# GCP - Security Enum

{{#include ../../../banners/hacktricks-training.md}}

## Informazioni di Base

La sicurezza della Google Cloud Platform (GCP) comprende una **suite completa di strumenti** e pratiche progettate per garantire la **sicurezza** delle risorse e dei dati all'interno dell'ambiente Google Cloud, suddivisa in quattro sezioni principali: **Security Command Center, Detections and Controls, Data Protection e Zero Trust.**

## **Security Command Center**

Il Security Command Center (SCC) della Google Cloud Platform (GCP) è uno **strumento di gestione della sicurezza e del rischio per le risorse GCP** che consente alle organizzazioni di ottenere visibilità e controllo sui propri asset cloud. Aiuta a **rilevare e rispondere alle minacce** offrendo analisi di sicurezza complete, **identificando le misconfigurazioni**, garantendo la **conformità** agli standard di sicurezza e **integrandosi** con altri strumenti di sicurezza per la rilevazione e risposta automatizzata alle minacce.

- **Panoramica**: Pannello per **visualizzare una panoramica** di tutti i risultati del Security Command Center.
- Minacce: \[Premium Required] Pannello per visualizzare tutte le **minacce rilevate. Controlla di più sulle Minacce qui sotto**
- **Vulnerabilità**: Pannello per **visualizzare le misconfigurazioni trovate nell'account GCP**.
- **Conformità**: \[Premium required] Questa sezione consente di **testare il tuo ambiente GCP rispetto a diversi controlli di conformità** (come PCI-DSS, NIST 800-53, benchmark CIS...) sull'organizzazione.
- **Asset**: Questa sezione **mostra tutti gli asset utilizzati**, molto utile per gli amministratori di sistema (e forse per l'attaccante) per vedere cosa è in esecuzione in una singola pagina.
- **Risultati**: Questo **aggregato** in una **tabella i risultati** di diverse sezioni della sicurezza GCP (non solo Command Center) per poter visualizzare facilmente i risultati che contano.
- **Fonti**: Mostra un **riassunto dei risultati** di tutte le diverse sezioni della sicurezza GCP **per sezione**.
- **Postura**: \[Premium Required] La Postura di Sicurezza consente di **definire, valutare e monitorare la sicurezza dell'ambiente GCP**. Funziona creando politiche che definiscono vincoli o restrizioni che controllano/monitorano le risorse in GCP. Ci sono diversi modelli di postura predefiniti che possono essere trovati in [https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy](https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy)

### **Minacce**

Dal punto di vista di un attaccante, questa è probabilmente la **caratteristica più interessante poiché potrebbe rilevare l'attaccante**. Tuttavia, nota che questa funzione richiede **Premium** (il che significa che l'azienda dovrà pagare di più), quindi **potrebbe non essere nemmeno abilitata**.

Ci sono 3 tipi di meccanismi di rilevamento delle minacce:

- **Minacce agli Eventi**: Risultati prodotti abbinando eventi da **Cloud Logging** basati su **regole create** internamente da Google. Può anche scansionare i **log di Google Workspace**.
- È possibile trovare la descrizione di tutte le [**regole di rilevamento nella documentazione**](https://cloud.google.com/security-command-center/docs/concepts-event-threat-detection-overview?authuser=2#how_works)
- **Minacce ai Container**: Risultati prodotti dopo aver analizzato il comportamento a basso livello del kernel dei container.
- **Minacce Personalizzate**: Regole create dall'azienda.

È possibile trovare risposte raccomandate alle minacce rilevate di entrambi i tipi in [https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response](https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response)

### Enumerazione
```bash
# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>
```
### Post Exploitation

{{#ref}}
../gcp-post-exploitation/gcp-security-post-exploitation.md
{{#endref}}

## Detections and Controls

- **Chronicle SecOps**: Una suite avanzata di operazioni di sicurezza progettata per aiutare i team ad aumentare la velocità e l'impatto delle operazioni di sicurezza, inclusa la rilevazione delle minacce, l'indagine e la risposta.
- **reCAPTCHA Enterprise**: Un servizio che protegge i siti web da attività fraudolente come scraping, credential stuffing e attacchi automatizzati distinguendo tra utenti umani e bot.
- **Web Security Scanner**: Strumento di scansione della sicurezza automatizzato che rileva vulnerabilità e problemi di sicurezza comuni nelle applicazioni web ospitate su Google Cloud o su un altro servizio web.
- **Risk Manager**: Uno strumento di governance, rischio e conformità (GRC) che aiuta le organizzazioni a valutare, documentare e comprendere la loro postura di rischio su Google Cloud.
- **Binary Authorization**: Un controllo di sicurezza per i container che garantisce che solo le immagini di container fidate siano distribuite nei cluster di Kubernetes Engine secondo le politiche stabilite dall'impresa.
- **Advisory Notifications**: Un servizio che fornisce avvisi e consigli su potenziali problemi di sicurezza, vulnerabilità e azioni raccomandate per mantenere sicure le risorse.
- **Access Approval**: Una funzionalità che consente alle organizzazioni di richiedere un'approvazione esplicita prima che i dipendenti di Google possano accedere ai loro dati o configurazioni, fornendo un ulteriore livello di controllo e auditabilità.
- **Managed Microsoft AD**: Un servizio che offre Microsoft Active Directory (AD) gestito che consente agli utenti di utilizzare le loro app e carichi di lavoro esistenti dipendenti da Microsoft AD su Google Cloud.

## Data Protection

- **Sensitive Data Protection**: Strumenti e pratiche mirati a proteggere i dati sensibili, come informazioni personali o proprietà intellettuale, contro accessi non autorizzati o esposizione.
- **Data Loss Prevention (DLP)**: Un insieme di strumenti e processi utilizzati per identificare, monitorare e proteggere i dati in uso, in movimento e a riposo attraverso un'ispezione approfondita dei contenuti e applicando un insieme completo di regole di protezione dei dati.
- **Certificate Authority Service**: Un servizio scalabile e sicuro che semplifica e automatizza la gestione, distribuzione e rinnovo dei certificati SSL/TLS per servizi interni ed esterni.
- **Key Management**: Un servizio basato su cloud che consente di gestire le chiavi crittografiche per le proprie applicazioni, inclusa la creazione, importazione, rotazione, utilizzo e distruzione delle chiavi di crittografia. Maggiori informazioni in:

{{#ref}}
gcp-kms-enum.md
{{#endref}}

- **Certificate Manager**: Un servizio che gestisce e distribuisce certificati SSL/TLS, garantendo connessioni sicure e crittografate ai propri servizi web e applicazioni.
- **Secret Manager**: Un sistema di archiviazione sicuro e conveniente per chiavi API, password, certificati e altri dati sensibili, che consente un accesso e una gestione facili e sicure di questi segreti nelle applicazioni. Maggiori informazioni in:

{{#ref}}
gcp-secrets-manager-enum.md
{{#endref}}

## Zero Trust

- **BeyondCorp Enterprise**: Una piattaforma di sicurezza zero-trust che consente l'accesso sicuro alle applicazioni interne senza la necessità di una VPN tradizionale, facendo affidamento sulla verifica della fiducia dell'utente e del dispositivo prima di concedere l'accesso.
- **Policy Troubleshooter**: Uno strumento progettato per aiutare gli amministratori a comprendere e risolvere problemi di accesso nella loro organizzazione identificando perché un utente ha accesso a determinate risorse o perché l'accesso è stato negato, contribuendo così all'applicazione delle politiche zero-trust.
- **Identity-Aware Proxy (IAP)**: Un servizio che controlla l'accesso alle applicazioni cloud e alle VM in esecuzione su Google Cloud, on-premises o su altri cloud, basandosi sull'identità e sul contesto della richiesta piuttosto che sulla rete da cui proviene la richiesta.
- **VPC Service Controls**: Perimetri di sicurezza che forniscono ulteriori livelli di protezione alle risorse e ai servizi ospitati nel Virtual Private Cloud (VPC) di Google Cloud, prevenendo l'exfiltrazione dei dati e fornendo un controllo degli accessi granulare.
- **Access Context Manager**: Parte di Google Cloud's BeyondCorp Enterprise, questo strumento aiuta a definire e applicare politiche di controllo degli accessi dettagliate basate sull'identità di un utente e sul contesto della sua richiesta, come lo stato di sicurezza del dispositivo, l'indirizzo IP e altro.

{{#include ../../../banners/hacktricks-training.md}}