GCP - Security Enum

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Basic Information

Η ασφάλεια της Google Cloud Platform (GCP) περιλαμβάνει μια συνολική σουίτα εργαλείων και πρακτικών που έχουν σχεδιαστεί για να διασφαλίσουν την ασφάλεια των πόρων και των δεδομένων στο περιβάλλον της Google Cloud, χωρισμένη σε τέσσερις κύριες ενότητες: Κέντρο Ελέγχου Ασφάλειας, Ανιχνεύσεις και Έλεγχοι, Προστασία Δεδομένων και Μηδενική Εμπιστοσύνη.

Security Command Center

Το Κέντρο Ελέγχου Ασφάλειας της Google Cloud Platform (GCP) είναι ένα εργαλείο διαχείρισης ασφάλειας και κινδύνου για τους πόρους GCP που επιτρέπει στις οργανώσεις να αποκτούν ορατότητα και έλεγχο πάνω στα cloud assets τους. Βοηθά στην ανίχνευση και ανταπόκριση σε απειλές προσφέροντας ολοκληρωμένη ανάλυση ασφάλειας, εντοπίζοντας κακοδιαμορφώσεις, διασφαλίζοντας τη συμμόρφωση με τα πρότυπα ασφάλειας και ενσωματώνοντας άλλα εργαλεία ασφάλειας για αυτοματοποιημένη ανίχνευση και ανταπόκριση σε απειλές.

  • Overview: Πίνακας για να οπτικοποιήσετε μια επισκόπηση όλων των αποτελεσμάτων του Κέντρου Ελέγχου Ασφάλειας.
  • Threats: [Premium Required] Πίνακας για να οπτικοποιήσετε όλες τις ανιχνευθείσες απειλές. Δείτε περισσότερα για τις Απειλές παρακάτω
  • Vulnerabilities: Πίνακας για να οπτικοποιήσετε τις βρεθείσες κακοδιαμορφώσεις στον λογαριασμό GCP.
  • Compliance: [Premium required] Αυτή η ενότητα επιτρέπει να δοκιμάσετε το περιβάλλον GCP σας σε διάφορους ελέγχους συμμόρφωσης (όπως PCI-DSS, NIST 800-53, CIS benchmarks…) σε όλη την οργάνωση.
  • Assets: Αυτή η ενότητα δείχνει όλους τους πόρους που χρησιμοποιούνται, πολύ χρήσιμο για sysadmins (και ίσως επιτιθέμενους) για να δουν τι τρέχει σε μια μόνο σελίδα.
  • Findings: Αυτή η συγκεντρώνει σε μια πίνακα ευρήματα από διάφορες ενότητες της ασφάλειας GCP (όχι μόνο του Κέντρου Ελέγχου) για να μπορείτε να οπτικοποιήσετε εύκολα τα ευρήματα που έχουν σημασία.
  • Sources: Δείχνει μια σύνοψη ευρημάτων από όλες τις διαφορετικές ενότητες της ασφάλειας GCP κατά ενότητα.
  • Posture: [Premium Required] Η Ασφάλεια Posture επιτρέπει να ορίσετε, να αξιολογήσετε και να παρακολουθήσετε την ασφάλεια του περιβάλλοντος GCP. Λειτουργεί δημιουργώντας πολιτική που ορίζει περιορισμούς ή περιορισμούς που ελέγχουν/παρακολουθούν τους πόρους στο GCP. Υπάρχουν αρκετά προ-καθορισμένα πρότυπα posture που μπορείτε να βρείτε στο https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Threats

Από την προοπτική ενός επιτιθέμενου, αυτή είναι πιθανώς η πιο ενδιαφέρουσα δυνατότητα καθώς θα μπορούσε να ανιχνεύσει τον επιτιθέμενο. Ωστόσο, σημειώστε ότι αυτή η δυνατότητα απαιτεί Premium (που σημαίνει ότι η εταιρεία θα χρειαστεί να πληρώσει περισσότερα), οπότε μπορεί να μην είναι καν ενεργοποιημένη.

Υπάρχουν 3 τύποι μηχανισμών ανίχνευσης απειλών:

  • Event Threats: Ευρήματα που παράγονται από την αντιστοίχιση γεγονότων από το Cloud Logging με βάση κανόνες που δημιουργούνται εσωτερικά από την Google. Μπορεί επίσης να σαρώσει τα Google Workspace logs.
  • Είναι δυνατόν να βρείτε την περιγραφή όλων των κανόνων ανίχνευσης στα docs
  • Container Threats: Ευρήματα που παράγονται μετά την ανάλυση της χαμηλού επιπέδου συμπεριφοράς του πυρήνα των κοντέινερ.
  • Custom Threats: Κανόνες που δημιουργούνται από την εταιρεία.

Είναι δυνατόν να βρείτε προτεινόμενες απαντήσεις σε ανιχνευθείσες απειλές και των δύο τύπων στο https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeration

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Post Exploitation

GCP - Security Post Exploitation

Detections and Controls

  • Chronicle SecOps: Μια προηγμένη σουίτα επιχειρήσεων ασφαλείας σχεδιασμένη να βοηθά τις ομάδες να αυξήσουν την ταχύτητα και την επίδραση των επιχειρήσεων ασφαλείας, συμπεριλαμβανομένης της ανίχνευσης απειλών, της έρευνας και της αντίδρασης.
  • reCAPTCHA Enterprise: Μια υπηρεσία που προστατεύει τους ιστότοπους από δόλιες δραστηριότητες όπως η συλλογή δεδομένων, η εισαγωγή διαπιστευτηρίων και οι αυτοματοποιημένες επιθέσεις, διακρίνοντας μεταξύ ανθρώπινων χρηστών και bots.
  • Web Security Scanner: Αυτοματοποιημένο εργαλείο σάρωσης ασφαλείας που ανιχνεύει ευπάθειες και κοινά ζητήματα ασφαλείας σε διαδικτυακές εφαρμογές που φιλοξενούνται στο Google Cloud ή σε άλλη διαδικτυακή υπηρεσία.
  • Risk Manager: Ένα εργαλείο διακυβέρνησης, κινδύνου και συμμόρφωσης (GRC) που βοηθά τους οργανισμούς να αξιολογούν, να τεκμηριώνουν και να κατανοούν τη στάση κινδύνου τους στο Google Cloud.
  • Binary Authorization: Ένας έλεγχος ασφαλείας για κοντέινερ που διασφαλίζει ότι μόνο αξιόπιστες εικόνες κοντέινερ αναπτύσσονται σε κλάστερ Kubernetes Engine σύμφωνα με τις πολιτικές που έχει ορίσει η επιχείρηση.
  • Advisory Notifications: Μια υπηρεσία που παρέχει ειδοποιήσεις και συμβουλές σχετικά με πιθανά ζητήματα ασφαλείας, ευπάθειες και προτεινόμενες ενέργειες για τη διατήρηση της ασφάλειας των πόρων.
  • Access Approval: Μια δυνατότητα που επιτρέπει στους οργανισμούς να απαιτούν ρητή έγκριση πριν οι υπάλληλοι της Google αποκτήσουν πρόσβαση στα δεδομένα ή τις ρυθμίσεις τους, παρέχοντας ένα επιπλέον επίπεδο ελέγχου και ελέγχου.
  • Managed Microsoft AD: Μια υπηρεσία που προσφέρει διαχειριζόμενο Microsoft Active Directory (AD) που επιτρέπει στους χρήστες να χρησιμοποιούν τις υπάρχουσες εφαρμογές και φόρτους εργασίας που εξαρτώνται από το Microsoft AD στο Google Cloud.

Data Protection

  • Sensitive Data Protection: Εργαλεία και πρακτικές που στοχεύουν στην προστασία ευαίσθητων δεδομένων, όπως προσωπικές πληροφορίες ή πνευματική ιδιοκτησία, από μη εξουσιοδοτημένη πρόσβαση ή έκθεση.
  • Data Loss Prevention (DLP): Ένα σύνολο εργαλείων και διαδικασιών που χρησιμοποιούνται για την αναγνώριση, παρακολούθηση και προστασία των δεδομένων σε χρήση, σε κίνηση και σε αδράνεια μέσω βαθιάς επιθεώρησης περιεχομένου και εφαρμόζοντας ένα ολοκληρωμένο σύνολο κανόνων προστασίας δεδομένων.
  • Certificate Authority Service: Μια κλιμακούμενη και ασφαλής υπηρεσία που απλοποιεί και αυτοματοποιεί τη διαχείριση, την ανάπτυξη και την ανανέωση των πιστοποιητικών SSL/TLS για εσωτερικές και εξωτερικές υπηρεσίες.
  • Key Management: Μια υπηρεσία cloud που σας επιτρέπει να διαχειρίζεστε κρυπτογραφικούς κωδικούς για τις εφαρμογές σας, συμπεριλαμβανομένης της δημιουργίας, εισαγωγής, περιστροφής, χρήσης και καταστροφής κωδικών κρυπτογράφησης. Περισσότερες πληροφορίες στο:

GCP - KMS Enum

  • Certificate Manager: Μια υπηρεσία που διαχειρίζεται και αναπτύσσει πιστοποιητικά SSL/TLS, διασφαλίζοντας ασφαλείς και κρυπτογραφημένες συνδέσεις στις διαδικτυακές υπηρεσίες και εφαρμογές σας.
  • Secret Manager: Ένα ασφαλές και βολικό σύστημα αποθήκευσης για API κλειδιά, κωδικούς πρόσβασης, πιστοποιητικά και άλλα ευαίσθητα δεδομένα, που επιτρέπει την εύκολη και ασφαλή πρόσβαση και διαχείριση αυτών των μυστικών στις εφαρμογές. Περισσότερες πληροφορίες στο:

GCP - Secrets Manager Enum

Zero Trust

  • BeyondCorp Enterprise: Μια πλατφόρμα ασφαλείας μηδενικής εμπιστοσύνης που επιτρέπει ασφαλή πρόσβαση σε εσωτερικές εφαρμογές χωρίς την ανάγκη παραδοσιακού VPN, βασιζόμενη στην επαλήθευση της εμπιστοσύνης του χρήστη και της συσκευής πριν από την παροχή πρόσβασης.
  • Policy Troubleshooter: Ένα εργαλείο σχεδιασμένο να βοηθά τους διαχειριστές να κατανοούν και να επιλύουν ζητήματα πρόσβασης στον οργανισμό τους, προσδιορίζοντας γιατί ένας χρήστης έχει πρόσβαση σε συγκεκριμένους πόρους ή γιατί η πρόσβαση απορρίφθηκε, βοηθώντας έτσι στην επιβολή πολιτικών μηδενικής εμπιστοσύνης.
  • Identity-Aware Proxy (IAP): Μια υπηρεσία που ελέγχει την πρόσβαση σε διαδικτυακές εφαρμογές και VMs που εκτελούνται στο Google Cloud, τοπικά ή σε άλλες υποδομές, με βάση την ταυτότητα και το πλαίσιο του αιτήματος αντί για το δίκτυο από το οποίο προέρχεται το αίτημα.
  • VPC Service Controls: Ασφαλή περιθώρια που παρέχουν επιπλέον επίπεδα προστασίας στους πόρους και τις υπηρεσίες που φιλοξενούνται στο Virtual Private Cloud (VPC) του Google Cloud, αποτρέποντας την εξαγωγή δεδομένων και παρέχοντας λεπτομερή έλεγχο πρόσβασης.
  • Access Context Manager: Μέρος του BeyondCorp Enterprise του Google Cloud, αυτό το εργαλείο βοηθά στον καθορισμό και την επιβολή πολιτικών λεπτομερούς ελέγχου πρόσβασης με βάση την ταυτότητα του χρήστη και το πλαίσιο του αιτήματός τους, όπως η κατάσταση ασφάλειας της συσκευής, η διεύθυνση IP και άλλα.

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks