Best Practices für die Erkennung von Kryptomining

Auf dieser Seite werden Best Practices zum Erkennen von Kryptomining-Angriffen (Cryptomining) auf Compute Engine-VMs in Ihrer Google Cloud-Umgebung erläutert.

Diese Best Practices dienen auch als Eignungsvoraussetzungen für das Google Cloud Cryptomining Protection Program. Weitere Informationen zum Programm finden Sie in der Übersicht zum Cryptomining-Schutzprogramm von Security Command Center.

Premium- oder Enterprise-Stufe von Security Command Center für Ihre Organisation aktivieren

Die Aktivierung der Premium- oder Enterprise-Stufe von Security Command Center ist eine Grundlage für die Erkennung von Cryptomining-Angriffen in Google Cloud.

Für die Erkennung von Kryptomining-Angriffen sind zwei Bedrohungserkennungsdienste der Premium- und Enterprise-Stufe entscheidend: Event Threat Detection und VM Threat Detection.

Da Cryptomining-Angriffe auf jeder VM in jedem Projekt in Ihrer Organisation auftreten können, ist die Aktivierung von Security Command Center Premium oder Enterprise für die gesamte Organisation mit aktivierter Event Threat Detection und VM Threat Detection sowohl eine Best Practice als auch eine Voraussetzung des Cryptomining-Schutzprogramms von Security Command Center.

Weitere Informationen finden Sie unter Security Command Center aktivieren – Übersicht.

Dienste für die Bedrohungserkennung in allen Projekten aktivieren

Aktivieren Sie die Dienste Event Threat Detection und VM Threat Detection von Security Command Center für alle Projekte in Ihrer Organisation.

Gemeinsam erkennen Event Threat Detection und VM Threat Detection Ereignisse, die zu einem Kryptomining-Angriff führen können (Ereignisse der Phase 0), sowie Ereignisse, die darauf hinweisen, dass ein Angriff läuft (Ereignisse vom Typ „stage-1“). Die spezifischen Ereignisse, die diese Erkennungsdienste erkennen, werden in den folgenden Abschnitten beschrieben.

Hier finden Sie weitere Informationen:

• Übersicht über Event Threat Detection
• Übersicht über VM Threat Detection

Erkennung von Phase-0-Ereignissen aktivieren

Phase-0-Ereignisse sind Ereignisse in Ihrer Umgebung, die häufig vor gängigen Cryptomining-Angriffen auftreten oder der erste Schritt dieser Art sind.

Event Threat Detection, ein in Security Command Center Premium oder Enterprise verfügbarer Erkennungsdienst, gibt Ergebnisse aus, um Sie bei bestimmten Ereignissen der Phase 0 zu benachrichtigen.

Wenn Sie diese Probleme schnell erkennen und beheben können, können Sie viele Cryptomining-Angriffe verhindern, bevor hohe Kosten entstehen.

Event Threat Detection verwendet die folgenden Ergebniskategorien, um Sie auf diese Ereignisse aufmerksam zu machen:

• Account_Has_Leaked_Credentials: Ein Ergebnis in dieser Kategorie weist darauf hin, dass ein Dienstkontoschlüssel in GitHub geleakt wurde. Der Erwerb von Anmeldedaten für Dienstkonten ist ein häufiger Vorläufer von Cryptomining-Angriffen.
• Umgehung: Zugriff durch Anonymisierungs-Proxy: Ein Ergebnis in dieser Kategorie deutet darauf hin, dass eine Änderung an einem Google Cloud-Dienst von einem anonymen Proxy stammt, z. B. einem Tom-Exit-Knoten.
• Anfänglicher Zugriff: Ruhende Dienstkontoaktion: Ein Ergebnis in dieser Kategorie deutet darauf hin, dass ein inaktives Dienstkonto in Ihrer Umgebung aktiv war. Security Command Center nutzt Policy Intelligence, um inaktive Konten zu erkennen.

Ereigniserkennung für Phase 1 aktivieren

Stage-1-Ereignisse sind Ereignisse, die darauf hinweisen, dass in Ihrer Google Cloud-Umgebung ein Cryptomining-Anwendungsprogramm ausgeführt wird.

Sowohl Event Threat Detection als auch VM Threat Detection geben Security Command Center-Ergebnisse aus, um Sie zu benachrichtigen, wenn bestimmte Ereignisse der Phase 1 erkannt werden.

Untersuchen und beheben Sie diese Ergebnisse sofort, um hohe Kosten für den Ressourcenverbrauch von Cryptomining-Anwendungen zu vermeiden.

Ein Ergebnis in einer der folgenden Kategorien weist darauf hin, dass eine Cryptomining-Anwendung auf einer VM in einem der Projekte in Ihrer Google Cloud-Umgebung ausgeführt wird:

• Ausführung: Cryptomining-YARA-Regel: Ergebnisse in dieser Kategorie deuten darauf hin, dass VM Threat Detection ein Speichermuster wie eine Proof-of-Work-Konstante erkannt hat, das von einer Cryptomining-Anwendung verwendet wird.
• Ausführung: Cryptomining-Hash-Übereinstimmung: Ergebnisse in dieser Kategorie weisen darauf hin, dass VM Threat Detection einen Arbeitsspeicher-Hash erkannt hat, der von einer Cryptomining-Anwendung verwendet wird.
• Ausführung: Kombinierte Erkennung: Ergebnisse in dieser Kategorie deuten darauf hin, dass VM Threat Detection sowohl ein Speichermuster als auch einen Arbeitsspeicher-Hash erkannt hat, die von einer Cryptomining-Anwendung verwendet werden.
• Malware: Ungültige IP: Ergebnisse in dieser Kategorie weisen darauf hin, dass Event Threat Detection eine Verbindung zu einer IP-Adresse erkannt hat, die bekanntermaßen von Cryptomining-Anwendungen verwendet wird.
• Malware: Ungültige Domain: Ergebnisse in dieser Kategorie weisen darauf hin, dass Event Threat Detection eine Verbindung zu einer Domain erkannt hat, die bekanntermaßen von Cryptomining-Anwendungen verwendet wird.

Cloud DNS-Logging aktivieren

Aktivieren Sie Cloud DNS Logging, um Aufrufe von Cryptomining-Anwendungen an bekannte fehlerhafte Domains zu erkennen. Event Threat Detection verarbeitet die Cloud DNS-Logs und gibt Ergebnisse aus, wenn die Auflösung einer Domain erkannt wird, die bekanntermaßen für Cryptomining-Pools verwendet wird.

SIEM- und SOAR-Produkte in Security Command Center einbinden

Binden Sie Security Command Center in Ihre vorhandenen Sicherheitstools wie SIEM- oder SOAR-Produkte ein, um die Security Command Center-Ergebnisse für Ereignisse der Phase 0 und 1, die auf potenzielle oder tatsächliche Cryptomining-Angriffe hindeuten, zu beurteilen und darauf zu reagieren.

Wenn Ihr Sicherheitsteam kein SIEM- oder SOAR-Produkt verwendet, muss sich das Team mit der Arbeit mit Security Command Center-Ergebnissen in der Google Cloud Console vertraut machen und mit Pub/Sub oder den Security Command Center APIs, wie Ergebnisbenachrichtigungen und Exporte mithilfe von Pub/Sub oder den Security Command Center APIs eingerichtet werden, um Ergebnisse für Cryptomining-Angriffe effektiv weiterzuleiten.

Informationen zu den spezifischen Ergebnissen, die Sie in Ihre Security Operations-Tools exportieren müssen, finden Sie unter Key Threat Detection-Dienste in allen Projekten aktivieren.

Informationen zum Einbinden von SIEM- und SOAR-Produkten in Security Command Center finden Sie unter SIEM- und SOAR-Integrationen einrichten.

Informationen zum Einrichten von Ergebnisbenachrichtigungen oder -exporten finden Sie in den folgenden Informationen:

• E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren
• Ergebnisbenachrichtigungen für Pub/Sub aktivieren

Wichtige Kontakte für Sicherheitsbenachrichtigungen festlegen

Damit Ihr Unternehmen schnellstmöglich auf Sicherheitsbenachrichtigungen von Google reagieren kann, geben Sie für Google Cloud an, welche Teams in Ihrem Unternehmen, z. B. IT-Sicherheit oder Betriebssicherheit, Sicherheitsbenachrichtigungen erhalten sollen. Wenn Sie ein Team angeben, geben Sie dessen E-Mail-Adresse unter Wichtige Kontakte ein.

Um eine zuverlässige Zustellung dieser Benachrichtigungen über einen längeren Zeitraum sicherzustellen, empfehlen wir Teams dringend, die Zustellung an eine Mailingliste, eine Gruppe oder einen anderen Mechanismus zu konfigurieren, der für Konsistenz der Zustellung und Verteilung an das zuständige Team in Ihrer Organisation sorgt. Es wird empfohlen, die E-Mail-Adressen von Einzelpersonen nicht als wichtige Kontakte anzugeben, da die Kommunikation unterbrochen werden kann, wenn die einzelnen Personen das Team wechseln oder das Unternehmen verlassen.

Nachdem Sie Ihre wichtigen Kontakte eingerichtet haben, sollten Sie dafür sorgen, dass der E-Mail-Posteingang kontinuierlich von Ihren Sicherheitsteams überwacht wird. Kontinuierliches Monitoring ist eine wichtige Best Practice, da Angreifer häufig Kryptomining-Angriffe starten, wenn sie davon ausgehen, dass Sie weniger wachsam sind, z. B. an Wochenenden, Feiertagen und nachts.

Die Festlegung Ihrer wichtigen Kontakte für die Sicherheit und das Monitoring der E-Mail-Adresse der wesentlichen Kontakte sind sowohl eine Best Practice als auch eine Voraussetzung des Cryptomining-Schutzprogramms von Security Command Center.

Erforderliche IAM-Berechtigungen beibehalten

Ihre Sicherheitsteams und das Security Command Center selbst benötigen eine Autorisierung für den Zugriff auf Ressourcen in der Google Cloud-Umgebung. Die Authentifizierung und Autorisierung wird mithilfe von Identity and Access Management (IAM) verwaltet.

Als Best Practice und im Fall des Security Command Center eine Grundanforderung, müssen Sie die IAM-Rollen und -Berechtigungen, die zum Erkennen und Abwehren von Kryptomining-Angriffen erforderlich sind, beibehalten oder beibehalten.

Allgemeine Informationen zu IAM in Google Cloud finden Sie in der IAM-Übersicht.

Autorisierungen, die von Ihren Sicherheitsteams benötigt werden

Damit Sie Security Command Center-Ergebnisse sehen und sofort auf einen Cryptomining-Angriff oder ein anderes Sicherheitsproblem in Google Cloud reagieren können, müssen die Google Cloud-Nutzerkonten Ihres Sicherheitspersonals im Voraus autorisiert werden, um auf auftretende Probleme zu reagieren, sie zu beheben und zu untersuchen.

In Google Cloud können Sie die Authentifizierung und Autorisierung mithilfe von IAM-Rollen und -Berechtigungen verwalten.

Für die Arbeit mit Security Command Center erforderliche Rollen

Informationen zu den IAM-Rollen, die Nutzer für die Arbeit mit Security Command Center benötigen, finden Sie unter Zugriffssteuerung mit IAM.

Für die Arbeit mit anderen Google Cloud-Diensten erforderliche Rollen

Für die ordnungsgemäße Untersuchung eines Cryptomining-Angriffs benötigen Sie wahrscheinlich weitere IAM-Rollen wie Compute Engine-Rollen, mit denen Sie die betroffene VM-Instanz und die darauf ausgeführten Anwendungen ansehen und verwalten können.

Je nachdem, wohin die Untersuchung eines Angriffs führt, benötigen Sie möglicherweise auch andere Rollen, z. B. Compute Engine-Netzwerkrollen oder Cloud Logging-Rollen.

Sie benötigen auch die entsprechenden IAM-Berechtigungen, um Ihre wichtigen Kontakte aus Sicherheitsgründen zu erstellen und zu verwalten. Informationen zu den IAM-Rollen, die zum Verwalten von Sicherheitskontakten erforderlich sind, finden Sie unter Erforderliche Rollen.

Für Security Command Center erforderliche Autorisierungen

Wenn Sie Security Command Center aktivieren, erstellt Google Cloud automatisch ein Dienstkonto, das Security Command Center zur Authentifizierung und Autorisierung beim Ausführen von Scans und Verarbeiten von Logs verwendet. Während des Aktivierungsprozesses bestätigen Sie die Berechtigungen, die dem Dienstkonto gewährt werden.

Entfernen oder ändern Sie weder dieses Dienstkonto noch seine Rollen oder Berechtigungen.

Implementierung der Best Practices für die Kryptomining-Erkennung bestätigen

Durch Ausführen eines Skripts, das die Metadaten Ihrer Organisation prüft, können Sie sehen, ob Ihre Organisation die Best Practices zur Erkennung von Cryptomining umsetzt. Das Skript ist auf GitHub verfügbar.

Informationen zum Prüfen des README und zum Herunterladen des Skripts finden Sie unter Validierungsskript „Best Practices für die SCC-Cryptomining-Erkennung“.