0
0
O Google Workspace (antigo G Suite) tem um ponto fraco que pode impedir a descoberta de exfiltração de dados do Google Drive por um estranho ou insider mal-intencionado, dizem os pesquisadores da Mitiga.
Um problema para analistas forenses digitais e socorristas de incidentes
“O Google Workspace fornece visibilidade dos recursos do Google Drive de uma empresa usando ‘Eventos de registro do Drive’ para ações como copiar, excluir, baixar e visualizar arquivos. Eventos que envolvem domínios externos também são registrados, como compartilhar um objeto com um usuário externo”, explicaram Ariel Szarf e Or Aspir, da Mitiga.
Por padrão, os usuários do Google Drive começam com uma licença “Cloud Identity Free” e recebem uma licença paga (por exemplo, “Google Workspace Enterprise Plus”) por um dos administradores de TI da organização.
Mas quando essa licença paga não é atribuída, não há registros de registro de ações na unidade privada dos usuários, descobriram os pesquisadores – e isso pode deixar as organizações no escuro sobre manipulação de dados e ações de exfiltração que usuários ou invasores externos podem executar.
Por exemplo, se eles não receberam uma licença paga ou sua licença foi removida antes que sua conta do Google seja revogada, os funcionários que saem da empresa podem explorar esse ponto fraco para decolar com a propriedade intelectual da empresa sem deixar nenhuma evidência forense de irregularidades.
Um usuário pode copiar previamente todos os arquivos da unidade compartilhada da organização para sua unidade privada e baixá-los: o download não será registrado e a cópia será registrada apenas parcialmente (no log ‘source_copy’, mas não no log ‘copiar’).
Os invasores externos podem fazer o mesmo se tiverem comprometido a conta de um usuário sem uma licença paga ou a conta de um administrador de TI.
“Um agente de ameaças que obtém acesso a um usuário administrador pode revogar a licença do usuário, baixar todos os seus arquivos privados e reatribuir a licença. Os únicos registros de log que são gerados neste caso são de revogar e atribuir licença (em ‘Admin Log Events’)”, explicaram os pesquisadores.
Detecção de exfiltração de dados via Google Drive
O conselho dos pesquisadores para as organizações é realizar regularmente a caça a ameaças no Google Workspace e procurar por atribuição de licença suspeita e eventos de revogação e monitorar registros de “source_copy” em busca de cópias incomuns/suspeitas de arquivos da empresa.
Eles dizem que, embora tenham sinalizado essa deficiência de segurança forense à equipe de segurança do Google, não esperam que eles a reconheçam como um problema de segurança.
FONTE: DARK READING