Halaman ini menjelaskan praktik terbaik untuk mendeteksi serangan penambangan mata uang kripto (penambangan kripto) pada mesin virtual (VM) Compute Engine di lingkungan Google Cloud Anda.
Praktik terbaik ini juga berfungsi sebagai persyaratan kelayakan untuk Program Perlindungan terhadap Penambangan Kripto Google Cloud. Untuk mengetahui informasi selengkapnya tentang program ini, lihat Ringkasan Program Perlindungan terhadap Penambangan Kripto di Security Command Center.
Aktifkan paket Premium Security Command Center untuk organisasi Anda
Paket Premium Security Command Center (Security Command Center Premium) adalah elemen dasar dalam mendeteksi serangan penambangan kripto di Google Cloud.
Security Command Center Premium menyediakan dua layanan deteksi yang sangat penting untuk mendeteksi serangan cryptomining: Event Threat Detection dan VM Threat Detection.
Karena serangan cryptomining dapat terjadi pada VM apa pun di project apa pun dalam organisasi Anda, mengaktifkan Security Command Center Premium untuk seluruh organisasi Anda dengan Event Threat Detection dan VM Threat Detection aktif adalah praktik terbaik dan persyaratan dari Security Command Center Cryptomining Protection Program.
Untuk informasi selengkapnya, lihat Mengaktifkan Security Command Center untuk organisasi.
Aktifkan layanan deteksi ancaman utama di semua project
Aktifkan layanan Deteksi Ancaman Peristiwa dan Deteksi Ancaman VM dari Security Command Center Premium pada semua project di organisasi Anda.
Event Threat Detection dan VM Threat Detection bersama-sama mendeteksi peristiwa yang dapat menyebabkan serangan cryptomining (peristiwa tahap 0) dan peristiwa yang menunjukkan serangan sedang berlangsung (peristiwa tahap 1). Peristiwa spesifik yang dideteksi layanan deteksi ini dijelaskan di bagian berikut.
Untuk informasi selengkapnya, lihat referensi berikut:
Aktifkan deteksi peristiwa tahap 0
Peristiwa tahap 0 adalah peristiwa di lingkungan Anda yang sering terjadi sebelum, atau merupakan langkah pertama dari, serangan penambangan kripto yang umum.
Event Threat Detection, sebuah layanan deteksi yang tersedia dengan Security Command Center Premium, mengeluarkan temuan untuk memberi tahu Anda saat mendeteksi peristiwa tahap 0 tertentu.
Jika dapat mendeteksi dan menyelesaikan masalah ini dengan cepat, Anda dapat mencegah banyaknya serangan cryptomining sebelum menimbulkan biaya yang signifikan.
Event Threat Detection menggunakan kategori temuan berikut untuk memberi tahu Anda tentang peristiwa berikut:
- Account_Has_Leaked_Credentials: Temuan dalam kategori ini menunjukkan bahwa kunci akun layanan bocor di GitHub. Memperoleh kredensial akun layanan adalah pendahuluan umum serangan {i>cryptomining<i}.
- Evasion: Akses dari Anonymizing Proxy: Temuan dalam kategori ini menunjukkan bahwa modifikasi pada layanan Google Cloud berasal dari proxy anonim, seperti node keluar Tor.
- Akses Awal: Tindakan Akun Layanan Dorman: Temuan dalam kategori ini menunjukkan bahwa akun layanan dorman mengambil tindakan di lingkungan Anda. Security Command Center menggunakan Policy Intelligence untuk mendeteksi akun dorman.
Aktifkan deteksi peristiwa tahap-1
Peristiwa Stage-1 adalah peristiwa yang menunjukkan bahwa program aplikasi cryptomining sedang berjalan di lingkungan Google Cloud Anda.
Event Threat Detection dan VM Threat Detection memunculkan temuan Security Command Center untuk memberi tahu Anda saat mendeteksi peristiwa tahap 1 tertentu.
Selidiki dan perbaiki temuan ini segera untuk menghindari timbulnya biaya signifikan yang terkait dengan konsumsi resource aplikasi penambangan kripto.
Temuan dalam salah satu kategori berikut menunjukkan bahwa aplikasi cryptomining berjalan pada VM di salah satu project di lingkungan Google Cloud Anda:
- Eksekusi: Aturan Cryptomining YARA: Temuan dalam kategori ini menunjukkan bahwa Deteksi Ancaman VM mendeteksi pola memori, seperti konstanta bukti kerja, yang digunakan oleh aplikasi cryptomining.
- Eksekusi: Cryptomining Hash Match: Temuan dalam kategori ini menunjukkan bahwa VM Threat Detection mendeteksi hash memori yang digunakan oleh aplikasi cryptomining.
- Execution: Gabungan Deteksi: Temuan dalam kategori ini menunjukkan bahwa VM Threat Detection mendeteksi pola memori dan hash memori yang digunakan oleh aplikasi cryptomining.
- Malware: IP Buruk: Temuan dalam kategori ini menunjukkan bahwa Event Threat Detection mendeteksi koneksi ke, atau pencarian, alamat IP yang diketahui digunakan oleh aplikasi cryptomining.
- Malware: Domain Buruk: Temuan dalam kategori ini menunjukkan bahwa Deteksi Ancaman Peristiwa mendeteksi koneksi ke, atau pencarian, domain yang diketahui digunakan oleh aplikasi cryptomining.
Aktifkan logging Cloud DNS
Untuk mendeteksi panggilan yang dilakukan oleh aplikasi cryptomining ke domain buruk yang diketahui, aktifkan Cloud DNS Logging. Event Threat Detection memproses log Cloud DNS dan mengeluarkan temuan saat mendeteksi penyelesaian domain yang diketahui digunakan untuk kumpulan cryptomining.
Integrasikan produk SIEM dan SOAR Anda dengan Security Command Center
Integrasikan Security Command Center dengan alat operasi keamanan Anda yang sudah ada, seperti produk SIEM atau SOAR, untuk menentukan prioritas dan merespons temuan Security Command Center untuk peristiwa tahap 0 dan tahap 1 yang menunjukkan serangan cryptomining potensial atau sebenarnya.
Jika tidak menggunakan produk SIEM atau SOAR, tim keamanan perlu membiasakan diri dengan penggunaan temuan Security Command Center di Konsol Google Cloud serta cara menyiapkan penemuan notifikasi dan ekspor menggunakan Pub/Sub atau Security Command Center API untuk mengarahkan temuan serangan cryptomining secara efektif.
Untuk temuan khusus yang perlu diekspor ke alat operasi keamanan, lihat Mengaktifkan layanan deteksi ancaman utama di semua project.
Untuk informasi cara mengintegrasikan produk SIEM dan SOAR dengan Security Command Center, lihat Menyiapkan integrasi SIEM dan SOAR.
Untuk mengetahui informasi tentang cara menyiapkan notifikasi atau ekspor temuan, lihat informasi berikut:
- Mengaktifkan notifikasi email dan chat secara real-time
- Mengaktifkan notifikasi temuan untuk Pub/Sub
Tetapkan kontak penting Anda untuk notifikasi keamanan
Agar perusahaan Anda dapat merespons notifikasi keamanan dari Google secepat mungkin, tentukan tim mana di perusahaan Anda, seperti keamanan IT atau keamanan operasi, yang harus menerima notifikasi keamanan. Saat menentukan tim, Anda memasukkan alamat emailnya di Kontak Penting.
Untuk memastikan pengiriman notifikasi yang andal dari waktu ke waktu, kami sangat menganjurkan tim untuk mengonfigurasi pengiriman ke milis, grup, atau mekanisme lain yang memastikan konsistensi pengiriman dan distribusi kepada tim yang bertanggung jawab di organisasi Anda. Sebaiknya Anda tidak menentukan alamat email individu sebagai kontak penting karena komunikasi dapat terganggu jika orang tersebut berganti tim atau keluar dari perusahaan.
Setelah menyiapkan kontak penting, pastikan kotak masuk email dipantau oleh tim keamanan Anda secara terus-menerus. Pemantauan berkelanjutan adalah praktik terbaik yang penting, karena musuh sering memulai serangan kriptomining saat mereka mengharapkan Anda untuk kurang waspada, seperti pada akhir pekan, hari libur, dan pada malam hari.
Menetapkan kontak penting Anda untuk keamanan, lalu memantau alamat email kontak penting adalah praktik terbaik dan persyaratan Program Perlindungan terhadap Penambangan Kripto Security Command Center.
Mempertahankan izin IAM yang diperlukan
Tim keamanan Anda, dan Security Command Center sendiri, memerlukan otorisasi untuk mengakses resource di lingkungan Google Cloud. Anda mengelola autentikasi dan otorisasi menggunakan Identity and Access Management (IAM).
Sebagai praktik terbaik dan, dalam kasus Security Command Center, persyaratan dasar, Anda perlu mempertahankan atau mempertahankan peran dan izin IAM yang diperlukan untuk mendeteksi dan merespons serangan cryptomining.
Untuk mengetahui informasi umum tentang IAM di Google Cloud, baca Ringkasan IAM.
Otorisasi yang diperlukan oleh tim keamanan Anda
Agar dapat melihat temuan Security Command Center dan segera merespons serangan cryptomining atau masalah keamanan lainnya di Google Cloud, akun pengguna Google Cloud staf keamanan Anda harus diotorisasi terlebih dahulu untuk merespons, memperbaiki, dan menyelidiki masalah yang mungkin muncul.
Di Google Cloud, Anda dapat mengelola autentikasi dan otorisasi menggunakan peran dan izin IAM.
Peran yang diperlukan agar dapat menggunakan Security Command Center
Untuk mengetahui informasi tentang peran IAM yang diperlukan pengguna untuk menggunakan Security Command Center, lihat Kontrol akses dengan IAM.
Peran yang diperlukan untuk bekerja dengan layanan Google Cloud lainnya
Untuk menyelidiki serangan cryptomining dengan tepat, Anda mungkin memerlukan peran IAM lainnya, seperti peran Compute Engine yang memungkinkan Anda melihat dan mengelola instance VM yang terpengaruh dan aplikasi yang berjalan di sana.
Bergantung pada lokasi penyelidikan serangan, Anda mungkin juga memerlukan peran lain, seperti peran jaringan Compute Engine atau peran Cloud Logging.
Anda juga memerlukan izin IAM yang tepat untuk membuat dan mengelola Kontak Penting demi keamanan. Untuk mengetahui informasi tentang peran IAM yang diperlukan untuk mengelola kontak keamanan, lihat Peran yang diperlukan.
Otorisasi yang diperlukan oleh Security Command Center
Saat Anda mengaktifkan Security Command Center, Google Cloud akan otomatis membuat akun layanan yang digunakan Security Command Center untuk autentikasi dan otorisasi saat menjalankan pemindaian dan memproses log. Selama proses aktivasi, Anda mengonfirmasi izin yang diberikan ke akun layanan.
Jangan menghapus atau mengubah akun layanan ini, perannya, atau izinnya.
Mengonfirmasi penerapan praktik terbaik deteksi cryptomining
Anda dapat melihat apakah organisasi Anda menerapkan praktik terbaik untuk mendeteksi cryptomining dengan menjalankan skrip yang memeriksa metadata organisasi Anda. Skrip ini tersedia di GitHub.
Untuk meninjau README dan mendownload skrip, lihat
Skrip validasi praktik terbaik deteksi cryptomining SCC.