תגובה לממצאי איומים מ-AI

במסמך הזה אנחנו מציעים הנחיות לא רשמיות לגבי דרכים להגיב לממצאים של פעילויות חשודות במשאבי ה-AI שלכם. יכול להיות שהשלבים המומלצים לא יתאימו לכל הממצאים, ושהם ישפיעו על הפעולות שלכם. לפני שתבצעו פעולה כלשהי, עליכם לבדוק את הממצאים, להעריך את המידע שאספתם ולהחליט איך להגיב.

לפני שמתחילים

  1. בדיקת הממצא. שימו לב למשאבים שהושפעו ולקבצים הבינאריים, לתהליכים או לספריות שזוהו.
  2. כדי לקבל מידע נוסף על הממצא שאתם בודקים, חפשו את הממצא באינדקס של ממצאי איומים.

המלצות כלליות

  • פונים לבעלים של המשאב המושפע.
  • כדאי לעבוד עם צוות האבטחה כדי לזהות משאבים לא מוכרים, כולל מופעים של Agent Runtime, סשנים, חשבונות שירות וזהויות של סוכנים. מחיקת משאבים שנוצרו באמצעות חשבונות לא מורשים.
  • כדי לזהות ולתקן תפקידים עם יותר מדי הרשאות, אפשר להשתמש בשירות המלצות של IAM. למחוק או להשבית חשבונות שנפרצו.
  • במהדורות Standard-legacy,‏ Standard,‏ Premium ו-Enterprise, כדאי לבדוק את הממצאים שקשורים לזהות ולגישה.
  • כדי לחקור את הבעיה לעומק, אפשר להשתמש בשירותי תגובה לאירועים, למשל Mandiant.
  • לצורך ניתוח פורנזי, אוספים את היומנים של המשאבים המושפעים ומגבים אותם.

זהות של חשבון שירות או סוכן שנפרצו

העברה לא מורשית וחילוץ

  • ביטול הרשאות עבור הגורם שמופיע בשורה Principal email בפרטי הממצאים, עד לסיום החקירה.
  • כדי למנוע העברה נוספת של נתונים, מוסיפים מדיניות IAM מגבילה למשאבים המושפעים.
  • כדי לקבוע אם מערכי הנתונים המושפעים מכילים מידע אישי רגיש, בודקים אותם באמצעות Sensitive Data Protection. אתם יכולים להגדיר את עבודת הבדיקה כך שהתוצאות יישלחו אל Security Command Center. העלויות של Sensitive Data Protection יכולות להיות משמעותיות, בהתאם לכמות המידע. פועלים לפי השיטות המומלצות לשליטה בעלויות של Sensitive Data Protection.
  • בעזרת VPC Service Controls תוכלו ליצור מתחמי אבטחה היקפית מסביב לשירותי נתונים כמו BigQuery ו-Cloud SQL, וכך למנוע העברות נתונים לפרויקטים מחוץ למתחם.

יצירת טוקן חשודה

  • מאמתים את הצורך ביצירת אסימון בין פרויקטים. אם אין צורך בכך, מסירים את הקישור של תפקיד ה-IAM בפרויקט היעד שמעניק את ההרשאה iam.serviceAccounts.getAccessToken,‏ iam.serviceAccounts.getOpenIdToken,‏ iam.serviceAccounts.implicitDelegation או iam.serviceAccounts.signJwt לחשבון הראשי מהפרויקט המקור.

  • בודקים את היומנים שמצוינים בממצא כדי לאמת את השיטות ליצירת טוקנים שבהן נעשה שימוש בעומסי העבודה של הסוכן.

הוענקו תפקידים או הרשאות רגישים ב-IAM

המאמרים הבאים