Cette page présente les bonnes pratiques à suivre pour détecter les attaques de minage de cryptomonnaie (minage de cryptomonnaie) sur les machines virtuelles (VM) Compute Engine dans votre environnement Google Cloud.
Ces bonnes pratiques constituent également les critères d'éligibilité pour le programme de protection contre le minage de cryptomonnaie de Google Cloud. Pour en savoir plus sur ce programme, consultez la présentation du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Activer le niveau Premium ou Enterprise de Security Command Center pour votre organisation
L'activation du niveau Premium ou Enterprise de Security Command Center est un élément fondamental de la détection des attaques de minage de cryptomonnaie sur Google Cloud.
Deux services de détection des menaces des niveaux Premium et Enterprise sont essentiels pour détecter les attaques de minage de cryptomonnaie: Event Threat Detection et VM Threat Detection.
Étant donné que les attaques de minage de cryptomonnaie peuvent se produire sur n'importe quelle VM de n'importe quel projet de votre organisation, l'activation de Security Command Center Premium ou Enterprise pour l'ensemble de votre organisation avec Event Threat Detection et VM Threat Detection est une bonne pratique et une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Pour en savoir plus, consultez Présentation de l'activation de Security Command Center.
Activer les principaux services de détection des menaces sur tous les projets
Activez les services de détection d'Event Threat Detection et de VM Threat Detection de Security Command Center sur tous les projets de votre organisation.
Ensemble, Event Threat Detection et VM Threat Detection détectent les événements qui peuvent entraîner une attaque de minage de cryptomonnaie (événements de phase 0) et ceux indiquant qu'une attaque est en cours (événements de la phase 1). Les événements spécifiques détectés par ces services de détection sont décrits dans les sections suivantes.
Pour en savoir plus, consultez les ressources suivantes :
Activer la détection d'événements de l'étape 0
Les événements de phase 0 sont des événements dans votre environnement qui précèdent souvent ou constituent la première étape des attaques courantes de minage de cryptomonnaie.
Event Threat Detection, un service de détection disponible avec Security Command Center Premium ou Enterprise, émet des résultats pour vous alerter lorsqu'il détecte certains événements de niveau 0.
En détectant et en corrigeant rapidement ces problèmes, vous pouvez empêcher de nombreuses attaques de minage de cryptomonnaie avant d'engager des coûts importants.
Event Threat Detection utilise les catégories de résultats suivantes pour vous alerter de ces événements:
- Account_Has_Leaked_Credentials : un résultat dans cette catégorie indique qu'une clé de compte de service a été divulguée sur GitHub. L'obtention d'identifiants de compte de service est un précurseur courant du minage de cryptomonnaie.
- Evasion: accès à partir d'un proxy d'anonymisation : un résultat de cette catégorie indique qu'une modification apportée à un service Google Cloud provient d'un proxy anonyme, tel qu'un nœud de sortie Tor.
- Accès initial: action de compte de service inactif : un résultat dans cette catégorie indique qu'un compte de service inactif a effectué une action dans votre environnement. Security Command Center détecte les comptes dormants à l'aide de Policy Intelligence.
Activer la détection des événements de l'étape 1
Les événements de l'étape 1 indiquent qu'un programme d'application de minage de cryptomonnaie est en cours d'exécution dans votre environnement Google Cloud.
Event Threat Detection et VM Threat Detection émettent tous deux des résultats de Security Command Center pour vous alerter lorsqu'ils détectent certains événements de l'étape 1.
Examinez ces résultats et corrigez-les immédiatement pour éviter les coûts importants associés à la consommation des ressources des applications de minage de cryptomonnaie.
Un résultat appartenant à l'une des catégories suivantes indique qu'une application de minage de cryptomonnaie est en cours d'exécution sur une VM dans l'un des projets de votre environnement Google Cloud:
- Exécution: règle YARA de minage de cryptomonnaie : les résultats de cette catégorie indiquent que VM Threat Detection a détecté un schéma de mémoire, tel qu'une constante de preuve de travail, utilisé par une application de minage de cryptomonnaie.
- Exécution: correspondance de hachage de minage de cryptomonnaie : les résultats de cette catégorie indiquent que VM Threat Detection a détecté un hachage de mémoire utilisé par une application de minage de cryptomonnaie.
- Exécution: détection combinée : les résultats de cette catégorie indiquent que VM Threat Detection a détecté à la fois un modèle de mémoire et un hachage de mémoire utilisés par une application de minage de cryptomonnaie.
- Logiciel malveillant: adresse IP incorrecte : les résultats de cette catégorie indiquent qu'Event Threat Detection a détecté une connexion à une adresse IP connue pour être utilisée par des applications de minage de cryptomonnaie, ou une recherche de cette adresse.
- Logiciel malveillant: domaine incorrect : les résultats de cette catégorie indiquent qu'Event Threat Detection a détecté une connexion à un domaine connu pour être utilisé par des applications de minage de cryptomonnaie, ou une recherche de ce domaine.
Activer la journalisation Cloud DNS
Pour détecter les appels effectués par des applications de minage de cryptomonnaie à des domaines malveillants connus, activez la journalisation Cloud DNS. Event Threat Detection traite les journaux Cloud DNS et émet des résultats lorsqu'il détecte la résolution d'un domaine connu pour être utilisé pour les pools de minage de cryptomonnaie.
Intégrez vos produits SIEM et SOAR à Security Command Center
Intégrez Security Command Center à vos outils d'opérations de sécurité existants, tels que vos produits SIEM ou SOAR, afin de trier les résultats de Security Command Center pour les événements de phase 0 et 1 qui indiquent des attaques de minage de cryptomonnaie potentielles ou réelles, et d'y répondre.
Si votre équipe de sécurité n'utilise pas de produit SIEM ni SOAR, elle doit se familiariser avec l'utilisation des résultats de Security Command Center dans la console Google Cloud, et apprendre à configurer les notifications et les exportations de résultats à l'aide de Pub/Sub ou des API Security Command Center pour acheminer efficacement les résultats des attaques de minage de cryptomonnaie.
Pour connaître les résultats spécifiques que vous devez exporter vers vos outils de gestion des opérations de sécurité, consultez la section Activer les principaux services de détection des menaces sur tous les projets.
Pour en savoir plus sur l'intégration des produits SIEM et SOAR à Security Command Center, consultez la page Configurer des intégrations SIEM et SOAR.
Pour en savoir plus sur la configuration des notifications ou des exportations de résultats, consultez les informations suivantes:
- Activer les notifications par e-mail et par chat en temps réel
- Activer les notifications de résultats pour Pub/Sub
Désigner vos contacts essentiels pour les notifications de sécurité
Pour que votre entreprise puisse répondre le plus rapidement possible aux notifications de sécurité de Google, indiquez à Google Cloud les équipes de votre entreprise (sécurité informatique ou sécurité des opérations, par exemple) qui doivent recevoir ces notifications. Lorsque vous spécifiez une équipe, vous saisissez son adresse e-mail dans Contacts essentiels.
Pour garantir une distribution fiable de ces notifications au fil du temps, nous encourageons vivement les équipes à configurer leur distribution à une liste de diffusion, un groupe ou tout autre mécanisme garantissant une distribution et une distribution cohérentes à l'équipe responsable de votre organisation. Nous vous recommandons de ne pas spécifier les adresses e-mail des individus en tant que contacts essentiels, car la communication peut être interrompue si ces personnes changent d'équipe ou quittent l'entreprise.
Après avoir configuré vos contacts essentiels, assurez-vous que vos équipes de sécurité surveillent en permanence la boîte de réception des e-mails. Une surveillance continue est une bonne pratique essentielle, car les pirates informatiques lancent souvent des attaques de minage de cryptomonnaie lorsqu'ils s'attendent à ce que vous soyez moins vigilant, par exemple les week-ends, les jours fériés et la nuit.
Désigner vos contacts essentiels à des fins de sécurité, puis surveiller leur adresse e-mail est une bonne pratique et une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Gérer les autorisations IAM requises
Vos équipes de sécurité et Security Command Center lui-même ont besoin d'une autorisation pour accéder aux ressources de l'environnement Google Cloud. Vous gérez l'authentification et les autorisations à l'aide d'Identity and Access Management (IAM).
Selon les bonnes pratiques et, dans le cas de Security Command Center, une exigence de base, vous devez gérer ou conserver les rôles et autorisations IAM requis pour détecter et contrer les attaques de minage de cryptomonnaie.
Pour obtenir des informations générales concernant IAM sur Google Cloud, consultez la présentation d'IAM.
Autorisations requises par vos équipes de sécurité
Pour pouvoir afficher les résultats de Security Command Center et réagir immédiatement à une attaque de minage de cryptomonnaie ou à tout autre problème de sécurité sur Google Cloud, les comptes utilisateur Google Cloud de votre personnel de sécurité doivent être autorisés à l'avance pour répondre, corriger et analyser les problèmes qui peuvent survenir.
Sur Google Cloud, vous pouvez gérer l'authentification et les autorisations à l'aide de rôles et d'autorisations IAM.
Rôles requis pour utiliser Security Command Center
Pour en savoir plus sur les rôles IAM dont les utilisateurs ont besoin pour travailler avec Security Command Center, consultez la page Contrôle des accès avec IAM.
Rôles requis pour utiliser d'autres services Google Cloud
Pour enquêter correctement sur une attaque de minage de cryptomonnaie, vous aurez probablement besoin d'autres rôles IAM, tels que les rôles Compute Engine, qui vous permettent d'afficher et de gérer l'instance de VM concernée et les applications qui y sont exécutées.
Selon l'emplacement où l'investigation d'une attaque mène, vous aurez peut-être également besoin d'autres rôles, tels que les rôles réseau Compute Engine ou les rôles Cloud Logging.
Vous devez également disposer des autorisations IAM appropriées pour créer et gérer vos contacts essentiels à des fins de sécurité. Pour en savoir plus sur les rôles IAM requis pour gérer les contacts de sécurité, consultez la section Rôles requis.
Autorisations requises par Security Command Center
Lorsque vous activez Security Command Center, Google Cloud crée automatiquement un compte de service que Security Command Center utilise pour l'authentification et l'autorisation lors de l'exécution d'analyses et du traitement des journaux. Au cours du processus d'activation, vous confirmez les autorisations accordées au compte de service.
Veillez à ne pas supprimer ni modifier ce compte de service, ses rôles ou ses autorisations.
Confirmer la mise en œuvre des bonnes pratiques de détection du minage de cryptomonnaie
Vous pouvez voir si votre organisation applique les bonnes pratiques de détection du minage de cryptomonnaie en exécutant un script qui vérifie les métadonnées de votre organisation. Le script est disponible sur GitHub.
Pour examiner README et télécharger le script, consultez la page Script de validation des bonnes pratiques de détection du minage de cryptomonnaie SCC.