Prácticas recomendadas para la detección de criptominería

En esta página, se explican las prácticas recomendadas para detectar ataques de minería de criptomonedas (criptominería) en las máquinas virtuales (VM) de Compute Engine en tu entorno de Google Cloud.

Estas prácticas recomendadas también sirven como requisitos de elegibilidad para el Programa de protección contra la minería de criptomonedas de Google Cloud. Para obtener más información sobre el programa, consulta la descripción general del Programa de protección contra criptominería de Security Command Center.

Activa el nivel Premium o Enterprise de Security Command Center para tu organización

La activación del nivel Premium o Enterprise de Security Command Center es un elemento fundamental para detectar ataques de criptominería en Google Cloud.

Dos servicios de detección de amenazas de los niveles Premium y Enterprise son fundamentales para detectar ataques de criptominería: Event Threat Detection y VM Threat Detection.

Debido a que los ataques de criptominería pueden ocurrir en cualquier VM de cualquier proyecto dentro de tu organización, activar Security Command Center Premium o Enterprise para toda tu organización con Event Threat Detection y VM Threat Detection habilitados es una práctica recomendada y un requisito del Programa de protección contra la criptominería de Security Command Center.

Para obtener más información, consulta Descripción general de la activación de Security Command Center.

Habilita los servicios de detección de amenazas clave en todos los proyectos

Habilita los servicios de detección de Event Threat Detection y VM Threat Detection de Security Command Center en todos los proyectos de tu organización.

En conjunto, Event Threat Detection y VM Threat Detection detectan eventos que pueden generar un ataque de criptominería (eventos de etapa 0) y eventos que indican que hay un ataque en curso (eventos de etapa 1). En las siguientes secciones, se describen los eventos específicos que detectan estos servicios de detección.

Para obtener más información, consulta lo siguiente:

• Descripción general de Event Threat Detection
• Descripción general de VM Threat Detection

Habilita la detección de eventos de la etapa 0

Los eventos de la etapa 0 son eventos en tu entorno que suelen preceder a los ataques de criptominería comunes o son el primer paso de ellos.

Event Threat Detection, un servicio de detección disponible con Security Command Center Premium o Enterprise, emite resultados para alertarte cuando detecta ciertos eventos de etapa 0.

Si puedes detectar y solucionar estos problemas con rapidez, puedes evitar muchos ataques de criptominería antes de incurrir en costos significativos.

Event Threat Detection usa las siguientes categorías de resultados para alertarte sobre estos eventos:

• Account_Has_Leaked_Credentials: Un hallazgo en esta categoría indica que se filtró una clave de cuenta de servicio en GitHub. La adquisición de credenciales de cuenta de servicio es un precursor común de los ataques de criptominería.
• Evasión: Acceso desde un proxy de anonimización: Un hallazgo en esta categoría indica que una modificación de un servicio de Google Cloud se originó en un proxy anónimo, como un nodo de salida de Tor.
• Acceso inicial: Acción de cuenta de servicio inactiva: Un hallazgo en esta categoría indica que una cuenta de servicio inactiva realizó acciones en tu entorno. Security Command Center usa la inteligencia de políticas para detectar cuentas inactivas.

Habilita la detección de eventos de la etapa 1

Los eventos de la etapa 1 son eventos que indican que se está ejecutando un programa de aplicación de criptominería en tu entorno de Google Cloud.

Tanto Event Threat Detection como VM Threat Detection emiten resultados de Security Command Center para alertarte cuando detectan ciertos eventos de etapa 1.

Investiga y soluciona estos resultados de inmediato para evitar generar costos significativos asociados con el consumo de recursos de las aplicaciones de minería de criptomonedas.

Un hallazgo en cualquiera de las siguientes categorías indica que se está ejecutando una aplicación de minería de criptomonedas en una VM de uno de los proyectos de tu entorno de Google Cloud:

• Ejecución: Regla YARA de criptominería: Los hallazgos de esta categoría indican que VM Threat Detection detectó un patrón de memoria, como una constante de prueba de trabajo, que usa una aplicación de criptominería.
• Ejecución: Coincidencia de hash de minería de criptomonedas: Los hallazgos de esta categoría indican que VM Threat Detection detectó un hash de memoria que usa una aplicación de criptominería.
• Ejecución: Detección combinada: Los hallazgos de esta categoría indican que VM Threat Detection detectó un patrón de memoria y un hash de memoria que usa una aplicación de criptominería.
• Software malicioso: IP incorrecta: Los hallazgos de esta categoría indican que Event Threat Detection detectó una conexión a una dirección IP o una búsqueda de ella que se sabe que usan las aplicaciones de minería de criptomonedas.
• Software malicioso: Dominio incorrecto: Los hallazgos de esta categoría indican que Event Threat Detection detectó una conexión a un dominio o una búsqueda de un dominio que se sabe que usan las aplicaciones de criptominería.

Habilita el registro de Cloud DNS

Para detectar las llamadas que realizan las aplicaciones de criptominería a dominios maliciosos conocidos, habilita el registro de Cloud DNS. Event Threat Detection procesa los registros de Cloud DNS y emite resultados cuando detecta la resolución de un dominio que se sabe que se usa para grupos de criptominería.

Integra tus productos de SIEM y SOAR con Security Command Center

Integra Security Command Center con tus herramientas de operaciones de seguridad existentes, como tus productos de SIEM o SOAR, para clasificar y responder a los resultados de Security Command Center para eventos de etapa 0 y etapa 1 que indiquen ataques de criptominería potenciales o reales.

Si tu equipo de seguridad no usa un producto SIEM o SOAR, debe familiarizarse con el trabajo con los resultados de Security Command Center en la consola de Google Cloud y cómo configurar notificaciones y exportaciones de resultados con Pub/Sub o las APIs de Security Command Center para enrutar los resultados de los ataques de criptominería de manera eficaz.

Para conocer los hallazgos específicos que debes exportar a tus herramientas de operaciones de seguridad, consulta Habilita servicios clave de detección de amenazas en todos los proyectos.

Para obtener información sobre cómo integrar productos SIEM y SOAR con Security Command Center, consulta Configura integraciones de SIEM y SOAR.

Para obtener información sobre cómo configurar notificaciones de búsqueda o exportaciones, consulta la siguiente información:

• Habilita las notificaciones de chat y correo electrónico en tiempo real
• Habilita las notificaciones de resultados para Pub/Sub

Designa tus contactos esenciales para las notificaciones de seguridad

Para que tu empresa pueda responder lo más rápido posible a cualquier notificación de seguridad de Google, especifica a Google Cloud qué equipos de tu empresa, como el de seguridad de TI o el de seguridad de las operaciones, deben recibir notificaciones de seguridad. Cuando especificas un equipo, debes ingresar su dirección de correo electrónico en Contactos esenciales.

Para garantizar la entrega confiable de estas notificaciones a lo largo del tiempo, recomendamos a los equipos que configuren la entrega a una lista de distribución, un grupo o algún otro mecanismo que garantice la coherencia de la entrega y la distribución al equipo responsable de tu organización. Te recomendamos que no especifiques las direcciones de correo electrónico de las personas como contactos esenciales porque la comunicación puede interrumpirse si las personas cambian de equipo o abandonan la empresa.

Después de configurar tus contactos esenciales, asegúrate de que tus equipos de seguridad supervisen la bandeja de entrada de correo electrónico de forma continua. La supervisión continua es una práctica recomendada fundamental, ya que los adversarios suelen iniciar ataques de minería de criptomonedas cuando esperan que estés menos atento, como los fines de semana, los días feriados y por la noche.

Designar tus contactos esenciales para la seguridad y, luego, supervisar su dirección de correo electrónico es una práctica recomendada y un requisito del Programa de protección contra la criptominería de Security Command Center.

Mantén los permisos de IAM obligatorios

Tus equipos de seguridad y Security Command Center requieren autorización para acceder a los recursos del entorno de Google Cloud. Puedes administrar la autenticación y la autorización con Identity and Access Management (IAM).

Como práctica recomendada y, en el caso de Security Command Center, un requisito básico, debes mantener o preservar los roles y permisos de IAM necesarios para detectar y responder a los ataques de criptominería.

Para obtener información general sobre IAM en Google Cloud, consulta la descripción general de IAM.

Las autorizaciones que requieren tus equipos de seguridad

Para poder ver los hallazgos de Security Command Center y responder de inmediato a un ataque de criptominería o a otro problema de seguridad en Google Cloud, las cuentas de usuario de Google Cloud de tu personal de seguridad deben estar autorizadas con anticipación para responder, solucionar e investigar los problemas que puedan surgir.

En Google Cloud, puedes administrar la autenticación y la autorización con los roles y permisos de IAM.

Roles necesarios para trabajar con Security Command Center

Para obtener información sobre los roles de IAM que los usuarios necesitan para trabajar con Security Command Center, consulta Control de acceso con IAM.

Roles necesarios para trabajar con otros servicios de Google Cloud

Para investigar correctamente un ataque de criptominería, es probable que necesites otros roles de IAM, como los roles de Compute Engine, que te permitan ver y administrar la instancia de VM afectada y las aplicaciones que se ejecutan en ella.

Según a dónde te lleve la investigación de un ataque, es posible que también necesites otros roles, como roles de red de Compute Engine o roles de Cloud Logging.

También necesitas los permisos de IAM adecuados para crear y administrar tus Contactos esenciales por seguridad. Para obtener información sobre los roles de IAM necesarios para administrar los contactos de seguridad, consulta Roles obligatorios.

Autorizaciones que requiere Security Command Center

Cuando activas Security Command Center, Google Cloud crea automáticamente una cuenta de servicio que Security Command Center usa para la autenticación y autorización cuando se ejecutan análisis y se procesan registros. Durante el proceso de activación, confirmas los permisos que se otorgan a la cuenta de servicio.

No quites ni modifiques esta cuenta de servicio, sus roles ni sus permisos.

Confirma la implementación de las prácticas recomendadas para la detección de criptominería

Para ver si tu organización implementa las prácticas recomendadas para detectar la minería de criptomonedas, ejecuta una secuencia de comandos que verifique los metadatos de tu organización. La secuencia de comandos está disponible en GitHub.

Para revisar el README y descargar la secuencia de comandos, consulta la secuencia de comandos de validación de las prácticas recomendadas para la detección de criptominería de SCC.