Persistencia: Otorgamiento anómalo de IAM

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

Los registros de auditoría se examinan para detectar la adición de vinculaciones de roles de IAM que podrían considerarse sospechosas.

Los siguientes son ejemplos de otorgamientos anómalos:

  • Invitar a un usuario externo, como un usuario de gmail.com, como propietario del proyecto desde la consola de Google Cloud
  • Una cuenta de servicio que otorga permisos sensibles
  • Un rol personalizado que otorga permisos sensibles
  • Una cuenta de servicio que se agregó desde fuera de tu organización o proyecto

El hallazgo IAM Anomalous Grant es único, ya que incluye subreglas que proporcionan información más específica sobre cada instancia de este hallazgo. La clasificación de gravedad de este hallazgo depende de la regla secundaria. Cada subregla puede requerir una respuesta diferente.

En la siguiente lista, se muestran todas las posibles reglas secundarias y sus niveles de gravedad:

  • external_service_account_added_to_policy:
    • Será HIGH, si se otorgó un rol de alta sensibilidad o si se otorgó un rol de sensibilidad media a nivel de la organización. Para obtener más información, consulta Roles altamente sensibles.
    • Será MEDIUM, si se otorgó un rol de sensibilidad media. Para obtener más información, consulta Roles de sensibilidad media.
  • external_member_invited_to_policy: HIGH
  • external_member_added_to_policy:
    • Será HIGH, si se otorgó un rol de alta sensibilidad o si se otorgó un rol de sensibilidad media a nivel de la organización. Para obtener más información, consulta Roles altamente sensibles.
    • Será MEDIUM, si se otorgó un rol de sensibilidad media. Para obtener más información, consulta Roles de sensibilidad media.
  • custom_role_given_sensitive_permissions: MEDIUM
  • service_account_granted_sensitive_role_to_member: HIGH
  • policy_modified_by_default_compute_service_account: HIGH

Event Threat Detection es la fuente de este hallazgo.

Cómo se debe responder

Para responder a este hallazgo, sigue los pasos que se indican a continuación:

Paso 1: Revisa los detalles del hallazgo

  1. Abre un hallazgo de Persistence: IAM Anomalous Grant como se indica en Revisa los resultados. Se abrirá el panel de detalles del hallazgo en la pestaña Resumen.

  2. En la pestaña Resumen, revisa la información de las secciones que se indican a continuación:

    • Qué se detectó, en especial, los campos siguientes:
      • Correo electrónico principal: Es la dirección de correo electrónico del usuario o la cuenta de servicio que asignó el rol.

    • Recurso afectado

    • Vínculos relacionados, en especial los campos siguientes:

      • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
      • Método MITRE ATT&CK: Es el vínculo a la documentación de MITRE ATT&CK.
      • Hallazgos relacionados: Son los vínculos a los hallazgos relacionados.
      • Indicador de VirusTotal: Es el vínculo a la página de análisis de VirusTotal.

  3. Haz clic en la pestaña JSON. Se muestra el JSON completo del hallazgo.

  4. En el JSON del hallazgo, observa los siguientes campos:

    • detectionCategory:
      • subRuleName: Es información más específica sobre el tipo de otorgamiento anómalo que se produjo. La regla secundaria determina la clasificación de gravedad de este hallazgo.
    • evidence:
      • sourceLogId:
      • projectId: Es el ID del proyecto que contiene el hallazgo.
    • properties:
      • sensitiveRoleGrant:
        • bindingDeltas:
        • Action: Es la acción que realiza el usuario.
        • Role: Es el rol que se asignó al usuario.
        • member: Es la dirección de correo electrónico del usuario que recibió el rol.

Paso 2: Comprueba los registros

  1. En la pestaña Resumen del panel de detalles del hallazgo, haz clic en el vínculo URI de Cloud Logging para abrir el Explorador de registros.
  2. En la página que se carga, busca recursos de IAM nuevos o actualizados con los siguientes filtros:
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Paso 3: Investiga los métodos de ataque y respuesta

  1. Revisa las entradas del framework de MITRE ATT&CK para este tipo de hallazgo: Cuentas válidas: cuentas de Cloud.
  2. Haz clic en el vínculo de la fila Hallazgos relacionados en la pestaña Resumen de los detalles del hallazgo para revisar los hallazgos relacionados. Los hallazgos relacionados son del mismo tipo y tienen la misma instancia y red.
  3. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

Paso 4: Implementa la respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas durante la investigación para determinar la mejor manera de resolver los hallazgos.

  • Comunícate con el propietario del proyecto con la cuenta hackeada.
  • Borra la cuenta de servicio hackeada, y rota y borra todas las claves de acceso a la cuenta de servicio del proyecto vulnerado. Después de la eliminación, los recursos que usan la cuenta de servicio para la autenticación perderán el acceso.
  • Borra los recursos del proyecto creados por cuentas no autorizadas, como instancias desconocidas de Compute Engine, instantáneas, cuentas de servicio y usuarios de IAM.
  • Para restringir la adición de usuarios de gmail.com, usa la política de la organización.
  • Para identificar y corregir los roles demasiado permisivos, usa el recomendador de IAM.

¿Qué sigue?