במסמך הזה אנחנו מציעים הנחיות לא רשמיות לגבי דרכים להגיב לממצאים של פעילויות חשודות במשאבי ה-AI שלכם. יכול להיות שהשלבים המומלצים לא יתאימו לכל הממצאים, ושהם ישפיעו על הפעולות שלכם. לפני שתבצעו פעולה כלשהי, עליכם לבדוק את הממצאים, להעריך את המידע שאספתם ולהחליט איך להגיב.
לפני שמתחילים
- בדיקת הממצא. שימו לב למשאבים שהושפעו ולקבצים הבינאריים, לתהליכים או לספריות שזוהו.
- כדי לקבל מידע נוסף על הממצא שאתם בודקים, חפשו את הממצא באינדקס של ממצאי איומים.
המלצות כלליות
- פונים לבעלים של המשאב המושפע.
- כדאי לעבוד עם צוות האבטחה כדי לזהות משאבים לא מוכרים, כולל מופעים של Agent Runtime, סשנים, חשבונות שירות וזהויות של סוכנים. מחיקת משאבים שנוצרו באמצעות חשבונות לא מורשים.
- כדי לזהות ולתקן תפקידים עם יותר מדי הרשאות, אפשר להשתמש בשירות המלצות של IAM. למחוק או להשבית חשבונות שנפרצו.
- במהדורות Standard-legacy, Standard, Premium ו-Enterprise, כדאי לבדוק את הממצאים שקשורים לזהות ולגישה.
- כדי לחקור את הבעיה לעומק, אפשר להשתמש בשירותי תגובה לאירועים, למשל Mandiant.
- לצורך ניתוח פורנזי, אוספים את היומנים של המשאבים המושפעים ומגבים אותם.
זהות של חשבון שירות או סוכן שנפרצו
כדי להסיר זהות של נציג שנפרצה, צריך למחוק את המופע התואם של Agent Runtime.
משביתים את חשבון השירות שייתכן שנפרץ. שיטות מומלצות להשבתה של חשבונות שירות שלא בשימוש לפני המחיקה שלהם
השבתה של מפתחות לחשבונות שירות בפרויקט שאולי נפרץ.
כדי לראות מתי נעשה שימוש לאחרונה בחשבונות השירות ובמפתחות שלכם כדי לבצע קריאה ל-Google API, אפשר להשתמש ב-Activity Analyzer. מידע נוסף זמין במאמר הצגת פרטי השימוש האחרונים בחשבונות שירות ובמפתחות.
אם אתם בטוחים שאפשר למחוק את חשבון השירות, אתם יכולים למחוק אותו.
כדי להשתמש במדיניות הארגון כדי להגביל את השימוש בחשבונות שירות, ראו הגבלת השימוש בחשבונות שירות.
כדי להשתמש בניהול זהויות והרשאות גישה כדי להגביל את השימוש בחשבון שירות או במפתח של חשבון שירות, אפשר לעיין במאמר דחיית גישה למשאבים.
העברה לא מורשית וחילוץ
- ביטול הרשאות עבור הגורם שמופיע בשורה Principal email בפרטי הממצאים, עד לסיום החקירה.
- כדי למנוע העברה נוספת של נתונים, מוסיפים מדיניות IAM מגבילה למשאבים המושפעים.
- כדי לקבוע אם מערכי הנתונים המושפעים מכילים מידע אישי רגיש, בודקים אותם באמצעות Sensitive Data Protection. אתם יכולים להגדיר את עבודת הבדיקה כך שהתוצאות יישלחו אל Security Command Center. העלויות של Sensitive Data Protection יכולות להיות משמעותיות, בהתאם לכמות המידע. פועלים לפי השיטות המומלצות לשליטה בעלויות של Sensitive Data Protection.
- בעזרת VPC Service Controls תוכלו ליצור מתחמי אבטחה היקפית מסביב לשירותי נתונים כמו BigQuery ו-Cloud SQL, וכך למנוע העברות נתונים לפרויקטים מחוץ למתחם.
יצירת טוקן חשודה
מאמתים את הצורך ביצירת אסימון בין פרויקטים. אם אין צורך בכך, מסירים את הקישור של תפקיד ה-IAM בפרויקט היעד שמעניק את ההרשאה
iam.serviceAccounts.getAccessToken,iam.serviceAccounts.getOpenIdToken,iam.serviceAccounts.implicitDelegationאוiam.serviceAccounts.signJwtלחשבון הראשי מהפרויקט המקור.בודקים את היומנים שמצוינים בממצא כדי לאמת את השיטות ליצירת טוקנים שבהן נעשה שימוש בעומסי העבודה של הסוכן.
הוענקו תפקידים או הרשאות רגישים ב-IAM
- משתמשים בשירות Organization Policy כדי להגביל זהויות באמצעות שיתוף מוגבל לדומיין.
- כדי לזהות ולתקן תפקידים עם יותר מדי הרשאות, אפשר להשתמש בשירות המלצות של IAM.
המאמרים הבאים
- איך עובדים עם ממצאי איומים ב-Security Command Center
- אפשר לעיין באינדקס של ממצאי איומים.
- איך בודקים ממצא דרך מסוף Google Cloud .
- מידע על השירותים שמפיקים ממצאים לגבי איומים