Prácticas recomendadas para la detección de criptominería

En esta página, se explican las prácticas recomendadas para detectar ataques de minería de criptomonedas (criptominería) en instancias de Compute Engine virtuales (VMs) de tu entorno de Google Cloud.

Estas prácticas recomendadas también constituyen los requisitos de elegibilidad para el Programa de protección contra criptominería de Google Cloud. Para obtener más información sobre el programa, consulta la descripción general del Programa de protección contra criptominería de Security Command Center.

Activa el nivel Premium o Enterprise de Security Command Center para tu organización

La activación del nivel Premium o Enterprise de Security Command Center es un elemento fundamental para detectar ataques de criptominería en en Google Cloud.

Los niveles Premium y Enterprise son dos servicios de detección de amenazas: esenciales para detectar ataques de criptominería: Event Threat Detection y Detección de amenazas de VM.

Debido a que los ataques de criptominería pueden ocurrir en cualquier VM, en cualquier proyecto dentro de activando Security Command Center Premium o Enterprise para todo tu organización con Event Threat Detection y VM Threat Detection habilitados es una práctica recomendada y un requisito del Security Command Center de protección contra criptominería.

Para obtener más información, consulta Descripción general de la activación de Security Command Center.

Habilitar los servicios clave de detección de amenazas en todos los proyectos

Habilita los servicios de detección de eventos de amenazas y detección de amenazas de VM Security Command Center en todos los proyectos de tu organización.

En conjunto, Event Threat Detection y VM Threat Detection detectan Eventos que pueden provocar un ataque de criptominería (eventos de etapa 0) y eventos que indican que un ataque está en curso (eventos de etapa-1). Los eventos específicos que detectan estos servicios de detección, se describen en las siguientes secciones.

Para obtener más información, consulta lo siguiente:

• Descripción general de Event Threat Detection
• Descripción general de VM Threat Detection

Habilitar la detección de eventos en la etapa 0

Los eventos de etapa 0 son aquellos en su entorno que suelen preceder o presentar el primer paso de los ataques comunes de criptominería.

Event Threat Detection, un servicio de detección disponible con Security Command Center Premium o Enterprise, emite hallazgos para alertarte cuando detecta para ciertos eventos de etapa 0.

Si puedes detectar y solucionar estos problemas con rapidez, puedes evitar muchos ataques de criptominería antes de incurrir en costos significativos.

Event Threat Detection utiliza las siguientes categorías de hallazgos para alertarte. a estos eventos:

• Account_Has_Leaked_Credentials: Un hallazgo en esta categoría indica que se fue se filtró en GitHub. Adquirir credenciales de cuentas de servicio es común antes de los ataques de criptominería.
• Evasión: Acceso desde el proxy de anonimización: Un hallazgo en esta categoría indica que una modificación en un El servicio de Google Cloud se originó a partir de un proxy anónimo, como un Nodo de salida Tor.
• Acceso inicial: Acción de cuenta de servicio inactiva: Un hallazgo en esta categoría indica que una cuenta de servicio inactiva tomar medidas en tu entorno. Security Command Center usa Policy Intelligence para detectar cuentas inactivas.

Habilitar la detección de eventos en la etapa 1

Los eventos de la etapa 1 son aquellos que indican que una aplicación de criptominería programa se ejecuta en tu entorno de Google Cloud.

Tanto Event Threat Detection como VM Threat Detection problemas en Security Command Center para alertarte cuando detecten ciertos eventos en etapa 1.

Investiga y corrige estos hallazgos de inmediato para evitar incurrir en costos significativos asociados con el consumo de recursos de criptominería.

Un hallazgo en cualquiera de las siguientes categorías indica que un app de criptominería se ejecuta en una VM en uno de los proyectos de tu entorno de Google Cloud:

• Ejecución: Regla YARA de criptominería: Los hallazgos de esta categoría indican que VM Threat Detection detectó un patrón de memoria, como una constante de prueba de trabajo, usado por una app de criptominería.
• Ejecución: Coincidencia de hash de criptominería: Los hallazgos de esta categoría indican que VM Threat Detection detectó un hash de memoria que usa una aplicación de criptominería.
• Ejecución: Detección combinada: Los hallazgos de esta categoría indican que VM Threat Detection detectó un patrón de memoria y un hash de memoria y mantener la integridad de su aplicación.
• Software malicioso: IP incorrecta: Los hallazgos de esta categoría indican que Event Threat Detection detectó una conexión a, o una búsqueda de, una dirección IP que se sabe que con criptominería de aplicaciones.
• Software malicioso: dominio incorrecto: Los hallazgos de esta categoría indican que Event Threat Detection detectó una conexión a, o una búsqueda de, un dominio que se sabe que usa de criptominería.

Habilita el registro de Cloud DNS

Para detectar llamadas realizadas por aplicaciones de criptominería a dominios maliciosos conocidos, Habilita Cloud DNS Logging. Event Threat Detection procesa las Registros y problemas de Cloud DNS cuando detecta la resolución de un dominio conocido por usarse para grupos de criptominería.

Integra tus productos SIEM y SOAR con Security Command Center

Integrar Security Command Center en tus herramientas de operaciones de seguridad existentes, como tus productos SIEM o SOAR, para clasificar y responder a los Hallazgos de Security Command Center para eventos de etapa 0 y etapa 1 que indican de criptominería reales o potenciales.

Si tu equipo de seguridad no usa un producto SIEM o SOAR, el equipo debe familiarizarse con el trabajo con los hallazgos de Security Command Center en la consola de Google Cloud y a configurar notificaciones y exportaciones con Pub/Sub o las APIs de Security Command Center para enrutar para detectar ataques de criptominería de forma eficaz.

Para los resultados específicos que necesitas exportar a tus operaciones de seguridad consulta Habilita los servicios de detección de amenazas clave en todos los proyectos.

Para obtener información sobre cómo integrar los productos SIEM y SOAR con Security Command Center, consulta Configura integraciones de SIEM y SOAR.

Para obtener información sobre la configuración de notificaciones o exportaciones de resultados, consulta la la siguiente información:

• Habilita las notificaciones de chat y correo electrónico en tiempo real
• Habilita las notificaciones de resultados para Pub/Sub

Designa tus contactos esenciales para las notificaciones de seguridad

Para que su empresa pueda responder lo más rápido posible ante cualquier problema de seguridad notificaciones de Google, especifica a Google Cloud a qué equipos en tu empresa, como la seguridad de TI o de operaciones, recibir notificaciones de seguridad. Cuando especificas un equipo, debes ingresar su dirección de correo electrónico en Contactos esenciales.

Para garantizar la entrega confiable de estas notificaciones a lo largo del tiempo, Se recomienda encarecidamente a los equipos configurar la entrega a una lista de distribución, o algún otro mecanismo que garantice la coherencia de la entrega y la distribución al equipo responsable de tu organización. Te recomendamos No deben especificar las direcciones de correo electrónico de las personas como contactos esenciales. ya que la comunicación puede interrumpirse si los individuos cambian equipos o irse de la empresa.

Después de configurar los contactos esenciales, asegúrate de que la bandeja de entrada y los equipos de seguridad supervisan continuamente. Supervisión continua es una práctica recomendada fundamental, porque los adversarios suelen iniciar de criptominería cuando se espera que estés menos vigilante, como los fines de semana, los feriados y la noche.

Designar los contactos esenciales para la seguridad y, luego, de las direcciones de correo electrónico de los contactos esenciales, una práctica recomendada y un requisito del Security Command Center de protección contra criptominería.

Mantén los permisos de IAM necesarios

Tus equipos de seguridad y el mismo Security Command Center, requieren autorización para acceder a los recursos en el entorno de Google Cloud. Tú administras autenticación y autorización con Identity and Access Management (IAM).

Como práctica recomendada y, en el caso de Security Command Center, se debe mantener o preservar el acceso de IAM, roles y permisos necesarios para detectar y responder a la criptominería de ataques de seguridad cibernética.

Para obtener información general sobre IAM en Google Cloud, consulta Descripción general de IAM.

Autorizaciones que requieren tus equipos de seguridad

Para poder ver los resultados de Security Command Center y responder de inmediato a un ataque de criptominería o a otro problema de seguridad en Google Cloud las cuentas de usuario de Google Cloud de tus el personal de seguridad debe estar autorizado con anticipación para responder, corregir e investigar los problemas que podrían surgir.

En Google Cloud, puedes administrar la autenticación y la autorización con roles y permisos de IAM.

Funciones necesarias para trabajar con Security Command Center

Para obtener información sobre los roles de IAM que los usuarios deben si usas Security Command Center, consulta Control de acceso con la IAM.

Roles necesarios para trabajar con otros servicios de Google Cloud

Para investigar correctamente un ataque de criptominería, es probable que debas otros roles de IAM, como Roles de Compute Engine que te permiten ver y administrar la instancia de VM afectada y la aplicaciones que se ejecutan en él.

Según el lugar al que lleve la investigación de un ataque, podría necesitar también a otros roles, como los roles de red de Compute Engine o roles de Cloud Logging.

También necesitas los permisos de IAM adecuados para crear y administrar tus contactos esenciales por seguridad. Información sobre los roles de IAM necesarios administrar los contactos de seguridad, consulta Roles obligatorios.

Autorizaciones que requiere Security Command Center

Cuando activas Security Command Center, Google Cloud crea una cuenta de servicio que Security Command Center usa para la autenticación y autorización cuando se ejecuten análisis y procesamiento los registros del sistema operativo. Durante el proceso de activación, confirmas los permisos que se otorgan a la cuenta de servicio.

No quites ni modifiques esta cuenta de servicio, sus roles ni sus permisos.

Confirma la implementación de las prácticas recomendadas para la detección de criptominería

Puedes ver si tu organización implementa la mejor prácticas para detectar criptominería ejecutando una secuencia de comandos que verifique los metadatos de tu organización. La secuencia de comandos está disponible en GitHub.

Para revisar README y descargar la secuencia de comandos, consulta la siguiente información: Secuencia de comandos de validación de las prácticas recomendadas para la detección de criptominería de SCC.