Prácticas recomendadas para la detección de criptominería

En esta página, se explican las prácticas recomendadas para detectar ataques de minería de criptomonedas (criptominería) en máquinas virtuales (VM) de Compute Engine en tu entorno de Google Cloud .

Estas prácticas recomendadas también sirven como requisitos de elegibilidad para elGoogle Cloud Programa de Protección contra la Minería de Criptomonedas. Para obtener más información sobre el programa, consulta la descripción general del Programa de protección contra criptominería de Security Command Center.

Activa el nivel Premium o Enterprise de Security Command Center para tu organización

La activación del nivel Premium o Enterprise de Security Command Center es un elemento fundamental para detectar ataques de minería de criptomonedas enGoogle Cloud.

Dos servicios de detección de amenazas de los niveles Premium y Enterprise son fundamentales para detectar ataques de criptominería: Event Threat Detection y VM Threat Detection.

Dado que los ataques de criptominería pueden ocurrir en cualquier VM de cualquier proyecto dentro de tu organización, activar Security Command Center Premium o Enterprise para toda tu organización con Event Threat Detection y VM Threat Detection habilitados es tanto una práctica recomendada como un requisito del Programa de Protección contra Criptominería de Security Command Center.

Para obtener más información, consulta Descripción general de la activación de Security Command Center o Activa Security Command Center Enterprise Center.

Habilita los servicios clave de detección de amenazas en todos los proyectos

Habilita los servicios de detección de Event Threat Detection y VM Threat Detection de Security Command Center en todos los proyectos de tu organización.

Juntos, Event Threat Detection y VM Threat Detection detectan eventos que pueden provocar un ataque de criptominería (eventos de etapa 0) y eventos que indican que hay un ataque en curso (eventos de etapa 1). En las siguientes secciones, se describen los eventos específicos que detectan estos servicios.

Para obtener más información, consulta lo siguiente:

• Descripción general de Event Threat Detection
• Descripción general de VM Threat Detection

Habilita la detección de eventos de la etapa 0

Los eventos de etapa 0 son eventos en tu entorno que suelen preceder a los ataques de minería de criptomonedas comunes o son el primer paso de estos.

Event Threat Detection, un servicio de detección disponible con Security Command Center Premium o Enterprise, genera hallazgos para alertarte cuando detecta ciertos eventos de la etapa 0.

Si puedes detectar y corregir estos problemas rápidamente, puedes evitar muchos ataques de criptominería antes de incurrir en costos significativos.

Event Threat Detection usa las siguientes categorías de resultados para alertarte sobre estos eventos:

• Account_Has_Leaked_Credentials: Un hallazgo en esta categoría indica que se filtró una clave de cuenta de servicio en GitHub. La adquisición de credenciales de cuentas de servicio es un precursor común de los ataques de criptominería.
• Evasión: Acceso desde proxy de anonimización: Un hallazgo en esta categoría indica que una modificación en un servicio deGoogle Cloud se originó en una dirección IP asociada con la red Tor.
• Acceso inicial: Acción de cuenta de servicio inactiva: Un hallazgo en esta categoría indica que una cuenta de servicio inactiva realizó una acción en tu entorno. Security Command Center usa Policy Intelligence para detectar cuentas inactivas.

Habilita la detección de eventos de la etapa 1

Los eventos de etapa 1 son eventos que indican que se está ejecutando un programa de aplicación de minería de criptomonedas en tu entorno de Google Cloud .

Tanto Event Threat Detection como VM Threat Detection generan hallazgos de Security Command Center para alertarte cuando detectan ciertos eventos de la etapa 1.

Investiga y corrige estos hallazgos de inmediato para evitar incurrir en costos significativos asociados con el consumo de recursos de las aplicaciones de minería de criptomonedas.

Un hallazgo en cualquiera de las siguientes categorías indica que se está ejecutando una aplicación de minería de criptomonedas en una VM de uno de los proyectos de tu entorno de Google Cloud :

• Ejecución: Regla YARA de criptominería: Los hallazgos en esta categoría indican que VM Threat Detection detectó un patrón de memoria, como una constante de prueba de trabajo, que usa una aplicación de criptominería.
• Ejecución: Coincidencia de hash de criptominería: Los hallazgos de esta categoría indican que VM Threat Detection detectó un hash de memoria que utiliza una aplicación de criptominería.
• Ejecución: Detección combinada: Los hallazgos de esta categoría indican que VM Threat Detection detectó un patrón de memoria y un hash de memoria que utiliza una aplicación de minería de criptomonedas.
• Software malicioso: IP incorrecta: Los hallazgos de esta categoría indican que Event Threat Detection detectó una conexión a una dirección IP que se sabe que usan las aplicaciones de criptominería o una búsqueda de ella.
• Software malicioso: Dominio incorrecto: Los hallazgos de esta categoría indican que Event Threat Detection detectó una conexión a un dominio que se sabe que usan las aplicaciones de criptominería o una búsqueda de él.

Habilita el registro de Cloud DNS

Para detectar llamadas realizadas por aplicaciones de minería de criptomonedas a dominios maliciosos conocidos, habilita el registro de Cloud DNS. Event Threat Detection procesa los registros de Cloud DNS y genera hallazgos cuando detecta la resolución de un dominio que se sabe que se usa para grupos de minería de criptomonedas.

Integra tus productos de SIEM y SOAR con Security Command Center

Integra Security Command Center con tus herramientas de operaciones de seguridad existentes, como tus productos SIEM o SOAR, para clasificar y responder a los hallazgos de Security Command Center sobre eventos de etapa 0 y etapa 1 que indiquen posibles ataques de criptominería o ataques reales.

Si tu equipo de seguridad no usa un producto SIEM o SOAR, debe familiarizarse con el trabajo con los resultados de Security Command Center en la Google Cloud consola y cómo configurar las notificaciones y exportaciones de resultados con Pub/Sub o las APIs de Security Command Center para enrutar los resultados de los ataques de minería de criptomonedas de manera eficaz.

Para conocer los hallazgos específicos que debes exportar a tus herramientas de operaciones de seguridad, consulta Habilita los servicios clave de detección de amenazas en todos los proyectos.

Para obtener información sobre cómo integrar productos SIEM y SOAR con Security Command Center, consulta Configura las integraciones de SIEM y SOAR.

Para obtener información sobre cómo configurar las notificaciones o exportaciones de búsqueda, consulta la siguiente información:

• Habilitar notificaciones de chat y correo electrónico en tiempo real
• Habilita las notificaciones de resultados para Pub/Sub

Designa tus contactos esenciales para las notificaciones de seguridad

Para que tu empresa pueda responder lo más rápido posible a las notificaciones de seguridad de Google, especifica a Google Cloud qué equipos de tu empresa, como los de seguridad de TI o seguridad de operaciones, deben recibir las notificaciones de seguridad. Cuando especificas un equipo, ingresas su dirección de correo electrónico en Contactos esenciales.

Para garantizar la entrega confiable de estas notificaciones a lo largo del tiempo, recomendamos a los equipos que configuren la entrega a una lista de distribución, un grupo o algún otro mecanismo que garantice la coherencia de la entrega y la distribución al equipo responsable de su organización. Te recomendamos que no especifiques las direcciones de correo electrónico de personas como contactos esenciales, ya que la comunicación se puede interrumpir si las personas cambian de equipo o se van de la empresa.

Después de configurar tus contactos esenciales, asegúrate de que tus equipos de seguridad supervisen la bandeja de entrada de correo electrónico de forma continua. La supervisión continua es una práctica recomendada fundamental, ya que los adversarios suelen iniciar ataques de minería de criptomonedas cuando esperan que estés menos atento, como los fines de semana, los días festivos y por la noche.

Designar tus contactos esenciales para la seguridad y, luego, supervisar la dirección de correo electrónico de los contactos esenciales son prácticas recomendadas y requisitos del Programa de protección contra la criptominería de Security Command Center.

Mantén los permisos de IAM necesarios

Tus equipos de seguridad y Security Command Center requieren autorización para acceder a los recursos en el entorno de Google Cloud . Puedes administrar la autenticación y la autorización con Identity and Access Management (IAM).

Como práctica recomendada y, en el caso de Security Command Center, como requisito básico, debes mantener o conservar los roles y permisos de IAM necesarios para detectar ataques de criptominería y responder a ellos.

Para obtener información general sobre IAM en Google Cloud, consulta la Descripción general de IAM.

Autorizaciones que requieren tus equipos de seguridad

Para poder ver los hallazgos de Security Command Center y responder de inmediato a un ataque de criptominería o a otro problema de seguridad en Google Cloud, las cuentas de usuario de Google Cloud de tu personal de seguridad deben estar autorizadas con anticipación para responder, solucionar e investigar los problemas que puedan surgir.

En Google Cloud, puedes administrar la autenticación y la autorización con roles y permisos de IAM.

Roles necesarios para trabajar con Security Command Center

Para obtener información sobre los roles de IAM que los usuarios necesitan para trabajar con Security Command Center, consulta Control de acceso con IAM.

Roles necesarios para trabajar con otros servicios de Google Cloud

Para investigar correctamente un ataque de criptominería, es probable que necesites otros roles de IAM, como los roles de Compute Engine que te permitan ver y administrar la instancia de VM afectada y las aplicaciones que se ejecutan en ella.

Según dónde lleve la investigación de un ataque, es posible que también necesites otros roles, como los roles de red de Compute Engine o los roles de Cloud Logging.

También necesitas los permisos de IAM adecuados para crear y administrar tus Contactos esenciales de seguridad. Para obtener información sobre los roles de IAM necesarios para administrar los contactos de seguridad, consulta Roles obligatorios.

Autorizaciones que requiere Security Command Center

Cuando activas Security Command Center, Google Cloud crea automáticamente una cuenta de servicio que Security Command Center usa para la autenticación y la autorización cuando ejecuta análisis y procesa registros. Durante el proceso de activación, confirmas los permisos que se otorgan a la cuenta de servicio.

No quites ni modifiques esta cuenta de servicio, sus roles ni sus permisos.

Confirma la implementación de las prácticas recomendadas para la detección de criptominería

Para saber si tu organización implementa las prácticas recomendadas para detectar la minería de criptomonedas, ejecuta una secuencia de comandos que verifique los metadatos de tu organización. La secuencia de comandos está disponible en GitHub.

Para revisar el README y descargar la secuencia de comandos, consulta Secuencia de comandos de validación de prácticas recomendadas para la detección de criptominería de SCC.