Google a annoncé la préversion publique d’un nouveau système de détection des menaces de machines virtuelles (VMTD) qui peut détecter les mineurs de crypto-monnaie et d’autres logiciels malveillants sans avoir besoin d’agents logiciels.
Un problème important pour les développeurs et les entreprises utilisant des machines virtuelles basées sur le cloud est le ciblage constant des acteurs de la menace qui violent les serveurs (1, 2, 3, 4) pour installer des cryptomineurs. Ces mineurs utilisent les ressources GPU et CPU de la machine virtuelle tout en réduisant les performances des applications légitimes.
de Google Rapport sur les horizons des menaces 2021 affirme que les infections par les mineurs de pièces représentent plus de 86 % de tous les cas de compromission concernant les instances cloud.
Pour détecter les menaces s’exécutant sur les machines virtuelles, les fournisseurs de cloud installent généralement des agents logiciels qui s’exécutent sur le serveur et agissent comme des logiciels de sécurité.
Cependant, ces agents peuvent affecter les performances et, une fois qu’un serveur est piraté, les pirates peuvent désactiver ces agents avant de déployer leur logiciel malveillant.
Détecter à partir de l’hyperviseur, pas de l’agent
Les ingénieurs de Google Cloud ont décidé de suivre une approche unique qui n’implique pas d’agents ni de collecte excessive de signaux et de données de télémétrie pour détecter les mineurs de pièces.
Au lieu de cela, les ingénieurs ont modifié l’hyperviseur Google Compute Engine, le logiciel d’émulation sous-jacent dans lequel les machines virtuelles s’exécutent, pour inclure des capacités d’analyse qui analysent la mémoire des machines virtuelles et les requêtes réseau probables, à la recherche d’activités suspectes.
« La sécurité traditionnelle des points de terminaison repose sur le déploiement d’agents logiciels à l’intérieur d’une machine virtuelle invitée pour recueillir des signaux et une télémétrie pour informer la détection des menaces d’exécution », explique Google dans l’annonce de cette nouvelle fonctionnalité.
« Mais comme c’est le cas dans de nombreux autres domaines de la sécurité des infrastructures, la technologie cloud offre la possibilité de repenser les modèles existants. »
« Pour Compute Engine, nous voulions voir si nous pouvions collecter des signaux pour faciliter la détection des menaces sans obliger nos clients à exécuter un logiciel supplémentaire. »
En tant que tel, il n’y a aucun impact sur les performances car les agents logiciels ne sont plus nécessaires.
La fonctionnalité Virtual Machine Threat Detection (VMTD) entre aujourd’hui en préversion publique et peut être activée depuis le Security Command Center.
Google a également partagé un mineur inactif sur GitHub que les administrateurs peuvent utiliser pour tester afin de s’assurer qu’ils ont appliqué les paramètres corrects sur leurs instances.
Pas de triche
Google Cloud certifie à ses clients que la préservation de leur confiance dans le service reste la priorité absolue, et les inspections de la charge de travail VMTD ne compromettront cela en aucune façon.
VMTD ne traitera pas la mémoire des nœuds confidentiels, qui sont de toute façon chiffrés. De plus, il restera un service opt-in que les clients peuvent activer ou choisir de ne pas utiliser.
Déploiement limité
Dans un premier temps, le VMTD sera mis à disposition en tant que fonctionnalité d’aperçu pour les clients du Security Command Center (SCC) Premium, en complément de Event Threat Detection et de Container Threat Detection.
Selon Google, ces trois couches de sécurité combinées ne traitent pas seulement la menace des mineurs de crypto-monnaie, mais aussi les ransomwares et l’exfiltration de données.
De plus, les clients SCC Premium bénéficieront de fonctionnalités avancées d’atténuation des risques qui aident à détecter les erreurs de configuration, les vulnérabilités et les points de non-conformité aux normes de l’industrie.
Les administrateurs peuvent activer VMTD en ouvrant la page Paramètres dans Security Command Center, en cliquant sur « GÉRER LES PARAMÈTRES » sous Détection des menaces de machines virtuelles, puis en sélectionnant une étendue pour VMTD.