Bonnes pratiques de détection du minage de cryptomonnaie

Cette page présente les bonnes pratiques pour détecter les attaques de minage de cryptomonnaie (cryptominage) sur les machines virtuelles (VM) Compute Engine dans votre environnement Google Cloud .

Ces bonnes pratiques servent également de critères d'éligibilité auGoogle Cloud Cryptomining Protection Program. Pour en savoir plus sur le programme, consultez la présentation du programme de protection contre le minage de cryptomonnaie de Security Command Center.

Activer le niveau Premium ou Enterprise de Security Command Center pour votre organisation

L'activation du niveau Premium ou Enterprise de Security Command Center est un élément fondamental pour détecter les attaques de minage de cryptomonnaie surGoogle Cloud.

Deux services de détection des menaces des niveaux Premium et Enterprise sont essentiels pour détecter les attaques de minage de cryptomonnaie : Event Threat Detection et VM Threat Detection.

Étant donné que les attaques de minage de cryptomonnaie peuvent se produire sur n'importe quelle VM de n'importe quel projet de votre organisation, il est à la fois recommandé et obligatoire d'activer Security Command Center Premium ou Enterprise pour l'ensemble de votre organisation, avec Event Threat Detection et VM Threat Detection activés. C'est une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.

Pour en savoir plus, consultez Présentation de l'activation de Security Command Center ou Activer Security Command Center Enterprise Center.

Activer les principaux services de détection des menaces sur tous les projets

Activez les services de détection Event Threat Detection et VM Threat Detection de Security Command Center sur tous les projets de votre organisation.

Ensemble, Event Threat Detection et VM Threat Detection détectent les événements pouvant entraîner une attaque par minage de cryptomonnaie (événements de niveau 0) et les événements indiquant qu'une attaque est en cours (événements de niveau 1). Les événements spécifiques détectés par ces services sont décrits dans les sections suivantes.

Pour en savoir plus, consultez les ressources suivantes :

• Présentation d'Event Threat Detection
• Présentation de VM Threat Detection

Activer la détection des événements de l'étape 0

Les événements de niveau 0 sont des événements qui se produisent dans votre environnement et qui précèdent souvent les attaques de cryptominage courantes ou en constituent la première étape.

Event Threat Detection, un service de détection disponible avec Security Command Center Premium ou Enterprise, génère des résultats pour vous alerter lorsqu'il détecte certains événements de phase 0.

Si vous pouvez détecter et résoudre rapidement ces problèmes, vous pouvez éviter de nombreuses attaques de minage de cryptomonnaie avant d'engendrer des coûts importants.

Event Threat Detection utilise les catégories de résultats suivantes pour vous alerter de ces événements :

• Account_Has_Leaked_Credentials : une découverte de cette catégorie indique qu'une clé de compte de service a été divulguée sur GitHub. L'acquisition d'identifiants de compte de service est un précurseur courant des attaques de minage de cryptomonnaie.
• Fuite : accès depuis le proxy d'anonymisation : une découverte de cette catégorie indique qu'une modification apportée à un serviceGoogle Cloud provient d'une adresse IP associée au réseau Tor.
• Accès initial : action sur un compte de service inactif : un résultat de cette catégorie indique qu'un compte de service inactif a effectué une action dans votre environnement. Security Command Center utilise Policy Intelligence pour détecter les comptes inactifs.

Activer la détection des événements de niveau 1

Les événements de niveau 1 sont des événements qui indiquent qu'un programme d'application de minage de cryptomonnaie est en cours d'exécution dans votre environnement Google Cloud .

Event Threat Detection et VM Threat Detection génèrent des résultats Security Command Center pour vous alerter lorsqu'ils détectent certains événements de phase 1.

Examinez et corrigez immédiatement ces résultats pour éviter d'encourir des coûts importants associés à la consommation de ressources des applications de minage de cryptomonnaie.

Un résultat dans l'une des catégories suivantes indique qu'une application de minage de cryptomonnaie est en cours d'exécution sur une VM dans l'un des projets de votre environnement Google Cloud  :

• Exécution : règle YARA de minage de cryptomonnaie : les résultats de cette catégorie indiquent que VM Threat Detection a détecté un modèle de mémoire, tel qu'une constante de preuve de travail, utilisé par une application de minage de cryptomonnaie.
• Exécution : correspondance de hachage de minage de cryptomonnaie : les résultats de cette catégorie indiquent que VM Threat Detection a détecté un hachage de mémoire utilisé par une application de minage de cryptomonnaie.
• Exécution : détection combinée : les résultats de cette catégorie indiquent que VM Threat Detection a détecté à la fois un modèle de mémoire et un hachage de mémoire utilisés par une application de minage de cryptomonnaie.
• Logiciel malveillant : adresse IP incorrecte : Les résultats de cette catégorie indiquent qu'Event Threat Detection a détecté une connexion à une adresse IP ou une recherche d'adresse IP connue pour être utilisée par des applications de minage de cryptomonnaie.
• Logiciel malveillant : domaine incorrect : Les résultats de cette catégorie indiquent qu'Event Threat Detection a détecté une connexion à un domaine ou une recherche d'un domaine connu pour être utilisé par des applications de minage de cryptomonnaie.

Activer la journalisation Cloud DNS

Pour détecter les appels effectués par les applications de minage de cryptomonnaie vers des domaines incorrects connus, activez la journalisation Cloud DNS. Event Threat Detection traite les journaux Cloud DNS et génère des résultats lorsqu'il détecte la résolution d'un domaine connu pour être utilisé pour les pools de minage de cryptomonnaie.

Intégrer vos produits SIEM et SOAR à Security Command Center

Intégrez Security Command Center à vos outils d'opérations de sécurité existants, tels que vos produits SIEM ou SOAR, pour trier et traiter les résultats Security Command Center pour les événements de niveau 0 et 1 qui indiquent des attaques de minage de cryptomonnaie potentielles ou réelles.

Si votre équipe de sécurité n'utilise pas de produit SIEM ni SOAR, elle doit se familiariser avec l'utilisation des résultats Security Command Center dans la console Google Cloud , et apprendre à configurer les notifications et les exportations de résultats à l'aide de Pub/Sub ou des API Security Command Center pour acheminer efficacement les résultats des attaques de minage de cryptomonnaie.

Pour connaître les résultats spécifiques que vous devez exporter vers vos outils d'opérations de sécurité, consultez Activer les principaux services de détection des menaces dans tous les projets.

Pour savoir comment intégrer des produits SIEM et SOAR à Security Command Center, consultez Configurer des intégrations SIEM et SOAR.

Pour savoir comment configurer des notifications ou des exportations de résultats, consultez les informations suivantes :

• Activer les notifications par e-mail et de chat en temps réel
• Activer les notifications de résultats pour Pub/Sub

Désigner vos contacts essentiels pour les notifications de sécurité

Pour que votre entreprise puisse répondre le plus rapidement possible aux notifications de sécurité de Google, indiquez à Google Cloud quelles équipes de votre entreprise, telles que la sécurité informatique ou la sécurité des opérations, doivent recevoir les notifications de sécurité. Lorsque vous spécifiez une équipe, vous saisissez son adresse e-mail dans Contacts essentiels.

Pour assurer la fiabilité de la diffusion de ces notifications au fil du temps, nous encourageons vivement les équipes à configurer la diffusion vers une liste de diffusion, un groupe ou un autre mécanisme qui assure la cohérence de la diffusion et de la distribution à l'équipe responsable de votre organisation. Nous vous recommandons de ne pas spécifier les adresses e-mail de personnes physiques comme contacts essentiels, car la communication peut être interrompue si ces personnes changent d'équipe ou quittent l'entreprise.

Après avoir configuré vos contacts essentiels, assurez-vous que la boîte de réception de l'adresse e-mail est surveillée en permanence par vos équipes de sécurité. La surveillance continue est une bonne pratique essentielle, car les pirates informatiques lancent fréquemment des attaques de minage de cryptomonnaie lorsqu'ils s'attendent à ce que vous soyez moins vigilant, par exemple le week-end, les jours fériés et la nuit.

Il est recommandé de désigner vos contacts essentiels pour la sécurité, puis de surveiller leur adresse e-mail. C'est également une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.

Conserver les autorisations IAM requises

Vos équipes de sécurité et Security Command Center lui-même ont besoin d'une autorisation pour accéder aux ressources dans l'environnement Google Cloud . Vous gérez l'authentification et l'autorisation à l'aide d'Identity and Access Management (IAM).

En tant que bonne pratique et, dans le cas de Security Command Center, en tant qu'exigence de base, vous devez conserver les rôles et autorisations IAM nécessaires pour détecter les attaques de minage de cryptomonnaie et y répondre.

Pour obtenir des informations générales sur IAM sur Google Cloud, consultez la présentation d'IAM.

Autorisations requises par vos équipes de sécurité

Pour pouvoir afficher les résultats de Security Command Center et répondre immédiatement à une attaque de minage de cryptomonnaie ou à un autre problème de sécurité sur Google Cloud, les comptes d'utilisateur Google Cloud de votre personnel de sécurité doivent être autorisés à l'avance à répondre, à corriger et à examiner les problèmes qui pourraient survenir.

Sur Google Cloud, vous pouvez gérer l'authentification et l'autorisation à l'aide des rôles et autorisations IAM.

Rôles requis pour utiliser Security Command Center

Pour en savoir plus sur les rôles IAM dont les utilisateurs ont besoin pour travailler avec Security Command Center, consultez Contrôle des accès avec IAM.

Rôles requis pour utiliser d'autres services Google Cloud

Pour examiner correctement une attaque de minage de cryptomonnaie, vous aurez probablement besoin d'autres rôles IAM, tels que les rôles Compute Engine qui vous permettent d'afficher et de gérer l'instance de VM concernée et les applications qui y sont exécutées.

Selon l'orientation de votre enquête sur une attaque, vous aurez peut-être besoin d'autres rôles, tels que les rôles réseau Compute Engine ou les rôles Cloud Logging.

Vous devez également disposer des autorisations IAM appropriées pour créer et gérer vos contacts essentiels pour la sécurité. Pour en savoir plus sur les rôles IAM requis pour gérer les contacts de sécurité, consultez Rôles requis.

Autorisations requises par Security Command Center

Lorsque vous activez Security Command Center, Google Cloud crée automatiquement un compte de service que Security Command Center utilise pour l'authentification et l'autorisation lors de l'exécution des analyses et du traitement des journaux. Lors du processus d'activation, vous confirmez les autorisations accordées au compte de service.

Ne supprimez ni ne modifiez ce compte de service, ses rôles ni ses autorisations.

Confirmer l'implémentation des bonnes pratiques de détection du minage de cryptomonnaie

Pour savoir si votre organisation applique les bonnes pratiques pour détecter le minage de cryptomonnaie, vous pouvez exécuter un script qui vérifie les métadonnées de votre organisation. Le script est disponible sur GitHub.

Pour consulter le README et télécharger le script, consultez Script de validation des bonnes pratiques de détection du minage de cryptomonnaie SCC.