Bonnes pratiques concernant la détection du minage de cryptomonnaie

Cette page explique les bonnes pratiques à suivre pour détecter les attaques de minage de cryptomonnaie sur les machines virtuelles (VM) Compute Engine dans votre environnement Google Cloud.

Ces bonnes pratiques constituent également les critères d'éligibilité pour Programme de protection contre le minage de cryptomonnaie de Google Cloud. Pour en savoir plus sur le programme, consultez Security Command Center Présentation du programme de protection contre le minage de cryptomonnaie

Activer le niveau Premium ou Enterprise de Security Command Center pour votre organisation

L'activation du niveau Premium ou Enterprise de Security Command Center est essentiel pour détecter les attaques de minage de cryptomonnaie Google Cloud.

Deux services de détection des menaces des niveaux Premium et Enterprise sont essentiels pour détecter les attaques de minage de cryptomonnaies : Event Threat Detection et VM Threat Detection.

Étant donné que les attaques de minage de cryptomonnaie peuvent se produire sur n'importe quelle VM de n'importe quel projet de votre organisation, activer Security Command Center Premium ou Enterprise pour l'ensemble de votre organisation avec Event Threat Detection et VM Threat Detection activés est à la fois une bonne pratique et une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.

Pour en savoir plus, consultez la section Présentation de l'activation de Security Command Center.

Activer les principaux services de détection des menaces sur tous les projets

Activer les services Event Threat Detection et VM Threat Detection de Security Command Center sur tous les projets de votre organisation.

Ensemble, Event Threat Detection et VM Threat Detection détectent les événements pouvant mener à une attaque de minage de cryptomonnaie (événements de phase 0) et les événements qui indiquent qu'une attaque est en cours (événements de phase 1). Les événements spécifiques détectés par ces services de détection sont décrits dans les sections suivantes.

Pour en savoir plus, consultez les ressources suivantes :

Activer la détection d'événements de l'étape 0

Les événements de l'étape 0 se produisent dans votre environnement, qui précèdent souvent la première étape des attaques courantes de minage de cryptomonnaie.

Event Threat Detection, un service de détection disponible avec Security Command Center Premium ou Enterprise, émet des résultats pour vous alerter lorsqu'il détecte certains événements de l'étape 0.

Si vous pouvez détecter et résoudre ces problèmes rapidement, vous pouvez empêcher de nombreuses attaques de minage de cryptomonnaie avant d’engendrer des coûts importants.

Event Threat Detection utilise les catégories de résultats suivantes pour vous alerter de ces événements :

  • Account_Has_Leaked_Credentials: Un résultat dans cette catégorie indique qu'une clé de compte de service a été divulguées sur GitHub. L'obtention d'identifiants de compte de service précurseurs des attaques de minage de cryptomonnaie.
  • Fuite : accès depuis un proxy d'anonymisation : un résultat de cette catégorie indique qu'une modification apportée à un service Google Cloud provient d'un proxy anonyme, tel qu'un nœud de sortie Tor.
  • Accès initial : action sur un compte de service inactif : un résultat de cette catégorie indique qu'un compte de service inactif a effectué une action dans votre environnement. Security Command Center utilise l'intelligence des règles pour détecter les comptes dormants.

Activer la détection d'événements de l'étape 1

Les événements de l'étape 1 indiquent qu'une application de minage de cryptomonnaie s'exécute dans votre environnement Google Cloud.

Event Threat Detection et VM Threat Detection présentent tous deux des problèmes liés à Security Command Center pour vous alerter lorsqu'ils détectent certains événements de phase 1.

Examinez et corrigez immédiatement ces résultats pour éviter de subir des coûts importants associés à la consommation de ressources des applications de minage de cryptomonnaies.

Un résultat dans l'une des catégories suivantes indique qu'une application de minage de cryptomonnaies s'exécute sur une VM dans l'un des projets de votre environnement Google Cloud :

  • Exécution : règle YARA de minage de cryptomonnaie : les résultats de cette catégorie indiquent que VM Threat Detection a détecté un modèle de mémoire, tel qu'une constante de preuve de travail, utilisé par une application de minage de cryptomonnaie.
  • Execution: Cryptomining Hash Match (Exécution : Cryptomining Hash Match) : Les résultats de cette catégorie indiquent que VM Threat Detection a été détectée un hachage de mémoire qui est utilisé par une application de minage de cryptomonnaie.
  • Exécution: détection combinée: Les résultats de cette catégorie indiquent que VM Threat Detection a été détectée à la fois un schéma de mémoire et un hachage de mémoire qui sont utilisés par une opération de minage de cryptomonnaie application.
  • Logiciels malveillants : adresse IP incorrecte : les résultats de cette catégorie indiquent qu'Event Threat Detection a détecté une connexion à ou une recherche d'une adresse IP connue pour être utilisée par des applications de minage de cryptomonnaie.
  • Logiciel malveillant: domaine incorrect: Les résultats de cette catégorie indiquent qu'Event Threat Detection a été détecté une connexion à un domaine connu pour être utilisé par les applications de minage de cryptomonnaie.

Activer la journalisation Cloud DNS

Pour détecter les appels effectués par les applications de minage de cryptomonnaie vers des domaines incorrects connus, activez la journalisation Cloud DNS. Event Threat Detection traite Cloud DNS consigne les journaux et génère des résultats lorsqu'il détecte la résolution d'un problème connu pour être utilisé pour les pools de minage de cryptomonnaie.

Intégrez vos produits SIEM et SOAR à Security Command Center

Intégrez Security Command Center à vos outils d'opérations de sécurité existants, tels que vos produits SIEM ou SOAR, pour trier et répondre aux résultats de Security Command Center pour les événements de stade 0 et de stade 1 qui indiquent des attaques de minage de cryptomonnaie potentielles ou réelles.

Si votre équipe de sécurité n'utilise pas de produit SIEM ou SOAR, elle doit se familiariser avec l'utilisation des résultats de Security Command Center dans la console Google Cloud, et apprendre à configurer les notifications et les exportations de résultats à l'aide de Pub/Sub ou des API Security Command Center pour router efficacement les résultats des attaques de cryptominage.

Pour connaître les résultats spécifiques que vous devez exporter vers vos outils d'opérations de sécurité, consultez la section Activer les principaux services de détection des menaces sur tous les projets.

Pour savoir comment intégrer des produits SIEM et SOAR à Security Command Center, consultez la section Configurer des intégrations SIEM et SOAR.

Pour en savoir plus sur la configuration des notifications ou des exportations de résultats, consultez les les informations suivantes:

Désigner vos contacts essentiels pour les notifications de sécurité

Pour que votre entreprise puisse répondre aussi rapidement que possible à toutes les notifications de sécurité de Google, indiquez à Google Cloud les équipes de votre entreprise, telles que la sécurité informatique ou la sécurité des opérations, qui doivent recevoir les notifications de sécurité. Lorsque vous spécifiez une équipe, vous saisissez son adresse e-mail dans Contacts essentiels.

Pour garantir une diffusion fiable de ces notifications au fil du temps, nous d'encourager les équipes à configurer l'envoi à une liste de diffusion, un groupe ou tout autre mécanisme qui assure la cohérence de la livraison et de la distribution à l'équipe responsable de votre organisation. Nous vous recommandons de ne pas spécifier les adresses e-mail des personnes en tant que contacts essentiels, car la communication peut être interrompue si les personnes changent d'équipe ou quittent l'entreprise.

Après avoir configuré vos contacts essentiels, assurez-vous que la boîte de réception sont surveillés en permanence par vos équipes de sécurité. Surveillance continue est une bonne pratique essentielle, car les attaquants les attaques de minage de cryptomonnaie lorsqu'elles attendent de vous que vous soyez moins vigilant, le week-end, les jours fériés et la nuit.

Il est recommandé de désigner des contacts essentiels pour la sécurité, puis de surveiller leur adresse e-mail. C'est également une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.

Gérer les autorisations IAM requises

Vos équipes de sécurité et Security Command Center lui-même nécessitent une autorisation pour accéder aux ressources de l'environnement Google Cloud. Vous gérez l'authentification et l'autorisation à l'aide d'Identity and Access Management (IAM).

Il est recommandé et, dans le cas de Security Command Center, vous devez maintenir ou préserver rôles et autorisations nécessaires pour détecter le minage de cryptomonnaie et y répondre contre les attaques.

Pour obtenir des informations générales sur IAM dans Google Cloud, consultez la page Présentation d'IAM.

Autorisations requises par vos équipes de sécurité

Pour pouvoir consulter les résultats de Security Command Center et répondre immédiatement à une attaque de minage de cryptomonnaie ou à tout autre problème de sécurité sur Google Cloud, les comptes utilisateur Google Cloud de votre personnel de sécurité doivent être autorisés à l'avance à répondre aux problèmes qui peuvent survenir, à les résoudre et à les examiner.

Sur Google Cloud, vous pouvez gérer l'authentification et l'autorisation à l'aide de rôles et d'autorisations IAM.

Rôles requis pour utiliser Security Command Center

Pour en savoir plus sur les rôles IAM dont les utilisateurs ont besoin utiliser Security Command Center, consultez Contrôle des accès avec IAM

Rôles requis pour travailler avec d'autres services Google Cloud

Pour enquêter correctement sur une attaque de minage de cryptomonnaie, vous aurez probablement besoin d'autres rôles IAM, tels que Rôles Compute Engine permettant d'afficher et de gérer l'instance de VM concernée et la des applications qui s'y exécutent.

En fonction de l'enquête sur une attaque, vous devrez peut-être également disposer d'autres rôles, tels que les rôles réseau Compute Engine ou les rôles Cloud Logging.

Vous devez également disposer des autorisations IAM appropriées pour créer gérer vos contacts essentiels pour des raisons de sécurité. Pour plus d'informations sur les rôles IAM requis gérer les contacts de sécurité, consultez la section Rôles requis.

Autorisations requises par Security Command Center

Lorsque vous activez Security Command Center, Google Cloud crée automatiquement un compte de service que Security Command Center utilise pour l'authentification et l'autorisation lors de l'exécution d'analyses et du traitement des journaux. Au cours du processus d'activation, vous confirmez les autorisations accordées au compte de service.

Ne supprimez pas ce compte de service, ses rôles ni ses autorisations, et ne les modifiez pas.

Vérifier l'implémentation des bonnes pratiques de détection du minage de cryptomonnaie

Vous pouvez déterminer si votre organisation implémente les meilleurs pour détecter le minage de cryptomonnaie, en exécutant un script qui vérifie les métadonnées de votre organisation. Le script est disponible sur GitHub.

Pour examiner le README et télécharger le script, consultez Script de validation des bonnes pratiques de détection du minage de cryptomonnaie SCC.