Best Practices für die Erkennung von Kryptomining

Auf dieser Seite werden Best Practices zur Erkennung von Kryptomining-Angriffen (Cryptomining) auf virtuellen Compute Engine-Maschinen (VMs) in Ihrer Google Cloud-Umgebung erläutert.

Diese Best Practices dienen auch als Teilnahmevoraussetzungen für das Google Cloud Cryptomining Protection Program. Weitere Informationen zum Programm finden Sie in der Übersicht über das Cryptomining-Schutzprogramm in Security Command Center.

Premium-Stufe von Security Command Center für Ihre Organisation aktivieren

Die Premium-Stufe von Security Command Center (Security Command Center Premium) ist ein grundlegendes Element für die Erkennung von Kryptomining-Angriffen in Google Cloud.

Security Command Center Premium bietet zwei Erkennungsdienste, die für die Erkennung von Kryptomining-Angriffen entscheidend sind: Event Threat Detection und VM Threat Detection.

Da Kryptomining-Angriffe auf jeder VM in jedem Projekt in Ihrer Organisation auftreten können, ist die Aktivierung von Security Command Center Premium mit aktivierter Event Threat Detection und VM Threat Detection sowohl eine Best Practice als auch eine Voraussetzung für das Cryptomining Protection Program von Security Command Center.

Weitere Informationen finden Sie unter Security Command Center für eine Organisation aktivieren.

Dienste zur Erkennung wichtiger Bedrohungen in allen Projekten aktivieren

Aktivieren Sie die Dienste Event Threat Detection und VM Threat Detection von Security Command Center Premium für alle Projekte in Ihrer Organisation.

Gemeinsam erkennen Event Threat Detection und VM Threat Detection Ereignisse, die zu einem Kryptomining-Angriff (Phase-0-Ereignisse) führen können, und Ereignisse, die anzeigen, dass ein Angriff läuft (Phase-1-Ereignisse). Die spezifischen Ereignisse, die diese Erkennungsdienste erkennen, werden in den folgenden Abschnitten beschrieben.

Hier finden Sie weitere Informationen:

• Übersicht über Event Threat Detection
• Übersicht über VM Threat Detection

Ereigniserkennung für Phase-0 aktivieren

Phase-0-Ereignisse sind Ereignisse in Ihrer Umgebung, die häufigen Kryptomining-Angriffen häufig vorausgehen oder der erste Schritt sind.

Event Threat Detection ist ein in Security Command Center Premium verfügbarer Erkennungsdienst. Er sendet Ergebnisse, um Sie zu benachrichtigen, wenn bestimmte Ereignisse der Phase 0 erkannt werden.

Wenn Sie diese Probleme schnell erkennen und beheben können, können Sie viele Kryptomining-Angriffe verhindern, bevor erhebliche Kosten entstehen.

Event Threat Detection verwendet die folgenden Ergebniskategorien, um Sie auf diese Ereignisse aufmerksam zu machen:

• Account_Has_Leaked_Credentials: Ein Ergebnis in dieser Kategorie weist darauf hin, dass ein Dienstkontoschlüssel auf GitHub gestohlen wurde. Das Erwerben von Anmeldedaten für Dienstkonten ist ein gängiger Vorläufer von Kryptomining-Angriffen.
• Umgehung: Zugriff über den Anonymisierungs-Proxy: Ein Ergebnis in dieser Kategorie weist darauf hin, dass eine Änderung an einem Google Cloud-Dienst von einem anonymen Proxy stammt, z. B. von einem Tor-Exit-Knoten.
• Erster Zugriff: Aktion für inaktives Dienstkonto: Ein Ergebnis in dieser Kategorie weist darauf hin, dass ein inaktives Dienstkonto in Ihrer Umgebung Aktionen ausgeführt hat. Security Command Center nutzt Policy Intelligence, um ruhende Konten zu erkennen.

Ereigniserkennung für Phase 1 aktivieren

Phase-1-Ereignisse sind Ereignisse, die anzeigen, dass in Ihrer Google Cloud-Umgebung ein Kryptomining-Anwendungsprogramm ausgeführt wird.

Event Threat Detection und VM Threat Detection geben Security Command Center-Ergebnisse aus, um Sie zu benachrichtigen, wenn bestimmte Ereignisse der Phase 1 erkannt werden.

Prüfen und beheben Sie diese Ergebnisse sofort, um erhebliche Kosten zu vermeiden, die mit dem Ressourcenverbrauch von Kryptomining-Anwendungen verbunden sind.

Ein Ergebnis in einer der folgenden Kategorien weist darauf hin, dass eine Kryptomining-Anwendung auf einer VM in einem der Projekte in Ihrer Google Cloud-Umgebung ausgeführt wird:

• Ausführung: Cryptomining-YARA-Regel: Ergebnisse in dieser Kategorie weisen darauf hin, dass VM Threat Detection ein Speichermuster erkannt hat, z. B. eine Proof-of-Work-Konstante, die von einer Kryptomining-Anwendung verwendet wird.
• Ausführung: Cryptomining-Hash-Übereinstimmung: Ergebnisse in dieser Kategorie weisen darauf hin, dass VM Threat Detection einen Speicher-Hash erkannt hat, der von einer Kryptomining-Anwendung verwendet wird.
• Ausführung: Kombinierte Erkennung: Ergebnisse in dieser Kategorie weisen darauf hin, dass VM Threat Detection sowohl ein Speichermuster als auch einen Speicher-Hash erkannt hat, die von einer Kryptomining-Anwendung verwendet werden.
• Malware: Fehlerhafte IP-Adresse: Ergebnisse in dieser Kategorie weisen darauf hin, dass Event Threat Detection eine Verbindung zu einer IP-Adresse oder einen Lookup davon erkannt hat, die bekanntermaßen von Kryptomining-Anwendungen verwendet wird.
• Malware: Ungültige Domain: Ergebnisse in dieser Kategorie weisen darauf hin, dass Event Threat Detection eine Verbindung zu einer Domain oder einen Nachschlag zu einer Domain erkannt hat, die bekanntermaßen von Kryptomining-Anwendungen verwendet wird.

Cloud DNS-Logging aktivieren

Aktivieren Sie Cloud DNS Logging, um Aufrufe zu erkennen, die durch Kryptomining-Anwendungen an bekanntermaßen schädliche Domains erfolgen. Event Threat Detection verarbeitet die Cloud DNS-Logs und gibt Ergebnisse aus, wenn die Auflösung einer Domain erkannt wird, die bekanntermaßen für Kryptomining-Pools verwendet wird.

SIEM- und SOAR-Produkte in Security Command Center einbinden

Binden Sie Security Command Center in Ihre vorhandenen Tools für Sicherheitsvorgänge ein, z. B. Ihre SIEM- oder SOAR-Produkte, um die Security Command Center-Ergebnisse für Ereignisse der Phase 0 und 1, die auf potenzielle oder tatsächliche Kryptomining-Angriffe hinweisen, zu sortieren und darauf zu reagieren.

Wenn Ihr Sicherheitsteam kein SIEM- oder SOAR-Produkt verwendet, muss sich das Team mit der Arbeit mit Security Command Center-Ergebnissen in der Google Cloud Console vertraut machen und sich mit der Einrichtung von Ergebnisbenachrichtigungen und -exporten mithilfe von Pub/Sub oder den Security Command Center APIs vertraut machen, um Ergebnisse für Kryptomining-Angriffe effektiv weiterzuleiten.

Die spezifischen Ergebnisse, die Sie in Ihre Sicherheitstools exportieren müssen, finden Sie unter Wichtige Dienste zur Bedrohungserkennung in allen Projekten aktivieren.

Informationen zum Einbinden von SIEM- und SOAR-Produkten in Security Command Center finden Sie unter SIM- und SOAR-Integrationen einrichten.

Informationen zum Einrichten von Ergebnisbenachrichtigungen oder -exporten finden Sie in den folgenden Informationen:

• E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren
• Ergebnisbenachrichtigungen für Pub/Sub aktivieren

Wichtige Kontakte für Sicherheitsbenachrichtigungen festlegen

Damit Ihr Unternehmen so schnell wie möglich auf alle Sicherheitsbenachrichtigungen von Google reagieren kann, geben Sie für Google Cloud an, welche Teams in Ihrem Unternehmen, z. B. die IT- oder Betriebssicherheit, Sicherheitsbenachrichtigungen erhalten sollen. Wenn Sie ein Team angeben, geben Sie dessen E-Mail-Adresse in Wichtige Kontakte ein.

Um eine zuverlässige Zustellung dieser Benachrichtigungen im Laufe der Zeit zu gewährleisten, empfehlen wir Teams dringend, die Zustellung an eine Mailingliste, eine Gruppe oder einen anderen Mechanismus zu konfigurieren, der eine konsistente Zustellung und Verteilung an das zuständige Team in Ihrer Organisation gewährleistet. Wir empfehlen, die E-Mail-Adressen von Einzelpersonen nicht als wichtige Kontakte anzugeben, da die Kommunikation unterbrochen werden kann, wenn diese das Team wechseln oder das Unternehmen verlassen.

Nachdem Sie Ihre wichtigen Kontakte eingerichtet haben, sollten Sie dafür sorgen, dass der E-Mail-Posteingang von Ihren Sicherheitsteams kontinuierlich überwacht wird. Ein kontinuierliches Monitoring ist eine wichtige Best Practice, da Angreifer häufig Kryptomining-Angriffe starten, wenn sie erwarten, dass Sie weniger wachsam sein müssen, z. B. an Wochenenden, Feiertagen und nachts.

Das Festlegen Ihrer wichtigen Kontakte für die Sicherheit und das anschließende Überwachen der E-Mail-Adresse der wichtigsten Kontakte sind sowohl eine Best Practice als auch eine Voraussetzung des Kryptomining-Schutzprogramms in Security Command Center.

Erforderliche IAM-Berechtigungen verwalten

Ihre Sicherheitsteams und Security Command Center selbst benötigen eine Autorisierung, um auf Ressourcen in der Google Cloud-Umgebung zugreifen zu können. Die Authentifizierung und Autorisierung verwalten Sie mithilfe von Identity and Access Management (IAM).

Als Best Practice und im Fall von Security Command Center als grundlegende Anforderung müssen Sie die IAM-Rollen und -Berechtigungen, die für die Erkennung und Reaktion auf Kryptomining-Angriffe erforderlich sind, beibehalten oder beibehalten.

Allgemeine Informationen zu IAM in Google Cloud finden Sie in der IAM-Übersicht.

Von Ihren Sicherheitsteams erforderliche Autorisierungen

Damit sich Security Command Center-Ergebnisse ansehen und sofort auf einen Kryptomining-Angriff oder ein anderes Sicherheitsproblem in Google Cloud reagieren können, müssen die Google Cloud-Nutzerkonten Ihres Sicherheitspersonals im Voraus autorisiert werden, um auf die auftretenden Probleme reagieren, diese beheben und untersuchen zu können.

In Google Cloud können Sie die Authentifizierung und Autorisierung mithilfe von IAM-Rollen und -Berechtigungen verwalten.

Erforderliche Rollen für die Arbeit mit Security Command Center

Informationen zu den IAM-Rollen, die Nutzer für die Arbeit mit Security Command Center benötigen, finden Sie unter Zugriffssteuerung mit IAM.

Erforderliche Rollen für die Arbeit mit anderen Google Cloud-Diensten

Um einen Kryptomining-Angriff ordnungsgemäß zu untersuchen, benötigen Sie wahrscheinlich andere IAM-Rollen wie Compute Engine-Rollen, mit denen Sie die betroffene VM-Instanz und die auf ihr ausgeführten Anwendungen ansehen und verwalten können.

Je nachdem, wohin die Untersuchung eines Angriffs führt, benötigen Sie möglicherweise auch andere Rollen, z. B. Compute Engine-Netzwerkrollen oder Cloud Logging-Rollen.

Sie benötigen außerdem die entsprechenden IAM-Berechtigungen zum Erstellen und Verwalten Ihrer wichtigen Kontakte aus Sicherheitsgründen. Informationen zu den IAM-Rollen, die zum Verwalten von Sicherheitskontakten erforderlich sind, finden Sie unter Erforderliche Rollen.

Für Security Command Center erforderliche Autorisierungen

Wenn Sie Security Command Center aktivieren, erstellt Google Cloud automatisch ein Dienstkonto, das Security Command Center beim Ausführen von Scans und Verarbeiten von Logs zur Authentifizierung und Autorisierung verwendet. Während des Aktivierungsprozesses bestätigen Sie die Berechtigungen, die dem Dienstkonto gewährt werden.

Entfernen oder ändern Sie dieses Dienstkonto und seine Rollen oder Berechtigungen nicht.

Implementierung der Best Practices zur Cryptomining-Erkennung bestätigen

Sie können feststellen, ob Ihre Organisation die Best Practices für die Erkennung von Kryptomining umsetzt, indem Sie ein Skript ausführen, das die Metadaten Ihrer Organisation prüft. Das Skript ist auf GitHub verfügbar.

Informationen zum Prüfen des README und zum Herunterladen des Skripts finden Sie unter Validierungsskript: Best Practices zur Erkennung von SCC-Kryptomining-Erkennung.