O Cloud Run Threat Detection é um serviço integrado do Security Command Center que monitora continuamente o estado dos recursos do Cloud Run com suporte para detectar os ataques de ambiente de execução mais comuns. Se o Cloud Run Threat Detection detectar um ataque, ele vai gerar uma descoberta no Security Command Center quase em tempo real.
Os detectores de execução do Cloud Run Threat Detection monitoram os recursos do Cloud Run em busca de binários e bibliotecas suspeitas e usam o processamento de linguagem natural (PLN) para detectar códigos maliciosos do Bash e do Python.
Além disso, os detectores de plano de controle estão disponíveis no Event Threat Detection. Esses detectores monitoram o fluxo do Cloud Logging da sua organização ou dos projetos para detectar possíveis ataques ao plano de controle dos recursos do Cloud Run.
Recursos suportados
A Detecção de ameaças do Cloud Run monitora os seguintes recursos:
Ambientes de execução com suporte
Os ambientes de execução com suporte são diferentes para os detectores de execução e de plano de controle.
Ambientes de execução com suporte para detectores de execução
Os detectores de execução da Detecção de ameaças do Cloud Run oferecem suporte apenas a recursos do Cloud Run executados no ambiente de execução de segunda geração. Considere o seguinte antes de ativar a Detecção de ameaças do Cloud Run:
Ao ativar a Detecção de ameaças do Cloud Run, não é possível criar um serviço ou uma revisão do serviço do Cloud Run que seja executado no ambiente de execução de primeira geração. O serviço do Cloud Run precisa usar o ambiente de execução de segunda geração. Recomendamos que você teste suas cargas de trabalho no ambiente de execução de segunda geração antes de ativar a Detecção de ameaças do Cloud Run.
Para ativar a detecção de ameaças no momento da execução para um serviço, implante uma revisão que defina o ambiente de execução do serviço como a segunda geração ou o ambiente de execução padrão.
Ambientes de execução com suporte para detectores de plano de controle
Os detectores de plano de controle oferecem suporte aos ambientes de execução de primeira e segunda geração.
Como funciona a Detecção de ameaças do Cloud Run
Quando você ativa a Detecção de ameaças do Cloud Run, ela coleta telemetria dos recursos do Cloud Run com suporte para analisar processos, scripts e bibliotecas que podem indicar um ataque no ambiente de execução. Confira a seguir o caminho de execução quando os eventos são detectados:
- A Detecção de ameaças do Cloud Run usa um processo de monitoramento para coletar informações de contêineres e eventos durante toda a duração de uma carga de trabalho do Cloud Run. Pode levar até 20 segundos para o processo de monitoramento ser iniciado.
A Detecção de ameaças do Cloud Run analisa as informações de eventos coletadas para determinar se um evento indica um incidente. Ele usa PLN para analisar scripts Bash e Python em busca de código malicioso.
Se o Cloud Run Threat Detection identificar um incidente, ele será informado como uma descoberta no Security Command Center.
Se a Detecção de ameaças do Cloud Run não identificar um incidente, nenhuma informação será armazenada.
Todos os dados coletados são temporários e não são armazenados de forma permanente.
Para saber como analisar as descobertas da Detecção de ameaças do Cloud Run no console do Google Cloud, consulte Analisar descobertas.
Problemas conhecidos
- As instâncias dos seus serviços ou jobs do Cloud Run que duram mais de sete dias param de enviar informações de telemetria.
- Se o processo de monitoramento for interrompido prematuramente em uma instância em execução do seu serviço ou job do Cloud Run, ele não será reiniciado. A instância para de enviar informações de telemetria para a Detecção de ameaças do Cloud Run. Os registros de detecção de ameaças do Cloud Run não estão nos registros de instância. Não há indicador de que um processo de watcher foi interrompido.
Detectores
Esta seção lista os detectores de ambiente de execução e de plano de controle disponíveis. Adicionamos novos detectores regularmente à medida que novas ameaças na nuvem surgem.
Detectores de execução
O Cloud Run Threat Detection inclui os seguintes detectores de execução:
| Nome de exibição | Nome da API | Descrição |
|---|---|---|
| Execução: adição de binário malicioso executado | CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso adicionado for executado, é um forte sinal de que um invasor tem controle da carga de trabalho e está executando um software malicioso. |
| Execução: adição de biblioteca maliciosa carregada | CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED |
Uma biblioteca que atende às seguintes condições foi carregada:
Se uma biblioteca maliciosa adicionada for carregada, é um forte sinal de que um invasor tem controle da carga de trabalho e está executando um software malicioso. |
| Execução: binário malicioso integrado executado | CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso integrado for executado, isso indica que o invasor está implantando contêineres maliciosos. Eles podem ter conseguido o controle de um repositório de imagem legítimo ou de um pipeline de build de contêineres e injetado um binário malicioso na imagem do contêiner. |
| Execução: escape de contêiner | CLOUD_RUN_CONTAINER_ESCAPE |
Um processo foi executado no contêiner que tentou sair do isolamento dele usando técnicas de escape conhecidas ou binários. Esse tipo de ataque pode dar ao invasor acesso ao sistema host. Esses processos são identificados como possíveis ameaças com base em dados de informações. Se uma tentativa de escape de contêiner for detectada, isso poderá indicar que um invasor está explorando vulnerabilidades para sair do contêiner. Como resultado, o invasor pode ter acesso não autorizado ao sistema do host ou à infraestrutura mais ampla, comprometendo todo o ambiente. |
| Execução: execução da ferramenta de ataque do Kubernetes | CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION |
Uma ferramenta de ataque específica do Kubernetes foi executada no ambiente, o que pode indicar que um invasor está segmentando componentes do cluster do Kubernetes. Essas ferramentas de ataque são identificadas como possíveis ameaças com base em dados de inteligência. Se uma ferramenta de ataque for executada no ambiente do Kubernetes, isso pode sugerir que um invasor teve acesso ao cluster e está usando a ferramenta para explorar vulnerabilidades ou configurações específicas do Kubernetes. |
| Execução: execução da ferramenta de reconhecimento local | CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Uma ferramenta de reconhecimento local que normalmente não está associada ao contêiner ou ao ambiente foi executada, sugerindo uma tentativa de coletar informações internas do sistema. Essas ferramentas de reconhecimento são identificadas como possíveis ameaças com base em dados de inteligência. Se uma ferramenta de reconhecimento for executada, isso sugere que o invasor pode estar tentando mapear a infraestrutura, identificar vulnerabilidades ou coletar dados sobre as configurações do sistema para planejar as próximas etapas. |
| Execução: Python malicioso executado (pré-lançamento) | CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED |
Um modelo de aprendizado de máquina identificou o código Python especificado como malicioso. Os invasores podem usar o Python para transferir ferramentas ou outros arquivos de um sistema externo para um ambiente comprometido e executar comandos sem binários. O detector usa técnicas de PLN para avaliar o conteúdo do código Python executado. Como essa abordagem não é baseada em assinaturas, os detectores podem identificar códigos conhecidos e novos do Python. |
| Execução: binário malicioso modificado executado | CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso modificado for executado, isso indica que um invasor tem controle da carga de trabalho e está executando um software malicioso. |
| Execução: biblioteca maliciosa modificada carregada | CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Uma biblioteca que atende às seguintes condições foi carregada:
Se uma biblioteca maliciosa modificada for carregada, é um forte sinal de que um invasor tem controle da carga de trabalho e está executando um software malicioso. |
| Script malicioso executado | CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED |
Um modelo de aprendizado de máquina identificou o código Bash especificado como malicioso. Os invasores podem usar o Bash para transferir ferramentas ou outros arquivos de um sistema externo para um ambiente comprometido e executar comandos sem binários. O detector usa técnicas de PLN para avaliar o conteúdo do código Bash executado. Como essa abordagem não é baseada em assinaturas, os detectores podem identificar códigos Bash maliciosos conhecidos e novos. |
| URL malicioso observado | CLOUD_RUN_MALICIOUS_URL_OBSERVED |
A Detecção de ameaças do Cloud Run observou um URL malicioso na lista de argumentos de um processo em execução. O detector verifica os URLs observados na lista de argumentos de processos em execução em relação às listas de recursos da Web não seguros que são mantidos pelo serviço Navegação segura do Google. Se um URL for classificado incorretamente como site de phishing ou malware, informe o problema em Como relatar dados incorretos. |
| Shell reverso | CLOUD_RUN_REVERSE_SHELL |
Um processo começou com o redirecionamento de stream para um soquete conectado
remotamente. O detector procura Com um shell reverso, um invasor pode se comunicar de uma carga de trabalho comprometida para uma máquina controlada pelo invasor. O invasor pode comandar e controlar a carga de trabalho, por exemplo, como parte de um botnet. |
| Shell filho inesperado | CLOUD_RUN_UNEXPECTED_CHILD_SHELL |
Um processo que normalmente não invoca shells gerou um processo de shell. O detector monitora todas as execuções do processo. Quando um shell é invocado, o detector gera uma descoberta se o processo pai normalmente não invoca shells. |
Detectores do plano de controle
Os detectores de plano de controle a seguir estão disponíveis no Event Threat Detection. Esses detectores são ativados por padrão. Eles são gerenciados da mesma forma que os outros detectores do Event Threat Detection. Para mais informações, consulte Usar o Event Threat Detection.
| Nome de exibição | Nome da API | Tipos de origem do registro | Descrição |
|---|---|---|---|
| Impacto: comandos de mineração de criptomoedas (pré-lançamento) | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Registros de auditoria do Cloud: Registros de auditoria de eventos do sistema do IAM |
Comandos específicos de mineração de criptomoedas foram anexados a um job do Cloud Run durante a execução. |
| Execução: imagem Docker de mineração de criptomoedas (pré-lançamento) | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Registros de auditoria do Cloud: Registros de auditoria de eventos do sistema do IAM |
Imagens do Docker específicas e conhecidas foram anexadas a um serviço ou job do Cloud Run novo ou existente. |
| Escalonamento de privilégios: SetIAMPolicy da conta de serviço padrão do Compute Engine (pré-lançamento) | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Registros de auditoria do Cloud: Registros de atividade do administrador |
A conta de serviço padrão do Compute Engine foi usada para definir a política do IAM para um serviço do Cloud Run. Essa é uma possível ação pós-exploit quando um token do Compute Engine é comprometido por um serviço sem servidor. |
A seguir
- Saiba como usar a Detecção de ameaças do Cloud Run.
- Saiba como usar a detecção de ameaças a eventos.