Il rilevamento delle minacce di Cloud Run è un servizio integrato di Security Command Center che monitora continuamente lo stato delle risorse Cloud Run supportate per rilevare gli attacchi in fase di runtime più comuni. Se il rilevamento delle minacce di Cloud Run rileva un attacco, genera un risultato in Security Command Center quasi in tempo reale.
I rilevatori di runtime di Cloud Run Threat Detection monitorano le risorse Cloud Run per rilevare librerie e file binari sospetti e utilizzano l'elaborazione del linguaggio naturale (NLP) per rilevare codice Bash e Python dannoso.
Inoltre, i rilevatori del control plane sono disponibili tramite Event Threat Detection. Questi rilevatori monitorano il flusso di Cloud Logging della tua organizzazione o dei tuoi progetti per rilevare potenziali attacchi al control plane delle tue risorse Cloud Run.
Risorse supportate
Cloud Run Threat Detection monitora le seguenti risorse:
Ambienti di esecuzione supportati
Gli ambienti di esecuzione supportati variano per i rilevatori di runtime e per i rilevatori del control plane.
Ambienti di esecuzione supportati per i rilevatori di runtime
I detector di runtime di Cloud Run Threat Detection supportano solo le risorse Cloud Run in esecuzione nell'ambiente di esecuzione di seconda generazione. Considera quanto segue prima di attivare Cloud Run Threat Detection:
Quando abiliti Cloud Run Threat Detection, non puoi creare un servizio Cloud Run o una revisione del servizio che viene eseguita nell'ambiente di esecuzione di prima generazione. Il servizio Cloud Run deve utilizzare l'ambiente di esecuzione di seconda generazione. Ti consigliamo di testare i tuoi workload nell'ambiente di esecuzione di seconda generazione prima di attivare Cloud Run Threat Detection.
Per attivare il rilevamento delle minacce in fase di runtime per un servizio, deploy una revisione che imposta l'ambiente di esecuzione del servizio sull'ambiente di esecuzione di seconda generazione o su quello predefinito.
Ambienti di esecuzione supportati per i rilevatori del control plane
I detector del control plane supportano gli ambienti di esecuzione di prima e seconda generazione.
Come funziona il rilevamento delle minacce in fase di runtime di Cloud Run Threat Detection
Quando abiliti Cloud Run Threat Detection, raccoglie la telemetria dalle risorse Cloud Run supportate per analizzare processi, script e librerie che potrebbero indicare un attacco in fase di runtime. Di seguito è riportato il percorso di esecuzione quando vengono rilevati eventi:
- Cloud Run Threat Detection utilizza un processo di osservazione per raccogliere informazioni su container ed eventi per l'intera durata di un carico di lavoro Cloud Run. L'avvio del processo di monitoraggio può richiedere fino a 20 secondi.
Cloud Run Threat Detection analizza le informazioni sugli eventi raccolte per determinare se un evento è indicativo di un incidente. Utilizza l'elaborazione del linguaggio naturale per analizzare gli script Bash e Python alla ricerca di codice dannoso.
Se Cloud Run Threat Detection identifica un incidente, lo segnala come risultato in Security Command Center.
Se Cloud Run Threat Detection non identifica un incidente, non vengono archiviate informazioni.
Tutti i dati raccolti sono effimeri e non vengono memorizzati in modo permanente.
Per informazioni su come esaminare i risultati di Cloud Run Threat Detection nella console Google Cloud , consulta Esaminare i risultati.
Problemi noti
- Le istanze dei tuoi servizi o job Cloud Run che durano più di sette giorni smettono di inviare informazioni di telemetria.
- Se il processo di monitoraggio si interrompe prematuramente in un'istanza in esecuzione del servizio o del job Cloud Run, non viene riavviato. L'istanza smette di inviare informazioni di telemetria a Cloud Run Threat Detection. I log di Cloud Run Threat Detection non sono presenti nei log dell'istanza. Non è presente alcun indicatore che un processo di monitoraggio sia stato interrotto.
Rilevatori
Questa sezione elenca i rilevatori di runtime e del control plane disponibili. Aggiungiamo regolarmente nuovi rilevatori man mano che emergono nuove minacce cloud.
Rilevatori di runtime
Cloud Run Threat Detection include i seguenti rilevatori di runtime:
| Nome visualizzato | Nome API | Descrizione |
|---|---|---|
| Esecuzione: file binario aggiuntivo dannoso eseguito | CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED |
È stato eseguito un binario che soddisfa le seguenti condizioni:
Se viene eseguito un binario dannoso aggiunto, è un chiaro segnale che un malintenzionato ha il controllo del workload e sta eseguendo software dannoso. |
| Esecuzione: libreria dannosa aggiuntiva caricata | CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED |
È stata caricata una libreria che soddisfa le seguenti condizioni:
Se viene caricata una libreria dannosa aggiunta, è un chiaro segnale che un utente malintenzionato ha il controllo del carico di lavoro e sta eseguendo software dannoso. |
| Esecuzione: file binario dannoso integrato eseguito | CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
È stato eseguito un binario che soddisfa le seguenti condizioni:
Se viene eseguito un binario dannoso integrato, è un segno che l'attaccante sta eseguendo il deployment di container dannosi. Potrebbero aver ottenuto il controllo di un repository di immagini o di una pipeline di build di container legittimi e aver inserito un binario dannoso nell'immagine container. |
| Esecuzione: container escape | CLOUD_RUN_CONTAINER_ESCAPE |
All'interno del container è stato eseguito un processo che ha tentato di uscire dall'isolamento del container utilizzando tecniche di escape o file binari noti. Questo tipo di attacco può dare all'aggressore l'accesso al sistema host. Questi processi sono identificati come potenziali minacce in base ai dati di intelligence. Se viene rilevato un tentativo di attacco container escape, potrebbe indicare che un malintenzionato sta sfruttando le vulnerabilità per uscire dal container. Di conseguenza, l'aggressore potrebbe ottenere l'accesso non autorizzato al sistema host o a un'infrastruttura più ampia, compromettendo l'intero ambiente. |
| Esecuzione: esecuzione dello strumento di attacco Kubernetes | CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION |
All'interno dell'ambiente è stato eseguito uno strumento di attacco specifico per Kubernetes, il che può indicare che un malintenzionato sta prendendo di mira i componenti del cluster Kubernetes. Questi strumenti di attacco sono identificati come potenziali minacce in base ai dati di intelligence. Se uno strumento di attacco viene eseguito nell'ambiente Kubernetes, ciò può suggerire che un malintenzionato ha ottenuto l'accesso al cluster e sta utilizzando lo strumento per sfruttare vulnerabilità o configurazioni specifiche di Kubernetes. |
| Esecuzione: esecuzione dello strumento di ricognizione locale | CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
È stato eseguito uno strumento di ricognizione locale non in genere associato al container o all'ambiente, il che suggerisce un tentativo di raccogliere informazioni interne del sistema. Questi strumenti di ricognizione sono identificati come potenziali minacce in base ai dati di intelligence. Se viene eseguito uno strumento di ricognizione, ciò suggerisce che l'autore dell'attacco potrebbe tentare di mappare l'infrastruttura, identificare le vulnerabilità o raccogliere dati sulle configurazioni di sistema per pianificare i passaggi successivi. |
| Esecuzione: Python dannoso eseguito (anteprima) | CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED |
Un modello di machine learning ha identificato il codice Python specificato come dannoso. Gli autori degli attacchi possono utilizzare Python per trasferire strumenti o altri file da un sistema esterno a un ambiente compromesso ed eseguire comandi senza file binari. Il rilevatore utilizza tecniche di NLP per valutare il contenuto del codice Python eseguito. Poiché questo approccio non si basa su firme, i rilevatori possono identificare codice Python noto e nuovo. |
| Esecuzione: file binario dannoso modificato eseguito | CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED |
È stato eseguito un binario che soddisfa le seguenti condizioni:
Se viene eseguito un binario dannoso modificato, è un chiaro segnale che un malintenzionato ha il controllo del workload e sta eseguendo software dannoso. |
| Esecuzione: libreria dannosa modificata caricata | CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED |
È stata caricata una libreria che soddisfa le seguenti condizioni:
Se viene caricata una libreria dannosa modificata, è un chiaro segnale che un malintenzionato ha il controllo del carico di lavoro e sta eseguendo software dannoso. |
| Script dannoso eseguito | CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED |
Un modello di machine learning ha identificato il codice Bash specificato come dannoso. Gli autori degli attacchi possono utilizzare Bash per trasferire strumenti o altri file da un sistema esterno a un ambiente compromesso ed eseguire comandi senza file binari. Il rilevatore utilizza tecniche di NLP per valutare i contenuti del codice Bash eseguito. Poiché questo approccio non si basa su firme, i rilevatori possono identificare codice Bash dannoso noto e nuovo. |
| Rilevato URL dannoso | CLOUD_RUN_MALICIOUS_URL_OBSERVED |
Cloud Run Threat Detection ha rilevato un URL dannoso nell'elenco degli argomenti di un processo in esecuzione. Il rilevatore controlla gli URL osservati nell'elenco degli argomenti dei processi in esecuzione rispetto agli elenchi di risorse web non sicure gestiti dal servizio Navigazione sicura di Google. Se un URL viene classificato erroneamente come sito di phishing o malware, segnalalo all'indirizzo Segnalazione di dati errati. |
| Shell inversa | CLOUD_RUN_REVERSE_SHELL |
Un processo avviato con il reindirizzamento del flusso a un socket connesso
remoto. Il rilevatore cerca Con una shell inversa, un malintenzionato può comunicare da un carico di lavoro compromesso a una macchina controllata dall'aggressore. L'autore dell'attacco può quindi comandare e controllare il workload, ad esempio nell'ambito di una botnet. |
| Shell secondaria imprevista | CLOUD_RUN_UNEXPECTED_CHILD_SHELL |
Un processo che normalmente non richiama shell ha generato un processo shell. Il rilevatore monitora tutte le esecuzioni dei processi. Quando viene richiamato un comando shell, il rilevatore genera un risultato se è noto che il processo padre non richiama in genere le shell. |
Control plane detectors
I seguenti rilevatori del control plane sono disponibili tramite Event Threat Detection. Questi rilevatori sono attivati per impostazione predefinita. Gestisci questi rilevatori allo stesso modo in cui gestisci gli altri rilevatori Event Threat Detection. Per ulteriori informazioni, consulta la sezione Utilizzare Event Threat Detection.
| Nome visualizzato | Nome API | Tipi di origini log | Descrizione |
|---|---|---|---|
| Impatto: comandi di cryptomining | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Audit log di Cloud: Audit log degli eventi di sistema IAM |
Durante l'esecuzione, a un job Cloud Run sono stati allegati comandi di cryptomining specifici. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta. |
| Esecuzione: immagine Docker per il cryptomining | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Audit log di Cloud: Audit log degli eventi di sistema IAM |
Sono state allegate immagini Docker specifiche note come dannose a un servizio o un job Cloud Run nuovo o esistente. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta. |
| Escalation dei privilegi: Default Compute Engine Service Account SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Audit log di Cloud: Log attività amministratore |
L'account di servizio Compute Engine predefinito è stato utilizzato per impostare il criterio IAM per un servizio Cloud Run. Si tratta di una potenziale azione post-exploit quando un token Compute Engine viene compromesso da un servizio serverless. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa. |
Passaggi successivi
- Scopri come utilizzare Cloud Run Threat Detection.
- Scopri come utilizzare Event Threat Detection.