O Cloud Run Threat Detection é um serviço integrado do Security Command Center que monitora continuamente o estado dos recursos compatíveis do Cloud Run para detectar os ataques de ambiente de execução mais comuns. Se o Cloud Run Threat Detection detectar um ataque, ele vai gerar uma descoberta no Security Command Center quase em tempo real.
Os detectores de tempo de execução do Cloud Run Threat Detection monitoram recursos do Cloud Run em busca de binários e bibliotecas suspeitos e usam o processamento de linguagem natural (PLN) para detectar código Bash e Python malicioso.
Além disso, os detectores de plano de controle estão disponíveis no Event Threat Detection. Esses detectores monitoram o fluxo do Cloud Logging da sua organização ou dos seus projetos para detectar possíveis ataques ao plano de controle dos recursos do Cloud Run.
Recursos suportados
A detecção de ameaças do Cloud Run monitora os seguintes recursos:
Ambientes de execução compatíveis
Os ambientes de execução compatíveis são diferentes para detectores de tempo de execução e plano de controle.
Ambientes de execução compatíveis para detectores de tempo de execução
Os detectores de tempo de execução da detecção de ameaças do Cloud Run oferecem suporte apenas a recursos do Cloud Run executados no ambiente de execução de segunda geração. Considere o seguinte antes de ativar a detecção de ameaças do Cloud Run:
Ao ativar a detecção de ameaças do Cloud Run, não é possível criar um serviço ou uma revisão de serviço do Cloud Run que seja executada no ambiente de execução de primeira geração. O serviço do Cloud Run precisa usar o ambiente de execução de segunda geração. Recomendamos testar suas cargas de trabalho no ambiente de execução de segunda geração antes de ativar a detecção de ameaças do Cloud Run.
Para ativar a detecção de ameaças em tempo de execução de um serviço, implante uma revisão que defina o ambiente de execução do serviço como a segunda geração ou o ambiente de execução padrão.
Ambientes de execução compatíveis com detectores do plano de controle
Os detectores do plano de controle são compatíveis com ambientes de execução de primeira e segunda geração.
Como funciona a detecção de ameaças de tempo de execução da Detecção de ameaças do Cloud Run
Quando você ativa a Detecção de ameaças do Cloud Run, ela coleta telemetria dos recursos compatíveis do Cloud Run para analisar processos, scripts e bibliotecas que podem indicar um ataque de tempo de execução. Veja a seguir o caminho de execução quando os eventos são detectados:
- A detecção de ameaças do Cloud Run usa um processo de observador para coletar informações de contêiner e evento durante toda a duração de uma carga de trabalho do Cloud Run. O processo de observação pode levar até 20 segundos para ser iniciado.
A detecção de ameaças do Cloud Run analisa as informações de eventos coletadas para determinar se um evento indica um incidente. Ele usa PLN para analisar scripts Bash e Python em busca de código malicioso.
Se a Detecção de ameaças do Cloud Run identificar um incidente, ele será informado como uma descoberta no Security Command Center.
Se a Detecção de ameaças do Cloud Run não identificar um incidente, nenhuma informação será armazenada.
Todos os dados coletados são temporários e não são armazenados de forma permanente.
Para saber como analisar as descobertas do Cloud Run Threat Detection no console doGoogle Cloud , consulte Analisar descobertas.
Problemas conhecidos
- As instâncias dos serviços ou jobs do Cloud Run que duram mais de sete dias param de enviar informações de telemetria.
- Se o processo de observador for interrompido prematuramente em uma instância em execução do serviço ou job do Cloud Run, ele não será reiniciado. A instância para de enviar informações de telemetria para a Detecção de ameaças do Cloud Run. Os registros de detecção de ameaças do Cloud Run não aparecem nos registros da instância. Não há indicador de que um processo de observador foi interrompido.
Detectores
Esta seção lista os detectores de ambiente de execução e plano de controle disponíveis. Adicionamos novos detectores regularmente à medida que novas ameaças na nuvem surgem.
Detectores de ambiente de execução
O Cloud Run Threat Detection inclui os seguintes detectores de tempo de execução:
| Nome de exibição | Nome da API | Descrição |
|---|---|---|
| Execução: binário malicioso adicionado executado | CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso adicionado for executado, isso é um forte sinal de que um invasor tem controle da carga de trabalho e está executando software malicioso. |
| Execução: biblioteca maliciosa adicionada carregada | CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED |
Uma biblioteca que atende às seguintes condições foi carregada:
Se uma biblioteca maliciosa adicionada for carregada, isso indica que um invasor tem controle da carga de trabalho e está executando software malicioso. |
| Execução: binário malicioso integrado executado | CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso integrado for executado, isso indica que o invasor está implantando contêineres maliciosos. Eles podem ter assumido o controle de um repositório de imagens ou pipeline de build de contêineres legítimo e injetado um binário malicioso na imagem do contêiner. |
| Execução: escape de contêiner | CLOUD_RUN_CONTAINER_ESCAPE |
Um processo foi executado no contêiner e tentou sair do isolamento dele usando técnicas de escape ou binários conhecidos. Esse tipo de ataque pode dar ao invasor acesso ao sistema host. Esses processos são identificados como possíveis ameaças com base em dados de inteligência. Se uma tentativa de escape de contêiner for detectada, isso pode indicar que um invasor está explorando vulnerabilidades para sair do contêiner. Como resultado, o invasor pode ganhar acesso não autorizado ao sistema host ou a uma infraestrutura mais ampla, comprometendo todo o ambiente. |
| Execução: execução da ferramenta de ataque do Kubernetes | CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION |
Uma ferramenta de ataque específica do Kubernetes foi executada no ambiente, o que pode indicar que um invasor está segmentando componentes do cluster do Kubernetes. Essas ferramentas são identificadas como ameaças em potencial com base em dados de inteligência. Se uma ferramenta de ataque for executada no ambiente do Kubernetes, isso poderá sugerir que um invasor teve acesso ao cluster e está usando a ferramenta para explorar vulnerabilidades ou configurações específicas do Kubernetes. |
| Execução: execução da ferramenta de reconhecimento local | CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Uma ferramenta de reconhecimento local não associada normalmente ao contêiner ou ambiente foi executada, sugerindo uma tentativa de coletar informações internas do sistema. Essas ferramentas são identificadas como ameaças potenciais com base em dados de inteligência. Se uma ferramenta de reconhecimento for executada, isso sugere que o invasor pode estar tentando mapear a infraestrutura, identificar vulnerabilidades ou coletar dados sobre as configurações do sistema para planejar as próximas etapas. |
| Execução: Python malicioso executado (pré-lançamento) | CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED |
Um modelo de machine learning identificou o código Python especificado como malicioso. Os invasores podem usar o Python para transferir ferramentas ou outros arquivos de um sistema externo para um ambiente comprometido e executar comandos sem binários. O detector usa técnicas de PLN para avaliar o conteúdo do código Python executado. Como essa abordagem não é baseada em assinaturas, os detectores podem identificar códigos Python conhecidos e novos. |
| Execução: binário malicioso modificado executado | CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso modificado for executado, isso é um sinal forte de que um invasor tem controle da carga de trabalho e está executando software malicioso. |
| Execução: biblioteca maliciosa modificada carregada | CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Uma biblioteca que atende às seguintes condições foi carregada:
Se uma biblioteca maliciosa modificada for carregada, isso é um forte sinal de que um invasor tem controle da carga de trabalho e está executando software malicioso. |
| Script malicioso executado | CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED |
Um modelo de machine learning identificou o código Bash especificado como malicioso. Os invasores podem usar o Bash para transferir ferramentas ou outros arquivos de um sistema externo para um ambiente comprometido e executar comandos sem binários. O detector usa técnicas de PLN para avaliar o conteúdo do código Bash executado. Como essa abordagem não é baseada em assinaturas, os detectores podem identificar códigos Bash maliciosos conhecidos e novos. |
| URL malicioso observado | CLOUD_RUN_MALICIOUS_URL_OBSERVED |
A Detecção de ameaças do Cloud Run observou um URL malicioso na lista de argumentos de um processo em execução. O detector verifica os URLs observados na lista de argumentos de processos em execução em relação às listas de recursos da Web não seguros que são mantidos pelo serviço Navegação segura do Google. Se um URL for classificado incorretamente como um site de phishing ou malware, informe o problema em Como relatar dados incorretos. |
| Shell reverso | CLOUD_RUN_REVERSE_SHELL |
Um processo começou com o redirecionamento de stream para um soquete conectado
remotamente. O detector procura um Com um shell reverso, um invasor pode se comunicar de uma carga de trabalho comprometida para uma máquina controlada pelo invasor. O invasor pode comandar e controlar a carga de trabalho, por exemplo, como parte de uma botnet. |
| Shell filho inesperado | CLOUD_RUN_UNEXPECTED_CHILD_SHELL |
Um processo que normalmente não invoca shells gerou um processo de shell. O detector monitora todas as execuções do processo. Quando um shell é invocado, o detector gera uma descoberta se o processo pai normalmente não invoca shells. |
Detectores do plano de controle
Os seguintes detectores de plano de controle estão disponíveis no Event Threat Detection. Esses detectores são ativados por padrão. Você gerencia esses detectores da mesma forma que outros detectores do Event Threat Detection. Para mais informações, consulte Usar o Event Threat Detection.
| Nome de exibição | Nome da API | Tipos de origem do registro | Descrição |
|---|---|---|---|
| Impacto: comandos de mineração de criptomoedas | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Registros de auditoria do Cloud: Registros de auditoria de eventos do sistema do IAM |
Comandos específicos de criptomineração foram anexados a um job do Cloud Run durante a execução. As descobertas são classificadas como de gravidade Alta por padrão. |
| Execução: imagem do Docker de mineração de criptomoedas | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Registros de auditoria do Cloud: Registros de auditoria de eventos do sistema do IAM |
Imagens docker específicas e conhecidas como maliciosas foram anexadas a um serviço ou job novo ou existente do Cloud Run. As descobertas são classificadas como de gravidade Alta por padrão. |
| Escalonamento de privilégios: conta de serviço padrão do Compute Engine SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Registros de auditoria do Cloud: Registros de atividade do administrador |
A conta de serviço padrão do Compute Engine foi usada para definir a política do IAM de um serviço do Cloud Run. Essa é uma possível ação pós-exploração quando um token do Compute Engine é comprometido em um serviço sem servidor. As descobertas são classificadas como de gravidade baixa por padrão. |
A seguir
- Saiba como usar a detecção de ameaças do Cloud Run.
- Saiba como usar a detecção de ameaças a eventos.