Best practice per il rilevamento del cryptomining

Questa pagina spiega le best practice per il rilevamento attacchi di cryptomining (cryptomining) agli attacchi virtuali di Compute Engine (VM) nel tuo ambiente Google Cloud.

Queste best practice fungono anche da requisiti di idoneità per Programma di protezione dal cryptomining di Google Cloud. Per ulteriori informazioni sul programma, consulta la panoramica del programma di protezione dal cryptomining di Security Command Center.

Attiva il livello Premium o Enterprise di Security Command Center per la tua organizzazione

L'attivazione del livello Premium o Enterprise di Security Command Center è un elemento fondamentale per rilevare gli attacchi di cryptomining in Google Cloud.

Due servizi di rilevamento delle minacce dei livelli Premium ed Enterprise sono fondamentali per rilevare gli attacchi di cryptomining: Event Threat Detection e VM Threat Detection.

Poiché gli attacchi di cryptomining possono verificarsi su qualsiasi VM in qualsiasi progetto all'interno del tuo organizzazione, attivando Security Command Center Premium o Enterprise per tutta la durata organizzazione con Event Threat Detection e VM Threat Detection abilitati è sia una best practice che un requisito di Security Command Center Programma di protezione dal cryptomining.

Per ulteriori informazioni, consulta Panoramica dell'attivazione di Security Command Center.

Attivare i servizi di rilevamento delle minacce principali in tutti i progetti

Abilita i servizi di rilevamento di Event Threat Detection e VM Threat Detection di Security Command Center su tutti i progetti della tua organizzazione.

Insieme, Event Threat Detection e VM Threat Detection eventi che possono portare a un attacco di cryptomining (eventi di fase 0) ed eventi che indicano un attacco in corso (eventi di fase 1). Gli eventi specifici rilevati da questi servizi sono descritti nelle sezioni seguenti.

Per ulteriori informazioni, consulta le seguenti risorse:

• Panoramica di Event Threat Detection
• Panoramica di VM Threat Detection

Abilita rilevamento eventi stage-0

Gli eventi di fase 0 sono eventi nel tuo ambiente che spesso precedono o sono il primo passo dei comuni attacchi di cryptomining.

Event Threat Detection, un servizio di rilevamento disponibile con Security Command Center Premium o Enterprise, genera risultati per avvisarti quando rileva determinati eventi di fase 0.

Se riesci a rilevare e risolvere rapidamente questi problemi, puoi prevenire molti attacchi di cryptomining prima di incorrere in costi significativi.

Event Threat Detection utilizza le seguenti categorie di risultati per avvisarti di questi eventi:

• Account_Has_Leaked_Credentials: Un risultato in questa categoria indica che la chiave di un account di servizio era trapelate su GitHub. L'acquisizione delle credenziali degli account di servizio è un precursore comune degli attacchi di cryptomining.
• Evasione: accesso da proxy con anonimizzazione: un rilevamento in questa categoria indica che una modifica a un servizio Google Cloud ha avuto origine da un proxy anonimo, come un nodo di uscita Tor.
• Accesso iniziale: azione account di servizio inattivo: un rilevamento in questa categoria indica che un account di servizio inattivo ha eseguito un'azione nel tuo ambiente. Security Command Center utilizza Policy Intelligence per rilevare gli account inattivi.

Attiva il rilevamento degli eventi di primo livello

Gli eventi della fase 1 sono eventi che indicano che un'applicazione di cryptomining è in esecuzione nel tuo ambiente Google Cloud.

Sia Event Threat Detection sia VM Threat Detection emettono risultati di Security Command Center per avvisarti quando rilevano determinati eventi di fase 1.

Analizza e correggi questi risultati immediatamente per evitare che si verifichino e costi significativi associati al consumo di risorse applicazioni di cryptomining.

Un risultato in una delle seguenti categorie indica che un di cryptomining è in esecuzione su una VM in uno dei progetti in l'ambiente Google Cloud:

• Esecuzione: regola YARA per il cryptomining: i risultati in questa categoria indicano che VM Threat Detection ha rilevato un pattern di memoria, ad esempio una costante proof-of-work, utilizzato da un applicazione di cryptomining.
• Esecuzione: corrispondenza dell'hash di cryptomining: I risultati di questa categoria indicano che VM Threat Detection ha rilevato un hash di memoria usato da un'applicazione di cryptomining.
• Esecuzione: rilevamento combinato: i risultati in questa categoria indicano che VM Threat Detection ha rilevato sia un pattern di memoria sia un hash di memoria utilizzati da un'applicazione di cryptomining.
• Malware: indirizzo IP non valido: I risultati di questa categoria indicano che Event Threat Detection ha rilevato una connessione o una ricerca di un indirizzo IP noto per essere utilizzato da applicazioni di cryptomining.
• Malware: dominio non valido: i risultati in questa categoria indicano che Event Threat Detection ha rilevato una connessione a o una ricerca di un dominio noto per essere utilizzato da applicazioni di cryptomining.

Abilita logging di Cloud DNS

Per rilevare le chiamate effettuate dalle applicazioni di cryptomining a domini con problemi noti, attiva Cloud DNS Logging. Event Threat Detection elabora Cloud DNS registra i log e genera i risultati quando rileva la risoluzione di un noto per essere utilizzato per i pool di cryptomining.

Integrare i prodotti SIEM e SOAR con Security Command Center

Integra Security Command Center con i tuoi strumenti per le operazioni di sicurezza esistenti, come i prodotti SIEM o SOAR, per classificare e rispondere alle Risultati di Security Command Center per eventi di fase 0 e fase 1 che indicano attacchi di cryptomining potenziali o effettivi.

Se il team di sicurezza non utilizza un prodotto SIEM o SOAR, acquisire familiarità con l'utilizzo dei risultati di Security Command Center nella console Google Cloud e come configurare le notifiche sui risultati ed esportazioni utilizzando le API Pub/Sub o Security Command Center per il routing i risultati degli attacchi di cryptomining in modo efficace.

Per i risultati specifici che devi esportare negli strumenti di operazioni di sicurezza, consulta Attivare i servizi di rilevamento delle minacce principali in tutti i progetti.

Per informazioni su come integrare i prodotti SIEM e SOAR con Security Command Center, vedi Configurazione delle integrazioni SIEM e SOAR.

Per informazioni sulla configurazione delle notifiche o delle esportazioni sui risultati, consulta le le seguenti informazioni:

• Attivare le notifiche via email e chat in tempo reale
• Attivare le notifiche sui risultati per Pub/Sub

Specifica i contatti necessari per le notifiche di sicurezza

In modo che la tua azienda possa rispondere il più rapidamente possibile a qualsiasi delle notifiche di Google, specifica a Google Cloud quali team aziendali, come la sicurezza informatica o la sicurezza operativa, ricevi notifiche relative alla sicurezza. Quando specifichi un team, inserisci il relativo indirizzo email in Contatti fondamentali.

Per garantire un recapito affidabile di queste notifiche nel tempo, Incoraggia vivamente i team a configurare la consegna a una mailing list, un gruppo o altro meccanismo che garantisca coerenza di distribuzione e distribuzione al team responsabile della tua organizzazione. Ti consigliamo di non specificare gli indirizzi email di privati come contatti essenziali perché la comunicazione può essere interrotta se le persone cambiano team o lasciano l'azienda.

Dopo aver configurato i contatti essenziali, assicurati che la Posta in arrivo viene monitorata continuamente dai team di sicurezza. Monitoraggio continuo è una best practice fondamentale, perché gli aggressori spesso avviano attacchi di cryptomining quando si aspettano che tu sia meno vigili, ad esempio nei fine settimana, nei giorni festivi e di notte.

La designazione dei contatti fondamentali per la sicurezza e il monitoraggio dell'indirizzo email dei contatti fondamentali sono sia una best practice sia un requisito del Programma di protezione dal cryptomining di Security Command Center.

Mantieni le autorizzazioni IAM richieste

I tuoi team di sicurezza e lo stesso Security Command Center richiedono l'autorizzazione per accedere alle risorse nell'ambiente Google Cloud. Gestisci tu l'autenticazione e l'autorizzazione mediante Identity and Access Management (IAM).

Come best practice e, nel caso di Security Command Center, come requisito di base, devi mantenere o conservare i ruoli e le autorizzazioni IAM necessari per rilevare e rispondere agli attacchi di cryptomining.

Per informazioni generali su IAM su Google Cloud, consulta la panoramica di IAM.

Autorizzazioni richieste dai team di sicurezza

Per poter visualizzare i risultati di Security Command Center e rispondere immediatamente a un attacco di cryptomining o a un altro problema di sicurezza su Google Cloud, gli account utente Google Cloud del tuo personale addetto alla sicurezza devono essere autorizzati in anticipo a rispondere, a risolvere e a esaminare i problemi che potrebbero verificarsi.

Su Google Cloud, puoi gestire l'autenticazione e l'autorizzazione utilizzando ruoli e autorizzazioni IAM.

Ruoli richiesti per lavorare con Security Command Center

Per informazioni sui ruoli IAM di cui gli utenti devono disporre per lavorare con Security Command Center, consulta Controllo dell'accesso con IAM.

Ruoli necessari per lavorare con altri servizi Google Cloud

Per indagare correttamente su un attacco di cryptomining, è probabile che servano e altri ruoli IAM, Ruoli di Compute Engine che ti consentono di visualizzare e gestire l'istanza VM interessata e le applicazioni in esecuzione.

A seconda di dove porta l’indagine su un attacco, potresti aver bisogno anche altri ruoli, ad esempio Ruoli di rete di Compute Engine o i ruoli Cloud Logging.

Inoltre, sono necessarie le autorizzazioni IAM appropriate per creare e gestire i contatti fondamentali per la sicurezza. Per informazioni sui ruoli IAM richiesti per gestire i contatti per la sicurezza, consulta Ruoli richiesti.

Autorizzazioni richieste da Security Command Center

Quando attivi Security Command Center, Google Cloud esegue crea un account di servizio utilizzato da Security Command Center per l'autenticazione e l'autorizzazione durante l'esecuzione di scansioni ed elaborazioni logaritmi. Durante la procedura di attivazione, confermi le autorizzazioni concesse all'account di servizio.

Non rimuovere o modificare questo account di servizio, i relativi ruoli o le relative autorizzazioni.

Conferma l'implementazione delle best practice per il rilevamento del cryptomining

Puoi verificare se la tua organizzazione implementa le migliori pratiche per rilevare il cryptomining eseguendo uno script che controlla i metadati della tua organizzazione. Lo script è disponibile su GitHub.

Per esaminare il README e scaricare lo script, consulta Script di convalida delle best practice per il rilevamento del cryptomining di SCC.