Report sul modello delle minacce BigQuery

Ultimo aggiornamento: 16 aprile 2026

Questo documento identifica potenziali vettori di attacco e strategie di mitigazione per la riservatezza, l'integrità e la disponibilità dei dati per BigQuery. L'ambito di questo report è limitato alla tua prospettiva e si concentra sui rischi che puoi gestire nel tuo ambiente BigQuery.

Questi modelli di minaccia sono una valutazione probabilistica basata su vettori di attacco attualmente noti, ipotesi architetturali e ambito specificato del sistema al momento della pubblicazione. Questi modelli non sono esaustivi e hanno lo scopo di fungere da base per le valutazioni di sicurezza e dei rischi dei clienti Google Cloud e di guidare le decisioni di riduzione dei rischi.

Per questo servizio sono state identificate le seguenti minacce:

Distruzione dei dati tramite manomissione dello schema
Escalation dei privilegi tramite manomissione dei criteri di autorizzazione IAM
Abuso di confused deputy utilizzando servizi downstream attivati da BigQuery
Esfiltrazione di dati utilizzando l'uscita di rete senza limitazioni
Deriva dell'integrità dei dati utilizzando tabelle di riferimento o di ricerca compromesse
Manomissione dei dati mediante job di caricamento dannosi
Autorizzazioni IAM eccessive che portano alla divulgazione di informazioni
Esfiltrazione tramite trasferimento a un progetto cloud o account cloud controllato da un attaccante
Divulgazione di informazioni mediante visualizzazioni autorizzate o logica di sicurezza a livello di riga configurate in modo errato
Divulgazione di informazioni mediante l'esposizione di set di dati pubblici o tra progetti
Uso improprio interno dell'accesso autorizzato a BigQuery (query legittime utilizzate per la raccolta dannosa)
Persistenza tramite binding IAM BigQuery invisibili su set di dati, viste autorizzate o query pianificate
Spoofing utilizzando credenziali del account di servizio compromesse o token OAuth utilizzati per l'accesso a BigQuery
Negazione denial of service basata sui costi utilizzando query costose

Dettagli minacce

Le sezioni seguenti forniscono informazioni su ogni minaccia, sulle sue manifestazioni e sulle mitigazioni consigliate.

Distruzione dei dati mediante l'alterazione dello schema

Un malintenzionato con le autorizzazioni per modificare lo schema di una tabella può causare la potenziale perdita di dati o rendere la tabella inutilizzabile per le applicazioni downstream. Questo tipo di manomissione ha come target i metadati e la struttura dei dati, che possono essere distruttivi quanto la modifica dei dati stessi.

Categoria STRIDE	Manomissione
Tattica MITRE ATT&CK	Impatto
Manifestazioni	Aggiornamento dello schema dannoso:un principal con l'autorizzazione `bigquery.tables.update` può chiamare il metodo API `tables.patch` su una tabella BigQuery per modificarne lo schema. La modifica dei tipi di dati delle colonne può danneggiare i dati o causare la perdita di informazioni, interrompendo potenzialmente le query dalle applicazioni client o dagli strumenti di business intelligence, con conseguente perdita di fiducia nei report downstream.
Mitigazioni	Limita rigorosamente l'autorizzazione `bigquery.tables.update`, che fa parte di ruoli come `roles/bigquery.dataOwner`. Concedi questa autorizzazione solo a un numero ridotto di amministratori o service account CI/CD automatizzati responsabili delle migrazioni degli schemi gestiti. Attiva i backup delle tabelle BigQuery o utilizza gli snapshot delle tabelle per eseguire il ripristino in seguito a modifiche dello schema accidentali o dannose. Monitora i Cloud Audit Logs per le chiamate API `tables.patch` e invia un avviso in caso di modifiche apportate al di fuori di un periodo di manutenzione pianificato.

Escalation dei privilegi tramite manomissione dei criteri di autorizzazione IAM

Un malintenzionato che compromette un principal con autorizzazioni per modificare i criteri di autorizzazione IAM di BigQuery può aumentare i propri privilegi per ottenere il controllo completo delle risorse di dati. Questa minaccia consente all'attaccante di concedere l'accesso per leggere, modificare o eliminare dati sensibili, aggirando i controlli di accesso esistenti.

Categoria STRIDE	Elevazione dei privilegi
Tattica MITRE ATT&CK	Escalation dei privilegi
Manifestazioni	Modifica delle norme del set di dati:un principal con l'autorizzazione `bigquery.datasets.update` può chiamare il metodo API `datasets.patch` su un set di dati BigQuery per aggiungere la propria identità a un ruolo di proprietario, concedendogli il controllo completo di tutte le risorse all'interno di quel set di dati. Simulazione dell'identità del service account:un'identità con l'autorizzazione `iam.serviceAccounts.actAs` per un account di servizio può collegare il account di servizio ad altre risorse, ad esempio un'istanza Compute Engine, per eseguire il codice con l'identità del account di servizio collegato. In alternativa, un'identità con l'autorizzazione `iam.serviceAccounts.getAccessToken` può generare token di accesso per questo account di servizio. Se il account di servizio di destinazione dispone di autorizzazioni elevate sulle risorse BigQuery, l'attaccante eredita effettivamente questi privilegi.
Mitigazioni	Limita rigorosamente le autorizzazioni che consentono la modifica dei criteri di autorizzazione IAM (ad esempio `bigquery.datasets.update`, che fa parte di ruoli come `roles/bigquery.dataOwner`). Assegna questi ruoli solo a un numero minimo di amministratori attendibili. Allo stesso modo, controlla attentamente i ruoli IAM con l'autorizzazione ad agire come service account o a rappresentarli e limita l'ambito di questi ruoli a principal specifici che lo richiedono. Monitora i log di audit di Cloud per le chiamate API `SetIamPolicy` e `datasets.patch` per rilevare modifiche non autorizzate alle norme.

Abuso di confused deputy utilizzando servizi downstream attivati da BigQuery

Un malintenzionato con autorizzazioni BigQuery limitate crea un job o una query che attiva un servizio downstream (ad esempio una Cloud Function, un job Dataflow o un DAG Cloud Composer), che viene eseguito con privilegi più elevati. Il servizio downstream, pur pensando di eseguire un'azione legittima per conto di BigQuery, viene indotto a eseguire un'azione su una risorsa diversa o con dati diversi da quelli previsti dai progettisti del sistema.

Categoria STRIDE	Elevazione dei privilegi
Tattica MITRE ATT&CK	Escalation dei privilegi
Manifestazioni	Trigger di funzioni dannose: una modifica di BigQuery attiva una Cloud Function con autorizzazioni ampie e l'autore dell'attacco manipola i dati BigQuery per controllare le azioni della funzione. Sfruttamento della pipeline Dataflow:il risultato di una query BigQuery viene utilizzato come input per un job Dataflow e l'autore dell'attacco scrive i risultati della query per fare in modo che il job Dataflow importi dati compromessi.
Mitigazioni	Applica il principio del privilegio minimo ai service account utilizzati dai servizi downstream attivati da BigQuery. Assicurati che questi servizi convalidino e sanifichino tutti gli input o i parametri ricevuti dai job BigQuery. Utilizza i Controlli di servizio VPC per limitare i percorsi di rete e le interazioni dei servizi. Progetta i servizi downstream in modo che non si fidino intrinsecamente degli input di BigQuery senza verifica.

Esfiltrazione di dati utilizzando il traffico in uscita dalla rete senza limitazioni

Se i controlli di sicurezza a livello di rete non sono in atto, un principal interno compromesso può accedere a BigQuery ed estrarre dati sensibili in una posizione arbitraria su internet. Anche con solidi controlli IAM, l'assenza di un perimetro di rete consente a un malintenzionato che ha ottenuto credenziali valide di aggirare le difese basate sulla posizione e trasferire i dati al di fuori dell'ambiente attendibile.

Categoria STRIDE	Divulgazione di informazioni
Tattica MITRE ATT&CK	Esfiltrazione
Manifestazioni	Accesso API da reti non attendibili:un malintenzionato utilizza credenziali compromesse per connettersi all'API BigQuery pubblica o all'API BigQuery Storage di lettura da una macchina esterna, bypassando i controlli di rete configurati per gli host on-premise o i dispositivi utente. Esportazione in un servizio Google Cloud esterno:un account di servizio compromesso con autorizzazioni `bigquery.jobs.create` e Cloud Storage esegue una query che esporta i risultati in un bucket Cloud Storage pubblico al di fuori del controllo dell'organizzazione.
Mitigazioni	Implementa i controlli sul traffico di rete in uscita per ridurre l'esfiltrazione di dati verso servizi esterni arbitrari. Implementa un perimetro Controlli di servizio VPC intorno al progetto che contiene le risorse BigQuery. Questo perimetro contribuisce a limitare l'esfiltrazione di dati ai servizi Google Cloud al di fuori del perimetro. Configura i livelli di accesso per il perimetro in modo da consentire solo le richieste API provenienti da intervalli IP attendibili o reti VPC specifiche, impedendo di fatto l'accesso o lo spostamento dei dati al di fuori del limite di sicurezza definito.

Deriva dell'integrità dei dati utilizzando tabelle di riferimento o di ricerca compromesse

Un malintenzionato con accesso in scrittura a tabelle di riferimento o di ricerca (ad esempio, tabelle delle dimensioni) ne modifica in modo impercettibile i contenuti. Le query che eseguono il join con queste tabelle compromesse producono risultati errati e fuorvianti, compromettendo l'integrità delle analisi e delle decisioni aziendali a valle, potenzialmente senza errori evidenti.

Categoria STRIDE	Manomissione
Tattica MITRE ATT&CK	Impatto
Manifestazioni	Manipolazione della tabella delle dimensioni:modifica dei valori chiave o degli attributi in una tabella delle dimensioni del prodotto. Corruzione della ricerca:alterazione dei dati di mappatura in una tabella di ricerca.
Mitigazioni	Limita rigorosamente l'accesso in scrittura (`bigquery.tables.updateData`) alle tabelle di riferimento o di ricerca solo ai processi di importazione dati attendibili. Implementa pipeline di convalida e controlli della qualità dei dati. Utilizza gli snapshot delle tabelle o il controllo delle versioni per monitorare le modifiche e attivare i rollback. Monitora i log di controllo per verificare le modifiche apportate a queste tabelle critiche.

Manomissione dei dati utilizzando job di caricamento dannosi

Un malintenzionato con autorizzazioni sufficienti può danneggiare o sovrascrivere intenzionalmente dati critici in una tabella BigQuery eseguendo un job di caricamento dannoso. Questa minaccia compromette l'integrità dei dati, il che può portare ad analisi aziendali errate, errori delle applicazioni e perdita di fiducia dei clienti.

Categoria STRIDE	Manomissione
Tattica MITRE ATT&CK	Impatto
Manifestazioni	Sovrascrittura della tabella:un principal con `bigquery.jobs.create` e `bigquery.tables.updateData` avvia un job di caricamento con la disposizione di scrittura impostata su `WRITE_TRUNCATE`, cancellando tutti i dati esistenti e sostituendoli con dati dannosi provenienti da un'origine esterna. Aggiunta di dati dannosi:un malintenzionato utilizza un job di caricamento con `WRITE_APPEND` per inserire dati spazzatura o dannosi in una tabella esistente, danneggiando l'analisi senza eliminare i record originali.
Mitigazioni	Applica il principio del privilegio minimo. Controlla rigorosamente le autorizzazioni come `bigquery.jobs.create` e `bigquery.tables.updateData` (disponibili in ruoli come `roles/bigquery.dataEditor`). Concedi queste autorizzazioni solo alle entità attendibili e limitale a tabelle o set di dati specifici. Monitora gli audit log di Cloud per il completamento dei job di caricamento, in particolare quelli con disposizione `WRITE_TRUNCATE`, e crea avvisi per i job provenienti da utenti imprevisti o che caricano dati da origini non attendibili.

Autorizzazioni IAM eccessive che comportano la divulgazione di informazioni

I ruoli IAM eccessivamente permissivi potrebbero consentire un accesso eccessivo ai dati sensibili archiviati nelle tabelle BigQuery. Un attaccante che compromette un'entità con ampie autorizzazioni di accesso ai dati può esfiltrare grandi volumi di dati, causando una violazione significativa dei dati. Questa minaccia si concretizza quando autorizzazioni come bigquery.tables.getData o bigquery.jobs.create vengono concesse con un ambito ampio (ad esempio, a livello di progetto) anziché essere limitate a tabelle o set di dati specifici necessari per una funzione aziendale.

Categoria STRIDE	Divulgazione di informazioni
Tattica MITRE ATT&CK	Esfiltrazione
Manifestazioni	Lettura diretta dei dati:un principal con l'autorizzazione `bigquery.tables.getData` può leggere direttamente i dati dalle tabelle utilizzando il metodo API `tabledata.list` o l'API BigQuery Storage Read ad alta velocità effettiva. Esfiltrazione basata su query:un'entità con l'autorizzazione `bigquery.jobs.create` può eseguire un job di query utilizzando `jobs.insert` o `jobs.query` per leggere i dati da qualsiasi tabella a cui ha accesso e poi recuperare i risultati utilizzando `jobs.getQueryResults`. Accessibilità pubblica:un criterio di autorizzazione IAM su un set di dati BigQuery o una tabella BigQuery può essere configurato per consentire l'accesso pubblico concedendo ruoli a principal speciali come `allUsers` o `allAuthenticatedUsers`, esponendo i dati a internet.
Mitigazioni	Implementa il principio del privilegio minimo per tutte le policy di autorizzazione IAM. Concedi le autorizzazioni al livello più granulare richiesto (ad esempio, tabelle o set di dati BigQuery specifici) anziché a livello di progetto. Utilizza ruoli IAM con privilegio minimo che contengano solo le autorizzazioni necessarie (ad esempio `bigquery.tables.getData`, `bigquery.jobs.create`) per attività specifiche. Controlla regolarmente le policy di autorizzazione IAM per i ruoli eccessivamente permissivi come `roles/bigquery.dataViewer` o `roles/bigquery.user` applicati a un livello elevato nella gerarchia delle risorse.

Esfiltrazione tramite trasferimento a un progetto o account cloud controllato da utenti malintenzionati

Un malintenzionato utilizza le funzionalità di spostamento dei dati di BigQuery (ad esempio, job di esportazione in Cloud Storage, query tra progetti, BigQuery Data Transfer Service) per spostare i dati sensibili dal progetto protetto a un progetto Google Cloud o a un altro account cloud sotto il suo controllo.

Categoria STRIDE	Divulgazione di informazioni
Tattica MITRE ATT&CK	Esfiltrazione
Manifestazioni	Esportazione in un bucket esterno:utilizzo di un job di esportazione per salvare i dati della tabella in un bucket Cloud Storage nel progetto di un malintenzionato. Destinazione query tra progetti:esecuzione di una query e impostazione della tabella di destinazione su un set di dati in un progetto controllato dall'autore dell'attacco.
Mitigazioni	Implementa i Controlli di servizio VPC per creare un perimetro attorno al progetto, impedendo l'uscita dei dati verso progetti esterni al perimetro. Controlla rigorosamente le autorizzazioni come `bigquery.tables.export` e `bigquery.jobs.create`. Utilizza i vincoli dei criteri dell'organizzazione per limitare la condivisione e la creazione di progetti. Monitora Cloud Audit Logs per i job di esportazione o le query con destinazioni al di fuori dei limiti del progetto previsti.

Divulgazione di informazioni tramite viste autorizzate o logica di sicurezza a livello di riga configurate in modo errato

I difetti nella logica SQL delle viste autorizzate o delle norme di sicurezza a livello di riga comportano un accesso ai dati più ampio di quello previsto. Gli utenti che eseguono query sulla vista o sulla tabella potrebbero accedere inavvertitamente a righe o colonne che non dovrebbero essere in grado di vedere, aggirando la separazione prevista.

Categoria STRIDE	Divulgazione di informazioni
Tattica MITRE ATT&CK	Raccolta
Manifestazioni	Logica di visualizzazione errata: la query di una vista autorizzata omette le clausole `WHERE` necessarie presenti nelle policy di sicurezza a livello di riga nella tabella di base. Elusione della sicurezza a livello di riga:un criterio di sicurezza a livello di riga complesso contiene un errore logico che consente un accesso più ampio di quello previsto.
Mitigazioni	Implementa un rigoroso processo di revisione del codice per la logica SQL utilizzata nelle viste autorizzate e nelle policy di sicurezza a livello di riga. Testa a fondo la logica di sicurezza. Limita le autorizzazioni (ad esempio `bigquery.tables.create`, `bigquery.tables.update` o `bigquery.rowAccessPolicies.create`) per creare o aggiornare viste e criteri di sicurezza a livello di riga. Controlla regolarmente le visualizzazioni e le configurazioni di sicurezza a livello di riga esistenti. Segui le best practice per la sicurezza a livello di riga.

Divulgazione di informazioni mediante l'esposizione di set di dati pubblici o tra progetti

I dati sensibili vengono esposti perché i set di dati BigQuery vengono resi pubblici inavvertitamente o intenzionalmente (ad esempio, utilizzando allUsers o allAuthenticatedUsers) o condivisi in modo troppo ampio con altri progetti Google Cloud al di fuori del limite di trust previsto. Un malintenzionato può accedere direttamente ai dati o copiarli senza autenticazione o utilizzando qualsiasi Account Google autenticato.

Categoria STRIDE	Divulgazione di informazioni
Tattica MITRE ATT&CK	Esfiltrazione
Manifestazioni	Set di dati pubblico:un criterio di autorizzazione IAM su un set di dati concede le autorizzazioni di visualizzatore a `allUsers`. Condivisione eccessiva tra progetti:un set di dati viene condiviso con un'organizzazione esterna o un account di servizio in un progetto non attendibile.
Mitigazioni	Implementa il principio del privilegio minimo per i criteri di autorizzazione IAM del set di dati. Utilizza i criteri dell'organizzazione come `constraints/iam.allowedPolicyMemberDomains` per limitare la condivisione a domini specifici. Controlla regolarmente le policy di autorizzazione IAM dei set di dati utilizzando Security Command Center per rilevare autorizzazioni pubbliche o eccessivamente ampie. Utilizza i Controlli di servizio VPC per creare perimetri attorno ai progetti contenenti dati sensibili per impedire l'uscita non autorizzata.

Uso improprio da parte di addetti ai lavori dell'accesso BigQuery autorizzato (query legittime utilizzate per la raccolta dannosa)

Un insider malintenzionato con accesso legittimo a BigQuery utilizza le proprie autorizzazioni per eseguire query e raccogliere dati sensibili per scopi non autorizzati (ad esempio, guadagno personale o spionaggio). Sebbene l'accesso sia autorizzato, l'intento e l'utilizzo dei dati sono dannosi.

Categoria STRIDE	Divulgazione di informazioni
Tattica MITRE ATT&CK	Raccolta
Manifestazioni	Accumulo di dati:interrogazione e download regolari dei dati dei clienti oltre i requisiti del lavoro. Analisi sensibile:esecuzione di analisi per estrarre segreti commerciali o PII per l'esfiltrazione.
Mitigazioni	Abilita e monitora gli audit log di accesso ai dati per monitorare i pattern di accesso ai dati. Utilizza strumenti come Sensitive Data Protection per analizzare i risultati delle query alla ricerca di informazioni sensibili. Implementa l'analisi del comportamento degli utenti (UBA) per rilevare pattern di query o volumi di accesso ai dati anomali. Applica policy chiare di gestione dei dati e fornisci corsi di formazione sulla consapevolezza della sicurezza. Utilizza la sicurezza a livello di riga e di colonna per limitare l'esposizione dei dati anche per gli utenti autorizzati.

Persistenza tramite binding IAM BigQuery invisibili su set di dati, viste autorizzate o query pianificate

Un malintenzionato, dopo aver ottenuto l'accesso iniziale, stabilisce una presenza a lungo termine creando meccanismi di accesso difficili da rilevare all'interno di BigQuery. Questa minaccia include l'aggiunta di binding IAM ai set di dati, la creazione di viste autorizzate che eseguono query sui dati sensibili o la configurazione di query pianificate che vengono eseguite con un account di servizio con privilegi per esfiltrare dati o mantenere l'accesso.

Categoria STRIDE	Elevazione dei privilegi
Tattica MITRE ATT&CK	Persistenza
Manifestazioni	IAM per set di dati nascosti:concessione dei diritti di visualizzatore di un account personale su un set di dati specifico e meno monitorato. Backdoor della vista autorizzata: creazione di una vista autorizzata ad accedere a una tabella con limitazioni e concessione dell'accesso alla vista. Query pianificata dannosa:configurazione di una query pianificata per copiare periodicamente i dati in una posizione esterna.
Mitigazioni	Esegui regolarmente l'audit di tutte le policy IAM consentite, incluse le autorizzazioni a livello di set di dati, utilizzando strumenti come Security Command Center. Controlla rigorosamente le autorizzazioni per la creazione o l'aggiornamento di set di dati (`bigquery.datasets.update`), routine (`bigquery.routines.create/update`) e trasferimenti di dati (`bigquery.transfers.update`).

Spoofing utilizzando credenziali del account di servizio compromesse o token OAuth utilizzati per l'accesso a BigQuery

Un malintenzionato ottiene le credenziali del account di servizio (ad esempio, le chiavi JSON esportate) e le utilizza per autenticarsi su BigQuery come account di servizio compromesso, ereditandone tutte le autorizzazioni. Questa minaccia consente all'attaccante di eseguire qualsiasi azione autorizzata per il account di servizio, come leggere dati, eseguire job o modificare risorse.

Categoria STRIDE	Spoofing
Tattica MITRE ATT&CK	Accesso iniziale
Manifestazioni	Chiave del account di servizio compromessa:un file della chiave JSON è esposto nei repository di codice, nello spazio di archiviazione pubblico o nei metadati dell'istanza. Applicazione compromessa:un'applicazione che utilizza un account di servizio viene compromessa, consentendo all'attaccante di estrarre e utilizzare le relative credenziali. Token OAuth rubato:un malintenzionato intercetta o divulga un token OAuth da un'applicazione client o da una sessione del browser. Token con ambito eccessivo:un'applicazione richiede e archivia token con ambiti eccessivi (ad esempio, accesso completo a BigQuery quando è necessaria solo la lettura).
Mitigazioni	Evita di esportare le chiavi del account di servizio. Utilizza invece i service account collegati o la federazione delle identità per i workload, ove possibile. Se le chiavi sono necessarie, ruotale regolarmente e concedi al account di servizio solo le autorizzazioni minime necessarie. Monitora Cloud Audit Logs e Security Command Center per rilevare attività anomale dell'account di servizio o esposizione di chiavi. Utilizza il vincolo del criterio dell'organizzazione `constraints/iam.disableServiceAccountKeyCreation` per disattivare la creazione di chiavi del account di servizio. Archivia e trasmetti in modo sicuro i token OAuth. Segui le best practice per OAuth 2.0. Richiedi solo gli ambiti necessari. Utilizza token di breve durata e token di aggiornamento in modo sicuro. Implementa meccanismi per rilevare e revocare i token compromessi. Monitora i pattern di utilizzo anomali dei token. Completa le misure di protezione standard della chiave del account di servizio. Configura la durata della sessione per i servizi Google Cloud per applicare token di breve durata e ridurre il rischio di un token compromesso.

Denial of service basata sui costi utilizzando query costose

Un principal autenticato esegue query progettate per consumare risorse BigQuery eccessive (come slot e byte analizzati). Questa minaccia può portare a enormi sforamenti dei costi nei progetti on demand o alla carenza di slot per altri utenti nei progetti basati su prenotazione, ostacolando le operazioni aziendali.

Categoria STRIDE	Denial of Service
Tattica MITRE ATT&CK	Impatto
Manifestazioni	Query non ottimizzate: esecuzione di query con cross join su tabelle di grandi dimensioni senza filtri. Esecuzione ripetitiva: scripting dell'esecuzione frequente di query costose.
Mitigazioni	Utilizza le quote personalizzate di BigQuery per impostare limiti a livello di utente e a livello di progetto per l'utilizzo delle query (ad esempio, byte analizzati al giorno). Utilizza il parametro `maximumBytesBilled` nei job di query. Utilizza le prenotazioni BigQuery per isolare i carichi di lavoro e garantire la capacità. Configura gli avvisi di fatturazione in fatturazione Cloud e monitora l'utilizzo degli slot in Cloud Monitoring per rilevare e reagire alle anomalie.

Report sul modello delle minacce BigQuery Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.