译文 | 虚拟机威胁检测(VMTD)
随着越来越多的企业计算工作负载迁移到云端,攻击者也随之日新月异。在过去几年中,虚拟服务器一直是加密货币和勒索软件组织们的目标,它们通常不会从与端点相同级别的保护中受益。因此,谷歌准备通过为其云计算平台提供基于虚拟机的威胁检测来改变这一点。
对于云计算,效率和灵活性非常重要。服务器根据预期运行的工作负载进行扩展,任何需要在虚拟机内运行软件代理的额外安全扫描和监控都会增加开销并消耗 CPU的 周期和内存。
“对于Compute Engine(Google Compute Engine是一个基础架构服务,可以让你用谷歌的服务器来运行Linux的虚拟机),我们想看看我们是否可以收集信号以帮助检测威胁而无需我们的客户运行额外的软件。”谷歌云产品经理 Timothy Peacock解释道。“不在其实例内部运行代理,意味着性能影响更小,代理部署和管理的运营负担会降低,潜在暴露的攻击面也相对会更少。”
VMTD 在管理程序级别运行,并且可以直接访问由该管理程序检测的虚拟机的内存。这为该技术带来了另一个好处,就是即使恶意程序具有管理权限,它也不会被 VM 内运行的恶意软件篡改。许多恶意软件程序都有内置的例程,它们会试图禁用在同一系统上运行的“已知安全扫描程序”以逃避检测。
VMTD 作为一项托管服务运行,它将使用谷歌的威胁检测规则定期扫描 Compute Engine 项目和 VM 实例的实时内存。在技术预览阶段,检测主要针对加密程序,这是攻击者在受感染服务器上所部署的最常见的恶意软件之一。根据谷歌网络安全行动团队的最新威胁报告,在所有受感染的云实例中,86% 都观察到了加密货币挖掘程序。
VMTD 将使用应用程序名称列表、每个进程的 CPU 使用率、内存页面的哈希值、CPU 硬件性能计数器和有关已执行机器代码的信息来分析在 VM 内运行的软件,以找到与已知加密签名的匹配项。未来,随着它正渐渐走进大众的视线,该服务将获得针对其他类型威胁的新检测能力,例如勒索软件和木马等,同时,它还会更多的参与进谷歌云的其他部分。
此外,VMTD还补充了SCC Premium中的事件威胁检测和容器威胁检测内置服务中所启用的现有威胁检测功能,这三层高级防御共同为在谷歌云中所运行的内容提供了全面的保护。
“事件威胁检测”是一项监控谷歌云并能扫描出谷歌工作日志中是否存在恶意威胁的服务,而“容器威胁检测”则允许用户检测容器而非虚拟机内的即时攻击,例如shell 脚本的内容、反向 shell 的指标、新的二进制文件和新加载的库,等等。
推荐阅读
译文 | 算法制度来临
译文 | 对2022年的八大网络安全发展方向预测
译文 | 华为美国分区CSO 的安全警告
齐心抗疫 与你同在
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩