Cette page explique les bonnes pratiques à suivre pour détecter les attaques de minage de cryptomonnaie sur les machines virtuelles (VM) Compute Engine dans votre environnement Google Cloud.
Ces bonnes pratiques servent également de conditions d'éligibilité au programme de protection contre le minage de cryptomonnaie de Google Cloud. Pour en savoir plus sur le programme, consultez la présentation du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Activer le niveau Premium ou Enterprise de Security Command Center pour votre organisation
L'activation du niveau Premium ou Enterprise de Security Command Center est un élément essentiel pour détecter les attaques de minage de cryptomonnaie sur Google Cloud.
Deux services de détection des menaces des niveaux Premium et Enterprise sont essentiels pour détecter les attaques de minage de cryptomonnaies: Event Threat Detection et VM Threat Detection.
Étant donné que les attaques de minage de cryptomonnaie peuvent se produire sur n'importe quelle VM de n'importe quel projet de votre organisation, activer Security Command Center Premium ou Enterprise pour l'ensemble de votre organisation avec Event Threat Detection et VM Threat Detection activés est à la fois une bonne pratique et une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Pour en savoir plus, consultez la section Présentation de l'activation de Security Command Center.
Activer les principaux services de détection des menaces sur tous les projets
Activez les services de détection Event Threat Detection et VM Threat Detection de Security Command Center sur tous les projets de votre organisation.
Ensemble, Event Threat Detection et VM Threat Detection détectent les événements pouvant entraîner une attaque de minage de cryptomonnaie (événements de l'étape 0) et les événements indiquant qu'une attaque est en cours (événements de l'étape 1). Les événements spécifiques détectés par ces services de détection sont décrits dans les sections suivantes.
Pour en savoir plus, consultez les ressources suivantes :
Activer la détection d'événements de l'étape 0
Les événements de l'étape 0 sont des événements de votre environnement qui précèdent souvent les attaques de cryptominage courantes ou en constituent la première étape.
Event Threat Detection, un service de détection disponible avec Security Command Center Premium ou Enterprise, émet des résultats pour vous alerter lorsqu'il détecte certains événements de l'étape 0.
Si vous pouvez détecter et résoudre rapidement ces problèmes, vous pouvez éviter de nombreuses attaques de minage de cryptomonnaie avant de subir des coûts importants.
Event Threat Detection utilise les catégories de résultats suivantes pour vous alerter de ces événements:
- Account_Has_Leaked_Credentials : une découverte dans cette catégorie indique qu'une clé de compte de service a été divulguée sur GitHub. L'acquisition d'identifiants de compte de service est un précurseur courant des attaques de minage de cryptomonnaie.
- Fuite: accès depuis un proxy d'anonymisation : un résultat de cette catégorie indique qu'une modification apportée à un service Google Cloud provient d'un proxy anonyme, tel qu'un nœud de sortie Tor.
- Accès initial: action sur un compte de service inactif : un résultat de cette catégorie indique qu'un compte de service inactif a effectué une action dans votre environnement. Security Command Center utilise l'intelligence des règles pour détecter les comptes dormants.
Activer la détection d'événements de l'étape 1
Les événements de l'étape 1 indiquent qu'un programme d'application de minage de cryptomonnaie s'exécute dans votre environnement Google Cloud.
Event Threat Detection et VM Threat Detection génèrent des résultats Security Command Center pour vous alerter lorsqu'ils détectent certains événements de niveau 1.
Examinez et corrigez immédiatement ces résultats pour éviter de subir des coûts importants associés à la consommation de ressources des applications de minage de cryptomonnaies.
Un résultat dans l'une des catégories suivantes indique qu'une application de minage de cryptomonnaies s'exécute sur une VM dans l'un des projets de votre environnement Google Cloud:
- Exécution: règle YARA de minage de cryptomonnaie : les résultats de cette catégorie indiquent que VM Threat Detection a détecté un modèle de mémoire, tel qu'une constante de preuve de travail, utilisé par une application de minage de cryptomonnaie.
- Exécution: correspondance de hachage de minage de cryptomonnaie : les résultats de cette catégorie indiquent que VM Threat Detection a détecté un hachage de mémoire utilisé par une application de minage de cryptomonnaie.
- Exécution: détection combinée : les résultats de cette catégorie indiquent que VM Threat Detection a détecté à la fois un modèle de mémoire et un hachage de mémoire utilisés par une application de minage de cryptomonnaie.
- Logiciels malveillants: adresse IP incorrecte : les résultats de cette catégorie indiquent qu'Event Threat Detection a détecté une connexion à ou une recherche d'une adresse IP connue pour être utilisée par des applications de minage de cryptomonnaie.
- Logiciels malveillants: domaine incorrect : les résultats de cette catégorie indiquent qu'Event Threat Detection a détecté une connexion à ou une recherche d'un domaine connu pour être utilisé par des applications de minage de cryptomonnaie.
Activer la journalisation Cloud DNS
Pour détecter les appels effectués par les applications de minage de cryptomonnaie vers des domaines incorrects connus, activez la journalisation Cloud DNS. Event Threat Detection traite les journaux Cloud DNS et émet des résultats lorsqu'il détecte la résolution d'un domaine connu pour être utilisé pour des pools de minage de cryptomonnaie.
Intégrer vos produits SIEM et SOAR à Security Command Center
Intégrez Security Command Center à vos outils d'opérations de sécurité existants, tels que vos produits SIEM ou SOAR, pour trier et répondre aux résultats de Security Command Center pour les événements de stade 0 et de stade 1 qui indiquent des attaques de minage de cryptomonnaie potentielles ou réelles.
Si votre équipe de sécurité n'utilise pas de produit SIEM ou SOAR, elle doit se familiariser avec l'utilisation des résultats de Security Command Center dans la console Google Cloud, et apprendre à configurer les notifications et les exportations de résultats à l'aide de Pub/Sub ou des API Security Command Center pour router efficacement les résultats des attaques de cryptominage.
Pour connaître les résultats spécifiques que vous devez exporter vers vos outils d'opérations de sécurité, consultez Activer les principaux services de détection des menaces sur tous les projets.
Pour savoir comment intégrer des produits SIEM et SOAR à Security Command Center, consultez la section Configurer des intégrations SIEM et SOAR.
Pour en savoir plus sur la configuration des notifications de recherche ou des exportations, consultez les informations suivantes:
- Activer les notifications par e-mail et de chat en temps réel
- Activer les notifications de résultats pour Pub/Sub
Désigner vos contacts essentiels pour les notifications de sécurité
Pour que votre entreprise puisse répondre aussi rapidement que possible à toutes les notifications de sécurité de Google, indiquez à Google Cloud les équipes de votre entreprise, telles que la sécurité informatique ou la sécurité des opérations, qui doivent recevoir les notifications de sécurité. Lorsque vous spécifiez une équipe, vous saisissez son adresse e-mail dans Contacts essentiels.
Pour garantir la fiabilité de la diffusion de ces notifications au fil du temps, nous encourageons vivement les équipes à configurer la diffusion vers une liste de diffusion, un groupe ou un autre mécanisme qui garantit la cohérence de la diffusion et de la distribution à l'équipe responsable de votre organisation. Nous vous recommandons de ne pas spécifier les adresses e-mail des personnes en tant que contacts essentiels, car la communication peut être interrompue si les personnes changent d'équipe ou quittent l'entreprise.
Après avoir configuré vos contacts essentiels, assurez-vous que votre boîte de réception est surveillée en permanence par vos équipes de sécurité. La surveillance continue est une bonne pratique essentielle, car les pirates informatiques lancent fréquemment des attaques de cryptominage lorsqu'ils s'attendent à ce que vous soyez moins vigilant, par exemple les week-ends, les jours fériés et la nuit.
Il est recommandé de désigner des contacts essentiels pour la sécurité, puis de surveiller leur adresse e-mail. C'est également une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Gérer les autorisations IAM requises
Vos équipes chargées de la sécurité, ainsi que Security Command Center lui-même, ont besoin d'une autorisation pour accéder aux ressources de l'environnement Google Cloud. Vous gérez l'authentification et l'autorisation à l'aide d'Identity and Access Management (IAM).
Il est recommandé, et dans le cas de Security Command Center, obligatoire, de conserver les rôles et autorisations IAM nécessaires pour détecter et répondre aux attaques de minage de cryptomonnaie.
Pour en savoir plus sur IAM sur Google Cloud, consultez la présentation d'IAM.
Autorisations requises par vos équipes de sécurité
Pour pouvoir consulter les résultats de Security Command Center et répondre immédiatement à une attaque de minage de cryptomonnaie ou à tout autre problème de sécurité sur Google Cloud, les comptes utilisateur Google Cloud de votre personnel de sécurité doivent être autorisés à l'avance à répondre aux problèmes qui peuvent survenir, à les résoudre et à les examiner.
Dans Google Cloud, vous pouvez gérer l'authentification et l'autorisation à l'aide de rôles et d'autorisations IAM.
Rôles requis pour utiliser Security Command Center
Pour en savoir plus sur les rôles IAM dont les utilisateurs ont besoin pour utiliser Security Command Center, consultez la page Contrôle des accès avec IAM.
Rôles requis pour travailler avec d'autres services Google Cloud
Pour examiner correctement une attaque de minage de cryptomonnaie, vous aurez probablement besoin d'autres rôles IAM, tels que les rôles Compute Engine, qui vous permettent d'afficher et de gérer l'instance de VM affectée et les applications qui y sont exécutées.
En fonction de l'enquête sur une attaque, vous devrez peut-être également disposer d'autres rôles, tels que les rôles réseau Compute Engine ou les rôles Cloud Logging.
Vous avez également besoin des autorisations IAM appropriées pour créer et gérer vos contacts essentiels à des fins de sécurité. Pour en savoir plus sur les rôles IAM requis pour gérer les contacts de sécurité, consultez la section Rôles requis.
Autorisations requises par Security Command Center
Lorsque vous activez Security Command Center, Google Cloud crée automatiquement un compte de service que Security Command Center utilise pour l'authentification et l'autorisation lors de l'exécution d'analyses et du traitement des journaux. Au cours du processus d'activation, vous confirmez les autorisations accordées au compte de service.
Ne supprimez pas ce compte de service, ses rôles ni ses autorisations, et ne les modifiez pas.
Vérifier l'implémentation des bonnes pratiques de détection du minage de cryptomonnaie
Vous pouvez vérifier si votre organisation implémente les bonnes pratiques de détection de la cryptomonnaie en exécutant un script qui vérifie les métadonnées de votre organisation. Le script est disponible sur GitHub.
Pour consulter le README et télécharger le script, consultez le script de validation des bonnes pratiques de détection du minage de cryptomonnaie de SCC.