תגובה לממצאי איומים ב-Compute Engine

במסמך הזה מוסבר איך אפשר להגיב לממצאים של פעילויות חשודות במשאבי Compute Engine. יכול להיות שהשלבים המומלצים לא יתאימו לכל הממצאים, ושהם ישפיעו על הפעולות שלכם. לפני שתבצעו פעולה כלשהי, כדאי לבדוק את הממצאים, להעריך את המידע שאספתם ולהחליט איך להגיב.

אין ערובה לכך שהטכניקות שמתוארות במסמך הזה יהיו יעילות נגד איומים קודמים, נוכחיים או עתידיים שתיתקלו בהם. כדי להבין למה Security Command Center לא מספק הנחיות רשמיות לטיפול באיומים, אפשר לעיין במאמר בנושא טיפול באיומים.

לפני שמתחילים

1. בדיקת הממצא. שימו לב למכונה המושפעת של Compute Engine, לכתובת האימייל של חשבון המשתמש שזוהה ולכתובת ה-IP של המתקשר (אם קיימת). כדאי גם לבדוק את הממצאים כדי לזהות סימנים לפריצה (כתובת IP, דומיין, גיבוב קובץ או חתימה).
2. כדי לקבל מידע נוסף על הממצא שאתם בודקים, חפשו את הממצא באינדקס של ממצאי איומים.

המלצות כלליות

• פונים לבעלים של המשאב המושפע.
• בודקים את המופע שנפרץ ומסירים את התוכנות הזדוניות שנמצאו.
• במקרה הצורך, מפסיקים את המופע שנפרץ ומחליפים אותו במופע חדש.
• לצורך ניתוח משפטי, מומלץ לגבות את המכונות הווירטואליות ואת הדיסקים של אחסון מתמיד שהושפעו. מידע נוסף מופיע במאמר אפשרויות להגנה על נתונים במאמרי העזרה של Compute Engine.
• אם צריך, מוחקים את המכונה הווירטואלית.
• אם הממצא כולל אימייל של גורם מרכזי וכתובת IP של המתקשר, כדאי לבדוק יומני ביקורת אחרים שמשויכים לגורם המרכזי או לכתובת ה-IP כדי לזהות פעילות חריגה. אם יש צורך בכך, משביתים את ההרשאות של החשבון המשויך או מצמצמים אותן אם הוא נפרץ.
• כדי לבצע חקירה נוספת, מומלץ להשתמש בשירותי תגובה לאירועים כמו Mandiant.

בנוסף, כדאי לעיין בהמלצות שבקטעים הבאים בדף הזה.

איומים ב-SSH

• כדאי להשבית את הגישה למכונה הווירטואלית באמצעות SSH. מידע על השבתת מפתחות SSH זמין במאמר בנושא הגבלת מפתחות SSH ממכונות וירטואליות. הפעולה הזו עלולה לשבש את הגישה המורשית למכונה הווירטואלית, לכן חשוב לשקול את הצרכים של הארגון לפני שממשיכים.
• משתמשים באימות SSH רק עם מפתחות מורשים.
• כדי לחסום כתובות IP זדוניות, מעדכנים את כללי חומת האש או משתמשים ב-Cloud Armor. כדאי להפעיל את Cloud Armor כשירות משולב. העלויות של Cloud Armor יכולות להיות משמעותיות, בהתאם לנפח הנתונים. מידע נוסף זמין במאמר בנושא תמחור של Cloud Armor.

תנועות לרוחב במכונות Compute Engine

• מומלץ להשתמש באתחול מאובטח במכונות הווירטואליות של Compute Engine.

• מומלץ למחוק את חשבון השירות שייתכן שנפרץ, לעדכן ולמחוק את כל מפתחות הגישה לחשבון השירות בפרויקט שייתכן שנפרץ. אחרי המחיקה, לאפליקציות שמשתמשות בחשבון השירות לצורך אימות לא תהיה יותר גישה. לפני שממשיכים, צוות האבטחה צריך לזהות את כל האפליקציות המושפעות ולעבוד עם בעלי האפליקציות כדי להבטיח את המשכיות העסקית.

• כדאי לעבוד עם צוות האבטחה כדי לזהות משאבים לא מוכרים, כולל מכונות, תמונות מצב, חשבונות שירות ומשתמשי IAM ב-Compute Engine. מחיקת משאבים שלא נוצרו באמצעות חשבונות מורשים.

• להשיב לכל ההודעות מ-Cloud Customer Care.

המאמרים הבאים

• איך עובדים עם ממצאי איומים ב-Security Command Center
• אפשר לעיין באינדקס של ממצאי איומים.
• איך בודקים ממצא דרך מסוף Google Cloud .
• מידע על השירותים שמפיקים ממצאים לגבי איומים