בדף הזה יש סקירה כללית על זיהוי איומים במכונות וירטואליות.
סקירה כללית
זיהוי איומים במכונות וירטואליות הוא שירות מובנה של Security Command Center. השירות הזה סורק מכונות וירטואליות כדי לזהות אפליקציות זדוניות פוטנציאליות, כמו תוכנות לכריית מטבעות קריפטוגרפיים, ערכות כלים לרוט במצב ליבה ותוכנות זדוניות שפועלות בסביבות ענן שנפרצו.
התכונה 'זיהוי איומים במכונות וירטואליות' היא חלק מחבילת התכונות לזיהוי איומים ב-Security Command Center, והיא נועדה להשלים את היכולות הקיימות של Event Threat Detection ושל זיהוי איומים בקונטיינר.
הממצאים של זיהוי איומים במכונות וירטואליות הם איומים ברמת חומרה גבוהה, ומומלץ לתקן אותם באופן מיידי. אפשר לראות את הממצאים של VM Threat Detection ב-Security Command Center.
בארגונים שנרשמו ל-Security Command Center Premium, הסריקות של זיהוי איומים במכונות וירטואליות מופעלות באופן אוטומטי. במקרה הצורך, אפשר להשבית את השירות או להפעיל אותו ברמת הפרויקט. מידע נוסף זמין במאמר הפעלה או השבתה של זיהוי איומים במכונות וירטואליות.
איך פועלת התכונה 'זיהוי איומים במכונות וירטואליות'
התכונה 'זיהוי איומים במכונות וירטואליות' היא שירות מנוהל שסורק פרויקטים ומכונות וירטואליות (VM) של Compute Engine כדי לזהות אפליקציות זדוניות פוטנציאליות שפועלות במכונות וירטואליות, כמו תוכנות לכריית מטבעות קריפטוגרפיים וערכות כלים לרוטקיט במצב ליבה.
באיור הבא מוצג תהליך פשוט שמתאר איך מנוע הניתוח של VM Threat Detection קולט מטא-נתונים מזיכרון האורח של מכונה וירטואלית וכותב ממצאים ב-Security Command Center.
התכונה 'זיהוי איומים במכונות וירטואליות' מובנית ב-hypervisor של Google Cloud, פלטפורמה מאובטחת שיוצרת ומנהלת את כל המכונות הווירטואליות ב-Compute Engine.
התכונה 'זיהוי איומים במכונה וירטואלית' מבצעת סריקות מעת לעת מההיפר-ויז'ור אל הזיכרון של מכונה וירטואלית אורחת שפועלת, בלי להשהות את הפעולה של האורחת. הוא גם סורק מעת לעת שיבוטים של דיסקים. מכיוון שהשירות הזה פועל מחוץ למכונה הווירטואלית המתארחת, הוא לא דורש סוכנים מתארחים או הגדרה מיוחדת של מערכת ההפעלה המתארחת, והוא עמיד בפני אמצעי נגד שמשמשים תוכנות זדוניות מתוחכמות. לא נעשה שימוש במחזורי CPU במכונה הווירטואלית של האורח, ואין צורך בקישוריות לרשת. צוותי האבטחה לא צריכים לעדכן חתימות או לנהל את השירות.
איך פועל זיהוי של כריית מטבעות וירטואליים
התכונה 'זיהוי איומים במכונות וירטואליות' מבוססת על כללי זיהוי האיומים של Google Cloud. היא מנתחת מידע על תוכנות שפועלות במכונות וירטואליות, כולל רשימה של שמות אפליקציות, שימוש במעבד לכל תהליך, גיבוב של דפי זיכרון, מוני ביצועים של חומרת המעבד ומידע על קוד מכונה שהופעל. המטרה היא לקבוע אם יש אפליקציה שתואמת לחתימות ידועות של כריית מטבעות קריפטוגרפיים. כשמתאפשר, התכונה 'זיהוי איומים במכונה וירטואלית' קובעת את התהליך הפעיל שמשויך להתאמות של החתימה שזוהתה, וכוללת מידע על התהליך הזה בתוצאה.
איך פועל זיהוי של רוטקיט במצב ליבה
התכונה 'זיהוי איומים במכונה וירטואלית' מסיקה את סוג מערכת ההפעלה שפועלת במכונה הווירטואלית, ומשתמשת במידע הזה כדי לקבוע את קוד הליבה, את האזורים הגיאוגרפיים לאחסון נתונים לקריאה בלבד ואת מבני נתונים אחרים של הליבה בזיכרון. התכונה 'זיהוי איומים במכונה וירטואלית' משתמשת בטכניקות שונות כדי לקבוע אם בוצעו שינויים באזורים האלה. היא עושה זאת על ידי השוואה לגיבובים (hash) שחושבו מראש וצפויים לתמונת הליבה, ועל ידי אימות השלמות של מבני נתונים חשובים של הליבה.
איך פועל זיהוי תוכנות זדוניות
התכונה 'זיהוי איומים במכונות וירטואליות' יוצרת שיבוטים לזמן קצר של דיסק האחסון המתמיד (persistent disk) של המכונה הווירטואלית, בלי לשבש את עומסי העבודה, וסורקת את השיבוטים של הדיסק. השירות הזה מנתח קבצים שניתנים להפעלה במכונה הווירטואלית כדי לקבוע אם יש קבצים שתואמים לחתימות של תוכנות זדוניות מוכרות. התג generated finding מכיל מידע על הקובץ ועל חתימות התוכנות הזדוניות שזוהו.
תכונות של Multicloud
בנוסף ל- Google Cloud, זיהוי תוכנות זדוניות זמין גם למכונות וירטואליות של Amazon Elastic Compute Cloud (EC2).
כדי לסרוק מכונות וירטואליות ב-AWS, אתם צריכים להיות לקוחות של Security Command Center Enterprise, ולפני כן להפעיל את התכונה 'זיהוי איומים במכונות וירטואליות' ב-AWS.
אפשר להפעיל את התכונה הזו רק ברמת הארגון. במהלך הסריקה, התכונה 'זיהוי איומים במכונות וירטואליות' משתמשת במשאבים גם ב- Google Cloud וגם ב-AWS.
תדירות הסריקה
בסריקת זיכרון, התכונה 'זיהוי איומים במכונות וירטואליות' סורקת כל מופע של מכונה וירטואלית מיד אחרי שהמופע נוצר. בנוסף, התכונה 'זיהוי איומים במכונות וירטואליות' סורקת כל מכונה וירטואלית כל 30 דקות.
- לזיהוי כריית מטבעות קריפטוגרפיים, התכונה 'זיהוי איומים במכונות וירטואליות' יוצרת ממצא אחד לכל תהליך, לכל מכונה וירטואלית, לכל יום. כל ממצא כולל רק את האיומים שמשויכים לתהליך שמזוהה על ידי הממצא. אם התכונה 'זיהוי איומים במכונות וירטואליות' מוצאת איומים אבל לא מצליחה לשייך אותם לתהליך כלשהו, היא מקבצת את כל האיומים הלא משויכים לממצא יחיד לכל מכונה וירטואלית, ומפיקה אותו פעם אחת בכל תקופה של 24 שעות. אם יש איומים שנמשכים יותר מ-24 שעות, התכונה 'זיהוי איומים במכונות וירטואליות' יוצרת ממצאים חדשים כל 24 שעות.
- לזיהוי של ערכות Rootkit במצב ליבה, התכונה 'זיהוי איומים במכונות וירטואליות' יוצרת ממצא אחד לכל קטגוריה, לכל מכונה וירטואלית, כל שלושה ימים.
לסריקת דיסקי אחסון מתמידים (persistent disk), שנועדה לזהות נוכחות של תוכנות זדוניות מוכרות, התכונה 'זיהוי איומים במכונות וירטואליות' סורקת כל מכונה וירטואלית לפחות פעם ביום.
אם מפעילים את מסלול Premium של Security Command Center, הסריקות של VM Threat Detection מופעלות באופן אוטומטי. במקרה הצורך, אפשר להשבית את השירות או להפעיל אותו ברמת הפרויקט. מידע נוסף זמין במאמר הפעלה או השבתה של זיהוי איומים במכונות וירטואליות.
ממצאים
בקטע הזה מוסבר על הממצאים שקשורים לאיומים שנוצרים על ידי זיהוי איומים במכונות וירטואליות.
התכונה 'זיהוי איומים במכונות וירטואליות' כוללת את זיהויי האיומים הבאים.
ממצאים בנושא איומים של כריית מטבעות וירטואליים
התכונה 'זיהוי איומים ב-VM' מזהה את קטגוריות הממצאים הבאות באמצעות התאמת גיבוב או כללי YARA.
| קטגוריה | יחידת לימוד | תיאור |
|---|---|---|
|
CRYPTOMINING_HASH
|
התאמה בין גיבובים של זיכרון של תוכניות שפועלות לבין גיבובים ידועים של זיכרון של תוכנות לכריית מטבעות וירטואליים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
|
CRYPTOMINING_YARA
|
התאמה לדפוסי זיכרון, כמו קבועים של הוכחת עבודה, שידוע שהם בשימוש בתוכנות לכריית מטבעות קריפטוגרפיים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
|
|
מזהה איום שזוהה על ידי המודולים CRYPTOMINING_HASH ו-CRYPTOMINING_YARA.
מידע נוסף זמין במאמר
Combined detections. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
|
ממצאים לגבי איומים של ערכת כלים להשגת הרשאות אדמין (rootkit) במצב ליבה
התכונה 'זיהוי איומים במכונה וירטואלית' מנתחת את תקינות הליבה בזמן הריצה כדי לזהות טכניקות התחמקות נפוצות שמשמשות תוכנות זדוניות.
מודול KERNEL_MEMORY_TAMPERING
מזהה איומים על ידי השוואת הגיבוב של קוד הליבה ושל זיכרון הנתונים לקריאה בלבד של הליבה במכונה וירטואלית.
מודול KERNEL_INTEGRITY_TAMPERING מזהה איומים על ידי בדיקת השלמות של מבני נתונים חשובים בקרנל.
| קטגוריה | יחידת לימוד | תיאור |
|---|---|---|
| Rootkit | ||
|
|
קיימים שילוב של אותות שתואמים ל-rootkit ידוע במצב ליבה. כדי לקבל ממצאים מהקטגוריה הזו, צריך לוודא ששני המודולים מופעלים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
| שיבוש של זיכרון הליבה | ||
|
KERNEL_MEMORY_TAMPERING
|
קיימים שינויים לא צפויים בזיכרון נתונים לקריאה בלבד של ליבת המערכת. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
| שיבוש של תקינות הליבה | ||
|
KERNEL_INTEGRITY_TAMPERING
|
ftrace נקודות קיימות עם קריאות חוזרות שמפנות לאזורים שלא נמצאים בטווח הצפוי של קוד הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
|
|
KERNEL_INTEGRITY_TAMPERING
|
קיימים handlers של הפרעות שלא נמצאים באזורי הקוד של הליבה או המודול הצפויים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
|
KERNEL_INTEGRITY_TAMPERING
|
קיימים דפי קוד של ליבת מערכת ההפעלה שלא נמצאים באזורי הקוד הצפויים של הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
|
KERNEL_INTEGRITY_TAMPERING
|
יש kprobe נקודות עם קריאות חוזרות שמפנות לאזורים שלא נמצאים בטווח הצפוי של קוד הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
|
|
KERNEL_INTEGRITY_TAMPERING
|
קיימים תהליכים לא צפויים בתור ההמתנה של מנהל התזמון. תהליכים כאלה נמצאים בתור להרצה, אבל לא ברשימת משימות התהליך. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
|
KERNEL_INTEGRITY_TAMPERING
|
קיימים מטפלים בשיחות של המערכת שלא נמצאים באזורים הצפויים של קוד הליבה או המודול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. |
ממצאים לגבי איומים של תוכנות זדוניות
התכונה 'זיהוי איומים במכונות וירטואליות' מזהה את קטגוריות הממצאים הבאות על ידי סריקת דיסק אחסון מתמיד (persistent disk) של מכונה וירטואלית לאיתור תוכנות זדוניות ידועות.
| קטגוריה | יחידת לימוד | תיאור | ספק שירותי ענן נתמך |
|---|---|---|---|
Malware: Malicious file on disk
|
MALWARE_DISK_SCAN_YARA_AWS
|
סריקת דיסקים קבועים במכונות וירטואליות של Amazon EC2 והתאמה לחתימות שמשמשות תוכנות זדוניות מוכרות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית. | AWS |
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
סורק דיסקים קשיחים במכונות וירטואליות ב-Compute Engine ומתאים חתימות שמשמשות תוכנות זדוניות מוכרות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית. | Google Cloud |
סריקת מכונות וירטואליות בהיקפי אבטחה של VPC Service Controls
כדי ש-VM Threat Detection יוכל לסרוק מכונות וירטואליות באזורים של VPC Service Controls, צריך להוסיף כללי תעבורת נתונים נכנסת (ingress) ויוצאת (egress) בכל אזור שרוצים לסרוק. מידע נוסף זמין במאמר בנושא מתן גישה ל-VM Threat Detection לגבולות גזרה של VPC Service Controls.
מגבלות
התכונה 'זיהוי איומים במכונות וירטואליות' תומכת במכונות וירטואליות ב-Compute Engine, עם המגבלות הבאות:
תמיכה מוגבלת במכונות וירטואליות של Windows:
לזיהוי כריית מטבעות קריפטוגרפיים, התכונה 'זיהוי איומים במכונות וירטואליות' מתמקדת בעיקר בקבצים בינאריים של Linux, והכיסוי שלה מוגבל לגבי כורי מטבעות קריפטוגרפיים שפועלים ב-Windows.
לזיהוי של Rootkit במצב ליבה, התכונה 'זיהוי איומים במכונה וירטואלית' תומכת רק במערכות הפעלה של Linux.
אין תמיכה במכונות וירטואליות ב-Compute Engine שמשתמשות ב-Confidential VM. מכונות וירטואליות סודיות משתמשות בקריפטוגרפיה כדי להגן על התוכן של הזיכרון בזמן שהוא עובר אל יחידת העיבוד המרכזית וממנה. לכן, התכונה 'זיהוי איומים במכונות וירטואליות' לא יכולה לסרוק אותם.
מגבלות בסריקת הדיסק:
אין תמיכה בדיסקים קשיחים שמוצפנים באמצעות מפתחות הצפנה באספקת הלקוח (CSEK) או מפתחות הצפנה בניהול הלקוח (CMEK).
רק המחיצות
vfat,ext2ו-ext4נסרקות.
כדי להשתמש ב'זיהוי איומים במכונות וירטואליות', סוכן השירות של Security Center צריך להיות מסוגל לרשום את מכונות ה-VM בפרויקטים ולשכפל את הדיסקים לפרויקטים בבעלות Google. חלק מההגבלות של מדיניות הארגון, כמו
constraints/compute.storageResourceUseRestrictions, עלולות להפריע לפעולות כאלה. במקרה כזה, יכול להיות שהסריקה של התכונה 'זיהוי איומים במכונה וירטואלית' לא תפעל.התכונה 'זיהוי איומים במכונות וירטואליות' מסתמכת על היכולות של ההיפר-ויז'ור ושל Compute Engine. Google Cloudלכן, אי אפשר להפעיל את התכונה 'זיהוי איומים במכונות וירטואליות' בסביבות מקומיות או בסביבות ענן ציבורי אחרות.
פרטיות ואבטחה
התכונה 'זיהוי איומים במכונות וירטואליות' ניגשת לשיבוטים של הדיסק ולזיכרון של מכונה וירטואלית פעילה לצורך ניתוח. השירות מנתח רק את מה שנדרש כדי לזהות איומים.
התוכן של הזיכרון והשיבוטים של הדיסק של המכונה הווירטואלית משמש כקלט בצינור עיבוד הנתונים של ניתוח הסיכונים של VM Threat Detection. הנתונים מוצפנים בזמן ההעברה ומעובדים על ידי מערכות אוטומטיות. במהלך העיבוד, הנתונים מוגנים על ידי מערכות בקרת האבטחה שלGoogle Cloud.
לצורך ניטור וניפוי באגים, התכונה 'זיהוי איומים במכונות וירטואליות' מאחסנת מידע בסיסי של אבחון וסטטיסטיקה על פרויקטים שהשירות מגן עליהם.
התכונה 'זיהוי איומים במכונות וירטואליות' סורקת את התוכן של הזיכרון של המכונות הווירטואליות ואת השיבוטים של הדיסקים באזורים המתאימים. עם זאת, הממצאים והמטא-נתונים (כמו מספרי הפרויקט והארגון) עשויים להיות מאוחסנים מחוץ לאזורים האלה.
מידע נוסף על האופן שבו Security Command Center מטפל בנתונים שלכם זמין במאמר סקירה כללית על אבטחת נתונים ותשתית.
המאמרים הבאים
- איך משתמשים בזיהוי איומים ב-VM
- איך מפעילים את התכונה 'זיהוי איומים במכונות וירטואליות' ב-AWS
- איך מאפשרים ל-VM Threat Detection לסרוק מכונות וירטואליות בגבולות גזרה של VPC Service Controls
- איך בודקים אם בוצעו שינויים בזיכרון של ליבת מערכת ההפעלה במכונה וירטואלית
- איך מגיבים לממצאי איומים ב-Compute Engine
- אפשר לעיין באינדקס של ממצאי איומים.