Questa pagina illustra le best practice per il rilevamento di attacchi di mining di criptovalute (cryptomining) sulle macchine virtuali (VM) di Compute Engine nel tuo ambiente Google Cloud .
Queste best practice fungono anche da requisiti di idoneità per il Google Cloud Cryptomining Protection Program. Per saperne di più sul programma, consulta la panoramica del programma di protezione dal cryptomining di Security Command Center.
Attiva il livello Premium o Enterprise di Security Command Center per la tua organizzazione
L'attivazione del livello Premium o Enterprise di Security Command Center è un elemento fondamentale per il rilevamento di attacchi di cryptomining suGoogle Cloud.
Due servizi di rilevamento delle minacce dei livelli Premium ed Enterprise sono fondamentali per rilevare gli attacchi di cryptomining: Event Threat Detection e VM Threat Detection.
Poiché gli attacchi di cryptomining possono verificarsi su qualsiasi VM in qualsiasi progetto all'interno della tua organizzazione, l'attivazione di Security Command Center Premium o Enterprise per l'intera organizzazione con Event Threat Detection e VM Threat Detection abilitati è sia una best practice sia un requisito del programma di protezione dal cryptomining di Security Command Center.
Per saperne di più, consulta Panoramica dell'attivazione di Security Command Center o Attivare il livello Security Command Center Enterprise.
Abilita i principali servizi di rilevamento delle minacce in tutti i progetti
Abilita i servizi di rilevamento Event Threat Detection e VM Threat Detection di Security Command Center in tutti i progetti della tua organizzazione.
Event Threat Detection e VM Threat Detection rilevano insieme gli eventi che possono portare a un attacco di cryptomining (eventi di fase 0) e gli eventi che indicano che un attacco è in corso (eventi di fase 1). Gli eventi specifici rilevati da questi servizi di rilevamento sono descritti nelle sezioni seguenti.
Per ulteriori informazioni, consulta le seguenti risorse:
Abilita il rilevamento degli eventi di fase 0
Gli eventi di fase 0 sono eventi nel tuo ambiente che spesso precedono o sono il primo passo di attacchi di cryptomining comuni.
Event Threat Detection, un servizio di rilevamento disponibile con Security Command Center Premium o Enterprise, genera risultati per avvisarti quando rileva determinati eventi di fase 0.
Se riesci a rilevare e risolvere rapidamente questi problemi, puoi prevenire molti attacchi di cryptomining prima di sostenere costi significativi.
Event Threat Detection utilizza le seguenti categorie di risultati per avvisarti di questi eventi:
- Account_Has_Leaked_Credentials: Un risultato in questa categoria indica che una chiave dell'account di servizio è stata compromessa su GitHub. L'acquisizione delle credenziali del account di servizio è un precursore comune degli attacchi di cryptomining.
- Evasione: accesso da proxy con anonimizzazione: Un risultato in questa categoria indica che una modifica a un servizioGoogle Cloud è stata eseguita da un indirizzo IP associato alla rete Tor.
- Accesso iniziale: azione service account inattivo: Un risultato in questa categoria indica che un account di servizio inattivo ha eseguito un'azione nel tuo ambiente. Security Command Center utilizza Policy Intelligence per rilevare gli account inattivi.
Abilita il rilevamento degli eventi di fase 1
Gli eventi di fase 1 sono eventi che indicano che un programma dell'applicazione di cryptomining è in esecuzione nel tuo ambiente Google Cloud .
Event Threat Detection e VM Threat Detection generano risultati di Security Command Center per avvisarti quando rilevano determinati eventi di fase 1.
Esamina e risolvi immediatamente questi risultati per evitare di sostenere costi significativi associati al consumo di risorse delle applicazioni di criptomining.
Un risultato in una delle seguenti categorie indica che un'applicazione di mining di criptovalute è in esecuzione su una VM in uno dei progetti nel tuo ambiente Google Cloud :
- Esecuzione: regola YARA per il cryptomining: I risultati di questa categoria indicano che VM Threat Detection ha rilevato un pattern di memoria, ad esempio una costante di proof-of-work, utilizzata da un'applicazione di cryptomining.
- Esecuzione: corrispondenza hash di cryptomining: I risultati di questa categoria indicano che VM Threat Detection ha rilevato un hash di memoria utilizzato da un'applicazione di cryptomining.
- Esecuzione: rilevamento combinato: I risultati di questa categoria indicano che VM Threat Detection ha rilevato sia un pattern di memoria sia un hash di memoria utilizzati da un'applicazione di cryptomining.
- Malware: IP non valido: I risultati di questa categoria indicano che Event Threat Detection ha rilevato una connessione a un indirizzo IP noto per essere utilizzato da applicazioni di cryptomining o una ricerca di questo indirizzo.
- Malware: dominio dannoso: I risultati di questa categoria indicano che Event Threat Detection ha rilevato una connessione a un dominio o una ricerca di un dominio noto per essere utilizzato da applicazioni di cryptomining.
Abilita il logging di Cloud DNS
Per rilevare le chiamate effettuate dalle applicazioni di mining di criptovalute a domini noti come dannosi, abilita Cloud DNS Logging. Event Threat Detection elabora i log di Cloud DNS e genera risultati quando rileva la risoluzione di un dominio noto per essere utilizzato per i pool di criptomining.
Integra i tuoi prodotti SIEM e SOAR con Security Command Center
Integra Security Command Center con i tuoi strumenti per le operazioni di sicurezza esistenti, come i prodotti SIEM o SOAR, per valutare e rispondere ai risultati di Security Command Center per gli eventi di fase 0 e fase 1 che indicano potenziali o effettivi attacchi di cryptomining.
Se il tuo team di sicurezza non utilizza un prodotto SIEM o SOAR, deve acquisire familiarità con l'utilizzo dei risultati di Security Command Center nella console Google Cloud e con la configurazione delle notifiche e delle esportazioni dei risultati utilizzando Pub/Sub o le API Security Command Center per indirizzare in modo efficace i risultati relativi agli attacchi di cryptomining.
Per i risultati specifici che devi esportare negli strumenti di operazioni di sicurezza, consulta Attivare i servizi di rilevamento delle minacce chiave in tutti i progetti.
Per informazioni su come integrare i prodotti SIEM e SOAR con Security Command Center, vedi Configurare le integrazioni SIEM e SOAR.
Per informazioni sulla configurazione delle notifiche o delle esportazioni dei risultati, consulta le seguenti informazioni:
- Attivazione delle notifiche via email e chat in tempo reale
- Attivare le notifiche sui risultati per Pub/Sub
Designare i contatti fondamentali per le notifiche di sicurezza
Affinché la tua azienda possa rispondere il più rapidamente possibile a qualsiasi notifica di sicurezza da parte di Google, specifica a quali team della tua azienda, ad esempio sicurezza informatica o sicurezza operativa, devono ricevere le notifiche di sicurezza. Google Cloud Quando specifichi un team, inserisci il suo indirizzo email in Contatti fondamentali.
Per garantire la consegna affidabile di queste notifiche nel tempo, consigliamo vivamente ai team di configurare la consegna a una mailing list, a un gruppo o a un altro meccanismo che garantisca la coerenza della consegna e della distribuzione al team responsabile della tua organizzazione. Ti consigliamo di non specificare gli indirizzi email di privati come contatti essenziali perché la comunicazione può essere interrotta se le persone cambiano team o lasciano l'azienda.
Dopo aver configurato i contatti fondamentali, assicurati che la casella di posta venga monitorata continuamente dai tuoi team di sicurezza. Il monitoraggio continuo è una best practice fondamentale, perché gli avversari avviano spesso attacchi di cryptomining quando si aspettano che tu sia meno vigile, ad esempio nei fine settimana, nei giorni festivi e di notte.
La designazione dei contatti fondamentali per la sicurezza e il monitoraggio dell'indirizzo email dei contatti fondamentali sono sia una best practice sia un requisito del programma di protezione dal cryptomining di Security Command Center.
Mantenere le autorizzazioni IAM richieste
I tuoi team di sicurezza e Security Command Center stesso richiedono l'autorizzazione per accedere alle risorse nell'ambiente Google Cloud . Gestisci l'autenticazione e l'autorizzazione utilizzando Identity and Access Management (IAM).
Come best practice e, nel caso di Security Command Center, come requisito di base, devi mantenere o preservare i ruoli e le autorizzazioni IAM necessari per rilevare e rispondere agli attacchi di cryptomining.
Per informazioni generali su IAM su Google Cloud, consulta la panoramica di IAM.
Autorizzazioni richieste dai tuoi team di sicurezza
Per poter visualizzare i risultati di Security Command Center e rispondere immediatamente a un attacco di cryptomining o a un altro problema di sicurezza su Google Cloud, gli account utente del tuo personale addetto alla sicurezza devono essere autorizzati in anticipo a rispondere, risolvere e analizzare i problemi che potrebbero verificarsi. Google Cloud
Su Google Cloud, puoi gestire l'autenticazione e l'autorizzazione utilizzando ruoli e autorizzazioni IAM.
Ruoli richiesti per utilizzare Security Command Center
Per informazioni sui ruoli IAM necessari agli utenti per lavorare con Security Command Center, consulta Controllo dell'accesso con IAM.
Ruoli richiesti per lavorare con altri servizi Google Cloud
Per esaminare correttamente un attacco di cryptomining, probabilmente avrai bisogno di altri ruoli IAM, come i ruoli Compute Engine che ti consentono di visualizzare e gestire l'istanza VM interessata e le applicazioni in esecuzione.
A seconda di dove porta l'indagine su un attacco, potresti aver bisogno anche di altri ruoli, ad esempio ruoli di rete Compute Engine o ruoli Cloud Logging.
Per motivi di sicurezza, devi disporre anche delle autorizzazioni IAM appropriate per creare e gestire i tuoi Contatti fondamentali. Per informazioni sui ruoli IAM richiesti per gestire i contatti per la sicurezza, consulta Ruoli richiesti.
Autorizzazioni richieste da Security Command Center
Quando attivi Security Command Center, Google Cloud viene creato automaticamente un account di servizio che Security Command Center utilizza per l'autenticazione e l'autorizzazione durante l'esecuzione delle scansioni e l'elaborazione dei log. Durante il processo di attivazione, confermi le autorizzazioni concesse alaccount di serviziot.
Non rimuovere o modificare questo account di servizio, i suoi ruoli o le sue autorizzazioni.
Conferma l'implementazione delle best practice per il rilevamento del cryptomining
Puoi verificare se la tua organizzazione implementa le best practice per il rilevamento del cryptomining eseguendo uno script che controlla i metadati della tua organizzazione. Lo script è disponibile su GitHub.
Per esaminare README
e scaricare lo script, consulta
Script di convalida delle best practice per il rilevamento del cryptomining di SCC.