La nouvelle fonction est destinée à traquer tous types de compromissions, mais avec une prédilection pour les maliciels de minage de cryptomonnaies. Une plaie qui vient de connaître un âge d’or avec la montée de la valeur des cryptomonnaies, Bitcoin en tête. La nouvelle couche de détection des menaces dans Security Command Center (SCC) s’appelle Virtual Machine Threat Detection (VMTD). « VMTD est la première capacité de détection commercialisée qui fournit une analyse de la mémoire, sans agent, pour aider à détecter les menaces telles que les logiciels malveillants de cryptominage à l’intérieur de vos machines virtuelles exécutées dans Google Cloud », explique Google.
En effet, les équipes de cybersécurité de Google ont constaté que 86 % des instances cloud compromises étaient utilisées pour effectuer du minage de cryptomonnaie. « VMTD est l’une des façons de protéger les clients de Google Cloud Platform contre les attaques croissantes telles que le minage de cryptomonnaies, l’exfiltration de données et les ransomwares », explique le géant du cloud.
Un fonctionnement sans agent
Les architectures basées sur les VM continuent de représenter une part importante des charges de travail informatiques. Jusqu’à présent, la sécurité des points terminaux reposait sur le déploiement d’agents logiciels sur une machine virtuelle invitée afin de collecter des signaux et des données télémétriques pour la détection des menaces. Mais comme c’est le cas dans de nombreux autres domaines de la sécurité des infrastructures, la technologie du cloud permet de repenser les modèles existants.
« Pour Compute Engine, nous avons voulu voir si nous pouvions collecter des signaux pour faciliter la détection des menaces sans exiger de nos clients qu’ils exécutent un logiciel supplémentaire, explique la plateforme. Le fait de ne pas exécuter un agent dans leur instance signifie un impact moindre sur les performances, une charge opérationnelle réduite pour le déploiement et la gestion des agents et une surface d’attaque moindre pour les adversaires potentiels ». En pratique, les ingénieurs de Google ont développé une fonction qui utilise l’hyperviseur pour y inclure la détection des menaces.
Virtual Machine Threat Detection est entièrement intégré et disponible seulement pour les abonnés Premium via SCC, le Security Command Center Premium. VMTD complète les capacités existantes de détection des menaces offertes par les services intégrés Event Threat Detection et Container Threat Detection de SCC Premium.