渗漏:Cloud SQL 将备份恢复到外部组织

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

通过检查审核日志以确定备份中的数据是否已恢复到组织或项目外部的 Cloud SQL 实例,可检测 Cloud SQL 备份中的数据渗漏。支持所有 Cloud SQL 实例和备份类型。

如何应答

如需响应此发现结果,请执行以下操作:

第 1 步:查看发现结果详情

  1. 按照查看发现结果中所述,打开 Exfiltration: Cloud SQL Restore Backup to External Organization 发现结果。

  2. 在发现结果详细信息面板的摘要标签页上,查看以下部分中的信息:

    • 检测到的内容,尤其是以下字段:
      • 主账号电子邮件地址:用于渗漏数据的账号。
      • 渗漏来源:有关通过其创建备份的 Cloud SQL 实例的详细信息。
      • 渗漏目标:有关备份数据恢复到的 Cloud SQL 实例的详细信息。
    • 受影响的资源,尤其是以下字段:
      • 资源全名:已恢复的备份的资源名称。
      • 项目全名:包含通过其创建备份的 Cloud SQL 实例的 Google Cloud 项目。

  3. 相关链接,尤其是以下字段:

    • Cloud Logging URI:指向 Logging 条目的链接。
    • MITRE ATT&CK 方法:指向 MITRE ATT&CK 文档的链接。
    • 相关发现结果:指向任何相关发现结果的链接。

  4. 点击 JSON 标签页。

  5. 在 JSON 中,请注意以下字段。

    • resource
      • parent_name:从其创建备份的 Cloud SQL 实例的资源名称
    • evidence
      • sourceLogId
        • projectId:包含来源 BigQuery 数据集的 Google Cloud 项目。
    • properties
      • restoreToExternalInstance
        • backupId:已恢复的备份作业的 ID

第 2 步:查看权限和设置

  1. 在 Google Cloud 控制台中,前往 IAM 页面。

    转到 IAM

  2. 如有必要,请选择发现结果 JSON 中 projectId 字段中列出的实例的项目(来自第 1 步)。

  3. 在显示的页面上的过滤条件框中,输入主账号电子邮件地址中列出的电子邮件地址(来自第 1 步),并检查为该账号分配了哪些权限。

第 3 步:检查日志

  1. 在 Google Cloud 控制台中,点击 Cloud Logging URI 中的链接,以前往 Logs Explorer(来自第 1 步)。 Logs Explorer 页面包含与相关 Cloud SQL 实例有关的所有日志。

第 4 步:研究攻击和响应方法

  1. 查看此发现结果类型的 MITRE ATT&CK 框架条目:Web 服务渗漏:渗漏到 Cloud Storage
  2. 点击相关发现结果行上的链接,以查看相关发现结果。(来自第 1 步)。相关发现结果在同一 Cloud SQL 实例上具有相同的发现结果类型。
  3. 如需制定响应方案,请将您的调查结果与 MITRE 研究相结合。

第 5 步:实现响应

以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。

  • 与数据被渗漏的项目的所有者联系。
  • 在调查完成之前,考虑对发现结果详情摘要标签页中主账号电子邮件地址行上列出的主账号撤消权限
  • 如需防止进一步渗漏,请向受影响的 Cloud SQL 实例添加严格的 IAM 政策。
  • 如需限制对 Cloud SQL Admin API 的访问,请使用 VPC Service Controls
  • 如需识别并修正过于宽松的角色,请使用 IAM Recommender

后续步骤