La Detección de amenazas de máquinas virtuales al principio se centrará en los criptomineros que se ejecutan en servidores virtuales. Se acerca la detección de ransomware, troyanos y otro malware.
A medida que más cargas de trabajo informáticas empresariales se trasladan a la nube, también lo hacen los atacantes. Los servidores virtuales han sido el blanco de grupos de criptominería y ransomware en los últimos años y, por lo general, no se benefician de los mismos niveles de protección que los puntos finales. Google se ha propuesto cambiar eso con la detección de amenazas basada en VM para su plataforma de computación en la nube.
Cuando se trata de computación en la nube, la eficiencia y la flexibilidad son muy importantes. Los servidores se escalan en función de las cargas de trabajo que se espera que ejecuten. Cualquier escaneo y monitoreo de seguridad adicional que requiera que un agente de software se ejecute dentro de las máquinas virtuales agregaría una sobrecarga y consumiría ciclos de CPU y memoria.
Ese es el problema que Google intenta resolver con su nueva función de Detección de amenazas de máquinas virtuales (VMTD) que se ofrece como parte del Centro de comando de seguridad en su motor informático.
"Para Compute Engine, queríamos ver si podíamos recopilar señales para ayudar en la detección de amenazas sin requerir que nuestros clientes ejecuten software adicional", dijo Timothy Peacock, gerente de producto de Google Cloud en una publicación de blog . "No ejecutar un agente dentro de su instancia significa un menor impacto en el rendimiento, una menor carga operativa para la implementación y administración del agente, y una menor exposición a la superficie de ataque de posibles adversarios".
¿Cómo funciona VMTD?
VMTD se ejecuta a nivel de hipervisor y tiene acceso directo a la memoria de las máquinas virtuales instrumentadas por ese hipervisor. Esto le da a la tecnología otro beneficio: el malware que se ejecuta dentro de la VM no puede manipularla, incluso si el programa malicioso tiene privilegios administrativos. Muchos programas de malware tienen rutinas integradas que intentan desactivar los escáneres de seguridad conocidos que se ejecutan en el mismo sistema para evadir la detección.
VMTD funciona como un servicio administrado que ejecutará escaneos periódicos de los proyectos de Compute Engine y la memoria en vivo de las instancias de VM utilizando las reglas de detección de amenazas de Google. Durante la etapa de vista previa de la tecnología, la detección está dirigida principalmente a los programas de criptominería, que son una de las amenazas de malware más comunes implementadas por los atacantes en los servidores comprometidos. Según el último informe de amenazas del Equipo de Acción de Ciberseguridad de Google, se observaron programas de minería de criptomonedas en el 86 % de todas las instancias de la nube comprometidas.
VMTD analizará el software que se ejecuta dentro de las VM utilizando una lista de nombres de aplicaciones, uso de CPU por proceso, hash de páginas de memoria, contadores de rendimiento de hardware de CPU e información sobre el código de máquina ejecutado para encontrar coincidencias con firmas criptomineras conocidas. En el futuro, a medida que se acerque al lanzamiento de disponibilidad general, el servicio obtendrá nuevas capacidades de detección para otros tipos de amenazas, como ransomware y troyanos de exfiltración de datos, y se integrará con otras partes de Google Cloud.
Por ahora, VMTD está disponible como un servicio opcional para suscriptores de Security Command Center Premium. Los clientes pueden definir un alcance para los escaneos, pero la tecnología no procesa la memoria de los nodos informáticos confidenciales , que cifran la memoria para proteger las cargas de trabajo confidenciales.
"VMTD complementa las capacidades existentes de detección de amenazas habilitadas por los servicios integrados de detección de amenazas de eventos y detección de amenazas de contenedores en SCC Premium", dijo Peacock. "Juntas, estas tres capas de defensa avanzada brindan una protección holística para las cargas de trabajo que se ejecutan en Google Cloud".
Event Threat Detection es un servicio que monitorea los registros de Google Cloud y Google Workspace en busca de signos de amenazas maliciosas y Container Threat Detection permite a los usuarios detectar ataques en tiempo de ejecución dentro de contenedores en lugar de máquinas virtuales, como el contenido de scripts de shell ejecutados, indicadores de shells inversos , nuevos binarios y bibliotecas recién cargadas.
Fuente: https://www.csoonline.com/article/3649094/google-cloud-adds-agentless-threat-detection-to-virtual-machine-workloads.html
No hay comentarios.:
Publicar un comentario