Prácticas recomendadas para la detección de criptominería

En esta página, se explican las prácticas recomendadas para detectar ataques de minería de criptomonedas (criptominería) en máquinas virtuales (VM) de Compute Engine en tu entorno de Google Cloud.

Estas prácticas recomendadas también sirven como requisitos de elegibilidad para el Programa de protección de criptominería de Google Cloud. Para obtener más información sobre el programa, consulta la Descripción general del Programa de protección de criptominería de Security Command Center.

Activa el nivel Premium o Enterprise de Security Command Center para tu organización

La activación de los niveles Premium o Enterprise de Security Command Center es un elemento fundamental para detectar ataques de criptominería en Google Cloud.

Dos servicios de detección de amenazas de los niveles Premium y Enterprise son fundamentales para detectar ataques de criptominería: Event Threat Detection y VM Threat Detection.

Debido a que los ataques de criptominería pueden ocurrir en cualquier VM de cualquier proyecto dentro de la organización, activar Security Command Center Premium o Enterprise para toda la organización con Event Threat Detection y VM Threat Detection habilitados es una práctica recomendada y un requisito del Programa de protección contra criptominería de Security Command Center.

Para obtener más información, consulta Descripción general de la activación de Security Command Center.

Habilitar los servicios clave de detección de amenazas en todos los proyectos

Habilita los servicios de detección de eventos de amenazas y detección de amenazas de VM de Security Command Center en todos los proyectos de tu organización.

En conjunto, Event Threat Detection y VM Threat Detection detectan eventos que pueden provocar un ataque de criptominería (eventos de etapa 0) y eventos que indican que un ataque está en curso (eventos de etapa 1). Los eventos específicos que detectan estos servicios de detección se describen en las siguientes secciones.

Para obtener más información, consulta lo siguiente:

• Descripción general de Event Threat Detection
• Descripción general de VM Threat Detection

Habilitar la detección de eventos en la etapa 0

Los eventos de etapa 0 son eventos en tu entorno que a menudo preceden o son el primer paso de ataques de criptominería comunes.

Event Threat Detection, un servicio de detección disponible con Security Command Center Premium o Enterprise, emite hallazgos para alertarte cuando detecta ciertos eventos en etapa 0.

Si puedes detectar y solucionar estos problemas con rapidez, puedes evitar muchos ataques de criptominería antes de que incurras en costos significativos.

Event Threat Detection usa las siguientes categorías de hallazgos para alertarte sobre estos eventos:

• Account_Has_Leaked_Credentials: Un hallazgo en esta categoría indica que se filtró una clave de cuenta de servicio en GitHub. Adquirir credenciales de cuentas de servicio es un precurso común de los ataques de criptominería.
• Evasión: Acceso desde el proxy de anonimización: Un hallazgo en esta categoría indica que una modificación en un servicio de Google Cloud se originó desde un proxy anónimo, como un nodo de salida de Tor.
• Acceso inicial: Acción de cuenta de servicio inactiva: Un hallazgo de esta categoría indica que una cuenta de servicio inactiva realizó una acción en tu entorno. Security Command Center usa Policy Intelligence para detectar cuentas inactivas.

Habilitar la detección de eventos en la etapa 1

Los eventos de la etapa 1 son aquellos que indican que un programa de aplicación de criptominería se está ejecutando en tu entorno de Google Cloud.

Tanto Event Threat Detection como VM Threat Detection emiten los hallazgos de Security Command Center que te alertan cuando detectan ciertos eventos de etapa 1.

Investiga y corrige estos hallazgos de inmediato para evitar incurrir en costos significativos asociados con el consumo de recursos de las aplicaciones de criptominería.

Un hallazgo en cualquiera de las siguientes categorías indica que una aplicación de criptominería se ejecuta en una VM en uno de los proyectos del entorno de Google Cloud:

• Ejecución: Regla YARA de criptominería: Los hallazgos de esta categoría indican que VM Threat Detection detectó un patrón de memoria, como una constante de prueba de trabajo, que usa una aplicación de criptominería.
• Ejecución: coincidencia de hash de criptominería: Los hallazgos de esta categoría indican que VM Threat Detection detectó un hash de memoria que usa una aplicación de criptominería.
• Ejecución: detección combinada: Los hallazgos de esta categoría indican que VM Threat Detection detectó un patrón de memoria y un hash de memoria que usa una aplicación de criptominería.
• Software malicioso: IP incorrecta: los hallazgos en esta categoría indican que Event Threat Detection detectó una conexión a una dirección IP, o una búsqueda de, que se sabe que usan aplicaciones de criptominería.
• Software malicioso: dominio incorrecto: Los hallazgos en esta categoría indican que Event Threat Detection detectó una conexión con un dominio, o una búsqueda de él, que las aplicaciones de criptominería conocen.

Habilita el registro de Cloud DNS

Para detectar las llamadas realizadas a través de aplicaciones de criptominería a dominios no válidos conocidos, habilita Cloud DNS Logging. Event Threat Detection procesa los registros de Cloud DNS y emite los hallazgos cuando detecta la resolución de un dominio que se sabe que se usa para grupos de criptominería.

Integra tus productos SIEM y SOAR con Security Command Center

Integra Security Command Center con las herramientas de operaciones de seguridad existentes, como los productos SIEM o SOAR, para clasificar y responder los hallazgos de Security Command Center en eventos de etapa 0 y etapa 1 que indiquen ataques de criptominería potenciales o reales.

Si tu equipo de seguridad no usa un producto SIEM o SOAR, debe familiarizarse con el trabajo con los hallazgos de Security Command Center en la consola de Google Cloud y cómo configurar las notificaciones y las exportaciones de resultados mediante Pub/Sub o las APIs de Security Command Center para enrutar los resultados de los ataques de criptominería de manera eficaz.

Para conocer los resultados específicos que necesitas exportar a tus herramientas de operaciones de seguridad, consulta Habilita los servicios de detección de amenazas clave en todos los proyectos.

Para obtener información sobre cómo integrar los productos SIEM y SOAR con Security Command Center, consulta Configura integraciones de SIEM y SOAR.

Para obtener información sobre cómo configurar las notificaciones o exportaciones de resultados, consulta la siguiente información:

• Habilita las notificaciones de chat y correo electrónico en tiempo real
• Habilita las notificaciones de resultados para Pub/Sub

Designa tus contactos esenciales para las notificaciones de seguridad

Para que tu empresa pueda responder lo más rápido posible a cualquier notificación de seguridad de Google, especifica a Google Cloud qué equipos de la empresa, como seguridad de TI o de operaciones, deben recibir notificaciones de seguridad. Cuando especificas un equipo, ingresas su dirección de correo electrónico en Contactos esenciales.

Para garantizar la entrega confiable de estas notificaciones a lo largo del tiempo, recomendamos a los equipos que configuren la entrega a una lista de distribución, un grupo o algún otro mecanismo que garantice la coherencia de la entrega y la distribución al equipo responsable de tu organización. Te recomendamos que no especifiques las direcciones de correo electrónico de las personas como contactos esenciales, ya que la comunicación se puede interrumpir si las personas cambian de equipo o se van de la empresa.

Después de configurar los contactos esenciales, asegúrate de que los equipos de seguridad supervisen la bandeja de entrada del correo electrónico de forma continua. La supervisión continua es una práctica recomendada fundamental, ya que los adversarios suelen iniciar ataques de criptominería cuando esperan que estés menos vigilante, como los fines de semana, los días feriados y la noche.

Designar tus contactos esenciales para la seguridad y, luego, supervisar las direcciones de correo electrónico de los contactos esenciales son una práctica recomendada y un requisito del Programa de protección contra criptominería de Security Command Center.

Mantén los permisos de IAM necesarios

Tus equipos de seguridad y el mismo Security Command Center requieren autorización para acceder a los recursos en el entorno de Google Cloud. Puedes administrar la autenticación y la autorización mediante Identity and Access Management (IAM).

Como práctica recomendada y, en el caso de Security Command Center, un requisito básico, debes mantener o preservar las funciones y los permisos de IAM necesarios para detectar y responder a los ataques de criptominería.

Para obtener información general sobre IAM en Google Cloud, consulta Descripción general de IAM.

Autorizaciones que requieren tus equipos de seguridad

Para poder ver los resultados de Security Command Center y responder de inmediato a un ataque de criptominería o a otro problema de seguridad en Google Cloud, las cuentas de usuario de Google Cloud del personal de seguridad deben contar con autorización con anticipación para investigar los problemas que puedan surgir, solucionarlos y, además, investigarlos.

En Google Cloud, puedes administrar la autenticación y la autorización mediante funciones y permisos de IAM.

Funciones necesarias para trabajar con Security Command Center

Si deseas obtener información sobre las funciones de IAM que los usuarios necesitan para trabajar con Security Command Center, consulta Control de acceso con IAM.

Roles necesarios para trabajar con otros servicios de Google Cloud

Para investigar un ataque de criptominería de forma correcta, es probable que necesites otras funciones de IAM, como las funciones de Compute Engine, que te permiten ver y administrar la instancia de VM afectada y las aplicaciones que se ejecutan en ella.

Según el destino de la investigación de un ataque, es posible que también necesites otras funciones, como las funciones de red de Compute Engine o las funciones de Cloud Logging.

Necesitas los permisos de IAM adecuados para crear y administrar tus contactos esenciales por seguridad. Si quieres obtener información sobre las funciones de IAM necesarias para administrar los contactos de seguridad, consulta Funciones obligatorias.

Autorizaciones que requiere Security Command Center

Cuando activas Security Command Center, Google Cloud crea de forma automática una cuenta de servicio que Security Command Center usa para la autenticación y autorización cuando ejecuta análisis y procesa registros. Durante el proceso de activación, debes confirmar los permisos que se otorgan a la cuenta de servicio.

No quites ni modifiques esta cuenta de servicio, sus roles ni sus permisos.

Confirma la implementación de las prácticas recomendadas para la detección de criptominería

A fin de comprobar si la organización implementa las prácticas recomendadas para detectar criptominería, ejecuta una secuencia de comandos que verifique los metadatos de la organización. La secuencia de comandos está disponible en GitHub.

Para revisar el README y descargar la secuencia de comandos, consulta la secuencia de comandos de validación de las prácticas recomendadas para la detección de criptominería de SCC.