Google Cloud a annoncé aujourd’hui une extension de ses capacités de sécurité pour inclure la détection des crypto-monnaie l’exploitation minière dans des machines virtuelles (VM) – s’attaquant à une menace courante mais difficile à repérer pour les clients, a déclaré Sunil Potti, cadre de Google Cloud, à VentureBeat.

Les attaques qui exploitent les ressources de calcul pour exploiter des crypto-monnaies telles que Bitcoin continuent d’être une forme populaire de cyberactivité malveillante : rapport de Google Cloud a constaté que 86 % des instances compromises sur la plate-forme de cloud public incluaient des activités de crypto-minage. Mais traditionnellement, « il est très difficile de détecter cela à moins d’être vraiment instrument votre application », a déclaré Potti, vice-président et directeur général de l’activité de sécurité de Google Cloud, dans une interview.

Tirer parti de la sécurité de Google

L’annonce d’aujourd’hui apporte Détection des menaces de machine virtuelle (VMTD) aux clients de l’offre Security Command Center Premium de Google Cloud, en tant qu’aperçu public. Comme d’autres solutions de sécurité introduites par Google Cloud, VMTD exploite la technologie qui a été initialement développée pour arrêter les menaces dans les propres propriétés de Google, a déclaré Potti.

« Nous apportons simplement toutes ces connaissances, avec un peu de consommation d’entreprise, à tout client d’entreprise qui souhaite déplacer ses machines virtuelles », a-t-il déclaré.

En ce qui concerne l’extraction de crypto, les attaquants peuvent rapidement augmenter la facture de calcul d’un client. Selon Roger Koehler, vice-président des opérations sur les menaces de la société de détection et de réponse gérée Huntress, l’extraction de crypto peut également constituer la première étape d’une attaque plus large.

« Ils peuvent aller vendre cet accès sur le marché noir. Et quelqu’un de plus gros et de plus méchant peut acheter cela et faire quelque chose de plus préjudiciable », a déclaré Koehler dans un précédent commenter à VentureBeat.

Dans son rapport de novembre, Google Cloud a déclaré que « le vol de données ne semblait pas être l’objectif » des compromis pour l’extraction de crypto-monnaie – mais que « dans certains cas, plusieurs actions malveillantes ont été effectuées à partir d’une seule instance compromise ». Ainsi, le vol de données « reste un risque associé à la compromission des actifs cloud, car les mauvais acteurs commencent à commettre de multiples formes d’abus », a déclaré Google Cloud.

La détection des menaces de machines virtuelles de Google Cloud sera étendue pour inclure d’autres fonctionnalités au cours des prochains mois « alors que nous orientons VMTD vers la disponibilité générale », a déclaré Google Cloud dans un article de blog aujourd’hui.

(Alors que la conteneurisation augmente en popularité« Les architectures basées sur des machines virtuelles continuent de représenter une part importante des charges de travail centrées sur le calcul », a déclaré Google Cloud).

Capacités clés

Surtout, en termes de détection des activités de crypto-minage dans les machines virtuelles, VMTD fonctionnera sans avoir besoin d’un agent logiciel supplémentaire, selon Google Cloud.

Cette approche sans agent se traduit par « moins d’impact sur les performances, une réduction de la charge opérationnelle pour le déploiement et la gestion des agents et une exposition moindre de la surface d’attaque aux adversaires potentiels », a déclaré Google Cloud dans son article de blog.

Plutôt que d’utiliser un agent, VMTD instrumente le logiciel d’orchestration de VM sous-jacent – l’hyperviseur – « pour inclure une détection des menaces presque universelle et difficile à altérer », a déclaré la plate-forme cloud.

« Ce que nous avons fait, c’est trouver un moyen de rechercher sous la couverture des signatures et des modèles très suspects dans la mesure où [attackers] utiliser l’infrastructure », a déclaré Potti à VentureBeat.

Grâce à l’heuristique, Google Cloud est « capable d’identifier qu’il s’agit en fait d’une activité suspecte – vous pouvez donc simplement l’identifier rapidement et prendre des mesures », a-t-il déclaré.

Cette action pourrait impliquer simplement de limiter la capacité pendant qu’une enquête a lieu, plutôt que de la fermer complètement, a-t-il déclaré.

En fin de compte, « nous voulons nous assurer que votre environnement est protégé contre les menaces associées au piratage d’un compte et à la création d’autres services », a déclaré Potti.

Simplifier la sécurité

L’objectif de Google Cloud est de rendre la sécurité « invisible », a-t-il déclaré – pour « fournir automatiquement beaucoup de bonne hygiène sous la couverture, et ne vous dire que les choses auxquelles vous devez faire attention ». La plate-forme cloud investit massivement dans la cybersécurité alors qu’elle cherche à concurrencer ses plus grands rivaux dans l’espace cloud public, Amazon Web Services (AWS) et Microsoft Azure.

Le lancement de VMTD fait suite à d’autres extensions majeures des capacités de sécurité de Google Cloud, notamment Cloud IDS, qui est entré en disponibilité générale en décembre. La sécurité réseau native du cloud offre vise à fournir un déploiement et une utilisation simplifiés par rapport aux options existantes.

Cloud IDS offre des protections contre les logiciels malveillants et les logiciels espions, les attaques de commande et de contrôle et d’autres vulnérabilités, y compris l’exécution de code illégale et le dépassement de mémoire tampon, a déclaré la société.

Pendant ce temps, en janvier, Google a annoncé la acquisition de Siemplify pour renforcer les opérations de sécurité et améliorer la réponse aux menaces pour les clients de Google Cloud.

Une récente enquête menée auprès de professionnels de l’ingénierie cloud a révélé que 36% des organisations ont subi une grave fuite de données de sécurité cloud ou une violation au cours des 12 derniers mois. Et 64% ont déclaré s’attendre à ce que le problème s’aggrave ou reste le même au cours de la prochaine année, selon le rapport de Fugue et Sonatype.

Plus de mises à jour prévues

Pour VMTD, Google Cloud a déclaré qu’il prévoyait une « version régulière » de nouvelles capacités de détection avant la disponibilité générale. Google Cloud prévoit également de déployer des intégrations pour VMTD avec d’autres parties de la plate-forme cloud dans les mois à venir, selon le blog.

Dans le Security Command Center (SCC) de la plate-forme, VMTD « complète les capacités de détection des menaces existantes activées par les services intégrés Event Threat Detection et Container Threat Detection dans SCC Premium », a déclaré Google Cloud.

La version premium de SCC est une plate-forme « complète » pour la sécurité et la gestion des risques, comprenant des services intégrés pour fournir une visibilité sur les actifs cloud, la découverte des vulnérabilités et des erreurs de configuration, et une assistance pour répondre aux exigences de conformité, a déclaré Google Cloud.