בדף הזה מוסבר על שיטות מומלצות לזיהוי מתקפות של כריית מטבעות קריפטוגרפיים (cryptomining) במכונות וירטואליות (VM) של Compute Engine בסביבה שלכם ב- Google Cloud .
השיטות המומלצות האלה משמשות גם כדרישות הסף להשתתפות בGoogle Cloud תוכנית להגנה מפני כריית קריפטו. מידע נוסף על התוכנית זמין במאמר סקירה כללית על תוכנית ההגנה מפני כריית קריפטו ב-Security Command Center.
הפעלת רמת Premium או Enterprise של Security Command Center בארגון
הפעלת מסלול פרימיום או רמת Enterprise של Security Command Center היא רכיב בסיסי בזיהוי מתקפות כריית מטבע וירטואלי ב-Google Cloud.
שני שירותים לזיהוי איומים ברמות Premium ו-Enterprise הם קריטיים לזיהוי מתקפות כריית קריפטו: Event Threat Detection ו-VM Threat Detection.
מכיוון שהתקפות כריית קריפטו יכולות להתרחש בכל VM בכל פרויקט בארגון, הפעלת Security Command Center Premium או Enterprise בכל הארגון עם Event Threat Detection ו-VM Threat Detection מופעלים היא גם שיטה מומלצת וגם דרישה של תוכנית ההגנה מפני כריית קריפטו של Security Command Center.
מידע נוסף זמין במאמר סקירה כללית של הפעלת Security Command Center או במאמר הפעלת מהדורת Security Command Center Enterprise.
הפעלת שירותים לזיהוי איומים מרכזיים בכל הפרויקטים
מפעילים את שירותי הזיהוי Event Threat Detection ו-VM Threat Detection של Security Command Center בכל הפרויקטים בארגון.
השילוב של Event Threat Detection ו-VM Threat Detection מאפשר לזהות אירועים שיכולים להוביל למתקפת כריית מטבע וירטואלי (אירועים בשלב 0) ואירועים שמצביעים על כך שמתקפה מתרחשת (אירועים בשלב 1). בקטעים הבאים מתוארים האירועים הספציפיים ששירותי הזיהוי האלה מזהים.
למידע נוסף, קראו את המאמרים הבאים:
הפעלת זיהוי אירועים ברמה 0
אירועים בשלב 0 הם אירועים בסביבה שלכם שלרוב קודמים למתקפות כריית מטבע וירטואלי נפוצות, או שהם השלב הראשון בהן.
Event Threat Detection הוא שירות זיהוי שזמין ב-Security Command Center Premium או Enterprise. השירות הזה יוצר ממצאים כדי להזהיר אתכם כשהוא מזהה אירועים מסוימים בשלב 0.
אם תצליחו לזהות את הבעיות האלה ולתקן אותן במהירות, תוכלו למנוע הרבה מתקפות של כריית מטבע וירטואלי לפני שתצטרכו לשלם עלויות גבוהות.
הכלי Event Threat Detection משתמש בקטגוריות הממצאים הבאות כדי להתריע על האירועים האלה:
- Account_Has_Leaked_Credentials: ממצא בקטגוריה הזו מציין שמפתח של חשבון שירות הודלף ב-GitHub. השגת פרטי כניסה לחשבון שירות היא שלב מקדים נפוץ להתקפות של כריית מטבע וירטואלי.
- התחמקות: גישה מ-Proxy לאנונימיזציה: ממצא בקטגוריה הזו מציין שבוצע שינוי בGoogle Cloud שירות שמקורו בכתובת IP שמשויכת לרשת Tor.
- Initial Access: Dormant Service Account Action: ממצא בקטגוריה הזו מציין שחשבון שירות רדום ביצע פעולה בסביבה שלכם. Security Command Center משתמש בכלים לבקרת מדיניות כדי לזהות חשבונות רדומים.
הפעלת זיהוי אירועים בשלב 1
אירועים בשלב 1 הם אירועים שמציינים שתוכנית של אפליקציית כריית מטבע וירטואלי פועלת בסביבת Google Cloud שלכם.
גם Event Threat Detection וגם VM Threat Detection יוצרים ממצאים ב-Security Command Center כדי להזהיר אתכם כשהם מזהים אירועים מסוימים בשלב 1.
חשוב לבדוק את הממצאים האלה ולטפל בהם באופן מיידי כדי להימנע מעלויות משמעותיות שקשורות לצריכת המשאבים של אפליקציות לכריית מטבע וירטואלי.
ממצא באחת מהקטגוריות הבאות מצביע על כך שאפליקציה לכריית מטבע וירטואלי פועלת ב-VM באחד מהפרויקטים בסביבת Google Cloud שלכם:
- הרצה: כלל YARA לכריית מטבע וירטואלי: ממצאים בקטגוריה הזו מציינים שזיהוי איומים ב-VM זיהה תבנית בזיכרון, כמו קבוע של הוכחת עבודה, שמשמשת אפליקציה לכריית מטבע וירטואלי.
- ביצוע: התאמה לגיבוב (hash) של כריית מטבע וירטואלי: ממצאים בקטגוריה הזו מציינים שזיהוי האיומים במכונה הווירטואלית זיהה גיבוב (hash) של זיכרון שמשמש אפליקציה לכריית מטבע וירטואלי.
- ביצוע: זיהוי משולב: ממצאים בקטגוריה הזו מציינים שתכונת זיהוי האיומים במכונות וירטואליות זיהתה דפוס בזיכרון וגיבוב בזיכרון שמשמשים אפליקציה לכריית מטבעות קריפטוגרפיים.
- תוכנה זדונית: כתובת IP לא תקינה: ממצאים בקטגוריה הזו מציינים ש-Event Threat Detection זיהה חיבור לכתובת IP או חיפוש של כתובת IP שידוע שהיא נמצאת בשימוש של אפליקציות לכריית מטבעות קריפטוגרפיים.
- תוכנה זדונית: דומיין בעייתי: ממצאים בקטגוריה הזו מציינים ש-Event Threat Detection זיהה חיבור לדומיין או חיפוש של דומיין שידוע שהוא בשימוש של אפליקציות לכריית מטבע וירטואלי.
הפעלת רישום ביומן של Cloud DNS
כדי לזהות שיחות שמתבצעות על ידי אפליקציות לכריית מטבע וירטואלי לדומיינים בעייתיים מוכרים, צריך להפעיל את Cloud DNS רישום ביומן. השירות Event Threat Detection מעבד את יומני Cloud DNS ומפיק ממצאים כשהוא מזהה רזולוציה של דומיין שידוע שהוא משמש מאגרי כריית מטבע וירטואלי.
שילוב של מוצרי SIEM ו-SOAR עם Security Command Center
אפשר לשלב את Security Command Center עם כלי תפעול אבטחה קיימים, כמו מוצרי SIEM או SOAR, כדי לתעדף את הממצאים של Security Command Center ולתת מענה לאירועים בשלב 0 ובשלב 1 שמצביעים על מתקפות כריית מטבע וירטואלי פוטנציאליות או בפועל.
אם צוות האבטחה שלכם לא משתמש במוצר SIEM או SOAR, הצוות צריך להכיר את העבודה עם הממצאים של Security Command Center במסוף, ואת האופן שבו מגדירים התראות על ממצאים וייצוא שלהם באמצעות Pub/Sub או ממשקי ה-API של Security Command Center, כדי לנתב ממצאים של מתקפות כריית קריפטו בצורה יעילה. Google Cloud
כדי לראות את הממצאים הספציפיים שצריך לייצא לכלי תפעול אבטחה, אפשר לעיין במאמר הפעלת שירותים מרכזיים לזיהוי איומים בכל הפרויקטים.
מידע על שילוב של מוצרי SIEM ו-SOAR עם Security Command Center זמין במאמר הגדרת שילובים של SIEM ו-SOAR.
מידע על הגדרת התראות או ייצוא של ממצאים מופיע במאמרים הבאים:
הגדרת אנשי קשר חיוניים לקבלת התראות אבטחה
כדי שהחברה שלכם תוכל להגיב במהירות האפשרית לכל התראת אבטחה מ-Google, צריך לציין לאילו צוותים בחברה, כמו אבטחת IT או אבטחת תפעול, צריך לשלוח את התראות האבטחה. Google Cloud כשמציינים צוות, מזינים את כתובת האימייל שלו בEssential Contacts.
כדי להבטיח שההתראות האלה יישלחו באופן מהימן לאורך זמן, אנחנו ממליצים מאוד לצוותים להגדיר את השליחה לרשימת תפוצה, לקבוצה או למנגנון אחר שמבטיח שהשליחה וההפצה יהיו עקביות לצוות האחראי בארגון. אנחנו ממליצים לא לציין כתובות אימייל של אנשים פרטיים כאנשי קשר חיוניים, כי התקשורת עלולה להיפסק אם האנשים האלה יעברו צוותים או יעזבו את החברה.
אחרי שמגדירים את אנשי הקשר החיוניים, חשוב לוודא שצוותי האבטחה שלכם עוקבים אחרי תיבת הדואר הנכנס באופן רציף. מעקב רציף הוא שיטה מומלצת חשובה, כי תוקפים מתחילים לעיתים קרובות מתקפות כריית מטבע וירטואלי כשהם מצפים שרמת הערנות שלכם תהיה נמוכה יותר, למשל בסופי שבוע, בחגים ובלילה.
הגדרת אנשי קשר חיוניים לאבטחה ומעקב אחרי כתובת האימייל של אנשי הקשר החיוניים הם שיטה מומלצת וגם דרישה של תוכנית ההגנה מפני כריית מטבעות קריפטוגרפיים ב-Security Command Center.
שמירה על הרשאות ה-IAM הנדרשות
צוותי האבטחה שלכם, ו-Security Command Center עצמו, צריכים הרשאה כדי לגשת למשאבים בסביבת Google Cloud . אתם יכולים לנהל את האימות וההרשאה באמצעות ניהול זהויות והרשאות גישה (IAM).
כדי לזהות מתקפות של כריית מטבע וירטואלי ולהגיב להן, צריך לשמור על הרשאות ועל תפקידים ב-IAM. זו שיטה מומלצת, ובמקרה של Security Command Center, זו דרישה בסיסית.
מידע כללי על IAM ב- Google Cloudמופיע במאמר סקירה כללית על IAM.
הרשאות שנדרשות על ידי צוותי האבטחה
כדי שצוות האבטחה יוכל לצפות בממצאים של Security Command Center ולהגיב באופן מיידי למתקפת כריית מטבע וירטואלי או לבעיית אבטחה אחרת ב- Google Cloud, צריך להעניק מראש הרשאה לחשבונות המשתמשים של צוות האבטחה להגיב לבעיות שעלולות להתעורר, לתקן אותן ולחקור אותן. Google Cloud
ב- Google Cloud, אפשר לנהל את האימות וההרשאה באמצעות תפקידים והרשאות ב-IAM.
תפקידים שנדרשים כדי לעבוד עם Security Command Center
במאמר בקרת גישה באמצעות IAM מוסבר אילו תפקידי IAM משתמשים צריכים כדי לעבוד עם Security Command Center.
תפקידים שנדרשים כדי לעבוד עם שירותים אחרים של Google Cloud
כדי לחקור כראוי מתקפת כריית מטבע וירטואלי, סביר להניח שתצטרכו תפקידי IAM אחרים, כמו תפקידים ב-Compute Engine, שיאפשרו לכם להציג ולנהל את מופע ה-VM המושפע ואת האפליקציות שפועלות בו.
בהתאם למקום שאליו מובילה החקירה של מתקפה, יכול להיות שתצטרכו גם תפקידים אחרים, כמו תפקידים ברשת של Compute Engine או תפקידים ב-Cloud Logging.
כדי ליצור ולנהל את אנשי הקשר החיוניים לצורכי אבטחה, צריך גם הרשאות IAM מתאימות. במאמר התפקידים הנדרשים מוסבר אילו תפקידים ב-IAM נדרשים כדי לנהל את אנשי הקשר בנושא אבטחה.
הרשאות שנדרשות על ידי Security Command Center
כשמפעילים את Security Command Center, Google Cloud נוצר באופן אוטומטי חשבון שירות שמשמש את Security Command Center לאימות ולהרשאה כשמריצים סריקות ומעבדים יומנים. במהלך תהליך ההפעלה, אתם מאשרים את ההרשאות שניתנות לחשבון השירות.
אל תסירו או תשנו את חשבון השירות הזה, את התפקידים שלו או את ההרשאות שלו.