GCP - Security Enum

Informazioni di Base

Google Cloud Platform (GCP) Security comprende una suite completa di strumenti e pratiche progettate per garantire la sicurezza delle risorse e dei dati all'interno dell'ambiente Google Cloud, suddivisa in quattro sezioni principali: Security Command Center, Detections and Controls, Data Protection e Zero Trust.

Security Command Center

Il Google Cloud Platform (GCP) Security Command Center (SCC) è uno strumento di gestione della sicurezza e del rischio per le risorse GCP che consente alle organizzazioni di ottenere visibilità e controllo sui propri asset cloud. Aiuta a rilevare e rispondere alle minacce offrendo analisi di sicurezza complete, identificando le configurazioni errate, garantendo la conformità agli standard di sicurezza e integrandosi con altri strumenti di sicurezza per il rilevamento e la risposta automatizzati alle minacce.

• Panoramica: Pannello per visualizzare una panoramica di tutti i risultati del Security Command Center.

• Minacce: [Richiesto Premium] Pannello per visualizzare tutte le minacce rilevate. Maggiori informazioni sulle Minacce di seguito

• Vulnerabilità: Pannello per visualizzare le configurazioni errate trovate nell'account GCP.

• Conformità: [Richiesto Premium] Questa sezione consente di testare il tuo ambiente GCP rispetto a diversi controlli di conformità (come PCI-DSS, NIST 800-53, benchmark CIS...) sull'organizzazione.

• Asset: Questa sezione mostra tutti gli asset in uso, molto utile per gli amministratori di sistema (e forse per gli attaccanti) per vedere cosa è in esecuzione in una singola pagina.

• Risultati: Questo aggregato in una tabella dei risultati di diverse sezioni della sicurezza GCP (non solo Command Center) per poter visualizzare facilmente i risultati che contano.

• Fonti: Mostra un riepilogo dei risultati di tutte le diverse sezioni della sicurezza GCP per sezione.

• Postura: [Richiesto Premium] La Postura di Sicurezza consente di definire, valutare e monitorare la sicurezza dell'ambiente GCP. Funziona creando una politica che definisce vincoli o restrizioni che controllano/monitorano le risorse in GCP. Ci sono diversi modelli di postura predefiniti che possono essere trovati in https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Minacce

Dal punto di vista di un attaccante, questa è probabilmente la funzionalità più interessante poiché potrebbe rilevare l'attaccante. Tuttavia, nota che questa funzionalità richiede Premium (il che significa che l'azienda dovrà pagare di più), quindi potrebbe non essere nemmeno abilitata.

Ci sono 3 tipi di meccanismi di rilevamento delle minacce:

• Event Threats: Risultati prodotti abbinando eventi da Cloud Logging basati su regole create internamente da Google. Può anche scansionare i log di Google Workspace.

• È possibile trovare la descrizione di tutte le regole di rilevamento nei documenti

• Container Threats: Risultati prodotti dopo aver analizzato il comportamento a basso livello del kernel dei container.

• Custom Threats: Regole create dall'azienda.

È possibile trovare risposte raccomandate alle minacce rilevate di entrambi i tipi in https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumerazione

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

Detections and Controls

• Chronicle SecOps: Una suite avanzata per le operazioni di sicurezza progettata per aiutare i team ad aumentare la velocità e l'impatto delle operazioni di sicurezza, inclusi rilevamento delle minacce, indagini e risposte.

• reCAPTCHA Enterprise: Un servizio che protegge i siti web da attività fraudolente come scraping, credential stuffing e attacchi automatizzati distinguendo tra utenti umani e bot.

• Web Security Scanner: Strumento di scansione automatizzata della sicurezza che rileva vulnerabilità e problemi di sicurezza comuni nelle applicazioni web ospitate su Google Cloud o su un altro servizio web.

• Risk Manager: Uno strumento di governance, rischio e conformità (GRC) che aiuta le organizzazioni a valutare, documentare e comprendere la loro postura di rischio su Google Cloud.

• Binary Authorization: Un controllo di sicurezza per i container che garantisce che solo le immagini di container attendibili siano distribuite sui cluster di Kubernetes Engine secondo le politiche stabilite dall'azienda.

• Advisory Notifications: Un servizio che fornisce avvisi e consigli su potenziali problemi di sicurezza, vulnerabilità e azioni raccomandate per mantenere sicure le risorse.

• Access Approval: Una funzionalità che consente alle organizzazioni di richiedere un'approvazione esplicita prima che i dipendenti di Google possano accedere ai loro dati o configurazioni, fornendo un ulteriore livello di controllo e auditabilità.

• Managed Microsoft AD: Un servizio che offre Microsoft Active Directory (AD) gestito che consente agli utenti di utilizzare le loro app e carichi di lavoro dipendenti da Microsoft AD su Google Cloud.

Data Protection

• Sensitive Data Protection: Strumenti e pratiche mirati a proteggere i dati sensibili, come informazioni personali o proprietà intellettuale, contro accessi non autorizzati o esposizioni.

• Data Loss Prevention (DLP): Un insieme di strumenti e processi utilizzati per identificare, monitorare e proteggere i dati in uso, in movimento e a riposo attraverso un'ispezione approfondita dei contenuti e applicando un insieme completo di regole di protezione dei dati.

• Certificate Authority Service: Un servizio scalabile e sicuro che semplifica e automatizza la gestione, distribuzione e rinnovo dei certificati SSL/TLS per servizi interni ed esterni.

• Key Management: Un servizio basato su cloud che consente di gestire le chiavi crittografiche per le applicazioni, inclusa la creazione, importazione, rotazione, utilizzo e distruzione delle chiavi di crittografia. Maggiori informazioni in:

• Certificate Manager: Un servizio che gestisce e distribuisce certificati SSL/TLS, garantendo connessioni sicure e crittografate ai tuoi servizi web e applicazioni.

• Secret Manager: Un sistema di archiviazione sicuro e conveniente per chiavi API, password, certificati e altri dati sensibili, che consente un accesso e una gestione facili e sicuri di questi segreti nelle applicazioni. Maggiori informazioni in:

Zero Trust

• BeyondCorp Enterprise: Una piattaforma di sicurezza zero-trust che consente l'accesso sicuro alle applicazioni interne senza la necessità di una VPN tradizionale, basandosi sulla verifica della fiducia dell'utente e del dispositivo prima di concedere l'accesso.

• Policy Troubleshooter: Uno strumento progettato per aiutare gli amministratori a comprendere e risolvere i problemi di accesso nella loro organizzazione identificando perché un utente ha accesso a determinate risorse o perché l'accesso è stato negato, aiutando così nell'applicazione delle politiche zero-trust.

• Identity-Aware Proxy (IAP): Un servizio che controlla l'accesso alle applicazioni cloud e alle VM in esecuzione su Google Cloud, on-premises o altri cloud, basato sull'identità e sul contesto della richiesta piuttosto che sulla rete da cui proviene la richiesta.

• VPC Service Controls: Perimetri di sicurezza che forniscono ulteriori livelli di protezione alle risorse e ai servizi ospitati nel Virtual Private Cloud (VPC) di Google Cloud, prevenendo l'esfiltrazione dei dati e fornendo un controllo granulare degli accessi.

• Access Context Manager: Parte di BeyondCorp Enterprise di Google Cloud, questo strumento aiuta a definire e applicare politiche di controllo degli accessi dettagliate basate sull'identità dell'utente e sul contesto della loro richiesta, come lo stato di sicurezza del dispositivo, l'indirizzo IP e altro.