Cette page présente les bonnes pratiques à suivre pour détecter les attaques de minage de cryptomonnaie sur les machines virtuelles (VM) Compute Engine de votre environnement Google Cloud.
Ces bonnes pratiques servent également de critères d'éligibilité au programme de protection contre le minage de cryptomonnaie de Google Cloud. Pour en savoir plus sur ce programme, consultez la présentation du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Activer le niveau Premium de Security Command Center pour votre organisation
Le niveau Premium de Security Command Center (Security Command Center Premium) est un élément fondamental pour détecter les attaques de minage de cryptomonnaie sur Google Cloud.
Security Command Center Premium fournit deux services de détection essentiels à la détection des attaques par minage de cryptomonnaie: Event Threat Detection et VM Threat Detection.
Étant donné que le minage de cryptomonnaie peut se produire sur n'importe quelle VM de n'importe quel projet de votre organisation, l'activation de Security Command Center Premium pour l'ensemble de votre organisation avec Event Threat Detection et VM Threat Detection est une bonne pratique et une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Pour en savoir plus, consultez Activer Security Command Center pour une organisation.
Activer les services clés de détection des menaces sur tous les projets
Activez les services Event Threat Detection et VM Threat Detection de Security Command Center Premium sur tous les projets de votre organisation.
Ensemble, Event Threat Detection et VM Threat Detection détectent les événements pouvant entraîner une attaque par minage de cryptomonnaie (événements de phase 0) et les événements indiquant qu'une attaque est en cours (événements de phase 1). Les événements spécifiques détectés par ces services de détection sont décrits dans les sections suivantes.
Pour en savoir plus, consultez les ressources suivantes :
Activer la détection d'événements à l'étape 0
Les événements de phase 0 sont des événements de votre environnement qui précèdent souvent les attaques de minage de cryptomonnaie courantes, ou qui en sont la première étape.
Event Threat Detection, un service de détection disponible avec Security Command Center Premium, émet des résultats pour vous alerter lorsqu'il détecte certains événements de phase 0.
Si vous pouvez détecter et corriger rapidement ces problèmes, vous pouvez empêcher de nombreuses attaques par minage de cryptomonnaie avant d'engendrer des coûts importants.
Event Threat Detection utilise les catégories de résultats suivantes pour vous alerter de ces événements:
- Account_Has_Leaked_Credentials : un résultat dans cette catégorie indique qu'une clé de compte de service a été divulguée sur GitHub. L'acquisition d'identifiants de compte de service est un précurseur courant des attaques par minage de cryptomonnaie.
- Evasion: accès depuis un proxy anonyme : un résultat dans cette catégorie indique qu'une modification d'un service Google Cloud provient d'un proxy anonyme, tel qu'un nœud de sortie Tor.
- Accès initial: action de compte de service inactif : un résultat dans cette catégorie indique qu'un compte de service inactif a effectué une action dans votre environnement. Security Command Center utilise Policy Intelligence pour détecter les comptes inactifs.
Activer la détection d'événements à l'étape 1
Les événements de l'étape 1 sont des événements qui indiquent qu'un programme d'application de minage de cryptomonnaie s'exécute dans votre environnement Google Cloud.
Event Threat Detection et VM Threat Detection émettent les résultats de Security Command Center pour vous alerter lorsqu'ils détectent certains événements de phase 1.
Examinez ces résultats et corrigez-les immédiatement pour éviter les coûts importants associés à la consommation des ressources des applications de minage de cryptomonnaie.
Un résultat dans l'une des catégories suivantes indique qu'une application de minage de cryptomonnaie s'exécute sur une VM dans l'un des projets de votre environnement Google Cloud:
- Exécution: Règle YARA de minage de cryptomonnaie : les résultats de cette catégorie indiquent que VM Threat Detection a détecté un modèle de mémoire, tel qu'une constante de preuve de travail, utilisé par une application de minage de cryptomonnaie.
- Exécution: Cryptomining Hash Match : les résultats de cette catégorie indiquent que VM Threat Detection a détecté un hachage de mémoire utilisé par une application de minage de cryptomonnaie.
- Exécution: Détection combinée : les résultats de cette catégorie indiquent que VM Threat Detection a détecté un modèle de mémoire et un hachage de mémoire utilisés par une application de minage de cryptomonnaie.
- Logiciels malveillants: adresse IP incorrecte : les résultats de cette catégorie indiquent qu'Event Threat Detection a détecté une connexion ou une recherche de cette adresse IP connue pour être utilisée par des applications de minage de cryptomonnaie.
- Logiciels malveillants: domaine incorrect : les résultats de cette catégorie indiquent qu'Event Threat Detection a détecté une connexion à un domaine connu pour être utilisé par des applications de minage de cryptomonnaie, ou une recherche de ce domaine.
Activer la journalisation Cloud DNS
Pour détecter les appels effectués par le minage d'applications à des domaines malveillants connus, activez Cloud DNS Logging. Event Threat Detection traite les journaux Cloud DNS et émet les résultats lorsqu'il détecte la résolution d'un domaine utilisé pour le minage de cryptomonnaies.
Intégrez vos produits SIEM et SOAR à Security Command Center
Intégrez Security Command Center à vos outils d'opérations de sécurité existants, tels que vos produits SIEM ou SOAR, afin de trier les résultats de Security Command Center pour les événements de phase 0 et 1 qui indiquent des attaques de minage de cryptomonnaies potentielles ou réelles, et y répondre.
Si votre équipe de sécurité n'utilise pas de produit SIEM ou SOAR, elle doit se familiariser avec l'utilisation des résultats de Security Command Center dans la console Google Cloud, ainsi que la configuration des notifications et des exportations de résultats à l'aide de Pub/Sub ou des API Security Command Center afin d'acheminer efficacement les résultats des attaques par minage de cryptomonnaie.
Pour connaître les résultats spécifiques que vous devez exporter vers vos outils d'opérations de sécurité, consultez la section Activer les services de détection des principales menaces sur tous les projets.
Pour en savoir plus sur l'intégration des produits SIEM et SOAR avec Security Command Center, consultez la page Configurer les intégrations SIEM et SOAR.
Pour en savoir plus sur la configuration des notifications ou des exportations de résultats, consultez les informations suivantes:
- Activer les notifications par e-mail et de chat en temps réel
- Activer les notifications de résultats pour Pub/Sub
Désignez vos contacts essentiels pour les notifications de sécurité
Pour que votre entreprise puisse répondre le plus rapidement possible aux notifications de sécurité de Google, indiquez à Google Cloud quelles équipes de votre entreprise, telles que la sécurité informatique ou la sécurité des opérations, doivent recevoir ces notifications. Lorsque vous spécifiez une équipe, saisissez son adresse e-mail dans Contacts essentiels.
Pour garantir une distribution fiable de ces notifications au fil du temps, nous encourageons vivement les équipes à configurer la distribution auprès d'une liste de diffusion, d'un groupe ou d'un autre mécanisme qui assure la cohérence de l'envoi et de la distribution à l'équipe responsable de votre organisation. Nous vous recommandons de ne pas spécifier les adresses e-mail des personnes comme contacts essentiels, car la communication peut être interrompue si ces personnes changent d'équipe ou quittent l'entreprise.
Après avoir configuré vos contacts essentiels, assurez-vous que vos équipes de sécurité surveillent votre boîte de réception en continu. Une surveillance continue est une bonne pratique essentielle, car les pirates informatiques lancent fréquemment des attaques de minage de cryptomonnaie alors qu'ils s'attendent à ce que vous soyez moins vigilant, par exemple le week-end, les jours fériés et la nuit.
Une bonne pratique et une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center constituent à la fois une bonne pratique et une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Conserver les autorisations IAM requises
Vos équipes de sécurité et Security Command Center lui-même ont besoin d'une autorisation pour accéder aux ressources de l'environnement Google Cloud. Vous gérez l'authentification et les autorisations à l'aide d'Identity and Access Management (IAM).
Dans le cas de Security Command Center, il s'agit d'une exigence de base : vous devez gérer ou conserver les rôles et autorisations IAM nécessaires pour détecter les attaques de minage de cryptomonnaie et y répondre.
Pour obtenir des informations générales sur IAM sur Google Cloud, consultez la page Présentation d'IAM.
Autorisations requises par vos équipes de sécurité
Pour pouvoir afficher les résultats de Security Command Center et répondre immédiatement à une attaque de minage de cryptomonnaie ou à tout autre problème de sécurité sur Google Cloud, les comptes utilisateur Google Cloud de votre personnel de sécurité doivent être autorisés à l'avance pour répondre, corriger et examiner les problèmes qui peuvent survenir.
Sur Google Cloud, vous pouvez gérer l'authentification et les autorisations à l'aide de rôles et d'autorisations IAM.
Rôles requis pour utiliser Security Command Center
Pour en savoir plus sur les rôles IAM dont les utilisateurs ont besoin pour travailler avec Security Command Center, consultez la page Contrôle des accès avec IAM.
Rôles requis pour utiliser d'autres services Google Cloud
Pour enquêter correctement sur une attaque de minage de cryptomonnaie, vous aurez probablement besoin d'autres rôles IAM, tels que des rôles Compute Engine qui vous permettent d'afficher et de gérer l'instance de VM concernée et les applications qui y sont exécutées.
Selon l'endroit où mène l'investigation sur une attaque, vous pouvez également avoir besoin d'autres rôles, tels que rôles réseau Compute Engine ou rôles Cloud Logging.
Vous devez également disposer des autorisations IAM appropriées pour créer et gérer vos contacts essentiels pour la sécurité. Pour en savoir plus sur les rôles IAM requis pour gérer les contacts de sécurité, consultez la page Rôles requis.
Autorisations requises par Security Command Center
Lorsque vous activez Security Command Center, Google Cloud crée automatiquement un compte de service utilisé pour l'authentification et l'autorisation lors de l'exécution d'analyses et du traitement des journaux. Au cours du processus d'activation, vous confirmez les autorisations accordées au compte de service.
Vous ne devez pas supprimer ni modifier ce compte de service, ses rôles ou ses autorisations.
Confirmer la mise en œuvre des bonnes pratiques de détection du minage de cryptomonnaie
Vous pouvez voir si votre organisation applique les bonnes pratiques de détection du minage de cryptomonnaie en exécutant un script qui vérifie les métadonnées de votre organisation. Le script est disponible sur GitHub.
Pour examiner le fichier README et télécharger le script, consultez la page Script de validation des bonnes pratiques de détection du minage de cryptomonnaie SCC.