Best practice per il rilevamento del cryptomining

Questa pagina illustra le best practice per rilevare gli attacchi di mining di criptovalute (cryptomining) sulle VM (virtual machine) di Compute Engine nel tuo ambiente Google Cloud.

Queste best practice fungono anche da requisiti di idoneità per il Programma di protezione dal cryptomining di Google Cloud. Per ulteriori informazioni sul programma, consulta la panoramica del programma di protezione dal cryptomining di Security Command Center.

Attiva il livello Premium o Enterprise di Security Command Center per la tua organizzazione

L'attivazione del livello Premium o Enterprise di Security Command Center è un elemento fondamentale per rilevare gli attacchi di cryptomining su Google Cloud.

Due servizi di rilevamento delle minacce dei livelli Premium ed Enterprise sono fondamentali per rilevare gli attacchi di cryptomining: Event Threat Detection e VM Threat Detection.

Poiché gli attacchi di cryptomining possono verificarsi su qualsiasi VM in qualsiasi progetto all'interno della tua organizzazione, l'attivazione di Security Command Center Premium o Enterprise per l'intera organizzazione con Event Threat Detection e VM Threat Detection abilitati è sia una best practice sia un requisito del Programma di protezione dal cryptomining di Security Command Center.

Per maggiori informazioni, consulta Panoramica dell'attivazione di Security Command Center.

Attivare i servizi di rilevamento delle minacce principali in tutti i progetti

Abilita i servizi di rilevamento di Event Threat Detection e VM Threat Detection di Security Command Center su tutti i progetti della tua organizzazione.

Insieme, Event Threat Detection e VM Threat Detection rilevano gli eventi che possono portare a un attacco di cryptomining (eventi di fase 0) e gli eventi che indicano che è in corso un attacco (eventi di fase 1). Gli eventi specifici rilevati da questi servizi di rilevamento sono descritti nelle sezioni seguenti.

Per ulteriori informazioni, consulta le seguenti risorse:

Attivare il rilevamento degli eventi di fase 0

Gli eventi di fase 0 sono eventi nel tuo ambiente che spesso precedono o rappresentano il primo passaggio di attacchi di cryptomining comuni.

Event Threat Detection, un servizio di rilevamento disponibile con Security Command Center Premium o Enterprise, genera risultati per avvisarti quando rileva determinati eventi di fase 0.

Se riesci a rilevare e risolvere rapidamente questi problemi, puoi prevenire molti attacchi di cryptomining prima di sostenere costi significativi.

Event Threat Detection utilizza le seguenti categorie di risultati per avvisarti di questi eventi:

  • Account_Has_Leaked_Credentials: un rilevamento in questa categoria indica che una chiave dell'account di servizio è stata divulgada su GitHub. L'acquisizione delle credenziali degli account di servizio è un precursore comune degli attacchi di cryptomining.
  • Evasione: accesso da proxy con anonimizzazione: un rilevamento in questa categoria indica che una modifica a un servizio Google Cloud ha avuto origine da un proxy anonimo, come un nodo di uscita Tor.
  • Accesso iniziale: azione account di servizio inattivo: un rilevamento in questa categoria indica che un account di servizio inattivo ha eseguito un'azione nel tuo ambiente. Security Command Center utilizza la funzionalità di intelligence delle norme per rilevare gli account inattivi.

Attiva il rilevamento degli eventi di primo livello

Gli eventi di fase 1 indicano che un programma di applicazione di cryptomining è in esecuzione nel tuo ambiente Google Cloud.

Sia Event Threat Detection sia VM Threat Detection emettono risultati di Security Command Center per avvisarti quando rilevano determinati eventi di fase 1.

Esamina e correggi immediatamente questi risultati per evitare di sostenere costi significativi associati al consumo di risorse delle applicazioni di criptomining.

Un rilevamento in una delle seguenti categorie indica che un'applicazione di cryptomining è in esecuzione su una VM in uno dei progetti del tuo ambiente Google Cloud:

  • Esecuzione: regola YARA per il cryptomining: i risultati in questa categoria indicano che VM Threat Detection ha rilevato un pattern di memoria, ad esempio una costante proof-of-work, utilizzato da un' applicazione di cryptomining.
  • Esecuzione: corrispondenza dell'hash di cryptomining: i risultati in questa categoria indicano che VM Threat Detection ha rilevato un hash della memoria utilizzato da un'applicazione di cryptomining.
  • Esecuzione: rilevamento combinato: i risultati in questa categoria indicano che VM Threat Detection ha rilevato sia un pattern di memoria sia un hash di memoria utilizzati da un'applicazione di cryptomining.
  • Malware: IP non valido: i risultati in questa categoria indicano che Event Threat Detection ha rilevato una connessione a o una ricerca di un indirizzo IP noto per essere utilizzato da applicazioni di cryptomining.
  • Malware: dominio non valido: i risultati in questa categoria indicano che Event Threat Detection ha rilevato una connessione a o una ricerca di un dominio noto per essere utilizzato da applicazioni di cryptomining.

Attivare il logging di Cloud DNS

Per rilevare le chiamate effettuate dalle applicazioni di mining di criptovalute a domini con problemi noti, attiva Cloud DNS Logging. Event Threat Detection elabora i log di Cloud DNS e genera risultati quando rileva la risoluzione di un dominio noto per essere utilizzato per i pool di cryptomining.

Integrare i prodotti SIEM e SOAR con Security Command Center

Integra Security Command Center con i tuoi strumenti di operazioni di sicurezza esistenti, come i prodotti SIEM o SOAR, per valutare e rispondere ai risultati di Security Command Center per gli eventi di fase 0 e 1 che indicano potenziali o attacchi di cryptomining effettivi.

Se il team di sicurezza non utilizza un prodotto SIEM o SOAR, deve familiarizzare con l'utilizzo dei risultati di Security Command Center nella console Google Cloud e con la configurazione delle notifiche e delle esportazioni dei risultati utilizzando Pub/Sub o le API Security Command Center per instradare in modo efficace i risultati relativi agli attacchi di cryptomining.

Per i risultati specifici che devi esportare negli strumenti di operazioni di sicurezza, consulta Attivare i servizi di rilevamento delle minacce principali in tutti i progetti.

Per informazioni su come integrare i prodotti SIEM e SOAR con Security Command Center, consulta Configurare le integrazioni SIEM e SOAR.

Per informazioni su come configurare le notifiche o le esportazioni dei risultati, consulta le seguenti informazioni:

Designare i contatti fondamentali per le notifiche di sicurezza

Affinché la tua azienda possa rispondere il più rapidamente possibile a eventuali notifiche di sicurezza di Google, specifica a Google Cloud quali team della tua azienda, ad esempio la sicurezza IT o la sicurezza delle operazioni, devono ricevere le notifiche di sicurezza. Quando specifichi un team, inserisci il relativo indirizzo email in Contatti fondamentali.

Per garantire l'invio affidabile di queste notifiche nel tempo, consigliamo vivamente ai team di configurare l'invio a una mailing list, a un gruppo o a un altro meccanismo che garantisca la coerenza dell'invio e della distribuzione al team responsabile della tua organizzazione. Ti consigliamo di non specificare gli indirizzi email di privati come contatti essenziali perché la comunicazione può essere interrotta se le persone cambiano gruppi o lasciano l'azienda.

Dopo aver configurato i contatti fondamentali, assicurati che la posta in arrivo sia monitorata continuamente dai tuoi team di sicurezza. Il monitoraggio continuo è una best practice fondamentale, perché gli avversari avviano spesso attacchi di criptomining quando ritengono che tu sia meno vigile, ad esempio nei fine settimana, nei giorni festivi e di notte.

La designazione dei contatti fondamentali per la sicurezza e il monitoraggio dell'indirizzo email dei contatti fondamentali sono sia una best practice sia un requisito del Programma di protezione dal cryptomining di Security Command Center.

Gestisci le autorizzazioni IAM richieste

I tuoi team di sicurezza e lo stesso Security Command Center richiedono l'autorizzazione per accedere alle risorse nell'ambiente Google Cloud. Gestisci l'autenticazione e l'autorizzazione utilizzando Identity and Access Management (IAM).

Come best practice e, nel caso di Security Command Center, come requisito di base, devi mantenere o conservare i ruoli e le autorizzazioni IAM necessari per rilevare e rispondere agli attacchi di cryptomining.

Per informazioni generali su IAM su Google Cloud, consulta la panoramica di IAM.

Autorizzazioni richieste dai team di sicurezza

Per poter visualizzare i risultati di Security Command Center e rispondere immediatamente a un attacco di cryptomining o a un altro problema di sicurezza su Google Cloud, gli account utente Google Cloud del tuo personale addetto alla sicurezza devono essere autorizzati in anticipo a rispondere, a risolvere e a esaminare i problemi che potrebbero verificarsi.

Su Google Cloud, puoi gestire l'autenticazione e l'autorizzazione utilizzando i ruoli e le autorizzazioni IAM.

Ruoli richiesti per lavorare con Security Command Center

Per informazioni sui ruoli IAM di cui gli utenti devono disporre per lavorare con Security Command Center, consulta Controllo dell'accesso con IAM.

Ruoli richiesti per lavorare con altri servizi Google Cloud

Per esaminare correttamente un attacco di cryptomining, è probabile che tu debba avere altri ruoli IAM, ad esempio i ruoli Compute Engine, che ti consentano di visualizzare e gestire l'istanza VM interessata e le applicazioni in esecuzione al suo interno.

A seconda dei risultati dell'indagine su un attacco, potresti anche avere bisogno di altri ruoli, come i ruoli di rete di Compute Engine o i ruoli di Cloud Logging.

Inoltre, sono necessarie le autorizzazioni IAM appropriate per creare e gestire i contatti fondamentali per la sicurezza. Per informazioni sui ruoli IAM richiesti per gestire i contatti per la sicurezza, consulta Ruoli richiesti.

Autorizzazioni richieste da Security Command Center

Quando attivi Security Command Center, Google Cloud crea automaticamente un account di servizio utilizzato da Security Command Center per l'autenticazione e l'autorizzazione durante l'esecuzione delle scansioni e l'elaborazione dei log. Durante la procedura di attivazione, confermi le autorizzazioni concesse all'account di servizio.

Non rimuovere o modificare questo account di servizio, i relativi ruoli o le relative autorizzazioni.

Conferma l'implementazione delle best practice per il rilevamento del cryptomining

Puoi verificare se la tua organizzazione implementa le migliori pratiche per rilevare il cryptomining eseguendo uno script che controlla i metadati della tua organizzazione. Lo script è disponibile su GitHub.

Per esaminare il README e scaricare lo script, consulta Script di convalida delle best practice per il rilevamento del cryptomining di SCC.