Best practice per il rilevamento del cryptomining

Questa pagina illustra le best practice per rilevare gli attacchi di cryptomining (cryptomining) sulle macchine virtuali (VM) di Compute Engine nel tuo ambiente Google Cloud.

Queste best practice fungono anche da requisiti di idoneità per il programma di protezione dal cryptomining di Google Cloud. Per maggiori informazioni, consulta la panoramica del programma di protezione dal cryptomining di Security Command Center.

Attiva il livello Premium o Enterprise di Security Command Center per la tua organizzazione

L'attivazione del livello Premium o Enterprise di Security Command Center è un elemento fondamentale per rilevare gli attacchi di cryptomining su Google Cloud.

Due servizi di rilevamento delle minacce dei livelli Premium ed Enterprise sono fondamentali per rilevare gli attacchi di cryptomining: Event Threat Detection e VM Threat Detection.

Poiché gli attacchi di cryptomining possono verificarsi su qualsiasi VM in qualsiasi progetto all'interno della tua organizzazione, l'attivazione di Security Command Center Premium o Enterprise per l'intera organizzazione con Event Threat Detection e VM Threat Detection abilitati è sia una best practice sia un requisito del programma di protezione dal cryptomining di Security Command Center.

Per saperne di più, consulta la panoramica dell'attivazione di Security Command Center.

Abilita i servizi chiave di rilevamento delle minacce su tutti i progetti

Abilita i servizi Event Threat Detection e VM Threat Detection di Security Command Center su tutti i progetti della tua organizzazione.

Insieme, Event Threat Detection e VM Threat Detection rilevano eventi che possono portare a un attacco di cryptomining (eventi di fase 0) ed eventi che indicano che un attacco è in corso (eventi di fase 1). Gli eventi specifici rilevati da questi servizi di rilevamento sono descritti nelle sezioni seguenti.

Per ulteriori informazioni, consulta le seguenti risorse:

• Panoramica di Event Threat Detection
• Panoramica di VM Threat Detection

Abilita rilevamento eventi stage-0

Gli eventi di fase 0 sono eventi nel tuo ambiente che spesso precedono, o sono il primo passo, attacchi di cryptomining comuni.

Event Threat Detection, un servizio di rilevamento disponibile con Security Command Center Premium o Enterprise, fornisce risultati che ti avvisano quando rileva determinati eventi di fase 0.

Se riesci a rilevare e risolvere questi problemi rapidamente, puoi prevenire molti attacchi di cryptomining prima di incorrere in costi significativi.

Event Threat Detection utilizza le seguenti categorie di risultati per avvisarti di questi eventi:

• Account_Has_Leaked_Credentials: un risultato in questa categoria indica che una chiave dell'account di servizio è stata divulgata su GitHub. L'acquisizione delle credenziali degli account di servizioo è un precursore comune degli attacchi di cryptomining.
• Evasion: accesso da proxy anonimo: un risultato in questa categoria indica che una modifica a un servizio Google Cloud ha avuto origine da un proxy anonimo, ad esempio un nodo di uscita Tor.
• Accesso iniziale: azione account di servizio inattivo: un risultato in questa categoria indica che un account di servizio inattivo ha eseguito un'azione nel tuo ambiente. Security Command Center utilizza Policy Intelligence per rilevare gli account inattivi.

Attiva il rilevamento degli eventi fase 1

Gli eventi della fase 1 sono eventi che indicano che un programma dell'applicazione di cryptomining è in esecuzione nel tuo ambiente Google Cloud.

Sia Event Threat Detection che VM Threat Detection inviano i risultati di Security Command Center per avvisarti quando rilevano determinati eventi di fase 1.

Analizza e correggi questi risultati immediatamente per evitare di incorrere in costi significativi associati al consumo di risorse delle applicazioni di cryptomining.

Un risultato in una delle seguenti categorie indica che un'applicazione di cryptomining è in esecuzione su una VM in uno dei progetti nel tuo ambiente Google Cloud:

• Esecuzione: regola YARA per il cryptomining: i risultati in questa categoria indicano che VM Threat Detection ha rilevato un pattern di memoria, ad esempio una costante di proof-of-work, utilizzato da un'applicazione di cryptomining.
• Esecuzione: corrispondenza hash di cryptomining: i risultati in questa categoria indicano che VM Threat Detection ha rilevato un hash di memoria utilizzato da un'applicazione di cryptomining.
• Esecuzione: rilevamento combinato: i risultati in questa categoria indicano che VM Threat Detection ha rilevato sia un pattern di memoria sia un hash di memoria utilizzati da un'applicazione di cryptomining.
• Malware: IP non valido: i risultati in questa categoria indicano che Event Threat Detection ha rilevato una connessione a un indirizzo IP, o una ricerca, utilizzato dalle applicazioni di cryptomining.
• Malware: dominio non valido: i risultati di questa categoria indicano che Event Threat Detection ha rilevato una connessione a un dominio, o una ricerca, utilizzato da applicazioni di cryptomining.

Abilita logging di Cloud DNS

Per rilevare le chiamate effettuate dalle applicazioni di cryptomining a domini dannosi noti, abilita Cloud DNS Logging. Event Threat Detection elabora i log di Cloud DNS e genera i risultati quando rileva la risoluzione di un dominio noto per essere utilizzato per i pool di cryptomining.

Integra i tuoi prodotti SIEM e SOAR con Security Command Center

Integra Security Command Center con gli strumenti per le operazioni di sicurezza esistenti, come i prodotti SIEM o SOAR, per valutare e rispondere ai risultati di Security Command Center per gli eventi di fase 0 e 1 che indicano attacchi di cryptomining potenziali o effettivi.

Se il tuo team per la sicurezza non utilizza un prodotto SIEM o SOAR, deve imparare a utilizzare i risultati di Security Command Center nella console Google Cloud e imparare a configurare le notifiche e le esportazioni dei risultati utilizzando le API Pub/Sub o Security Command Center per instradare efficacemente i risultati relativi agli attacchi di cryptomining.

Per i risultati specifici da esportare negli strumenti per le operazioni di sicurezza, vedi Abilitare i servizi chiave di rilevamento delle minacce su tutti i progetti.

Per informazioni su come integrare i prodotti SIEM e SOAR con Security Command Center, consulta Configurare le integrazioni SIEM e SOAR.

Per informazioni sulla configurazione delle notifiche o delle esportazioni dei risultati, consulta le seguenti informazioni:

• Attivazione delle notifiche via email e chat in tempo reale
• Abilita le notifiche sui risultati per Pub/Sub

Specifica i contatti necessari per le notifiche di sicurezza

Per consentire alla tua azienda di rispondere il più rapidamente possibile a qualsiasi notifica di sicurezza di Google, specifica a Google Cloud quali team dell'azienda, ad esempio per la sicurezza IT o la sicurezza delle operazioni, devono ricevere le notifiche di sicurezza. Quando specifichi un team, inserisci il relativo indirizzo email in Contatti necessari.

Per garantire una consegna affidabile di queste notifiche nel tempo, consigliamo vivamente ai team di configurare la consegna a una mailing list, un gruppo o un altro meccanismo che garantisca coerenza di consegna e distribuzione al team responsabile della tua organizzazione. Ti consigliamo di non specificare gli indirizzi email dei singoli utenti come contatti essenziali, perché la comunicazione può essere interrotta se i singoli membri cambiano team o lasciano l'azienda.

Dopo aver configurato i contatti essenziali, assicurati che la posta in arrivo sia monitorata continuamente dai team di sicurezza. Il monitoraggio continuo è una best practice fondamentale, perché gli utenti malintenzionati avviano spesso attacchi di cryptomining quando si aspettano che tu sia meno vigili, ad esempio nei fine settimana, nei giorni festivi e di notte.

Specificare i contatti essenziali per la sicurezza e monitorare l'indirizzo email dei contatti essenziali sono sia una best practice sia un requisito del programma di protezione dal cryptomining di Security Command Center.

Mantieni le autorizzazioni IAM richieste

I tuoi team di sicurezza e lo stesso Security Command Center hanno bisogno dell'autorizzazione per accedere alle risorse nell'ambiente Google Cloud. Gestisci l'autenticazione e l'autorizzazione utilizzando Identity and Access Management (IAM).

Come best practice e, nel caso di Security Command Center, un requisito di base, devi mantenere o conservare le autorizzazioni e i ruoli IAM necessari per rilevare e rispondere agli attacchi di cryptomining.

Per informazioni generali su IAM su Google Cloud, consulta la panoramica di IAM.

Autorizzazioni richieste dai team di sicurezza

Per poter visualizzare i risultati di Security Command Center e rispondere immediatamente a un attacco di cryptomining o altri problemi di sicurezza su Google Cloud, gli account utente Google Cloud del tuo personale di sicurezza devono essere autorizzati in anticipo a rispondere, risolvere ed esaminare i problemi che potrebbero verificarsi.

Su Google Cloud puoi gestire l'autenticazione e l'autorizzazione utilizzando i ruoli e le autorizzazioni IAM.

Ruoli necessari per utilizzare Security Command Center

Per informazioni sui ruoli IAM necessari agli utenti per lavorare con Security Command Center, vedi Controllo dell'accesso con IAM.

Ruoli necessari per lavorare con altri servizi Google Cloud

Per indagare correttamente su un attacco di cryptomining, potrebbero essere necessari altri ruoli IAM, ad esempio i ruoli Compute Engine, che consentono di visualizzare e gestire l'istanza VM interessata e le applicazioni in esecuzione.

A seconda di dove porta l'indagine di un attacco, potrebbero essere necessari anche altri ruoli, ad esempio ruoli di rete Compute Engine o ruoli Cloud Logging.

Devi anche disporre delle autorizzazioni IAM appropriate per creare e gestire i contatti necessari per la sicurezza. Per informazioni sui ruoli IAM necessari per gestire i contatti per la sicurezza, consulta Ruoli obbligatori.

Autorizzazioni richieste da Security Command Center

Quando attivi Security Command Center, Google Cloud crea automaticamente un account di servizio che Security Command Center utilizza per l'autenticazione e l'autorizzazione quando eseguono scansioni ed elaborano i log. Durante il processo di attivazione, confermi le autorizzazioni concesse all'account di servizio.

Non rimuovere o modificare questo account di servizio, i relativi ruoli o le relative autorizzazioni.

Conferma l'implementazione delle best practice per il rilevamento del cryptomining

Puoi verificare se la tua organizzazione implementa le best practice per il rilevamento del cryptomining eseguendo uno script che verifica i metadati della tua organizzazione. Lo script è disponibile su GitHub.

Per esaminare README e scaricare lo script, consulta lo script di convalida delle best practice per il rilevamento di cryptomining SCC.