Prácticas recomendadas para la detección de criptominería

En esta página, se explican las prácticas recomendadas para detectar ataques de minería de criptomonedas (criptominería) en las máquinas virtuales (VMs) de Compute Engine en tu entorno de Google Cloud.

Estas prácticas recomendadas también son los requisitos de elegibilidad del Programa de protección de criptominería de Google Cloud. Para obtener más información sobre el programa, consulta la descripción general del Programa de protección de criptominería de Security Command Center.

Activa el nivel Premium de Security Command Center para tu organización

El nivel Premium de Security Command Center (Security Command Center Premium) es un elemento fundamental para detectar ataques de criptominería en Google Cloud.

La versión Premium de Security Command Center proporciona dos servicios de detección que son fundamentales para detectar ataques de criptominería: Event Threat Detection y VM Threat Detection.

Debido a que los ataques de criptominería pueden ocurrir en cualquier VM en cualquier proyecto dentro de la organización, activar Security Command Center Premium para toda la organización con Event Threat Detection y VM Threat Detection habilitados es una práctica recomendada y un requisito del programa de protección de criptominería de Security Command Center.

Si quieres obtener más información, consulta Activa Security Command Center para una organización.

Habilitar los servicios clave de detección de amenazas en todos los proyectos

Habilita los servicios Event Threat Detection y VM Threat Detection de Security Command Center Premium en todos los proyectos de tu organización.

En conjunto, Event Threat Detection y VM Threat Detection detectan eventos que pueden provocar un ataque de criptominería (eventos de etapa 0) y eventos que indican que un ataque está en curso (eventos de etapa 1). Los eventos específicos que detectan estos servicios de detección se describen en las siguientes secciones.

Para obtener más información, consulta lo siguiente:

• Descripción general de Event Threat Detection
• Descripción general de la detección de amenazas de VM

Habilitar la detección de eventos de etapa 0

Los eventos de etapa 0 son eventos en tu entorno que suelen preceder a los ataques de criptominería comunes o son el primer paso de estos.

Event Threat Detection, un servicio de detección disponible con Security Command Center Premium, emite hallazgos para alertarte cuando detecta ciertos eventos de etapa 0.

Si puedes detectar y solucionar estos problemas con rapidez, puedes evitar muchos ataques de criptominería antes de incurrir en costos significativos.

Event Threat Detection usa las siguientes categorías de hallazgos para alertarte sobre estos eventos:

• Account_Has_Leaked_Credentials: Un resultado en esta categoría indica que se filtró una clave de cuenta de servicio en GitHub. Adquirir credenciales de cuentas de servicio es un precursor común de los ataques de criptominería.
• Evasión: Acceso desde el proxy de anonimización: Un resultado de esta categoría indica que una modificación en un servicio de Google Cloud se originó desde un proxy anónimo, como un nodo de salida de Tor.
• Acceso inicial: Acción de cuenta de servicio inactiva: Un resultado en esta categoría indica que una cuenta de servicio inactiva tomó medidas en tu entorno. Security Command Center usa Policy Intelligence para detectar cuentas inactivas.

Habilitar la detección de eventos de la etapa 1

Los eventos de la etapa 1 son eventos que indican que un programa de aplicación de criptominería se está ejecutando en tu entorno de Google Cloud.

Event Threat Detection y VM Threat Detection generan resultados de Security Command Center para alertarte cuando detectan ciertos eventos de etapa 1.

Investiga y corrige estos resultados de inmediato para evitar incurrir en costos significativos asociados con el consumo de recursos de aplicaciones de criptominería.

Un hallazgo en cualquiera de las siguientes categorías indica que una aplicación de criptominería se está ejecutando en una VM en uno de los proyectos en tu entorno de Google Cloud:

• Ejecución: Regla de YARA de criptominería: Los resultados en esta categoría indican que VM Threat Detection detectó un patrón de memoria, como una constante de prueba de trabajo, que usa una aplicación de criptominería.
• Ejecución: Coincidencia de hash de criptominería: Los resultados de esta categoría indican que VM Threat Detection detectó un hash de memoria que usa una aplicación de criptominería.
• Ejecución: Detección combinada: Los resultados de esta categoría indican que VM Threat Detection detectó un patrón de memoria y un hash de memoria que usa una aplicación de criptominería.
• Software malicioso: IP incorrecta: Los resultados de esta categoría indican que Event Threat Detection detectó una conexión a una dirección IP que se sabe que usa las aplicaciones de criptominería, o una búsqueda de esta.
• Software malicioso: dominio incorrecto: Los resultados de esta categoría indican que Event Threat Detection detectó una conexión con un dominio que se sabe que usan las aplicaciones de criptominería, o una búsqueda de este.

Habilita el registro de Cloud DNS

Para detectar llamadas que realizan aplicaciones de criptominería a dominios maliciosos conocidos, habilita Cloud DNS Logging. Event Threat Detection procesa los registros de Cloud DNS y emite los resultados cuando detecta la resolución de un dominio que se sabe que se usa para grupos de criptominería.

Integra tus productos de SIEM y SOAR en Security Command Center

Integra Security Command Center a tus herramientas de operaciones de seguridad existentes, como los productos SIEM o SOAR, para clasificar y responder a los resultados de Security Command Center en busca de eventos de etapa 0 y etapa 1 que indiquen ataques de criptominería potenciales o reales.

Si tu equipo de seguridad no usa un producto de SIEM o SOAR, el equipo debe familiarizarse con el trabajo con los resultados de Security Command Center en la consola de Google Cloud y con la configuración de las notificaciones y exportaciones de hallazgos mediante Pub/Sub o las API de Security Command Center para enrutar los resultados de los ataques de criptominería de manera eficaz.

Para obtener los resultados específicos que necesitas exportar a las herramientas de operaciones de seguridad, consulta Habilita los servicios de detección de amenazas clave en todos los proyectos.

Para obtener información sobre cómo integrar productos SIEM y SOAR en Security Command Center, consulta Configura integraciones de SIEM y SOAR.

Para obtener información sobre cómo configurar las notificaciones o exportaciones de resultados, consulta la siguiente información:

• Habilita las notificaciones de chat y correo electrónico en tiempo real
• Habilita las notificaciones de resultados para Pub/Sub

Designa tus contactos esenciales para las notificaciones de seguridad

Para que tu empresa pueda responder lo más rápido posible a cualquier notificación de seguridad de Google, especifica a Google Cloud qué equipos de la empresa, como seguridad de TI o de operaciones, deben recibir notificaciones de seguridad. Cuando especificas un equipo, ingresas su dirección de correo electrónico en Contactos esenciales.

Para garantizar una entrega confiable de estas notificaciones a lo largo del tiempo, recomendamos a los equipos que configuren la entrega en una lista de distribución, un grupo o cualquier otro mecanismo que garantice la coherencia de la entrega y distribución al equipo responsable de tu organización. Te recomendamos que no especifiques las direcciones de correo electrónico de personas como contactos esenciales, ya que la comunicación puede interrumpirse si las personas cambian de equipo o abandonan la empresa.

Después de configurar los contactos esenciales, asegúrate de que los equipos de seguridad supervisen la bandeja de entrada del correo electrónico de forma continua. La supervisión continua es una práctica recomendada fundamental, ya que los adversarios suelen iniciar ataques de criptominería cuando esperan que estés menos alerta, como durante los fines de semana, los días feriados y la noche.

Designar los contactos esenciales para la seguridad y, luego, supervisar la dirección de correo electrónico de los contactos esenciales son prácticas recomendadas y requisitos del programa de protección de criptominería de Security Command Center.

Conserva los permisos de IAM necesarios

Tus equipos de seguridad y el propio Security Command Center requieren autorización para acceder a los recursos en el entorno de Google Cloud. Administras la autenticación y autorización mediante Identity and Access Management (IAM).

Como práctica recomendada y, en el caso de Security Command Center, un requisito básico, debes mantener o conservar las funciones y los permisos de IAM necesarios para detectar y responder a ataques de criptominería.

Para obtener información general sobre IAM en Google Cloud, consulta Descripción general de IAM.

Autorizaciones que requieren tus equipos de seguridad

Para poder ver los resultados de Security Command Center y responder de inmediato a un ataque de criptominería o algún otro problema de seguridad en Google Cloud, las cuentas de usuario de Google Cloud de tu personal de seguridad deben contar con autorización con anticipación para responder, investigar y solucionar los problemas que puedan surgir.

En Google Cloud, puedes administrar la autenticación y la autorización mediante funciones y permisos de IAM.

Funciones necesarias para trabajar con Security Command Center

Para obtener información sobre las funciones de IAM que los usuarios necesitan para trabajar con Security Command Center, consulta Control de acceso con IAM.

Roles necesarios para trabajar con otros servicios de Google Cloud

Para investigar de forma adecuada un ataque de criptominería, es probable que necesites otras funciones de IAM, como las funciones de Compute Engine, que te permiten ver y administrar la instancia de VM afectada y las aplicaciones que se ejecutan en ella.

Según dónde dirija la investigación de un ataque, es posible que también necesites otras funciones, como funciones de red de Compute Engine o funciones de Cloud Logging.

También necesitas los permisos de IAM adecuados para crear y administrar tus contactos esenciales por seguridad. Si deseas obtener información sobre las funciones de IAM necesarias para administrar los contactos de seguridad, consulta Funciones obligatorias.

Autorizaciones que requiere Security Command Center

Cuando activas Security Command Center, Google Cloud crea de forma automática una cuenta de servicio que Security Command Center usa para la autenticación y autorización cuando se ejecutan análisis y se procesan registros. Durante el proceso de activación, debes confirmar los permisos que se otorgan a la cuenta de servicio.

No quites ni modifiques esta cuenta de servicio, sus funciones ni sus permisos.

Confirma la implementación de las prácticas recomendadas de detección de criptominería

Puedes ver si tu organización implementa las prácticas recomendadas para la detección de criptominería mediante la ejecución de una secuencia de comandos que verifica los metadatos de tu organización. La secuencia de comandos está disponible en GitHub.

Para revisar el README y descargar la secuencia de comandos, consulta Secuencia de comandos de validación de las prácticas recomendadas para la detección de criptominería de SCC.