Google Publica Relatório de Modelo de Ameaças BigQuery

O Google Cloud publicou um modelo de ameaças mapeado para STRIDE/MITRE ATT&CK, cobrindo 14 vetores de ataque do BigQuery. Isso inclui adulteração de esquema via tables.patch, escalonamento de políticas IAM allow-policy através de datasets.update e iam.serviceAccounts.actAs, abuso de confused-deputy em Cloud Functions/Dataflow downstream, exfiltração via jobs de carga WRITE_TRUNCATE ou destinos de exportação entre projetos. O modelo também aborda exposição de datasets a allUsers/allAuthenticatedUsers, persistência furtiva através de views autorizadas e consultas agendadas, e DoS baseado em custo. As mitigações focam em perímetros de VPC Service Controls, escopo de privilégio mínimo, constraints/iam.disableServiceAccountKeyCreation e quotas customizadas de maximumBytesBilled.