Daha fazla kurumsal bilgi işlem iş yükü buluta taşınırken, saldırganların sayısı da her geçen gün artıyor. Özellikle sanal sunucular, son birkaç yıldır kripto madenciliği ve fidye yazılımı grupları tarafından hedef alındı ve genellikle uç noktalarla aynı koruma düzeylerinden faydalanmıyorlar. Google, bulut bilişim platformu için VM tabanlı tehdit algılama ile bunu değiştirmeye karar verdi.
Bulut bilişim söz konusu olduğunda, verimlilik ve esneklik çok önemlidir. Sunucular, çalıştırmaları beklenen iş yüklerine göre ölçeklendirilir. Sanal makinelerin içinde çalışan bir yazılım aracısı gerektiren herhangi bir ek güvenlik taraması ve izlemesi, ek yüke neden olur ve CPU döngülerini ve belleği tüketir.
Google’ın Sanal Makine Tehdit Algılama (VMTD) özelliğiyle çözmeye çalıştığı sorun budur.
Google Cloud Ürün Müdürü Timothy Peacock bir blog yazısında, “Compute Engine için, müşterilerimizin ek yazılım çalıştırmasını gerektirmeden tehdit tespitine yardımcı olacak sinyaller toplayıp toplayamayacağımızı görmek istedik” dedi. “Örneklerinin içinde bir aracı çalıştırmamak, daha az performans etkisi, aracı dağıtımı ve yönetimi için daha düşük operasyonel yük ve potansiyel, saldırganlar için daha az saldırı yüzeyinin kalması anlamına gelir.” dedi.
VMTD Nasıl Çalışır?
VMTD, hiper yönetici düzeyinde çalışır ve bu hiper yönetici tarafından sağlanan sanal makinelerin belleğine doğrudan erişime sahiptir. Bu, teknolojiye başka bir avantaj sağlar: Kötü amaçlı program yönetici ayrıcalıklarına sahip olsa bile, sanal makine içinde çalışan kötü amaçlı yazılım tarafından değiştirilemez. Birçok kötü amaçlı yazılım programında, algılamadan kaçınmak için aynı sistemde çalışan bilinen güvenlik tarayıcılarını devre dışı bırakmaya çalışan yerleşik rutinler bulunur.
VMTD, Google’ın tehdit algılama kurallarını kullanarak Compute Engine projelerinin periyodik taramalarını ve sanal makine örneklerinin canlı belleğini çalıştıracak yönetilen bir hizmet olarak çalışır.
Teknoloji ön izleme aşamasında, öncelikle, saldırganlar tarafından güvenliği ihlal edilmiş sunucularda dağıtılan en yaygın kötü amaçlı yazılım tehditlerinden biri olan kripto madenciliği programlarına yöneliktir. Google Cybersecurity Action Team’in en son tehdit raporuna göre, güvenliği ihlal edilmiş tüm bulut örneklerinin yüzde 86’sında kripto para birimi madenciliği programları gözlemlendi.
VMTD, bilinen şifreleme imzalarıyla eşleşmeleri bulmak için uygulama adları, işlem başına CPU kullanımı, CPU donanım performans sayaçları ve yürütülen makine kodu hakkındaki bilgileri kullanarak VM’lerde çalışan yazılımı analiz eder.
Gelecekte, genel kullanılabilirlik sürümüne yaklaştıkça hizmet, fidye yazılımı, veri hırsızlığı ve Truva atları gibi diğer tehdit türleri için yeni algılama yetenekleri kazanacak ve Google Cloud’un diğer bölümleriyle entegre edilecek.
Şimdilik, VMTD, Security Command Center Premium aboneleri için isteğe bağlı bir hizmet olarak sunuluyor. Müşteriler taramalar için bir kapsam tanımlayabilir, ancak teknoloji, hassas iş yüklerini korumak için belleği şifreleyen gizli bilgi işlem düğümlerinin belleğini işlemez.
Peacock, “VMTD, SCC Premium’daki Event Threat Detection ve Container Threat Detection yerleşik hizmetleri tarafından etkinleştirilen mevcut tehdit algılama yeteneklerini tamamlıyor,” dedi. “Birlikte, bu üç gelişmiş savunma katmanı, Google Cloud’da çalışan iş yükleri için bütünsel koruma sağlar.”
0 Comments