Google breidt zijn cloudplatform uit met nieuwe bescherming tegen cryptomining. Daarmee wil de cloudspecialist een einde maken aan veelvoorkomend misbruik.
Google lanceert Virtual Machine Threat Detection (VMTD) voor zijn cloudplatform. VMTD is beschikbaar als preview binnen Security Command Center Premium. Google antwoordt met de nieuwe beveiligingslaag op de prevalentie van cryptomining wanneer klanten het slachtoffer zijn van misbruik. Wanneer een aanvaller zich toegang verschaft tot een GCP-instance, wordt die in 86 procent van de gevallen misbruikt voor cryptomining. In 58 procent van de gevallen duurt het niet meer dan 22 seconden om cryptomining-malware te installeren.
Beveiliging vanuit de hypervisor
Met VMTD voorziet Google een gerichte aanpak. De oplossing detecteert op dit moment cryptomining-aanvallen, maar zal in de toekomst ook andere vormen van malware onthullen. De beveiliging maakt niet gebruik van een agent op het systeem van de klant, zodat de impact op de prestaties laag blijft. Ze zit in de plaats daarvan geïntegreerd in de hypervisor. Daarmee verschilt de nieuwe dienst van traditionele endpointbeveiliging die wel op instances zelf draait.
Google benadrukt dat VMTD geen CPU-kracht van de VM van de klant gebruikt en geen toegang nodig heeft tot de virtuele machine. Zo is de beveiliging als bonus immuun voor eventuele malware op de VM zelf. VM Thread Detection werkt samen met Event Threat Detection en Container Threat Detection. Scans vinden automatisch plaats. Detectie gebeurt op basis van metadata van het geheugen van onderliggende virtuele machines.
Drie technieken
VMTD kan momenteel cryptomalware detecteren op basis van drie technieken. Met Hash matching vergelijkt het systeem de geheugen-hashes van programma’s met die van gekende cryptocurrency-software. Zo ziet de oplossing niet waar je als klant mee bezig bent, maar gaan er wel alarmbellen rinkelen wanneer een workload overeenkomt met cryptomalware. Via YARA-regels kijkt Thread Detection naar geheugenpatronen die kenmerkend zijn voor bijvoorbeeld proof-of-work-workloads van cryptomalware. Tot slot combineert VMTD de bovenstaande technieken een uur lang om zo tot een enkele vaststelling te komen.
Tijdens de previewperiode werkt de nieuwe beveiliging vooral op Linux met slechts beperkte ondersteuning voor cryptominders die op Windows-instances draaien. Gebruik je Confidential VM, dan is het geheugen van je VM extra versleuteld en kan VMTD geen oogje in het zeil houden vanop het hypervisor-niveau.