Google在其安全命令中心加入虛擬機器威脅偵測(VMTD)功能,現在正式推出供所有用戶使用,該功能融入虛擬化堆疊中,在背景持續掃瞄用戶工作負載中存在的安全威脅。官方提到,過去針對Compute Engine機隊的記憶體掃描存在挑戰,而VMTD可針對較小但更重要的快取進行掃描,因此可頻繁掃瞄大量執行個體。

VMTD可發現執行個體中一些特別的攻擊,像是發現用戶的防毒代理實則為虛擬貨幣挖礦程序等案例,Google提到,他們的YARA規則是與Google的威脅情報社群合作,同時運用分析小組和威脅情報的專業知識開發。VMTD除了可以發現挖礦行為外,也可以辨識和回報挖礦活動的特定過程。

另外,由於VMTD能夠深入理解Linux核心,即便執行個體裡面沒有設置代理,也能夠觀察到具體的威脅執行細節,更容易地對偵測結果分類、調查,並且採取行動。

VMTD的特別之處,就在於VMTD是屬於虛擬機器管理程式的一部分,而非執行個體內部的代理,Google表示,傳統的端點偵測和回應技術(EDR)代理,會暴露在攻擊者面前,但是VMTD是一種攻擊者不可見的方法,因此攻擊者也無法得知VMTD掃描的時機。

用戶要啟用VMTD,只需要在安全命令中心Premium設定中,勾選啟用VMTD選項即可,啟用後,VMTD就能保護大量的執行個體,而且不需要消耗執行個體本身的計算資源,VMTD還可偵測Rootkit和Bootkit,防止核心完整性遭到竄改。

熱門新聞

Advertisement