Peningkatan Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Akses Data AI

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Anomalous Multistep Service Account Delegation terdeteksi saat log audit Aktivitas Admin layanan AI menunjukkan bahwa anomali terjadi dalam permintaan peniruan akun layanan.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
     • Nama metode: metode yang dipanggil
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi. Principal di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
     • Resource AI: resource AI yang berpotensi terpengaruh, seperti resource Vertex AI dan model AI.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.

Langkah 2: Meneliti metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
2. Selidiki penerima hak istimewa dalam rantai pendelegasian untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan ganti serta hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.