Resumen conceptual de la detección de amenazas de contenedores

En esta página, se proporciona una descripción general de alto nivel de los conceptos y las características de Container Threat Detection.

¿Qué es Container Threat Detection?

Container Threat Detection es un servicio integrado para el nivel Premium de Security Command Center, que supervisa de forma continua el estado de las imágenes de nodo de Container-Optimized OS. El servicio evalúa todos los cambios e intentos de acceso remoto para detectar ataques de tiempo de ejecución casi en tiempo real.

Container Threat Detection detecta los ataques más comunes en el entorno de ejecución del contenedor y te alerta en el Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, como objetos binarios y bibliotecas sospechosos, y usa el procesamiento de lenguaje natural (PLN) para detectar secuencias de comandos de Bash maliciosas.

Cómo funciona la Detección de amenazas a contenedores

La instrumentación de detección de Container Threat Detection recopila un nivel bajo en el kernel invitado y ejecuta secuencias de comandos de Bash. La siguiente es la ruta de ejecución cuando se detectan eventos:

  1. Se pasa la información de eventos y la información que identifica el contenedor para el análisis a través del modo de usuario a un servicio de detector. La exportación de eventos se configura de forma automática cuando la detección de amenazas a contenedores está habilitada.

  2. El servicio de detector analiza eventos para determinar si un evento indica que se produjo un incidente. El contenido de las secuencias de comandos de Bash se analiza con PLN para determinar si las secuencias de comandos ejecutadas son maliciosas.

  3. Si el servicio de detector identifica un incidente, el incidente se escribe como un resultado en Security Command Center y, de forma opcional, en Cloud Logging.

    • Si el servicio de detector no identifica un incidente, no se almacena información de búsqueda.
    • Todos los datos en el servicio de kernel y el detector son efímeros y no se almacenan de forma persistente.

Puedes ver los detalles de los resultados en el panel de Security Command Center y, luego, investigar la información de búsqueda. La capacidad para ver y editar resultados se determina según las funciones que se te otorgan. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Detectores de detección de amenazas de contenedores

La detección de amenazas a contenedores incluye los siguientes detectores:

Detector Descripción Entradas para la detección
Se ejecutó el objeto binario añadido

Se ejecutó un objeto binario que no era parte de la imagen del contenedor original.

Si un atacante agrega un objeto binario agregado, es posible que tenga el control de la carga de trabajo y ejecute comandos arbitrarios.

El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original o se modificó a partir de la imagen del contenedor original.
Se cargó la biblioteca agregada

Se cargó una biblioteca que no formaba parte de la imagen del contenedor original.

Si se carga una biblioteca agregada, es posible que un atacante tenga el control de la carga de trabajo y ejecute un código arbitrario.

El detector busca una biblioteca que se carga y que no formaba parte de la imagen del contenedor original, o que se modificó a partir de la imagen del contenedor original.
Secuencia de comandos maliciosa ejecutada Un modelo de aprendizaje automático identificó una secuencia de comandos de Bash ejecutada como maliciosa. Los atacantes pueden usar secuencias de comandos de Bash para transferir herramientas o cualquier otro archivo desde un sistema externo a un entorno vulnerado y ejecutar comandos sin objetos binarios. El detector usa técnicas de PLN para evaluar el contenido de una secuencia de comandos de Bash ejecutada. Debido a que este enfoque no se basa en firmas, los detectores pueden identificar secuencias de comandos maliciosas conocidas y desconocidas.
Shells inversas

Un proceso iniciado con redireccionamiento de transmisión a un socket remoto conectado

Con una shell inversa, un atacante puede comunicarse desde una carga de trabajo comprometida a una máquina controlada por atacantes. Luego, el atacante puede dirigir y controlar la carga de trabajo para realizar las acciones deseadas, por ejemplo, como parte de un botnet.

El detector busca stdin vinculada a un socket remoto.

¿Qué sigue?