GCP - Sekuriteit Enum

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Basiese Inligting

Google Cloud Platform (GCP) Sekuriteit omvat ’n omvattende stel gereedskap en praktyke wat ontwerp is om die sekuriteit van hulpbronne en data binne die Google Cloud omgewing te verseker, verdeel in vier hoofafdelings: Sekuriteit Command Center, Ontdekkings en Beheer, Data Beskerming en Zero Trust.

Sekuriteit Command Center

Die Google Cloud Platform (GCP) Sekuriteit Command Center (SCC) is ’n sekuriteit en risiko bestuur gereedskap vir GCP hulpbronne wat organisasies in staat stel om sigbaarheid te verkry en beheer oor hul wolk bates te hê. Dit help om bedreigings te ontdek en daarop te reageer deur omvattende sekuriteitsanalise aan te bied, misconfigurasies te identifiseer, te verseker dat daar nakoming met sekuriteitsstandaarde is, en te integreer met ander sekuriteitsgereedskap vir geoutomatiseerde bedreigingsontdekking en -reaksie.

  • Oorsig: Paneel om ’n oorsig te visualiseer van al die resultate van die Sekuriteit Command Center.
  • Bedreigings: [Premium Vereis] Paneel om al die ontdekte bedreigings te visualiseer. Kyk meer oor Bedreigings hieronder
  • Kw vulnerabilities: Paneel om gevonde misconfigurasies in die GCP-rekening te visualiseer.
  • Nakoming: [Premium vereis] Hierdie afdeling laat jou toe om jou GCP-omgewing teen verskeie nakomingskontroles te toets (soos PCI-DSS, NIST 800-53, CIS-benchmarks…) oor die organisasie.
  • Bates: Hierdie afdeling wys al die bates wat gebruik word, baie nuttig vir stelselsadministrateurs (en miskien aanvallers) om te sien wat op ’n enkele bladsy loop.
  • Vondste: Hierdie aggregates in ’n tabel bevindings van verskillende afdelings van GCP Sekuriteit (nie net Command Center nie) om maklik bevindings wat saak maak te visualiseer.
  • Bronne: Wys ’n opsomming van bevindings van al die verskillende afdelings van GCP-sekuriteit per afdeling.
  • Posisie: [Premium Vereis] Sekuriteit Posisie laat jou toe om die sekuriteit van die GCP-omgewing te definieer, te evalueer en te monitor. Dit werk deur ’n beleid te skep wat beperkings of beperkings definieer wat die hulpbronne in GCP beheer/monitor. Daar is verskeie vooraf gedefinieerde posisie sjablone wat gevind kan word in https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Bedreigings

Van die perspektief van ’n aanvaller, is dit waarskynlik die mees interessante kenmerk aangesien dit die aanvaller kan opspoor. Let egter daarop dat hierdie kenmerk Premium vereis (wat beteken dat die maatskappy meer sal moet betaal), so dit mag dalk nie eers geaktiveer wees nie.

Daar is 3 tipes bedreigingsontdekking meganismes:

  • Gebeurtenis Bedreigings: Bevindings wat geproduseer word deur gebeurtenisse van Cloud Logging te pas by reëls wat intern deur Google geskep is. Dit kan ook Google Workspace logs skandeer.
  • Dit is moontlik om die beskrywing van al die ontdekkingsreëls in die dokumentasie te vind.
  • Container Bedreigings: Bevindings wat geproduseer word na die analise van lae-vlak gedrag van die kern van houers.
  • Pasgemaakte Bedreigings: Reëls wat deur die maatskappy geskep is.

Dit is moontlik om aanbevole reaksies op ontdekte bedreigings van beide tipes te vind in https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumerasie

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

GCP - Security Post Exploitation

Detections and Controls

  • Chronicle SecOps: ’n Gevorderde sekuriteitsbedrywighede suite wat ontwerp is om spanne te help om hul spoed en impak van sekuriteitsbedrywighede te verhoog, insluitend bedreigingsdetectie, ondersoek, en reaksie.
  • reCAPTCHA Enterprise: ’n Diens wat webwerwe beskerm teen bedrogagtige aktiwiteite soos scraping, credential stuffing, en outomatiese aanvalle deur te onderskei tussen menslike gebruikers en bots.
  • Web Security Scanner: Geoutomatiseerde sekuriteitskandering hulpmiddel wat kwesbaarhede en algemene sekuriteitskwessies in webtoepassings wat op Google Cloud of ’n ander webdiens gehos is, opspoor.
  • Risk Manager: ’n Bestuur, risiko, en nakoming (GRC) hulpmiddel wat organisasies help om hul Google Cloud risiko houding te evalueer, dokumenteer, en verstaan.
  • Binary Authorization: ’n Sekuriteitsbeheer vir houers wat verseker dat slegs vertroude houerbeelde op Kubernetes Engine klusters ontplooi word volgens beleide wat deur die onderneming gestel is.
  • Advisory Notifications: ’n Diens wat waarskuwings en advies verskaf oor potensiële sekuriteitskwessies, kwesbaarhede, en aanbevole aksies om hulpbronne veilig te hou.
  • Access Approval: ’n Kenmerk wat organisasies toelaat om eksplisiete goedkeuring te vereis voordat Google werknemers toegang tot hul data of konfigurasies kan kry, wat ’n addisionele laag van beheer en ouditbaarheid bied.
  • Managed Microsoft AD: ’n Diens wat bestuurde Microsoft Active Directory (AD) bied wat gebruikers toelaat om hul bestaande Microsoft AD-afhanklike toepassings en werklas op Google Cloud te gebruik.

Data Protection

  • Sensitive Data Protection: Hulpmiddels en praktyke wat daarop gemik is om sensitiewe data, soos persoonlike inligting of intellektuele eiendom, teen ongemagtigde toegang of blootstelling te beskerm.
  • Data Loss Prevention (DLP): ’n Stel hulpmiddels en prosesse wat gebruik word om data in gebruik, in beweging, en in rus te identifiseer, monitor, en beskerm deur middel van diep inhoudinspeksie en deur ’n omvattende stel data-beskermingsreëls toe te pas.
  • Certificate Authority Service: ’n Skaalbare en veilige diens wat die bestuur, ontplooiing, en hernuwing van SSL/TLS sertifikate vir interne en eksterne dienste vereenvoudig en outomatiseer.
  • Key Management: ’n Wolk-gebaseerde diens wat jou toelaat om kriptografiese sleutels vir jou toepassings te bestuur, insluitend die skepping, invoer, rotasie, gebruik, en vernietiging van versleuteling sleutels. Meer inligting in:

GCP - KMS Enum

  • Certificate Manager: ’n Diens wat SSL/TLS sertifikate bestuur en ontplooi, wat veilige en versleutelde verbindings na jou webdienste en toepassings verseker.
  • Secret Manager: ’n Veilige en gerieflike stoorstelsel vir API sleutels, wagwoorde, sertifikate, en ander sensitiewe data, wat maklike en veilige toegang en bestuur van hierdie geheime in toepassings toelaat. Meer inligting in:

GCP - Secrets Manager Enum

Zero Trust

  • BeyondCorp Enterprise: ’n zero-trust sekuriteitsplatform wat veilige toegang tot interne toepassings moontlik maak sonder die behoefte aan ’n tradisionele VPN, deur te staatmaak op die verifikasie van gebruiker en toestel vertroue voordat toegang verleen word.
  • Policy Troubleshooter: ’n Hulpmiddel wat ontwerp is om administrateurs te help om toegangkwessies in hul organisasie te verstaan en op te los deur te identifiseer waarom ’n gebruiker toegang tot sekere hulpbronne het of waarom toegang geweier is, en so by te dra tot die afdwinging van zero-trust beleide.
  • Identity-Aware Proxy (IAP): ’n Diens wat toegang tot wolktoepassings en VM’s wat op Google Cloud, op-premises, of ander wolke loop, beheer, gebaseer op die identiteit en die konteks van die versoek eerder as deur die netwerk waaruit die versoek ontstaan.
  • VPC Service Controls: Sekuriteitsperke wat addisionele lae van beskerming aan hulpbronne en dienste wat in Google Cloud se Virtual Private Cloud (VPC) gehos is, bied, wat data-exfiltrasie voorkom en fyn toegangbeheer bied.
  • Access Context Manager: Deel van Google Cloud se BeyondCorp Enterprise, hierdie hulpmiddel help om fyn-gegradeerde toegangbeheerbeleide te definieer en af te dwing gebaseer op ’n gebruiker se identiteit en die konteks van hul versoek, soos toestel sekuriteitsstatus, IP-adres, en meer.

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks