Best Practices für die Erkennung von Cryptomining

Auf dieser Seite werden Best Practices zum Erkennen von Kryptomining-Angriffen auf Compute Engine-VMs (virtuelle Maschinen) in Ihrer Google Cloud-Umgebung beschrieben.

Diese Best Practices dienen auch als Teilnahmevoraussetzungen für das Google Cloud-Programm zum Schutz vor Kryptomining. Weitere Informationen zum Programm finden Sie in der Übersicht über das Programm zum Schutz vor Cryptomining im Security Command Center.

Premium- oder Enterprise-Stufe von Security Command Center für Ihre Organisation aktivieren

Die Aktivierung der Premium- oder Enterprise-Stufe von Security Command Center ist eine Grundvoraussetzung für die Erkennung von Kryptomining-Angriffen auf Google Cloud.

Zwei Bedrohungserkennungsdienste der Premium- und Enterprise-Stufen sind entscheidend für die Erkennung von Kryptomining-Angriffen: Event Threat Detection und VM Threat Detection.

Da Kryptomining-Angriffe auf jeder VM in jedem Projekt innerhalb Ihrer Organisation auftreten können, ist die Aktivierung von Security Command Center Premium oder Enterprise für Ihre gesamte Organisation mit aktivierter Event Threat Detection und VM Threat Detection sowohl eine Best Practice als auch eine Anforderung des Security Command Center Cryptomining Protection-Programms.

Weitere Informationen finden Sie unter Security Command Center aktivieren.

Dienste zur Erkennung wichtiger Bedrohungen in allen Projekten aktivieren

Aktivieren Sie die Erkennungsdienste „Event Threat Detection“ und „VM Threat Detection“ von Security Command Center für alle Projekte in Ihrer Organisation.

Zusammen erkennen Event Threat Detection und VM Threat Detection Ereignisse, die zu einem Cryptomining-Angriff führen können (Phase-0-Ereignisse), und Ereignisse, die darauf hinweisen, dass ein Angriff stattfindet (Phase-1-Ereignisse). Die von diesen Diensten erkannten Ereignisse werden in den folgenden Abschnitten beschrieben.

Hier finden Sie weitere Informationen:

• Event Threat Detection – Übersicht
• VM Threat Detection – Übersicht

Ereigniserkennung der Stufe 0 aktivieren

Phase-0-Ereignisse sind Ereignisse in Ihrer Umgebung, die häufig vor gängigen Kryptomining-Angriffen auftreten oder der erste Schritt bei diesen Angriffen sind.

Event Threat Detection ist ein Erkennungstool, das mit Security Command Center Premium oder Enterprise verfügbar ist. Es sendet Ihnen Benachrichtigungen, wenn bestimmte Ereignisse der Stufe 0 erkannt werden.

Wenn Sie diese Probleme schnell erkennen und beheben können, können Sie viele Kryptomining-Angriffe verhindern, bevor Ihnen erhebliche Kosten entstehen.

Event Threat Detection verwendet die folgenden Ergebniskategorien, um Sie auf diese Ereignisse aufmerksam zu machen:

• Account_Has_Leaked_Credentials: Ein Hinweis in dieser Kategorie gibt an, dass ein Dienstkontoschlüssel auf GitHub gehackt wurde. Der Diebstahl von Anmeldedaten für Dienstkonten ist ein häufiger Auslöser für Kryptomining-Angriffe.
• Ausweichen: Zugriff über Anonymisierungs-Proxy: Ein Befund in dieser Kategorie weist darauf hin, dass eine Änderung an einem Google Cloud-Dienst von einem anonymen Proxy wie einem Tor-Ausstiegsknoten stammt.
• Anfänglicher Zugriff: Aktion über inaktives Dienstkonto: Ein Ergebnis in dieser Kategorie gibt an, dass ein inaktives Dienstkonto in Ihrer Umgebung eine Aktion ausgeführt hat. In Security Command Center wird Policy Intelligence verwendet, um inaktive Konten zu erkennen.

Ereigniserkennung der Stufe 1 aktivieren

Phase-1-Ereignisse sind Ereignisse, die darauf hinweisen, dass in Ihrer Google Cloud-Umgebung ein Kryptomining-Anwendungsprogramm ausgeführt wird.

Sowohl Event Threat Detection als auch VM Threat Detection leiten Ergebnisse an Security Command Center weiter, um Sie zu benachrichtigen, wenn bestimmte Phase-1-Ereignisse erkannt werden.

Untersuchen und beheben Sie diese Probleme sofort, um erhebliche Kosten zu vermeiden, die mit dem Ressourcenverbrauch von Kryptomining-Anwendungen verbunden sind.

Ein Ergebnis in einer der folgenden Kategorien weist darauf hin, dass eine Kryptomining-Anwendung auf einer VM in einem der Projekte in Ihrer Google Cloud-Umgebung ausgeführt wird:

• Ausführung: YARA-Regel für Kryptomining: Ergebnisse in dieser Kategorie weisen darauf hin, dass VM Threat Detection ein Speichermuster wie eine Proof-of-Work-Konstante erkannt hat, die von einer Kryptomining-Anwendung verwendet wird.
• Ausführung: Hash-Abgleich für Kryptowährungs-Mining: Ergebnisse in dieser Kategorie geben an, dass die VM Threat Detection einen Speicher-Hash erkannt hat, der von einer Kryptomining-Anwendung verwendet wird.
• Ausführung: Kombinierte Erkennung: Ergebnisse in dieser Kategorie weisen darauf hin, dass VM Threat Detection sowohl ein Speichermuster als auch einen Speicher-Hash erkannt hat, die von einer Kryptomining-Anwendung verwendet werden.
• Malware: Schädliche IP-Adresse: Ergebnisse in dieser Kategorie weisen darauf hin, dass die Ereignisbedrohungserkennung eine Verbindung zu oder eine Suche nach einer IP-Adresse erkannt hat, die bekanntlich von Kryptomining-Anwendungen verwendet wird.
• Malware: Schädliche Domain: Ergebnisse in dieser Kategorie weisen darauf hin, dass Event Threat Detection eine Verbindung zu oder eine Suche nach einer Domain erkannt hat, die bekanntermaßen von Kryptomining-Anwendungen verwendet wird.

Cloud DNS-Logging aktivieren

Wenn Sie Aufrufe von Kryptomining-Anwendungen an bekannte fehlerhafte Domains erkennen möchten, aktivieren Sie Cloud DNS-Logging. Event Threat Detection verarbeitet die Cloud DNS-Logs und gibt Ergebnisse aus, wenn die Auflösung einer Domain erkannt wird, die bekanntermaßen für Kryptomining-Pools verwendet wird.

SIEM- und SOAR-Produkte in Security Command Center einbinden

Integrieren Sie Security Command Center in Ihre vorhandenen Sicherheitstools, z. B. Ihre SIEM- oder SOAR-Produkte, um die Ergebnisse von Security Command Center für Stufe-0- und Stufe-1-Ereignisse zu priorisieren und darauf zu reagieren, die auf potenzielle oder tatsächliche Krypto-Mining-Angriffe hinweisen.

Wenn Ihr Sicherheitsteam kein SIEM- oder SOAR-Produkt verwendet, muss es sich mit der Arbeit mit Security Command Center-Ergebnissen in der Google Cloud Console vertraut machen und lernen, wie es Benachrichtigungen zu Ergebnissen und Exporte mithilfe von Pub/Sub oder den Security Command Center APIs einrichtet, um Ergebnisse für Kryptomining-Angriffe effektiv weiterzuleiten.

Informationen zu den Ergebnissen, die Sie in Ihre Tools für die Sicherheitsverwaltung exportieren müssen, finden Sie unter Wichtige Dienste zur Erkennung von Bedrohungen für alle Projekte aktivieren.

Informationen zum Einbinden von SIEM- und SOAR-Produkten in Security Command Center finden Sie unter SIEM- und SOAR-Integrationen einrichten.

Informationen zum Einrichten von Benachrichtigungen zu Funden oder Exporten finden Sie unter den folgenden Links:

• E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren
• Ergebnisbenachrichtigungen für Pub/Sub aktivieren

Wichtige Kontakte für Sicherheitsbenachrichtigungen festlegen

Damit Ihr Unternehmen so schnell wie möglich auf Sicherheitsbenachrichtigungen von Google reagieren kann, geben Sie in Google Cloud an, welche Teams in Ihrem Unternehmen, z. B. die IT-Sicherheit oder die Betriebssicherheit, Sicherheitsbenachrichtigungen erhalten sollen. Wenn Sie ein Team angeben, geben Sie dessen E-Mail-Adresse unter Wichtige Kontakte ein.

Um eine zuverlässige Zustellung dieser Benachrichtigungen im Laufe der Zeit zu gewährleisten, empfehlen wir Teams dringend, die Zustellung an eine Mailingliste, Gruppe oder einen anderen Mechanismus zu konfigurieren, der für eine konsistente Zustellung und Verteilung an das zuständige Team in Ihrer Organisation sorgt. Wir empfehlen, die E-Mail-Adressen von Einzelpersonen nicht als wichtige Kontakte anzugeben, da die Kommunikation unterbrochen werden kann, wenn die Personen das Team wechseln oder das Unternehmen verlassen.

Achten Sie nach der Einrichtung der wichtigsten Kontakte darauf, dass der E-Mail-Posteingang von Ihren Sicherheitsteams kontinuierlich überwacht wird. Ein kontinuierliches Monitoring ist eine wichtige Best Practice, da Angreifer häufig Kryptomining-Angriffe starten, wenn sie davon ausgehen, dass Sie weniger wachsam sind, z. B. an Wochenenden, Feiertagen und nachts.

Es ist eine Best Practice und eine Anforderung des Cryptomining-Schutzprogramms von Security Command Center, wichtige Kontakte für die Sicherheit zu benennen und die E-Mail-Adressen dieser Kontakte im Blick zu behalten.

Erforderliche IAM-Berechtigungen verwalten

Ihre Sicherheitsteams und Security Command Center selbst benötigen eine Autorisierung, um auf Ressourcen in der Google Cloud-Umgebung zuzugreifen. Authentifizierung und Autorisierung werden mithilfe der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) verwaltet.

Als Best Practice und im Fall von Security Command Center als grundlegende Anforderung müssen Sie die IAM-Rollen und ‑Berechtigungen verwalten oder beibehalten, die zum Erkennen und Reagieren auf Cryptomining-Angriffe erforderlich sind.

Allgemeine Informationen zu IAM in Google Cloud finden Sie in der IAM-Übersicht.

Autorisierungen, die von Ihren Sicherheitsteams benötigt werden

Damit Sie die Ergebnisse des Security Command Center sehen und sofort auf einen Krypto-Mining-Angriff oder ein anderes Sicherheitsproblem in Google Cloud reagieren können, müssen die Google Cloud-Nutzerkonten Ihres Sicherheitspersonals vorab autorisiert werden, um auf mögliche Probleme zu reagieren, sie zu beheben und zu untersuchen.

In Google Cloud können Sie die Authentifizierung und Autorisierung mithilfe von IAM-Rollen und ‑Berechtigungen verwalten.

Erforderliche Rollen für die Arbeit mit Security Command Center

Informationen zu den IAM-Rollen, die Nutzer für die Arbeit mit dem Security Command Center benötigen, finden Sie unter Zugriffssteuerung mit IAM.

Rollen, die für die Arbeit mit anderen Google Cloud-Diensten erforderlich sind

Um einen Cryptomining-Angriff richtig untersuchen zu können, benötigen Sie wahrscheinlich andere IAM-Rollen, z. B. Compute Engine-Rollen, mit denen Sie die betroffene VM-Instanz und die darauf ausgeführten Anwendungen aufrufen und verwalten können.

Je nachdem, wohin die Untersuchung eines Angriffs führt, benötigen Sie möglicherweise auch andere Rollen, z. B. Compute Engine-Netzwerkrollen oder Cloud Logging-Rollen.

Außerdem benötigen Sie die entsprechenden IAM-Berechtigungen, um wichtige Kontakte aus Sicherheitsgründen zu erstellen und zu verwalten. Informationen zu den IAM-Rollen, die zum Verwalten von Sicherheitskontakten erforderlich sind, finden Sie unter Erforderliche Rollen.

Autorisierungen, die für Security Command Center erforderlich sind

Wenn Sie Security Command Center aktivieren, wird in Google Cloud automatisch ein Dienstkonto erstellt, das Security Command Center für die Authentifizierung und Autorisierung beim Ausführen von Scans und der Verarbeitung von Protokollen verwendet. Während der Aktivierung bestätigen Sie die Berechtigungen, die dem Dienstkonto gewährt werden.

Entfernen oder ändern Sie dieses Dienstkonto, seine Rollen oder seine Berechtigungen nicht.

Implementierung der Best Practices für die Kryptomining-Erkennung bestätigen

Sie können prüfen, ob Ihre Organisation die Best Practices zum Erkennen von Kryptomining implementiert, indem Sie ein Script ausführen, das die Metadaten Ihrer Organisation prüft. Das Script ist auf GitHub verfügbar.

README und das Script finden Sie unter Best Practices-Validierungsskript für die SCC-Kryptomining-Erkennung.