貨幣挖礦偵測最佳做法),且沒有收到 Google 有關加密貨幣挖礦攻擊的發現項目或其他通知。
當 Google 確認 Security Command Center 進階方案客戶的 Compute Engine VM 環境遭受未偵測到的加密貨幣挖礦攻擊後,將需要客戶與 Google Cloud 安全性工程師合作,以識別並分享鑑識證物,協助 Google 改善威脅偵測功能。
要求的鑑識資訊可能包括攻擊者上傳的圖片、執行的加密貨幣挖礦二進位檔,以及說明攻擊者在攻擊期間行為的 Cloud 稽核記錄。客戶將需要依要求向 Google 提供這項資訊,並且在與 Google 分享資訊前,有機會檢查要求的資訊,並移除機密或專屬資料。
計畫條款與抵免額
i. 通用條款:本計畫條款是《Google Cloud Platform 服務條款》的補充規定。Google 保留權利,得提前 30 天透過更新本網頁進行通知,基於任何理由或無理由變更或停止這項計畫。
如要獲得領取 Google Cloud 計畫所提供抵免額的資格,客戶必須在攻擊開始後的 30 天內申請 Google Cloud 抵免額。
ii. Google Cloud 抵免額:Google 會協助客戶判斷因加密貨幣挖礦攻擊造成的 Compute Engine 成本,且 Google 將合理判斷是否應支付抵免額,以及適當的金額。透過這項計畫核發的抵免額上限,在 12 個月內將不會超過 $100 萬美元。我們不提供其他與本計畫相關的救濟、明示、默示或法定擔保 (包括但不限於適售性和特定用途適用性擔保)。從加密貨幣挖礦攻擊開始到 Google 通知客戶加密貨幣挖礦攻擊的這段期間,Google Cloud 抵免額將僅供客戶使用。在 Google 通知客戶後,與加密貨幣挖礦攻擊相關的任何費用,都不符合這項計畫的 Google Cloud 抵免額資格。提供給客戶的抵免額不具現金價值。所有抵免額都會在核發的 12 個月後失效,或是在客戶的 Google Cloud 協議終止或到期時失效。
