Cloud Run Threat Detection es un servicio integrado de Security Command Center que monitoriza continuamente el estado de los recursos de Cloud Run admitidos para detectar los ataques de tiempo de ejecución más comunes. Si Cloud Run Threat Detection detecta un ataque, genera un hallazgo en Security Command Center casi en tiempo real.
Los detectores de tiempo de ejecución de Cloud Run Threat Detection monitorizan los recursos de Cloud Run en busca de archivos binarios y bibliotecas sospechosos, y usan el procesamiento del lenguaje natural (PLN) para detectar código Bash y Python malicioso.
Además, los detectores del plano de control están disponibles a través de Event Threat Detection. Estos detectores monitorizan el flujo de Cloud Logging de tu organización o proyectos para detectar posibles ataques al plano de control de tus recursos de Cloud Run.
Recursos compatibles
Cloud Run Threat Detection monitoriza los siguientes recursos:
Entornos de ejecución admitidos
Los entornos de ejecución admitidos son diferentes para los detectores de tiempo de ejecución y los detectores del plano de control.
Entornos de ejecución admitidos para detectores de tiempo de ejecución
Los detectores de tiempo de ejecución de Cloud Run Threat Detection solo admiten recursos de Cloud Run que se ejecutan en el entorno de ejecución de segunda generación. Ten en cuenta lo siguiente antes de habilitar Cloud Run Threat Detection:
Cuando habilitas Cloud Run Threat Detection, no puedes crear un servicio o una revisión de servicio de Cloud Run que se ejecute en el entorno de ejecución de primera generación. El servicio Cloud Run debe usar el entorno de ejecución de segunda generación. Te recomendamos que pruebes tus cargas de trabajo en el entorno de ejecución de segunda generación antes de habilitar Detección de amenazas de Cloud Run.
Para habilitar la detección de amenazas en el tiempo de ejecución de un servicio, despliega una revisión que defina el entorno de ejecución del servicio como de segunda generación o como el entorno de ejecución predeterminado.
Entornos de ejecución admitidos para detectores de plano de control
Los detectores del plano de control admiten entornos de ejecución de primera y segunda generación.
Cómo funciona la detección de amenazas en el tiempo de ejecución de Cloud Run Threat Detection
Cuando habilitas Cloud Run Threat Detection, se recogen datos de telemetría de los recursos de Cloud Run compatibles para analizar procesos, secuencias de comandos y bibliotecas que puedan indicar un ataque en el tiempo de ejecución. A continuación, se muestra la ruta de ejecución cuando se detectan eventos:
- Detección de amenazas de Cloud Run usa un proceso de observador para recoger información de contenedores y eventos durante toda la duración de una carga de trabajo de Cloud Run.
Cloud Run Threat Detection analiza la información de los eventos recogidos para determinar si un evento indica que se ha producido un incidente. Usa el procesamiento del lenguaje natural para analizar secuencias de comandos de Bash y Python en busca de código malicioso.
Si Cloud Run Threat Detection identifica un incidente, lo notifica como resultado en Security Command Center.
Si Cloud Run Threat Detection no identifica ningún incidente, no se almacena ninguna información.
Todos los datos recogidos son efímeros y no se almacenan de forma persistente.
Para obtener información sobre cómo revisar los resultados de Detección de amenazas de Cloud Run en laGoogle Cloud consola, consulta Revisar los resultados.
Problemas conocidos
- Si el proceso de observador se detiene prematuramente en una instancia en ejecución de tu servicio o trabajo de Cloud Run, no se reiniciará. La instancia deja de enviar información de telemetría a Cloud Run Threat Detection. Los registros de Cloud Run Threat Detection no aparecen en los registros de la instancia. No hay ningún indicador de que un proceso de observador se haya detenido.
Detectores
En esta sección se enumeran los detectores del plano de control y del entorno de ejecución que están disponibles. Añadimos nuevos detectores con regularidad a medida que surgen nuevas amenazas en la nube.
Detectores de tiempo de ejecución
Cloud Run Threat Detection incluye los siguientes detectores de tiempo de ejecución:
| Nombre visible | Nombre de la API | Descripción |
|---|---|---|
| Ejecución: Added Malicious Binary Executed | CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED |
Se ha ejecutado un archivo binario que cumple las siguientes condiciones:
Si se ejecuta un archivo binario malicioso añadido, es una señal clara de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
| Ejecución: Added Malicious Library Loaded | CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED |
Se ha cargado una biblioteca que cumple las siguientes condiciones:
Si se carga una biblioteca maliciosa añadida, es una señal clara de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
| Ejecución: se ha ejecutado un binario malicioso integrado | CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Se ha ejecutado un archivo binario que cumple las siguientes condiciones:
Si se ejecuta un archivo binario malicioso integrado, es una señal de que el atacante está desplegando contenedores maliciosos. Es posible que hayan obtenido el control de un repositorio de imágenes o de una canalización de compilación de contenedores legítimos e inyectado un archivo binario malicioso en la imagen del contenedor. |
| Ejecución: escape de contenedores | CLOUD_RUN_CONTAINER_ESCAPE |
Se ha ejecutado un proceso en el contenedor que ha intentado salir del aislamiento del contenedor mediante técnicas o archivos binarios de escape conocidos. Este tipo de ataque puede dar acceso al atacante al sistema host. Estos procesos se identifican como posibles amenazas en función de los datos de inteligencia. Si se detecta un intento de escape de contenedor, puede indicar que un atacante está aprovechando vulnerabilidades para salir del contenedor. Como resultado, el atacante podría obtener acceso no autorizado al sistema host o a una infraestructura más amplia, lo que pondría en peligro todo el entorno. |
| Ejecución: ejecución de herramientas de ataque de Kubernetes | CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION |
Se ha ejecutado una herramienta de ataque específica de Kubernetes en el entorno, lo que puede indicar que un atacante está atacando componentes del clúster de Kubernetes. Estas herramientas de ataque se identifican como posibles amenazas en función de los datos de inteligencia. Si se ejecuta una herramienta de ataque en el entorno de Kubernetes, puede indicar que un atacante ha obtenido acceso al clúster y está usando la herramienta para aprovechar vulnerabilidades o configuraciones específicas de Kubernetes. |
| Ejecución: ejecución de herramienta de reconocimiento local | CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Se ha ejecutado una herramienta de reconocimiento local que no suele estar asociada al contenedor o al entorno, lo que sugiere que se ha intentado recopilar información interna del sistema. Estas herramientas de reconocimiento se identifican como posibles amenazas en función de los datos de inteligencia. Si se ejecuta una herramienta de reconocimiento, significa que el atacante puede estar intentando mapear la infraestructura, identificar vulnerabilidades o recoger datos sobre las configuraciones del sistema para planificar sus próximos pasos. |
| Ejecución: se ha ejecutado código Python malicioso | CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED |
Un modelo de aprendizaje automático ha identificado el código de Python especificado como malicioso. Los atacantes pueden usar Python para transferir herramientas u otros archivos de un sistema externo a un entorno vulnerado y ejecutar comandos sin archivos binarios. El detector usa técnicas de procesamiento del lenguaje natural para evaluar el contenido del código de Python ejecutado. Como este enfoque no se basa en firmas, los detectores pueden identificar código Python conocido y nuevo. |
| Ejecución: se ha ejecutado un binario malicioso modificado | CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Se ha ejecutado un archivo binario que cumple las siguientes condiciones:
Si se ejecuta un archivo binario malicioso modificado, es una señal clara de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
| Ejecución: se ha cargado una biblioteca maliciosa modificada | CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Se ha cargado una biblioteca que cumple las siguientes condiciones:
Si se carga una biblioteca maliciosa modificada, es una señal clara de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
| Secuencia de comandos maliciosa ejecutada | CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED |
Un modelo de aprendizaje automático ha identificado el código Bash especificado como malicioso. Los atacantes pueden usar Bash para transferir herramientas u otros archivos de un sistema externo a un entorno vulnerado y ejecutar comandos sin archivos binarios. El detector usa técnicas de procesamiento del lenguaje natural para evaluar el contenido del código Bash ejecutado. Como este enfoque no se basa en firmas, los detectores pueden identificar código Bash malicioso conocido y nuevo. |
| URL maliciosa detectada | CLOUD_RUN_MALICIOUS_URL_OBSERVED |
Cloud Run Threat Detection ha detectado una URL maliciosa en la lista de argumentos de un proceso en ejecución. El detector comprueba las URLs que se observan en la lista de argumentos de los procesos en ejecución con las listas de recursos web no seguros que mantiene el servicio Navegación segura de Google. Si una URL se clasifica incorrectamente como sitio de phishing o malware, infórmanos a través de la página Reporting Incorrect Data (Informar de datos incorrectos). |
| Shell inverso | CLOUD_RUN_REVERSE_SHELL |
Se ha iniciado un proceso con redirección de flujo a un socket conectado remoto. El detector busca Con una shell inversa, un atacante puede comunicarse desde una carga de trabajo vulnerada a una máquina controlada por el atacante. De esta forma, el atacante puede controlar la carga de trabajo, por ejemplo, como parte de una botnet. |
| Shell secundario inesperado | CLOUD_RUN_UNEXPECTED_CHILD_SHELL |
Un proceso que normalmente no invoca shells ha generado un proceso de shell. El detector monitoriza todas las ejecuciones de procesos. Cuando se invoca un shell, el detector genera un resultado si se sabe que el proceso principal no suele invocar shells. |
Detectores del plano de control
Los siguientes detectores del plano de control están disponibles a través de Event Threat Detection. Estos detectores están habilitados de forma predeterminada. Estos detectores se gestionan de la misma forma que los demás detectores de Event Threat Detection. Para obtener más información, consulta Usar Event Threat Detection.
| Nombre visible | Nombre de la API | Tipos de fuentes de registro | Descripción |
|---|---|---|---|
| Impacto: comandos de minería de criptomonedas | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Registros de auditoría de Cloud: Registros de auditoría de eventos del sistema de IAM |
Se adjuntaron comandos de minería de criptomonedas específicos a una tarea de Cloud Run durante la ejecución. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Ejecución: imagen de Docker de minería de criptomonedas | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Registros de auditoría de Cloud: Registros de auditoría de eventos del sistema de IAM |
Se han adjuntado imágenes de Docker específicas que se sabe que son incorrectas a un servicio o trabajo de Cloud Run nuevo o ya creado. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Aumento de privilegios: Default Compute Engine Service Account SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha usado la cuenta de servicio predeterminada de Compute Engine para definir la política de gestión de identidades y accesos de un servicio de Cloud Run. Esta es una posible acción posterior a la explotación cuando se pone en peligro un token de Compute Engine desde un servicio sin servidor. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
Siguientes pasos
- Consulta cómo usar Cloud Run Threat Detection.
- Consulta cómo usar Event Threat Detection.
- Consulta cómo responder a las detecciones de amenazas de Cloud Run.
- Consulta el índice de hallazgos de amenazas.