O Google anunciou a prévia pública de um novo sistema onde o Hipervisor do Google Cloud já detecta criptomineradores sem agentes.
Um problema significativo para desenvolvedores e empresas que usam máquinas virtuais baseadas em nuvem é o direcionamento constante de agentes de ameaças que violam servidores para instalar criptomineradores.
Esses mineradores utilizam os recursos de GPU e CPU da máquina virtual e, ao mesmo tempo, reduzem o desempenho de aplicativos legítimos.
O Google anunciou a prévia pública de um novo sistema Virtual Machine Threat Detection (VMTD) que pode detectar mineradores de criptomoedas e outros malwares sem a necessidade de agentes de software.
Hipervisor do Google Cloud já detecta criptomineradores sem agentes
Sim. O Hipervisor do Google Cloud já detecta criptomineradores sem agentes. O Relatório Threat Horizons de 2021 do Google afirma que as infecções por mineradores de moedas representam mais de 86% de todos os casos de comprometimento em instâncias de nuvem.
Para detectar ameaças executadas em máquinas virtuais, os provedores de nuvem geralmente instalam agentes de software que são executados no servidor atuando como software de segurança.
No entanto, esses agentes podem causar um impacto no desempenho e, quando um servidor é violado, os agentes de ameaças podem desativá-los antes de implantar o malware.
Os engenheiros do Google Cloud decidiram seguir uma abordagem única que não envolve agentes ou coleta excessiva de dados de sinal e telemetria para detectar mineradores de moedas.
Em vez disso, os engenheiros modificaram o hipervisor do Google Compute Engine, o software de emulação subjacente no qual as máquinas virtuais são executadas, para incluir recursos de varredura que analisam a memória das VMs e prováveis solicitações de rede para atividades suspeitas.
“A segurança de endpoint tradicional depende da implantação de agentes de software dentro de uma máquina virtual convidada para coletar sinais e telemetria para informar a detecção de ameaças em tempo de execução.”, explica o Google no anúncio desse novo recurso.
“Mas, como é o caso em muitas outras áreas de segurança de infraestrutura, a tecnologia em nuvem oferece a capacidade de repensar os modelos existentes.”
“Para o Compute Engine, queríamos ver se poderíamos coletar sinais para ajudar na detecção de ameaças sem exigir que nossos clientes executassem software adicional.”
Como tal, não há impacto no desempenho, pois os agentes de software não são mais necessários.
O recurso Virtual Machine Threat Detection (VMTD) está entrando em uma visualização pública hoje e pode ser habilitado no Security Command Center.
O Google também compartilhou um minerador inativo no GitHub que os administradores podem usar para testes para garantir que aplicaram as configurações corretas em suas instâncias.
O Google Cloud garante a seus clientes que proteger sua confiança no serviço continua sendo a maior prioridade, e as inspeções de carga de trabalho do VMTD não comprometerão isso de forma alguma.
O VMTD não processará a memória de nós confidenciais, que são criptografados de qualquer maneira. Além disso, continuará sendo um serviço opcional que os clientes podem ativar ou optar por não usar.
A princípio, o VMTD será disponibilizado como um recurso de visualização para clientes do Security Command Center (SCC) Premium, complementando o Event Threat Detection e o Container Threat Detection.
De acordo com o Google, essas três camadas de segurança combinadas não abordam apenas a ameaça dos mineradores de criptomoedas, mas também o ransomware e a exfiltração de dados.
Além disso, os clientes do SCC Premium desfrutarão de recursos avançados de mitigação de riscos que ajudam a detectar configurações incorretas, vulnerabilidades e pontos de não conformidade com os padrões do setor.
Os administradores podem habilitar o VMTD abrindo a página Configurações no Security Command Center, clicando em “GERENCIAR CONFIGURAÇÕES” em Detecção de ameaças à máquina virtual e selecionando um escopo para o VMTD.