Descripción general de conceptos de la Detección de amenazas de contenedores

En esta página, se proporciona una descripción general de alto nivel de los conceptos y las características de Container Threat Detection.

¿Qué es Container Threat Detection?

Container Threat Detection es un servicio integrado para el nivel Premium de Security Command Center que supervisa continuamente el estado de las imágenes de nodo de Container-Optimized OS. El servicio evalúa todos los cambios y los intentos de acceso remoto para detectar ataques en el entorno de ejecución casi en tiempo real.

Container Threat Detection detecta los ataques más comunes en el entorno de ejecución del contenedor y te alerta en el Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, como objetos binarios y bibliotecas sospechosos, y usa el procesamiento de lenguaje natural (PLN) para detectar secuencias de comandos de Bash maliciosas.

Cómo funciona la Detección de amenazas a contenedores

La instrumentación de detección de la detección de amenazas a contenedores recopila el comportamiento de bajo nivel en el kernel invitado y las secuencias de comandos de Bash ejecutadas. La siguiente es la ruta de ejecución cuando se detectan eventos:

  1. La detección de amenazas a contenedores pasa información del evento y también información que identifica el contenedor a través de un DaemonSet de modo de usuario a un servicio de detector para su análisis. La recopilación de eventos se configura de forma automática cuando se habilita Container Threat Detection.

    El DaemonSet del observador pasa información del contenedor de la mejor manera posible. La información del contenedor se puede descartar del hallazgo informado si Kubernetes y el entorno de ejecución del contenedor no entregan la información del contenedor correspondiente a tiempo.

  2. El servicio de detector analiza eventos para determinar si un evento indica que se produjo un incidente. El contenido de las secuencias de comandos de Bash se analiza con PLN para determinar si las secuencias de comandos ejecutadas son maliciosas.

  3. Si el servicio de detector identifica un incidente, el incidente se escribe como un resultado en Security Command Center y, de forma opcional, en Cloud Logging.

    • Si el servicio de detector no identifica un incidente, no se almacena información de búsqueda.
    • Todos los datos en el servicio de kernel y el detector son efímeros y no se almacenan de forma persistente.

Puedes ver los detalles de los resultados en el panel de Security Command Center y, luego, investigar la información de búsqueda. La capacidad para ver y editar resultados se determina según las funciones que se te otorgan. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Detectores de detección de amenazas de contenedores

La detección de amenazas a contenedores incluye los siguientes detectores:

Detector Descripción Entradas para la detección
Se ejecutó el objeto binario añadido

Se ejecutó un objeto binario que no formaba parte de la imagen del contenedor original.

Si un atacante ejecuta un objeto binario agregado, es una posible señal de que un atacante tiene el control de la carga de trabajo y que está ejecutando comandos arbitrarios.

El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original o que se modificó a partir de ella.
Se cargó la biblioteca agregada

Se cargó una biblioteca que no formaba parte de la imagen del contenedor original.

Si se carga una biblioteca agregada, es una posible señal de que un atacante tiene el control de la carga de trabajo y está ejecutando un código arbitrario.

El detector busca una biblioteca que se está cargando que no formaba parte de la imagen de contenedor original o que se modificó a partir de la imagen de contenedor original.
Ejecución: Se agregó un objeto binario malicioso ejecutado

Se ejecutó un objeto binario que cumple con las siguientes condiciones:

  • Se identifica como malicioso según la inteligencia de amenazas
  • No forma parte de la imagen del contenedor original

Si se ejecuta un objeto binario malicioso agregado, es una señal clara de que un atacante tiene el control de la carga de trabajo y que está ejecutando software malicioso.

El detector busca un objeto binario en ejecución que no formaba parte de la imagen de contenedor original y se identificó como malicioso en función de la inteligencia de amenazas.
Ejecución: Se cargó la biblioteca maliciosa

Se cargó una biblioteca que cumple con las siguientes condiciones:

  • Se identifica como malicioso según la inteligencia de amenazas
  • No forma parte de la imagen del contenedor original

Si se carga una biblioteca maliciosa agregada, es una señal fuerte de que un atacante tiene el control de la carga de trabajo y que está ejecutando software malicioso.

El detector busca una biblioteca en carga que no formaba parte de la imagen de contenedor original y se identificó como maliciosa en función de la inteligencia de amenazas.
Ejecución: Ejecución de objeto binario malicioso integrado

Se ejecutó un objeto binario que cumple con las siguientes condiciones:

  • Se identifica como malicioso según la inteligencia de amenazas
  • Se incluye en la imagen del contenedor original

Si se ejecuta un objeto binario malicioso integrado, es una señal de que el atacante está implementando contenedores maliciosos. Es posible que hayan obtenido el control de un repositorio de imágenes legítimo o de una canalización de compilación de contenedores y de haber insertado un objeto binario malicioso en la imagen del contenedor.

El detector busca un objeto binario en ejecución que se incluyó en la imagen de contenedor original y que se identificó como malicioso en función de la inteligencia de amenazas.
Ejecución: Ejecutado un objeto binario malicioso modificado

Se ejecutó un objeto binario que cumple con las siguientes condiciones:

  • Se identifica como malicioso según la inteligencia de amenazas
  • Se incluye en la imagen del contenedor original
  • Se modifica desde la imagen del contenedor original durante el entorno de ejecución
  • Si se ejecuta un objeto binario malicioso modificado, es una señal clara de que un atacante tiene el control de la carga de trabajo y que está ejecutando software malicioso.

    El detector busca un objeto binario que se está ejecutando y que, en un principio, se incluyó en la imagen de contenedor, pero se modificó durante el entorno de ejecución y se identificó como malicioso en función de la inteligencia de amenazas.
    Ejecución: Se cargó la biblioteca maliciosa modificada

    Se cargó una biblioteca que cumple con las siguientes condiciones:

  • Se identifica como malicioso según la inteligencia de amenazas
  • Se incluye en la imagen del contenedor original
  • Se modifica desde la imagen del contenedor original durante el entorno de ejecución
  • Si se carga una biblioteca maliciosa modificada, es una señal fuerte de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso.

    El detector busca una biblioteca en carga que se incluyó en un principio en la imagen de contenedor, pero se modificó durante el entorno de ejecución y se identificó como maliciosa en función de la inteligencia de amenazas.
    Secuencia de comandos maliciosa ejecutada Un modelo de aprendizaje automático identificó una secuencia de comandos de Bash ejecutada como maliciosa. Los atacantes pueden usar secuencias de comandos de Bash para transferir herramientas o cualquier otro archivo desde un sistema externo a un entorno vulnerado y ejecutar comandos sin objetos binarios. El detector usa técnicas de PLN para evaluar el contenido de una secuencia de comandos de Bash ejecutada. Dado que este enfoque no se basa en firmas, los detectores pueden identificar secuencias de comandos maliciosas conocidas y desconocidas.
    Se observó una URL maliciosa La detección de amenazas a contenedores observó una URL maliciosa en la lista de argumentos de un proceso en ejecución. El detector compara las URL que se observan en la lista de argumentos de los procesos en ejecución con las listas de recursos web no seguros que mantiene el servicio de Navegación segura de Google. Si una URL está clasificada de forma incorrecta como suplantación de identidad (phishing) o software malicioso, denúnciala a Navegación segura en Cómo informar datos incorrectos.
    Shells inversas

    Es un proceso iniciado con redireccionamiento de transmisión a un socket remoto conectado.

    Con una shell inversa, un atacante puede comunicarse desde una carga de trabajo comprometida a una máquina controlada por atacantes. Luego, el atacante puede dirigir y controlar la carga de trabajo para realizar las acciones deseadas, por ejemplo, como parte de un botnet.

    El detector busca stdin vinculado a un socket remoto.
    Shell secundario inesperado

    Un proceso que normalmente no invoca shells generó un proceso de shell.

    El detector supervisa todas las ejecuciones de procesos. Cuando se invoca un shell, el detector genera un hallazgo si se sabe que el proceso superior no suele invocar shells.

    ¿Qué sigue?