Halaman ini menjelaskan praktik terbaik untuk mendeteksi serangan penambangan mata uang kripto (cryptomining) pada virtual machine (VM) Compute Engine di lingkungan Google Cloud Anda.
Praktik terbaik ini juga berfungsi sebagai persyaratan kelayakan untuk Google Cloud Program Perlindungan Penambangan Kripto. Untuk informasi selengkapnya tentang program ini, lihat ringkasan Program Perlindungan terhadap Penambangan Kripto Security Command Center.
Mengaktifkan paket Premium atau Enterprise Security Command Center untuk organisasi Anda
Aktivasi paket Premium atau paket Enterprise Security Command Center adalah elemen dasar untuk mendeteksi serangan penambangan kripto di Google Cloud.
Dua layanan deteksi ancaman dari paket Premium dan Enterprise sangat penting untuk mendeteksi serangan penambangan kripto: Event Threat Detection dan VM Threat Detection.
Karena serangan penambangan kripto dapat terjadi di VM mana pun dalam project apa pun dalam organisasi Anda, mengaktifkan Security Command Center Premium atau Enterprise untuk seluruh organisasi Anda dengan mengaktifkan Event Threat Detection dan VM Threat Detection adalah praktik terbaik dan persyaratan dari Program Perlindungan Penambangan Kripto Security Command Center.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan aktivasi Security Command Center atau Mengaktifkan paket Enterprise Security Command Center.
Mengaktifkan layanan deteksi ancaman utama di semua project
Aktifkan layanan deteksi Event Threat Detection dan VM Threat Detection Security Command Center di semua project di organisasi Anda.
Bersama-sama, Event Threat Detection dan VM Threat Detection mendeteksi peristiwa yang dapat menyebabkan serangan penambangan kripto (peristiwa tahap-0) dan peristiwa yang menunjukkan bahwa serangan sedang berlangsung (peristiwa tahap-1). Peristiwa spesifik yang terdeteksi oleh layanan deteksi ini dijelaskan di bagian berikut.
Untuk informasi selengkapnya, lihat referensi berikut:
Mengaktifkan deteksi peristiwa tahap-0
Peristiwa tahap-0 adalah peristiwa di lingkungan Anda yang sering kali mendahului, atau merupakan langkah pertama, serangan cryptomining yang umum.
Event Threat Detection, layanan deteksi yang tersedia dengan Security Command Center Premium atau Enterprise, mengeluarkan temuan untuk memberi tahu Anda saat mendeteksi peristiwa tahap 0 tertentu.
Jika dapat mendeteksi dan memperbaiki masalah ini dengan cepat, Anda dapat mencegah banyak serangan cryptomining sebelum menimbulkan biaya yang signifikan.
Event Threat Detection menggunakan kategori temuan berikut untuk memberi tahu Anda tentang peristiwa ini:
- Account_Has_Leaked_Credentials: Temuan dalam kategori ini menunjukkan bahwa kunci akun layanan bocor di GitHub. Mendapatkan kredensial akun layanan adalah langkah awal umum untuk serangan penambangan kripto.
- Penghindaran: Akses dari Anonymizing Proxy: Temuan dalam kategori ini menunjukkan bahwa modifikasi pada layananGoogle Cloud berasal dari proxy anonim, seperti node keluar Tor.
- Akses Awal: Tindakan Akun Layanan Tidak Aktif: Temuan dalam kategori ini menunjukkan bahwa akun layanan tidak aktif melakukan tindakan di lingkungan Anda. Security Command Center menggunakan Policy Intelligence untuk mendeteksi akun yang tidak aktif.
Mengaktifkan deteksi peristiwa tahap 1
Peristiwa tahap 1 adalah peristiwa yang menunjukkan bahwa program aplikasi cryptomining berjalan di lingkungan Google Cloud Anda.
Event Threat Detection dan VM Threat Detection mengeluarkan temuan Security Command Center untuk memberi tahu Anda saat mendeteksi peristiwa tahap 1 tertentu.
Selidiki dan perbaiki temuan ini segera untuk menghindari biaya signifikan yang terkait dengan penggunaan resource aplikasi cryptomining.
Temuan dalam salah satu kategori berikut menunjukkan bahwa aplikasi cryptomining berjalan di VM di salah satu project di lingkungan Google Cloud Anda:
- Eksekusi: Aturan YARA Penambangan Crypto: Temuan dalam kategori ini menunjukkan bahwa Deteksi Ancaman VM mendeteksi pola memori, seperti konstanta proof-of-work, yang digunakan oleh aplikasi penambangan crypto.
- Eksekusi: Pencocokan Hash Penambangan Kripto: Temuan dalam kategori ini menunjukkan bahwa Deteksi Ancaman VM mendeteksi hash memori yang digunakan oleh aplikasi penambangan kripto.
- Eksekusi: Deteksi Gabungan: Temuan dalam kategori ini menunjukkan bahwa Deteksi Ancaman VM mendeteksi pola memori dan hash memori yang digunakan oleh aplikasi penambangan kripto.
- Malware: IP Buruk: Temuan dalam kategori ini menunjukkan bahwa Event Threat Detection mendeteksi koneksi ke, atau pencarian, alamat IP yang diketahui digunakan oleh aplikasi cryptomining.
- Malware: Domain Buruk: Temuan dalam kategori ini menunjukkan bahwa Event Threat Detection mendeteksi koneksi ke, atau pencarian, domain yang diketahui digunakan oleh aplikasi cryptomining.
Mengaktifkan logging Cloud DNS
Untuk mendeteksi panggilan yang dilakukan oleh aplikasi penambangan kripto ke domain buruk yang diketahui, aktifkan Logging Cloud DNS. Event Threat Detection memproses log Cloud DNS dan mengeluarkan temuan saat mendeteksi resolusi domain yang diketahui digunakan untuk kumpulan penambangan kripto.
Mengintegrasikan produk SIEM dan SOAR dengan Security Command Center
Integrasikan Security Command Center dengan alat operasi keamanan yang ada, seperti produk SIEM atau SOAR, untuk menentukan prioritas dan merespons temuan Security Command Center untuk peristiwa tahap-0 dan tahap-1 yang menunjukkan potensi atau serangan penambangan kripto yang sebenarnya.
Jika tim keamanan Anda tidak menggunakan produk SIEM atau SOAR, tim tersebut harus memahami cara menggunakan temuan Security Command Center di konsol Google Cloud dan cara menyiapkan notifikasi serta ekspor temuan menggunakan Pub/Sub atau Security Command Center API untuk merutekan temuan untuk serangan cryptomining secara efektif.
Untuk temuan spesifik yang perlu diekspor ke alat operasi keamanan, lihat Mengaktifkan layanan deteksi ancaman utama di semua project.
Untuk informasi tentang cara mengintegrasikan produk SIEM dan SOAR dengan Security Command Center, lihat Menyiapkan integrasi SIEM dan SOAR.
Untuk informasi tentang cara menyiapkan notifikasi atau ekspor temuan, lihat informasi berikut:
Menetapkan kontak penting untuk notifikasi keamanan
Agar perusahaan Anda dapat merespons notifikasi keamanan dari Google secepat mungkin, tentukan Google Cloud tim mana di perusahaan Anda, seperti tim keamanan IT atau keamanan operasi, yang harus menerima notifikasi keamanan. Saat menentukan tim, Anda memasukkan alamat emailnya di Kontak Penting.
Untuk memastikan pengiriman notifikasi ini dapat diandalkan dari waktu ke waktu, kami sangat menyarankan tim untuk mengonfigurasi pengiriman ke milis, grup, atau mekanisme lain yang memastikan konsistensi pengiriman dan distribusi ke tim yang bertanggung jawab di organisasi Anda. Sebaiknya Anda tidak menentukan alamat email individu sebagai kontak penting karena komunikasi dapat terganggu jika individu tersebut berganti tim atau keluar dari perusahaan.
Setelah menyiapkan kontak penting, pastikan kotak masuk email dimonitor oleh tim keamanan Anda secara terus-menerus. Pemantauan berkelanjutan adalah praktik terbaik yang penting, karena penyerang sering kali memulai serangan cryptomining saat mereka memperkirakan Anda kurang waspada, seperti pada akhir pekan, hari libur, dan pada malam hari.
Menetapkan kontak penting untuk keamanan, lalu memantau alamat email kontak penting, adalah praktik terbaik dan persyaratan Program Perlindungan Penambangan Kripto Security Command Center.
Mempertahankan izin IAM yang diperlukan
Tim keamanan Anda, dan Security Command Center itu sendiri, memerlukan otorisasi untuk mengakses resource di lingkungan Google Cloud . Anda mengelola autentikasi dan otorisasi menggunakan Identity and Access Management (IAM).
Sebagai praktik terbaik dan, dalam kasus Security Command Center, persyaratan dasar, Anda perlu mempertahankan atau menjaga peran dan izin IAM yang diperlukan untuk mendeteksi dan merespons serangan penambangan kripto.
Untuk informasi umum tentang IAM di Google Cloud, lihat Ringkasan IAM.
Otorisasi yang diperlukan oleh tim keamanan Anda
Agar dapat melihat temuan Security Command Center dan segera merespons serangan penambangan kripto atau masalah keamanan lainnya di Google Cloud, akun pengguna staf keamanan Anda harus diberi otorisasi terlebih dahulu untuk merespons, memperbaiki, dan menyelidiki masalah yang mungkin muncul. Google Cloud
Di Google Cloud, Anda dapat mengelola autentikasi dan otorisasi dengan menggunakan peran dan izin IAM.
Peran yang diperlukan untuk menggunakan Security Command Center
Untuk mengetahui informasi tentang peran IAM yang diperlukan pengguna untuk menggunakan Security Command Center, lihat Kontrol akses dengan IAM.
Peran yang diperlukan untuk berfungsi dengan layanan Google Cloud lain
Untuk menyelidiki serangan penambangan kripto dengan benar, Anda mungkin memerlukan peran IAM lainnya, seperti peran Compute Engine yang memungkinkan Anda melihat dan mengelola instance VM yang terpengaruh dan aplikasi yang berjalan di dalamnya.
Bergantung pada hasil investigasi serangan, Anda mungkin juga memerlukan peran lain, seperti peran jaringan Compute Engine atau peran Cloud Logging.
Anda juga memerlukan izin IAM yang sesuai untuk membuat dan mengelola Kontak Penting untuk keamanan. Untuk mengetahui informasi tentang peran IAM yang diperlukan untuk mengelola kontak keamanan, lihat Peran yang diperlukan.
Otorisasi yang diperlukan oleh Security Command Center
Saat Anda mengaktifkan Security Command Center, Google Cloud akan otomatis membuat akun layanan yang digunakan Security Command Center untuk autentikasi dan otorisasi saat menjalankan pemindaian dan memproses log. Selama proses aktivasi, Anda mengonfirmasi izin yang diberikan ke akun layanan.
Jangan menghapus atau mengubah akun layanan ini, peran, atau izinnya.
Mengonfirmasi penerapan praktik terbaik deteksi penambangan kripto
Anda dapat melihat apakah organisasi Anda menerapkan praktik terbaik untuk mendeteksi penambangan mata uang kripto dengan menjalankan skrip yang memeriksa metadata organisasi Anda. Skrip ini tersedia di GitHub.
Untuk meninjau README dan mendownload skrip, lihat
skrip validasi praktik terbaik deteksi penambangan kripto SCC.