Nenhum registro de atividade na assinatura gratuita do pacote de produtividade baseado na Web do Google expõe as empresas a ameaças internas e outras, dizem os pesquisadores.
A falta de registro de eventos na versão de assinatura gratuita do Google Workspace pode permitir que invasores baixem dados do Google Drive sem deixar rastros de suas atividades ilícitas.
Pesquisadores de uma equipe da Mitiga descobriram o que chamam de “deficiência de segurança forense” no popular aplicativo de produtividade hospedado, que surge devido à falta de geração de log para usuários que não possuem uma licença corporativa paga para o Workspace. Em um Postagem no blog da Mitiga publicado em 30 de maio, a equipe observou que a situação deixa as empresas abertas aameaças internas e outros possíveis vazamentos de dados.
Embora os usuários com uma licença paga, como o Google Workspace Enterprise Plus, aproveitem o benefício da visibilidade da atividade do Google Drive por meio de “eventos de registro de unidade” – que registram ações como copiar, excluir, baixar e visualizar arquivos – aqueles com uma nuvem padrão a licença Identity Free não, disseram os pesquisadores. Isso torna as organizações cegas para possíveis ataques de manipulação e roubo de dados, limitando a rapidez e a eficiência com que as organizações podem responder. Isso porque eles têm pouca ou nenhuma chance de avaliar corretamente quais dados foram roubados — ou se algum dado foi roubado.
“Especificamente no Google, a licença gratuita é o padrão quando um novo usuário é adicionado ao seu domínio, o que significa que você não receberá nenhum registro da atividade do Google Drive de seu Drive privado”, Or Aspir, líder da equipe de pesquisa de segurança em nuvem da Mitiga, diz Dark Reading. “Este é o principal problema, porque sem esses logs, você fica cego para os usuários que podem baixar os dados em seu Drive privado.”
Para inicializar, embora as empresas que usam o Google Workspace entre seus funcionários corporativos possam emitir licenças corporativas – e, portanto, ter a visibilidade que o registro fornece – elas ainda podem correr o risco de roubo de dados se os usuários baixarem arquivos de uma unidade corporativa compartilhada para seu Google Drive pessoal. , que não será protegido, diz Aspir.
“Se os usuários tiverem permissões para acessar algumas unidades compartilhadas da empresa, eles podem copiar os arquivos da unidade compartilhada para sua unidade privada… e a empresa não receberá nenhum registro do usuário baixando os arquivos copiados de sua unidade privada”, explica ele.
Como os invasores podem explorar a deficiência do Google Drive.
Existem dois cenários principais nos quais essa falta de visibilidade apresenta um problema, destacaram os pesquisadores em seu post. A primeira é se a conta de um usuário for comprometida por um agente de ameaça, tornando-se um administrador ou simplesmente obtendo acesso a essa conta, escreveram eles.
“Um agente de ameaça que obtém acesso a um usuário administrador pode revogar a licença do usuário, baixar todos os seus arquivos privados e reatribuir a licença”, explicaram no post. Nesse caso, os únicos registros de log que seriam gerados são a atividade de revogar e atribuir uma licença, sob o Admin Log Events, disseram os pesquisadores.
Enquanto isso, um invasor que obtém acesso a um usuário sem uma licença paga, mas ainda usa o drive privado da organização, pode baixar todos os arquivos do drive sem deixar rastros, disseram os pesquisadores.
O segundo cenário de ameaça seria mais provável de ocorrer durante a demissão do funcionário, quando um usuário corporativo está deixando a empresa e, portanto, tendo sua licença removida antes de realmente desabilitar/remover o funcionário como usuário do Google, disseram os pesquisadores.
O funcionário (ou qualquer usuário que não tenha uma licença paga) também pode baixar arquivos internos de seu drive particular ou Google Workspace privado sem qualquer aviso devido à falta de registro, representando um problema ameaça interna ou potencialmente expor esses dados a um invasor externo, acrescentaram. Um usuário que ainda usa o drive privado de uma empresa também pode baixar drives para um Google Workspace privado sem nenhum registro de log, disseram os pesquisadores.
“De qualquer forma, sem uma licença paga, os usuários ainda podem ter acesso ao drive compartilhado como visualizadores”, explicaram no post. “Um usuário ou agente de ameaça pode copiar todos os arquivos da unidade compartilhada para sua unidade privada e baixá-los.”
Como as empresas podem responder.
A Mitiga procurou o Google sobre o problema, mas os pesquisadores disseram que ainda não receberam uma resposta, acrescentando que a equipe de segurança do Google normalmente não reconhece deficiências forenses como um problema de segurança.
Isso destaca uma preocupação ao trabalhar com software como serviço (SaaS) e provedores de nuvem, pois as organizações que usam seus serviços “dependem exclusivamente deles em relação aos dados forenses que você pode ter”, observa Aspir. “Quando se trata de SaaS e provedores de nuvem, estamos falando de uma responsabilidade compartilhada em relação à segurança, porque você não pode adicionar proteções adicionais dentro do que é fornecido.”
Por exemplo, uma organização depende totalmente do que o Google Workspace fornece, diz Aspir. Em sua opinião, essa informação deveria ser “todos os logs necessários para que as empresas entendam se algo ruim aconteceu e o que exatamente aconteceu”.
Felizmente, existem etapas que as organizações que usam o Google Workspace podem seguir para garantir que o problema descrito pela Mitiga não seja explorado, disseram os pesquisadores. Isso inclui ficar atento a certas ações em seu recurso Admin Log Events, como eventos sobre atribuições e revogações de licenças, disseram eles.
“Se esses eventos estão acontecendo em rápida sucessão, isso pode sugerir que um agente de ameaça está revogando e reatribuindo licenças em seu ambiente”, escreveram eles no post. “Como resultado, sugerimos a realização de buscas regulares de ameaças em Google Workspace que incluem a busca por esta atividade.
As organizações também podem adicionar eventos “source_copy” em buscas de ameaças para capturar um caso em que um funcionário ou um agente de ameaça copia arquivos da unidade compartilhada para uma unidade privada e os baixa de lá, disseram os pesquisadores.
No geral, as organizações “precisam entender que, se houver um usuário com uma licença gratuita, esse usuário pode baixar ou copiar dados do Google Drive privado da organização e não haverá registro da atividade”, diz Aspir. “Tenha muito cuidado com os usuários dentro da empresa que não possuem uma licença paga.”
+ There are no comments
Add yours