En esta página se explican las prácticas recomendadas para detectar ataques de minería de criptomonedas (criptominería) en máquinas virtuales (VMs) de Compute Engine en tu Google Cloud entorno.
Estas prácticas recomendadas también sirven como requisitos para participar en el Google Cloud programa de protección contra la criptominería. Para obtener más información sobre el programa, consulta la descripción general del programa de protección contra la minería de criptomonedas de Security Command Center.
Activar el nivel Premium o Enterprise de Security Command Center en tu organización
La activación del nivel Premium o Enterprise de Security Command Center es un elemento fundamental para detectar ataques de minería de criptomonedas enGoogle Cloud.
Dos servicios de detección de amenazas de los niveles Premium y Enterprise son fundamentales para detectar ataques de minería de criptomonedas: Event Threat Detection y VM Threat Detection.
Dado que los ataques de minería de criptomonedas pueden producirse en cualquier máquina virtual de cualquier proyecto de tu organización, activar Security Command Center Premium o Enterprise en toda tu organización con Event Threat Detection y VM Threat Detection habilitados es una práctica recomendada y un requisito del programa de protección contra la minería de criptomonedas de Security Command Center.
Para obtener más información, consulta el resumen sobre cómo activar Security Command Center o el artículo sobre cómo activar el nivel Enterprise de Security Command Center.
Habilitar los servicios de detección de amenazas de claves en todos los proyectos
Habilita los servicios de detección Event Threat Detection y VM Threat Detection de Security Command Center en todos los proyectos de tu organización.
Event Threat Detection y VM Threat Detection detectan eventos que pueden provocar un ataque de minería de criptomonedas (eventos de fase 0) y eventos que indican que se está produciendo un ataque (eventos de fase 1). Los eventos específicos que detectan estos servicios se describen en las siguientes secciones.
Para obtener más información, consulta las siguientes secciones:
- Descripción general de Event Threat Detection
- Descripción general de la detección de amenazas en VMs
Habilitar la detección de eventos de la fase 0
Los eventos de fase 0 son eventos de su entorno que suelen preceder a los ataques de criptominería comunes o ser el primer paso de estos.
Event Threat Detection, un servicio de detección disponible en Security Command Center Premium o Enterprise, genera resultados para alertarte cuando detecta determinados eventos de la fase 0.
Si puedes detectar y solucionar estos problemas rápidamente, puedes evitar muchos ataques de minería de criptomonedas antes de incurrir en costes significativos.
Event Threat Detection usa las siguientes categorías de detecciones para alertarte sobre estos eventos:
- Account_Has_Leaked_Credentials una detección de esta categoría indica que se ha filtrado una clave de cuenta de servicio en GitHub. La obtención de credenciales de cuentas de servicio es un paso previo habitual a los ataques de minería de criptomonedas.
- Evasión: acceso del proxy anonimizador: una detección de esta categoría indica que se ha modificado un Google Cloud servicio desde una dirección IP asociada a la red Tor.
- Acceso inicial: acción en la cuenta de servicio inactiva: una detección de esta categoría indica que una cuenta de servicio inactiva ha realizado una acción en tu entorno. Security Command Center usa la inteligencia de las políticas para detectar cuentas inactivas.
Habilitar la detección de eventos de la fase 1
Los eventos de fase 1 son eventos que indican que se está ejecutando una aplicación o un programa de minería de criptomonedas en tu entorno de Google Cloud .
Tanto Event Threat Detection como VM Threat Detection generan resultados de Security Command Center para alertarte cuando detectan determinados eventos de la fase 1.
Investiga y corrige estos resultados de inmediato para evitar incurrir en costes significativos asociados al consumo de recursos de las aplicaciones de criptominería.
Si se detecta una amenaza de cualquiera de las siguientes categorías, significa que se está ejecutando una aplicación de criptominería en una máquina virtual de uno de los proyectos de tu Google Cloud entorno:
- Ejecución: regla de YARA de minería de criptomonedas: las detecciones de esta categoría indican que VM Threat Detection ha detectado un patrón de memoria, como una constante de prueba de trabajo, que utiliza una aplicación de minería de criptomonedas.
- Ejecución: coincidencia de hash de minería de criptomonedas: las detecciones de esta categoría indican que VM Threat Detection ha detectado un hash de memoria que utiliza una aplicación de minería de criptomonedas.
- Ejecución: detección combinada: las detecciones de esta categoría indican que VM Threat Detection ha detectado tanto un patrón de memoria como un hash de memoria que utiliza una aplicación de minería de criptomonedas.
- Malware: IP incorrecta: las detecciones de esta categoría indican que Event Threat Detection ha detectado una conexión o una búsqueda de una dirección IP que se sabe que utilizan aplicaciones de minería de criptomonedas.
- Malware: dominio incorrecto: las detecciones de esta categoría indican que Event Threat Detection ha detectado una conexión o una búsqueda de un dominio que se sabe que usan aplicaciones de minería de criptomonedas.
Habilitar el registro de Cloud DNS
Para detectar las llamadas que realizan las aplicaciones de minería de criptomonedas a dominios incorrectos conocidos, habilita Cloud DNS Logging. Event Threat Detection procesa los registros de Cloud DNS y genera resultados cuando detecta la resolución de un dominio que se sabe que se usa para pools de criptominería.
Integrar tus productos SIEM y SOAR con Security Command Center
Integra Security Command Center con tus herramientas de operaciones de seguridad actuales, como tus productos SIEM o SOAR, para clasificar y responder a los resultados de Security Command Center de eventos de las fases 0 y 1 que indiquen posibles ataques de minería de criptomonedas o ataques reales.
Si tu equipo de seguridad no usa un producto SIEM o SOAR, debe familiarizarse con el uso de los resultados de Security Command Center en la Google Cloud consola y con la configuración de notificaciones y exportaciones de resultados mediante Pub/Sub o las APIs de Security Command Center para enrutar los resultados de ataques de minería de criptomonedas de forma eficaz.
Para ver las detecciones específicas que necesitas exportar a tus herramientas de operaciones de seguridad, consulta el artículo Habilitar los servicios de detección de amenazas clave en todos los proyectos.
Para obtener información sobre cómo integrar productos SIEM y SOAR con Security Command Center, consulta el artículo sobre cómo configurar integraciones de SIEM y SOAR.
Para obtener información sobre cómo configurar notificaciones o exportaciones de búsqueda, consulta lo siguiente:
- Habilitar notificaciones de chat y de correo electrónico en tiempo real
- Habilitar la búsqueda de notificaciones de Pub/Sub
Designar contactos esenciales para recibir notificaciones de seguridad
Para que tu empresa pueda responder lo antes posible a las notificaciones de seguridad de Google, especifica Google Cloud qué equipos Google Cloud de tu empresa, como el de seguridad informática o el de seguridad de operaciones, deben recibir las notificaciones de seguridad. Cuando especificas un equipo, introduces su dirección de correo en Contactos esenciales.
Para asegurarnos de que estas notificaciones se envíen de forma fiable a lo largo del tiempo, recomendamos encarecidamente a los equipos que configuren el envío a una lista de distribución, un grupo u otro mecanismo que garantice la coherencia del envío y la distribución al equipo responsable de tu organización. Te recomendamos que no especifiques las direcciones de correo de personas concretas como contactos esenciales, ya que la comunicación puede interrumpirse si esas personas cambian de equipo o dejan la empresa.
Después de configurar tus contactos esenciales, asegúrate de que tus equipos de seguridad monitoricen continuamente la bandeja de entrada de correo. La monitorización continua es una práctica recomendada fundamental, ya que los adversarios suelen iniciar ataques de criptominería cuando creen que estarás menos atento, como los fines de semana, los festivos y por la noche.
Designar tus contactos esenciales de seguridad y, a continuación, monitorizar la dirección de correo de esos contactos son prácticas recomendadas y requisitos del programa de protección contra la minería de criptomonedas de Security Command Center.
Mantener los permisos de gestión de identidades y accesos necesarios
Tus equipos de seguridad y Security Command Center necesitan autorización para acceder a los recursos del entorno de Google Cloud . Puedes gestionar la autenticación y la autorización mediante Gestión de Identidades y Accesos (IAM).
Como práctica recomendada y, en el caso de Security Command Center, como requisito básico, debes mantener o conservar los roles y permisos de gestión de identidades y accesos que se necesitan para detectar y responder a los ataques de minería de criptomonedas.
Para obtener información general sobre la gestión de identidades y accesos en Google Cloud, consulta la descripción general de la gestión de identidades y accesos.
Autorizaciones que requieren tus equipos de seguridad
Para poder ver los resultados de Security Command Center y responder inmediatamente a un ataque de minería de criptomonedas u otro problema de seguridad en Google Cloud, Google Cloud las cuentas de usuario de tu personal de seguridad deben autorizarse con antelación para responder, solucionar e investigar los problemas que puedan surgir.
En Google Cloud, puedes gestionar la autenticación y la autorización mediante roles y permisos de gestión de identidades y accesos.
Roles necesarios para trabajar con Security Command Center
Para obtener información sobre los roles de gestión de identidades y accesos que necesitan los usuarios para trabajar con Security Command Center, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.
Roles necesarios para trabajar con otros servicios de Google Cloud
Para investigar correctamente un ataque de minería de criptomonedas, es probable que necesites otros roles de gestión de identidades y accesos, como los roles de Compute Engine, que te permiten ver y gestionar la instancia de VM afectada y las aplicaciones que se ejecutan en ella.
En función de dónde lleve la investigación de un ataque, es posible que también necesites otros roles, como los roles de red de Compute Engine o los roles de Cloud Logging.
También necesitas los permisos de gestión de identidades y accesos adecuados para crear y gestionar tus contactos esenciales de seguridad. Para obtener información sobre los roles de gestión de identidades y accesos necesarios para gestionar los contactos de seguridad, consulta Roles necesarios.
Autorizaciones que requiere Security Command Center
Cuando activas Security Command Center,se crea Google Cloud automáticamente una cuenta de servicio que Security Command Center usa para la autenticación y la autorización al ejecutar análisis y procesar registros. Durante el proceso de activación, confirmas los permisos que se conceden a la cuenta de servicio.
No elimines ni modifiques esta cuenta de servicio, sus roles ni sus permisos.