GCP - Enumeração de Segurança

Reading time: 8 minutes

Informações Básicas

A Segurança do Google Cloud Platform (GCP) abrange um conjunto abrangente de ferramentas e práticas projetadas para garantir a segurança de recursos e dados dentro do ambiente Google Cloud, dividida em quatro seções principais: Centro de Comando de Segurança, Detecções e Controles, Proteção de Dados e Zero Trust.

Centro de Comando de Segurança

O Centro de Comando de Segurança do Google Cloud Platform (GCP) é uma ferramenta de segurança e gerenciamento de riscos para recursos GCP que permite que as organizações obtenham visibilidade e controle sobre seus ativos em nuvem. Ele ajuda a detectar e responder a ameaças oferecendo análises de segurança abrangentes, identificando configurações incorretas, garantindo conformidade com padrões de segurança e integrando-se a outras ferramentas de segurança para detecção e resposta automatizadas a ameaças.

• Visão Geral: Painel para visualizar uma visão geral de todos os resultados do Centro de Comando de Segurança.
• Ameaças: [Premium Requerido] Painel para visualizar todas as ameaças detectadas. Confira mais sobre Ameaças abaixo
• Vulnerabilidades: Painel para visualizar configurações incorretas encontradas na conta GCP.
• Conformidade: [Premium requerido] Esta seção permite testar seu ambiente GCP contra várias verificações de conformidade (como PCI-DSS, NIST 800-53, benchmarks CIS...) sobre a organização.
• Ativos: Esta seção mostra todos os ativos sendo utilizados, muito útil para sysadmins (e talvez atacantes) verem o que está rodando em uma única página.
• Constatações: Isso agrega em uma tabela constatações de diferentes seções da Segurança GCP (não apenas do Centro de Comando) para poder visualizar facilmente constatações que importam.
• Fontes: Mostra um resumo das constatações de todas as diferentes seções da segurança GCP por seção.
• Postura: [Premium Requerido] A Postura de Segurança permite definir, avaliar e monitorar a segurança do ambiente GCP. Funciona criando políticas que definem restrições ou limitações que controlam/monitoram os recursos no GCP. Existem vários modelos de postura pré-definidos que podem ser encontrados em https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy

Ameaças

Do ponto de vista de um atacante, este é provavelmente o recurso mais interessante, pois pode detectar o atacante. No entanto, observe que este recurso requer Premium (o que significa que a empresa precisará pagar mais), então pode não estar nem mesmo habilitado.

Existem 3 tipos de mecanismos de detecção de ameaças:

• Ameaças de Evento: Constatações produzidas pela correspondência de eventos do Cloud Logging com base em regras criadas internamente pelo Google. Também pode escanear logs do Google Workspace.
• É possível encontrar a descrição de todas as regras de detecção na documentação
• Ameaças de Contêiner: Constatações produzidas após analisar o comportamento de baixo nível do kernel dos contêineres.
• Ameaças Personalizadas: Regras criadas pela empresa.

É possível encontrar respostas recomendadas para ameaças detectadas de ambos os tipos em https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response

Enumeração

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

Pós Exploração

GCP - Security Post Exploitation

Detecções e Controles

• Chronicle SecOps: Uma suíte avançada de operações de segurança projetada para ajudar equipes a aumentar sua velocidade e impacto nas operações de segurança, incluindo detecção de ameaças, investigação e resposta.
• reCAPTCHA Enterprise: Um serviço que protege sites contra atividades fraudulentas como scraping, credential stuffing e ataques automatizados, distinguindo entre usuários humanos e bots.
• Web Security Scanner: Ferramenta de varredura de segurança automatizada que detecta vulnerabilidades e problemas de segurança comuns em aplicações web hospedadas no Google Cloud ou em outro serviço web.
• Risk Manager: Uma ferramenta de governança, risco e conformidade (GRC) que ajuda organizações a avaliar, documentar e entender sua postura de risco no Google Cloud.
• Binary Authorization: Um controle de segurança para contêineres que garante que apenas imagens de contêiner confiáveis sejam implantadas em clusters do Kubernetes Engine de acordo com as políticas definidas pela empresa.
• Advisory Notifications: Um serviço que fornece alertas e avisos sobre potenciais problemas de segurança, vulnerabilidades e ações recomendadas para manter os recursos seguros.
• Access Approval: Um recurso que permite que organizações exijam aprovação explícita antes que funcionários do Google possam acessar seus dados ou configurações, proporcionando uma camada adicional de controle e auditabilidade.
• Managed Microsoft AD: Um serviço que oferece Active Directory (AD) gerenciado da Microsoft, permitindo que os usuários utilizem seus aplicativos e cargas de trabalho dependentes do Microsoft AD existentes no Google Cloud.

Proteção de Dados

• Proteção de Dados Sensíveis: Ferramentas e práticas destinadas a proteger dados sensíveis, como informações pessoais ou propriedade intelectual, contra acesso ou exposição não autorizados.
• Data Loss Prevention (DLP): Um conjunto de ferramentas e processos usados para identificar, monitorar e proteger dados em uso, em movimento e em repouso por meio de inspeção profunda de conteúdo e aplicando um conjunto abrangente de regras de proteção de dados.
• Certificate Authority Service: Um serviço escalável e seguro que simplifica e automatiza a gestão, implantação e renovação de certificados SSL/TLS para serviços internos e externos.
• Key Management: Um serviço baseado em nuvem que permite gerenciar chaves criptográficas para suas aplicações, incluindo a criação, importação, rotação, uso e destruição de chaves de criptografia. Mais informações em:

GCP - KMS Enum

• Certificate Manager: Um serviço que gerencia e implanta certificados SSL/TLS, garantindo conexões seguras e criptografadas aos seus serviços e aplicações web.
• Secret Manager: Um sistema de armazenamento seguro e conveniente para chaves de API, senhas, certificados e outros dados sensíveis, que permite o acesso e gerenciamento fácil e seguro desses segredos em aplicações. Mais informações em:

GCP - Secrets Manager Enum

Zero Trust

• BeyondCorp Enterprise: Uma plataforma de segurança de zero-trust que permite acesso seguro a aplicações internas sem a necessidade de uma VPN tradicional, confiando na verificação da confiança do usuário e do dispositivo antes de conceder acesso.
• Policy Troubleshooter: Uma ferramenta projetada para ajudar administradores a entender e resolver problemas de acesso em sua organização, identificando por que um usuário tem acesso a certos recursos ou por que o acesso foi negado, ajudando assim na aplicação de políticas de zero-trust.
• Identity-Aware Proxy (IAP): Um serviço que controla o acesso a aplicações em nuvem e VMs executando no Google Cloud, on-premises ou em outras nuvens, com base na identidade e no contexto da solicitação, em vez da rede de onde a solicitação se origina.
• VPC Service Controls: Perímetros de segurança que fornecem camadas adicionais de proteção a recursos e serviços hospedados na Nuvem Privada Virtual (VPC) do Google Cloud, prevenindo exfiltração de dados e fornecendo controle de acesso granular.
• Access Context Manager: Parte do BeyondCorp Enterprise do Google Cloud, esta ferramenta ajuda a definir e aplicar políticas de controle de acesso granulares com base na identidade de um usuário e no contexto de sua solicitação, como status de segurança do dispositivo, endereço IP e mais.