Best practice per il rilevamento del cryptomining

Questa pagina spiega le best practice per il rilevamento attacchi di cryptomining (cryptomining) agli attacchi virtuali di Compute Engine (VM) nel tuo ambiente Google Cloud.

Queste best practice fungono anche da requisiti di idoneità per Programma di protezione dal cryptomining di Google Cloud. Per ulteriori informazioni sul programma, consulta la panoramica del programma di protezione dal cryptomining di Security Command Center.

Attiva il livello Premium o Enterprise di Security Command Center per la tua organizzazione

L'attivazione del livello Premium o Enterprise di Security Command Center è un elemento fondamentale per rilevare gli attacchi di cryptomining in Google Cloud.

Due servizi di rilevamento delle minacce dei livelli Premium ed Enterprise sono: fondamentali per rilevare gli attacchi di cryptomining: Event Threat Detection e VM Threat Detection.

Poiché gli attacchi di cryptomining possono verificarsi su qualsiasi VM in qualsiasi progetto all'interno del tuo organizzazione, attivando Security Command Center Premium o Enterprise per tutta la durata organizzazione con Event Threat Detection e VM Threat Detection abilitati è sia una best practice che un requisito di Security Command Center Programma di protezione dal cryptomining.

Per saperne di più, consulta la panoramica dell'attivazione di Security Command Center.

Abilita i servizi chiave di rilevamento delle minacce su tutti i progetti

Abilita i servizi Event Threat Detection e VM Threat Detection di Security Command Center su tutti i progetti della tua organizzazione.

Insieme, Event Threat Detection e VM Threat Detection eventi che possono portare a un attacco di cryptomining (eventi di fase 0) ed eventi che indicano che un attacco è in corso (eventi di fase 1). Gli eventi specifici rilevati da questi servizi sono descritti nelle sezioni seguenti.

Per ulteriori informazioni, consulta le seguenti risorse:

• Panoramica di Event Threat Detection
• Panoramica di VM Threat Detection

Abilita rilevamento eventi stage-0

Gli eventi di fase 0 sono eventi nel tuo ambiente che spesso precedono o sono il primo passo dei comuni attacchi di cryptomining.

Event Threat Detection, un servizio di rilevamento disponibile con Security Command Center Premium o Enterprise, segnala i risultati per avvisarti quando rileva alcuni eventi di fase 0.

Se riesci a rilevare e risolvere rapidamente questi problemi, puoi prevenire molti attacchi di cryptomining prima di incorrere in costi significativi.

Event Threat Detection utilizza le seguenti categorie di risultati per avvisarti a questi eventi:

• Account_Has_Leaked_Credentials: Un risultato in questa categoria indica che la chiave di un account di servizio era trapelate su GitHub. L'acquisizione delle credenziali degli account di servizio è un'attività precursori di attacchi di cryptomining.
• Elusione: accesso da proxy con anonimizzazione: Un risultato in questa categoria indica che una modifica a un Il servizio Google Cloud proviene da un proxy anonimo, ad esempio un Nodo di uscita Tor.
• Accesso iniziale: azione sull'account di servizio inattivo: Un risultato in questa categoria indica che un account di servizio inattivo che ha eseguito un'azione nel tuo ambiente. Security Command Center utilizza Policy Intelligence per rilevare gli account inattivi.

Attiva il rilevamento degli eventi fase 1

Gli eventi della fase 1 sono eventi che indicano che un'applicazione di cryptomining è in esecuzione nel tuo ambiente Google Cloud.

Sia Event Threat Detection che VM Threat Detection riscontrano problemi con Security Command Center per ricevere un avviso quando rilevano determinati eventi di fase 1.

Analizza e correggi questi risultati immediatamente per evitare che si verifichino e costi significativi associati al consumo di risorse applicazioni di cryptomining.

Un risultato in una delle seguenti categorie indica che un di cryptomining è in esecuzione su una VM in uno dei progetti in l'ambiente Google Cloud:

• Esecuzione: regola YARA per il cryptomining: I risultati di questa categoria indicano che VM Threat Detection ha rilevato un pattern di memoria, come una costante di proof of work, utilizzata da un di cryptomining.
• Esecuzione: corrispondenza dell'hash di cryptomining: I risultati di questa categoria indicano che VM Threat Detection ha rilevato un hash di memoria usato da un'applicazione di cryptomining.
• Esecuzione: rilevamento combinato: I risultati di questa categoria indicano che VM Threat Detection ha rilevato sia un pattern di memoria sia un hash di memoria utilizzati da un cryptomining un'applicazione.
• Malware: indirizzo IP non valido: I risultati di questa categoria indicano che Event Threat Detection ha rilevato una connessione o una ricerca di un indirizzo IP noto per essere utilizzato da applicazioni di cryptomining.
• Malware: dominio non valido: I risultati di questa categoria indicano che Event Threat Detection ha rilevato una connessione o una ricerca di un dominio noto per essere utilizzato applicazioni di cryptomining.

Abilita logging di Cloud DNS

Per rilevare le chiamate effettuate dalle applicazioni di cryptomining a domini dannosi noti, abilitare Cloud DNS Logging. Event Threat Detection elabora Cloud DNS registra i log e genera i risultati quando rileva la risoluzione di un noto per essere utilizzato per i pool di cryptomining.

Integra i tuoi prodotti SIEM e SOAR con Security Command Center

Integra Security Command Center con i tuoi strumenti per le operazioni di sicurezza esistenti, come i prodotti SIEM o SOAR, per classificare e rispondere alle Risultati di Security Command Center per eventi di fase 0 e fase 1 che indicano attacchi di cryptomining potenziali o effettivi.

Se il team di sicurezza non utilizza un prodotto SIEM o SOAR, acquisire familiarità con l'utilizzo dei risultati di Security Command Center nella console Google Cloud e come configurare le notifiche sui risultati ed esportazioni utilizzando le API Pub/Sub o Security Command Center per il routing i risultati degli attacchi di cryptomining in modo efficace.

Per i risultati specifici che devi esportare nelle operazioni di sicurezza consulta Abilitare i servizi chiave di rilevamento delle minacce su tutti i progetti.

Per informazioni su come integrare i prodotti SIEM e SOAR con Security Command Center, consulta Configurare le integrazioni SIEM e SOAR.

Per informazioni sulla configurazione delle notifiche o delle esportazioni sui risultati, consulta le le seguenti informazioni:

• Attivazione delle notifiche via email e chat in tempo reale
• Abilita le notifiche sui risultati per Pub/Sub

Specifica i contatti necessari per le notifiche di sicurezza

In modo che la tua azienda possa rispondere il più rapidamente possibile a qualsiasi delle notifiche di Google, specifica a Google Cloud quali team aziendali, come la sicurezza informatica o la sicurezza operativa, ricevi notifiche relative alla sicurezza. Quando specifichi un team, ne inserisci il in Contatti necessari.

Per garantire un recapito affidabile di queste notifiche nel tempo, Incoraggia vivamente i team a configurare la consegna a una mailing list, un gruppo o altro meccanismo che garantisca coerenza di distribuzione e distribuzione al team responsabile della tua organizzazione. Ti consigliamo di farlo non specificare gli indirizzi email delle persone come contatti essenziali perché la comunicazione può essere interrotta se i singoli individui cambiano team aziendali o lasciare l'azienda.

Dopo aver configurato i contatti essenziali, assicurati che la Posta in arrivo viene monitorata continuamente dai team di sicurezza. Monitoraggio continuo è una best practice fondamentale, perché gli aggressori spesso avviano attacchi di cryptomining quando si aspettano che tu sia meno vigili, ad esempio nei fine settimana, nei giorni festivi e di notte.

Specificare i contatti essenziali per la sicurezza. monitorare l'indirizzo email dei contatti essenziali, sono entrambi una best practice e un requisito di Security Command Center Programma di protezione dal cryptomining.

Mantieni le autorizzazioni IAM richieste

I tuoi team di sicurezza e Security Command Center stesso richiedono l'autorizzazione per accedere alle risorse nell'ambiente Google Cloud. Gestisci tu l'autenticazione e l'autorizzazione mediante Identity and Access Management (IAM).

Come best practice e, nel caso di Security Command Center, una configurazione di base devi mantenere o mantenere il modello IAM ruoli e autorizzazioni necessari per rilevare e rispondere al cryptomining attacchi informatici.

Per informazioni generali su IAM su Google Cloud, consulta la panoramica di IAM.

Autorizzazioni richieste dai team di sicurezza

per poter visualizzare i risultati di Security Command Center e rispondere immediatamente a un attacco di cryptomining o altri problemi di sicurezza su Google Cloud, gli account utente Google Cloud il personale addetto alla sicurezza deve essere autorizzato in anticipo a rispondere, risolvere i problemi e analizzare gli eventuali problemi che potrebbero verificarsi.

Su Google Cloud, puoi gestire l'autenticazione e l'autorizzazione utilizzando ruoli e autorizzazioni IAM.

Ruoli necessari per utilizzare Security Command Center

Per informazioni sui ruoli IAM che gli utenti devono utilizzare Security Command Center, consulta Controllo dell'accesso con IAM.

Ruoli necessari per lavorare con altri servizi Google Cloud

Per indagare correttamente su un attacco di cryptomining, è probabile che servano e altri ruoli IAM, Ruoli di Compute Engine che ti consentono di visualizzare e gestire l'istanza VM interessata e le applicazioni in esecuzione.

A seconda di dove porta l'indagine di un attacco, potresti aver bisogno e altri ruoli, ad esempio ruoli di rete Compute Engine o i ruoli Cloud Logging.

Devi anche disporre delle autorizzazioni IAM appropriate per creare gestire i Contatti necessari per la sicurezza. Per informazioni sui ruoli IAM necessari Gestire i contatti per la sicurezza, consulta Ruoli obbligatori.

Autorizzazioni richieste da Security Command Center

Quando attivi Security Command Center, Google Cloud esegue crea un account di servizio utilizzato da Security Command Center per l'autenticazione e l'autorizzazione durante l'esecuzione di scansioni ed elaborazioni logaritmi. Durante il processo di attivazione, confermi le autorizzazioni che vengono concessi all'account di servizio.

Non rimuovere o modificare questo account di servizio, i relativi ruoli o le relative autorizzazioni.

Conferma l'implementazione delle best practice per il rilevamento del cryptomining

Puoi vedere se la tua organizzazione implementa le best practice per rilevare il cryptomining mediante l'esecuzione di uno script che controlla i metadati della tua organizzazione. Lo script è disponibile su GitHub.

Per esaminare il README e scaricare lo script, consulta Script di convalida delle best practice per il rilevamento di cryptomining SCC.