Práticas recomendadas para detecção de criptomineração

Nesta página, explicamos as práticas recomendadas para detectar ataques de mineração de criptomoedas (criptomineração) em máquinas virtuais (VMs) do Compute Engine no ambiente do Google Cloud.

Essas práticas recomendadas também servem como requisitos de qualificação para o programa de proteção contra criptomineração do Google Cloud. Para mais informações, consulte a visão geral do Programa de Proteção de Criptografia de Security do Security Command Center.

Ativar o nível Premium do Security Command Center para sua organização

O nível Premium do Security Command Center Premium é um elemento fundamental para detectar ataques de criptomineração no Google Cloud.

O Security Command Center Premium fornece dois serviços de detecção essenciais para a detecção de ataques de criptomineração: Event Threat Detection e VM Threat Detection.

Como os ataques de criptomineração podem ocorrer em qualquer VM em qualquer projeto da organização, ativar o Security Command Center Premium para toda a organização com o Event Threat Detection e o VM Threat Detection ativado é uma prática recomendada e um requisito do Programa Security Protection Center do Security Command Center.

Para mais informações, consulte Ativar o Security Command Center para uma organização.

Ativar serviços de detecção de ameaças de chave em todos os projetos

Ative os serviços de detecção de ameaças de eventos e de ameaças à VM do Security Command Center Premium em todos os projetos da organização.

Juntos, o Event Threat Detection e o VM Threat Detection detectam eventos que podem levar a um ataque de criptomineração (eventos no estágio 0) e eventos que indicam que um ataque está em andamento (eventos no estágio 1). Os eventos específicos detectados pelos serviços de detecção são descritos nas seções a seguir.

Para ver mais informações, consulte os seguintes tópicos:

• Visão geral do Event Threat Detection
• Visão geral da VM Threat Detection

Ativar detecção de eventos do estágio 0

Eventos de estágio 0 são eventos no ambiente que geralmente precedem ou são a primeira etapa de ataques comuns de criptomineração.

O Event Threat Detection, um serviço de detecção disponível com o Security Command Center Premium, emite descobertas para alertar você quando detectar certos eventos de estágio 0.

Se for possível detectar e corrigir esses problemas rapidamente, será possível evitar muitos ataques de criptomineração antes de gerar custos significativos.

O Event Threat Detection usa as seguintes categorias de descoberta para alertar você sobre esses eventos:

• Account_Has_Leaked_Credentials: uma descoberta nessa categoria indica que uma chave de conta de serviço vazou no GitHub. A aquisição de credenciais de conta de serviço é um precursor comum de ataques de criptomineração.
• Evasão: acesso a partir do proxy anônimo: uma descoberta nessa categoria indica que uma modificação em um serviço do Google Cloud se originou de um proxy anônimo, como um nó de saída.
• Acesso inicial: ação da conta de serviço inativa: uma descoberta nessa categoria indica que uma conta de serviço inativa executou uma ação no seu ambiente. O Security Command Center usa o Policy Intelligence para detectar contas inativas.

Ativar detecção de eventos do cenário 1

Os eventos do Estágio 1 indicam que um programa de aplicativos de criptomineração está sendo executado no ambiente do Google Cloud.

Tanto o Event Threat Detection quanto o VM Threat Detection emitem descobertas do Security Command Center para alertá-lo quando detectarem determinados eventos de estágio 1.

Investigue e corrija essas descobertas imediatamente para evitar custos significativos associados ao consumo de recursos de aplicativos de mineração de criptomineração.

Uma descoberta em qualquer uma das categorias a seguir indica que um aplicativo de mineração de criptomineração está sendo executado em uma VM em um dos projetos no seu ambiente do Google Cloud:

• Execução: regra YARA de criptomineração : As descobertas nesta categoria indicam que o VM Threat Detection detectou um padrão de memória, como uma constante de prova de trabalho, que é usado por um aplicativo de mineração de criptomineração.
• Execução: correspondência de hash de criptomineração: as descobertas nesta categoria indicam que a detecção de ameaças de VM detectou um hash de memória usado por um aplicativo de criptomineração.
• Execução: detecção combinada: as descobertas nesta categoria indicam que a detecção de ameaças da VM detectou um padrão de memória e um hash de memória usados por um aplicativo de criptomineração.
• Malware: IP inválido: as descobertas nessa categoria indicam que a detecção de ameaças de eventos detectou uma conexão ou pesquisa de um endereço IP conhecido como usado por aplicativos de criptomineração.
• Malware: domínio inválido: as descobertas nessa categoria indicam que a detecção de ameaças de eventos detectou uma conexão ou pesquisa de um domínio conhecido por uso de criptomineração. aplicativos.

Ativar a geração de registros do Cloud DNS

Para detectar chamadas feitas por aplicativos de criptomineração para domínios inválidos conhecidos, ative o Cloud DNS Logging. O Event Threat Detection processa os registros do Cloud DNS e emite descobertas quando detecta a resolução de um domínio conhecido por ser usado para pools de criptomineração.

Integre seus produtos SIEM e SOAR com o Security Command Center

Integre o Security Command Center às ferramentas de operações de segurança atuais, como os produtos SIEM ou SOAR, para fazer a triagem e responder às destinações do Security Command Center para eventos "stage-0" e "stage-1" que indicam possíveis ou ataques de criptomineração reais.

Se a sua equipe de segurança não usa um produto SIEM ou SOAR, ela precisa se familiarizar com o trabalho com as descobertas do Security Command Center no console do Google Cloud e como configurar a descoberta de notificações e exportações usando o Pub/Sub ou as APIs Security Command Center para rotear descobertas de ataques de criptomineração com eficácia.

Para encontrar as descobertas específicas que você precisa exportar para suas ferramentas de operações de segurança, consulte Ativar serviços de detecção de ameaças principais em todos os projetos.

Para informações sobre como integrar produtos SIEM e SOAR ao Security Command Center, consulte Como configurar integrações SIEM e SOAR.

Para informações sobre como configurar notificações de localização ou exportações, consulte as seguintes informações:

• Como ativar as notificações de chat e e-mail em tempo real
• Ativar as notificações de descoberta do Pub/Sub

Designar seus contatos essenciais para notificações de segurança

Para que sua empresa possa responder o mais rápido possível a qualquer notificação de segurança do Google, especifique ao Google Cloud quais equipes na sua empresa, como segurança de TI ou de operações, devem receber notificações de segurança. Ao especificar uma equipe, insira o endereço de e-mail dela nos Contatos essenciais.

Para garantir a entrega confiável dessas notificações ao longo do tempo, recomendamos que as equipes configurem a entrega para uma lista de e-mails, um grupo ou outro mecanismo que garanta a consistência da entrega e distribuição para a equipe responsável da sua organização. Recomendamos que você não especifique os endereços de e-mail de indivíduos como contatos essenciais, porque a comunicação poderá ser interrompida se os indivíduos mudarem de equipe ou saírem da empresa.

Depois de configurar os contatos essenciais, verifique se a caixa de entrada de e-mail é monitorada continuamente pelas equipes de segurança. O monitoramento contínuo é uma prática recomendada essencial, porque os adversários geralmente iniciam ataques de mineração de criptomoedas quando esperam que você tenha menos cuidado, como nos fins de semana, feriados e à noite.

Designar seus contatos essenciais para segurança e, em seguida, monitorar o endereço de e-mail de contatos essenciais é uma prática recomendada e um requisito do Programa de Proteção de Criptomineração do Security Command Center.

Manter as permissões necessárias do IAM

Suas equipes de segurança e o próprio Security Command Center precisam de autorização para acessar recursos no ambiente do Google Cloud. A autenticação e a autorização são gerenciadas com o Identity and Access Management (IAM).

Como prática recomendada e, no caso do Security Command Center, um requisito básico, você precisa manter ou preservar os papéis e permissões do IAM necessários para detectar e responder a ataques de criptomineração.

Para informações gerais sobre o IAM no Google Cloud, consulte Visão geral do IAM.

Autorizações exigidas pelas equipes de segurança

Para ter acesso às descobertas do Security Command Center e responder imediatamente a um ataque de criptomineração ou outro problema de segurança no Google Cloud, as contas de usuário do Google Cloud da equipe de segurança precisam ser autorizadas com antecedência para responder, corrigir e investigar os problemas que possam surgir.

No Google Cloud, é possível gerenciar a autenticação e autorização usando papéis e permissões do IAM.

Papéis necessários para trabalhar com o Security Command Center

Para informações sobre os papéis do IAM que os usuários precisam para trabalhar com o Security Command Center, consulte Controle de acesso com IAM.

Papéis necessários para trabalhar com outros serviços do Google Cloud

Para investigar adequadamente um ataque de mineração de criptomoedas, é provável que você precise de outros papéis do IAM, como papéis do Compute Engine, que permitem visualizar e gerenciar a instância de VM afetada e os aplicativos em execução nela.

Dependendo do local para onde a investigação de um ataque leva, talvez você também precise de outros papéis, como papéis de rede do Compute Engine ou papéis do Cloud Logging.

Você também precisa das permissões adequadas do IAM para criar e gerenciar seus contatos essenciais por segurança. Para informações sobre os papéis do IAM necessários para gerenciar contatos de segurança, consulte Papéis obrigatórios.

Autorizações exigidas pelo Security Command Center

Quando você ativa o Security Command Center, o Google Cloud cria automaticamente uma conta de serviço que o Security Command Center usa para autenticação e autorização ao executar verificações e processar registros. Durante o processo de ativação, você confirma as permissões concedidas à conta de serviço.

Não remova ou modifique essa conta de serviço, os respectivos papéis ou permissões.

Confirmar a implementação das práticas recomendadas de detecção de mineração de criptomoedas

Você pode saber se sua organização implementa as práticas recomendadas para detectar mineração de criptomoedas executando um script que verifica os metadados da organização. O script está disponível no GitHub.

Para revisar o README e fazer o download do script, consulte Script de validação das práticas recomendadas de detecção de mineração de criptomoedas de SCC.