Prácticas recomendadas para la detección de criptominería

En esta página, se explican las prácticas recomendadas para detectar ataques de minería de criptomonedas (criptominería) en las máquinas virtuales (VM) de Compute Engine en tu entorno de Google Cloud.

Estas prácticas recomendadas también sirven como requisitos de elegibilidad para el Programa de protección contra la minería de criptomonedas de Google Cloud. Para obtener más información sobre el programa, consulta el Security Command Center Descripción general del Programa de protección de criptominería.

Activa el nivel Premium o Enterprise de Security Command Center para tu organización

La activación del nivel Premium o Enterprise de Security Command Center es un elemento fundamental para detectar ataques de criptominería en en Google Cloud.

Los niveles Premium y Enterprise son dos servicios de detección de amenazas: esenciales para detectar ataques de criptominería: Event Threat Detection y Detección de amenazas de VM.

Debido a que los ataques de criptominería pueden ocurrir en cualquier VM de cualquier proyecto dentro de tu organización, activar Security Command Center Premium o Enterprise para toda tu organización con Event Threat Detection y VM Threat Detection habilitados es una práctica recomendada y un requisito del Programa de protección contra la criptominería de Security Command Center.

Para obtener más información, consulta Descripción general de la activación de Security Command Center.

Habilita los servicios de detección de amenazas clave en todos los proyectos

Habilita los servicios de detección de Event Threat Detection y VM Threat Detection de Security Command Center en todos los proyectos de tu organización.

En conjunto, Event Threat Detection y VM Threat Detection detectan eventos que pueden generar un ataque de criptominería (eventos de etapa 0) y eventos que indican que hay un ataque en curso (eventos de etapa 1). Los eventos específicos que detectan estos servicios de detección, se describen en las siguientes secciones.

Para obtener más información, consulta lo siguiente:

• Descripción general de Event Threat Detection
• Descripción general de VM Threat Detection

Habilita la detección de eventos de la etapa 0

Los eventos de etapa 0 son aquellos en su entorno que suelen preceder o presentar el primer paso de los ataques comunes de criptominería.

Event Threat Detection, un servicio de detección disponible con Security Command Center Premium o Enterprise, emite resultados para alertarte cuando detecta ciertos eventos de etapa 0.

Si puedes detectar y solucionar estos problemas con rapidez, puedes evitar muchos ataques de criptominería antes de incurrir en costos significativos.

Event Threat Detection usa las siguientes categorías de hallazgos para alertarte. a estos eventos:

• Account_Has_Leaked_Credentials: Un hallazgo en esta categoría indica que se fue se filtró en GitHub. Adquirir credenciales de cuentas de servicio es común antes de los ataques de criptominería.
• Evasión: Acceso desde el proxy de anonimización: Un hallazgo en esta categoría indica que una modificación en un El servicio de Google Cloud se originó a partir de un proxy anónimo, como un Nodo de salida Tor.
• Acceso inicial: Acción de cuenta de servicio inactiva: Un hallazgo en esta categoría indica que una cuenta de servicio inactiva realizó acciones en tu entorno. Security Command Center usa la inteligencia de políticas para detectar cuentas inactivas.

Habilita la detección de eventos de la etapa 1

Los eventos de la etapa 1 son eventos que indican que se está ejecutando un programa de aplicación de criptominería en tu entorno de Google Cloud.

Tanto Event Threat Detection como VM Threat Detection problemas en Security Command Center para alertarte cuando detecten ciertos eventos en etapa 1.

Investigar y corregir estos hallazgos de inmediato para evitar incurrir costos significativos asociados con el consumo de recursos aplicaciones de criptominería.

Un hallazgo en cualquiera de las siguientes categorías indica que un app de criptominería se ejecuta en una VM en uno de los proyectos de tu entorno de Google Cloud:

• Ejecución: Regla YARA de criptominería: Los hallazgos de esta categoría indican que VM Threat Detection detectó un patrón de memoria, como una constante de prueba de trabajo, que usa una aplicación de criptominería.
• Ejecución: Coincidencia de hash de minería de criptomonedas: Los hallazgos de esta categoría indican que VM Threat Detection detectó un hash de memoria que usa una aplicación de criptominería.
• Ejecución: Detección combinada: Los hallazgos de esta categoría indican que VM Threat Detection detectó un patrón de memoria y un hash de memoria que usa una aplicación de criptominería.
• Software malicioso: IP incorrecta: Los hallazgos de esta categoría indican que Event Threat Detection detectó una conexión a, o una búsqueda de, una dirección IP que se sabe que con criptominería de aplicaciones.
• Software malicioso: dominio incorrecto: Los hallazgos de esta categoría indican que Event Threat Detection detectó una conexión a, o una búsqueda de, un dominio que se sabe que usa de criptominería.

Habilita el registro de Cloud DNS

Para detectar las llamadas que realizan las aplicaciones de criptominería a dominios maliciosos conocidos, habilita el registro de Cloud DNS. Event Threat Detection procesa las Registros y problemas de Cloud DNS cuando detecta la resolución de un dominio conocido por usarse para grupos de criptominería.

Integra tus productos SIEM y SOAR con Security Command Center

Integrar Security Command Center en tus herramientas de operaciones de seguridad existentes, como tus productos SIEM o SOAR, para clasificar y responder a los Hallazgos de Security Command Center para eventos de etapa 0 y etapa 1 que indican de criptominería reales o potenciales.

Si su equipo de seguridad no usa un producto SIEM o SOAR, debe familiarizarse con el trabajo con los hallazgos de Security Command Center en la consola de Google Cloud y a configurar notificaciones y exportaciones con Pub/Sub o las APIs de Security Command Center para enrutar para detectar ataques de criptominería de forma eficaz.

Para los resultados específicos que necesitas exportar a tus operaciones de seguridad en la nube, consulta Habilita los servicios de detección de amenazas clave en todos los proyectos.

Para obtener información sobre cómo integrar productos SIEM y SOAR con Security Command Center, consulta Configura integraciones de SIEM y SOAR.

Para obtener información sobre la configuración de notificaciones o exportaciones de resultados, consulta la la siguiente información:

• Habilita las notificaciones de chat y correo electrónico en tiempo real
• Habilita las notificaciones de resultados para Pub/Sub

Designa tus contactos esenciales para las notificaciones de seguridad

Para que su empresa pueda responder lo más rápido posible ante cualquier problema de seguridad notificaciones de Google, especifica a Google Cloud a qué equipos en tu empresa, como la seguridad de TI o de operaciones, recibir notificaciones de seguridad. Cuando especificas un equipo, debes ingresar su dirección de correo electrónico en Contactos esenciales.

Para garantizar la entrega confiable de estas notificaciones a lo largo del tiempo, recomendamos a los equipos que configuren la entrega a una lista de distribución, un grupo o algún otro mecanismo que garantice la coherencia de la entrega y la distribución al equipo responsable de tu organización. Te recomendamos No deben especificar las direcciones de correo electrónico de las personas como contactos esenciales. ya que la comunicación puede interrumpirse si los individuos cambian equipos o irse de la empresa.

Después de configurar tus contactos esenciales, asegúrate de que tus equipos de seguridad supervisen la bandeja de entrada de correo electrónico de forma continua. La supervisión continua es una práctica recomendada fundamental, ya que los adversarios suelen iniciar ataques de minería de criptomonedas cuando esperan que estés menos atento, como los fines de semana, los días feriados y por la noche.

Designar tus contactos esenciales para la seguridad y, luego, supervisar su dirección de correo electrónico es una práctica recomendada y un requisito del Programa de protección contra la criptominería de Security Command Center.

Mantén los permisos de IAM necesarios

Tus equipos de seguridad y Security Command Center requieren autorización para acceder a los recursos del entorno de Google Cloud. Tú administras autenticación y autorización con Identity and Access Management (IAM).

Como práctica recomendada y, en el caso de Security Command Center, debes mantener o preservar el rol de IAM roles y permisos necesarios para detectar y responder a la criptominería de ataques de seguridad cibernética.

Para obtener información general sobre IAM en Google Cloud, consulta la descripción general de IAM.

Autorizaciones que requieren tus equipos de seguridad

Para poder ver los resultados de Security Command Center y responder de inmediato a un ataque de criptominería o a otro problema de seguridad en Google Cloud las cuentas de usuario de Google Cloud de tus el personal de seguridad debe estar autorizado con anticipación para responder, corregir e investigar los problemas que podrían surgir.

En Google Cloud, puedes administrar la autenticación y la autorización con roles y permisos de IAM.

Roles necesarios para trabajar con Security Command Center

Para obtener información sobre los roles de IAM que los usuarios necesitan para trabajar con Security Command Center, consulta Control de acceso con IAM.

Roles necesarios para trabajar con otros servicios de Google Cloud

Para investigar correctamente un ataque de criptominería, es probable que debas otros roles de IAM, como Roles de Compute Engine que te permiten ver y administrar la instancia de VM afectada y la aplicaciones que se ejecutan en él.

Según el lugar al que lleve la investigación de un ataque, podría necesitar otros roles también, como Roles de red de Compute Engine o roles de Cloud Logging.

También necesitas los permisos de IAM adecuados para crear y administrar tus contactos esenciales por seguridad. Información sobre los roles de IAM necesarios administrar los contactos de seguridad, consulta Roles obligatorios.

Autorizaciones que requiere Security Command Center

Cuando activas Security Command Center, Google Cloud crea una cuenta de servicio que Security Command Center usa para la autenticación y autorización cuando se ejecuten análisis y procesamiento los registros del sistema operativo. Durante el proceso de activación, confirmas los permisos que se otorgan a la cuenta de servicio.

No quites ni modifiques esta cuenta de servicio, sus roles ni sus permisos.

Confirma la implementación de las prácticas recomendadas para la detección de criptominería

Puedes ver si tu organización implementa la mejor prácticas para detectar criptominería ejecutando una secuencia de comandos que verifique los metadatos de tu organización. La secuencia de comandos está disponible en GitHub.

Para revisar el README y descargar la secuencia de comandos, consulta la secuencia de comandos de validación de prácticas recomendadas para la detección de criptominería de SCC.