Les attaques qui exploitent les ressources de calcul pour miner des cryptomonnaies telles que Bitcoin continuent d'être une forme populaire de cyberactivité malveillante : un rapport de novembre de Google Cloud a révélé que 86 % des instances compromises sur la plateforme de cloud public incluaient des activités de minage de crypto. Mais traditionnellement, « il est très difficile de détecter cela à moins d'instrumenter vraiment votre application », a reconnu Potti dans une interview.
L'annonce du 7 février propose la détection des menaces de machines virtuelles (VMTD) aux clients de l'offre Security Command Center Premium de Google Cloud, en tant que Public Preview. Comme d'autres solutions de sécurité introduites par Google Cloud, VMTD exploite la technologie qui a été initialement développée pour arrêter les menaces dans les propres propriétés de Google, a déclaré Potti.
« Nous apportons simplement toutes ces connaissances, avec un peu de consommation d'entreprise, à tout client d'entreprise qui souhaite déplacer ses machines virtuelles », a-t-il déclaré.
En ce qui concerne le minage de cryptomonnaie, les attaquants peuvent rapidement augmenter la facture de calcul d'un client. Selon Roger Koehler, vice-président des opérations sur les menaces de la société de détection et de réponse gérée Huntress, le minage de cryptomonnaie peut également constituer la première étape d'une attaque plus large.
« Ils peuvent aller vendre cet accès sur le marché noir. Et quelqu'un de plus gros et de plus méchant peut acheter cela et faire quelque chose de plus préjudiciable », a déclaré Koehler.
Dans son rapport de novembre, Google Cloud a déclaré que « le vol de données ne semblait pas être l'objectif » des compromissions d'accès pour le minage de cryptomonnaie, mais que « dans certains cas, plusieurs actions malveillantes ont été effectuées à partir d'une seule instance compromise ». Ainsi, le vol de données « reste un risque associé à la compromission des actifs cloud, car les acteurs malveillants commencent à commettre de multiples formes d'abus », a déclaré Google Cloud.
La détection des menaces de machines virtuelles de Google Cloud sera étendue pour inclure d'autres fonctionnalités au cours des prochains mois « alors que nous orientons VMTD vers la disponibilité générale », a indiqué Google Cloud. Alors que la conteneurisation gagne en popularité, « les architectures basées sur des machines virtuelles continuent de représenter une part importante des charges de travail centrées sur le calcul », note Google Cloud.
Capacités clefs
Surtout, en ce qui concerne la détection des activités de minage de cryptomonnaie dans les machines virtuelles, VMTD fonctionnera sans avoir besoin d'un agent logiciel supplémentaire, selon Google Cloud.
Cette approche sans agent se traduit par « moins d'impact sur les performances, une réduction de la charge opérationnelle pour le déploiement et la gestion des agents et une exposition moindre de la surface d'attaque aux adversaires potentiels », a estimé Google Cloud.
Plutôt que d'utiliser un agent, VMTD instrumente le logiciel d'orchestration de VM sous-jacent (l'hyperviseur) « pour inclure une détection des menaces presque universelle et difficile à altérer ». « Ce que nous avons fait, c'est trouver un moyen de chercher sous le couvert des signatures et des modèles qui sont très suspects dans la façon dont [les attaquants] utilisent l'infrastructure », a déclaré Potti.
Grâce à l'heuristique, Google Cloud est « capable d'identifier qu'il s'agit en fait d'une activité suspecte - vous pouvez donc simplement l'identifier rapidement et prendre des mesures », a-t-il continué. Cette action pourrait impliquer simplement de limiter la capacité pendant qu'une enquête a lieu, plutôt que de la fermer complètement, a-t-il déclaré.
En fin de compte, « nous voulons nous assurer que votre environnement est protégé contre les menaces associées au piratage d'un compte et à la création d'autres services », a déclaré Potti.
Présentation de l'option de sécurité permettant de détecter le minage dans les VM par Google Cloud
« Alors que les organisations migrent vers le cloud, les architectures basées sur des machines virtuelles continuent de représenter une part importante des charges de travail centrées sur le calcul. Afin de garantir une protection renforcée pour ces déploiements, nous sommes ravis d'annoncer une préversion publique de notre nouvelle couche de détection des menaces dans Security Command Center (SCC) : Virtual Machine Threat Detection (VMTD). VMTD est la première fonctionnalité de détection sur le marché d'un important fournisseur de cloud qui fournit une analyse de la mémoire sans agent pour aider à détecter les menaces telles que les logiciels malveillants de cryptominage à l'intérieur de vos machines virtuelles exécutées dans Google Cloud.
« L'économie d'échelle permise par le cloud peut aider à changer fondamentalement la façon dont la sécurité est exécutée pour toute entreprise opérant dans le paysage des menaces d'aujourd'hui. Alors que de plus en plus d'entreprises adoptent les technologies cloud, les solutions de sécurité intégrées aux plateformes cloud aident à faire face aux menaces émergentes pour de plus en plus d'organisations. Par exemple, dans le dernier rapport Google Cybersecurity Action Team Threat Horizons, nous avons constaté que 86 % des instances cloud compromises étaient utilisées pour effectuer du minage de cryptomonnaie. VMTD est l'un des moyens par lesquels nous protégeons nos clients Google Cloud Platform contre les attaques croissantes telles que le minage de jetons, l'exfiltration de données et les ransomwares.
Notre approche unique avec la détection des menaces de VM sans agent
« La sécurité traditionnelle des points finaux repose sur le déploiement d'agents logiciels à l'intérieur d'une machine virtuelle invitée pour recueillir des signaux et une télémétrie pour informer la détection des menaces d'exécution. Mais comme c'est le cas dans de nombreux autres domaines de la sécurité des infrastructures, la technologie cloud offre la possibilité de repenser les modèles existants. Pour Compute Engine, nous voulions voir si nous pouvions collecter des signaux pour faciliter la détection des menaces sans obliger nos clients à exécuter des logiciels supplémentaires. Le fait de ne pas exécuter d'agent à l'intérieur de leur instance signifie moins d'impact sur les performances, une charge opérationnelle réduite pour le déploiement et la gestion des agents et une exposition moindre de la surface d'attaque aux adversaires potentiels.
« Ce que nous avons appris, c'est que nous pouvions instrumenter l'hyperviseur - le logiciel qui s'exécute sous et orchestre les machines virtuelles de nos clients - pour inclure une détection des menaces quasi universelle et difficile à altérer.
Exemple de chemin de données pour Virtual Machine Threat Detection
Premiers pas avec Virtual Machine Threat Detection (VMTD)
« Nous sommes enthousiasmés par les types de détection possibles avec VMTD. Lors de notre Public Preview, VMTD a détecté les attaques de cryptominage. Au cours des prochains mois, à mesure que nous amènerons VMTD vers la disponibilité générale, vous pouvez vous attendre à voir une publication régulière de nouvelles fonctionnalités de détection et d'intégrations avec d'autres parties de Google Cloud.
« Pour démarrer avec VMTD, ouvrez la page Paramètres dans Security Command Center. Cliquez sur "GÉRER LES PARAMÈTRES" sous Virtual Machine Threat Detection. Vous pouvez ensuite sélectionner une portée pour VMTD. Pour confirmer que VMTD fonctionne pour votre environnement, vous pouvez télécharger et exécuter ce binaire de test qui simule l'activité de cryptominage ».
Sources : Google Cloud, rapport Cloud Threat Intelligence de Google Cloud