渗漏:Cloud SQL 数据渗漏

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成相应的威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

您可以通过检查以下两种场景的审核日志来检测 Cloud SQL 中的数据渗漏:

  • 活动实例数据导出到组织外部的 Cloud Storage 存储桶。
  • 活动实例数据导出到组织拥有且可公开访问的 Cloud Storage 存储桶。

支持所有 Cloud SQL 实例类型。

对于 Security Command Center 高级方案的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。

如何响应

如需响应此发现结果,请执行以下操作:

第 1 步:查看发现结果详情

  1. 按照查看发现结果中所述,打开 Exfiltration: Cloud SQL Data Exfiltration 发现结果。系统会打开发现结果详细信息面板,以显示摘要标签页。

  2. 摘要标签页上,查看以下部分中的信息:

    • 检测到的内容,尤其是以下字段:
      • 主账号电子邮件地址:用于渗漏数据的账号。
      • 渗漏来源:有关渗漏其数据的 Cloud SQL 实例的详细信息。
      • 渗漏目标:有关数据导出到的 Cloud Storage 存储桶的详细信息。
    • 受影响的资源,尤其是以下字段:
      • 资源全名:渗漏其数据的 Cloud SQL 资源的名称。
      • 项目全名:包含来源 Cloud SQL 数据的 Google Cloud 项目。
    • 相关链接,其中包括:
      • Cloud Logging URI:指向 Logging 条目的链接。
      • MITRE ATT&CK 方法:指向 MITRE ATT&CK 文档的链接。
      • 相关发现结果:指向任何相关发现结果的链接。

  3. 点击 JSON 标签页。

  4. 在发现结果的 JSON 中,注意以下字段:

    • sourceProperties
      • evidence
      • sourceLogId
        • projectId:包含来源 Cloud SQL 实例的 Google Cloud 项目。
      • properties
      • bucketAccess:Cloud Storage 存储桶是可公开访问的,还是在组织外部
      • exportScope:导出的数据量,例如整个实例、一个或多个数据库、一个或多个表,或由查询指定的子集

第 2 步:查看权限和设置

  1. 在 Google Cloud 控制台中,前往 IAM 页面。

    转到 IAM

  2. 如有必要,请选择发现结果 JSON 中 projectId 字段中列出的实例的项目(来自第 1 步)。

  3. 在显示的页面上的过滤条件框中,输入发现结果详情摘要标签页中主账号电子邮件地址行上列出的电子邮件地址(来自第 1 步)。检查为该账号分配了哪些权限。

第 3 步:检查日志

  1. 在 Google Cloud 控制台中,点击 Cloud Logging URI 中的链接,以前往 Logs Explorer(来自第 1 步)。 Logs Explorer 页面包含与相关 Cloud SQL 实例有关的所有日志。

第 4 步:研究攻击和响应方法

  1. 查看此发现结果类型的 MITRE ATT&CK 框架条目:Web 服务渗漏:渗漏到 Cloud Storage
  2. 点击第 1 步中所述的相关发现结果行上的链接,以查看相关发现结果。相关发现结果在同一 Cloud SQL 实例上具有相同的发现结果类型。
  3. 如需制定响应方案,请将您的调查结果与 MITRE 研究相结合。

第 5 步:实现响应

以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。

  • 与数据被渗漏的项目的所有者联系。
  • 在调查完成之前,请考虑撤消权限(针对 access.principalEmail)。
  • 如需防止进一步渗漏,请向受影响的 Cloud SQL 实例添加严格的 IAM 政策。
  • 要限制针对 Cloud SQL Admin API 的访问和导出,请使用 VPC Service Controls
  • 如需识别并修正过于宽松的角色,请使用 IAM Recommender

后续步骤