Angriffsrisikobewertungen und Angriffspfade

Auf dieser Seite werden die wichtigsten Konzepte, Prinzipien und Einschränkungen erläutert, damit Sie die durch Angriffspfadsimulationen generierten Angriffsrisikobewertungen und -pfade von Security Command Center kennenlernen, optimieren und verwenden können.

Angriffspfadbewertungen und Angriffspfade werden für beide der folgenden Elemente generiert:

• Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen (zusammengefasst), die die Ressourceninstanzen in Ihrem effektiven Satz hochwertiger Ressourcen verfügbar machen.
• Die Ressourcen in Ihrem effektiven Satz hochwertiger Ressourcen.

Angriffspfade stellen Möglichkeiten dar

Sie sehen in einem Angriffspfad keine Hinweise für einen tatsächlichen Angriff.

Angriffspfadsimulationen generieren Angriffspfade und Angriffsrisikobewertungen. Dabei wird simuliert, was hypothetische Angreifer tun könnten, wenn sie Zugriff auf Ihre Google Cloud-Umgebung erhalten und die Angriffspfade und Sicherheitslücken entdeckt haben, die Security Command Center bereits gefunden hat.

Jeder Angriffspfad zeigt eine oder mehrere Angriffsmethoden, die ein Angreifer verwenden könnte, wenn er Zugriff auf eine bestimmte Ressource erlangt hat. Verwechseln Sie diese Angriffsmethoden nicht mit tatsächlichen Angriffen.

Ebenso bedeutet eine hohe Angriffsrisikobewertung für ein Ergebnis oder eine Ressource von Security Command Center nicht, dass ein Angriff ausgeführt wird.

Um nach tatsächlichen Angriffen zu suchen, überwachen Sie die Ergebnisse der Klasse THREAT, die von Diensten zur Bedrohungserkennung wie Event Threat Detection und Container Threat Detection generiert werden.

Weitere Informationen finden Sie in den folgenden Abschnitten auf dieser Seite:

• Angriffsrisikobewertungen
• Angriffspfade
• Simulationen des Angriffspfads

Angriffsrisikobewertungen

Die Angriffsrisikobewertung für ein Security Command Center-Ergebnis oder eine Security Command Center-Ressource ist ein Maß dafür, wie gefährdet die Ressourcen sind, die einem potenziellen Angriff ausgesetzt sind, wenn sich ein böswilliger Akteur Zugriff auf Ihre Google Cloud-Umgebung verschafft.

Bei einem Ergebnis ist der Wert ein Maß dafür, wie stark ein erkanntes Sicherheitsproblem eine oder mehrere hochwertige Ressourcen potenziellen Cyberangriffen aussetzt. Für eine hochwertige Ressource gibt der Wert an, wie gefährdet die Ressource potenziellen Cyberangriffen ausgesetzt ist.

Verwenden Sie Angriffsrisikobewertungen für Ergebnisse zu Sicherheitslücken, um die Behebung der Ergebnisse zu priorisieren.

Verwenden Sie Angriffsrisikobewertungen für Ressourcen, um proaktiv die Ressourcen zu schützen, die für Ihr Unternehmen am wertvollsten sind.

Die Angriffspfadsimulationen starten immer Angriffe aus dem öffentlichen Internet. Folglich wird in den Angriffsrisikobewertungen keine mögliche Begegnung mit böswilligen oder fahrlässigen internen Akteuren berücksichtigt.

Ergebnisse, die Angriffsrisikobewertungen erhalten

Angriffsrisikobewertungen werden auf aktive Ergebnisse der Klasse Vulnerability und Misconfiguration angewendet, die unter Unterstützte Ergebniskategorien aufgeführt sind.

Angriffspfadsimulationen enthalten ausgeblendete Ergebnisse, sodass ausgeblendete Ergebnisse Angriffsrisikobewertungen erhalten und in die Angriffspfade aufgenommen werden.

Angriffspfadsimulationen enthalten nur aktive Ergebnisse. Ergebnisse mit dem Status INACTIVE werden nicht in die Simulationen einbezogen, erhalten also keine Angriffsrisikobewertungen und werden auch nicht in Angriffspfade einbezogen.

Ressourcen, die Angriffsrisikobewertungen erhalten

Angriffspfadsimulationen berechnen Angriffsrisikobewertungen für unterstützte Ressourcentypen in Ihrem Satz hochwertiger Ressourcen. Durch die Erstellung von Ressourcenwertkonfigurationen geben Sie an, welche Ressourcen zum Satz hochwertiger Ressourcen gehören.

Wenn eine Ressource in einem Satz hochwertiger Ressourcen eine Angriffsrisikobewertung von 0 hat, identifizierten die Angriffspfadsimulationen keine Pfade zur Ressource, die ein potenzieller Angreifer nutzen könnte.

Angriffspfadsimulationen unterstützen die folgenden Ressourcentypen:

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Berechnung der Punktzahl

Jedes Mal, wenn die Angriffspfadsimulationen ausgeführt werden, berechnen sie die Angriffsrisikobewertungen neu. In jeder Angriffspfadsimulation werden mehrere Simulationen ausgeführt, in denen ein simulierter Angreifer bekannte Angriffsmethoden und -techniken ausprobiert, um die wertvollen Ressourcen zu erreichen und zu manipulieren.

Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Wenn Ihr Unternehmen wächst, dauern Simulationen länger, werden aber immer mindestens einmal pro Tag ausgeführt. Simulationsausführungen werden nicht durch das Erstellen, Ändern oder Löschen von Ressourcen oder Ressourcenwertkonfigurationen ausgelöst.

In den Simulationen werden die Punktzahlen anhand einer Vielzahl von Messwerten berechnet, darunter:

• Der Prioritätswert, der den bereitgestellten hochwertigen Ressourcen zugewiesen wird. Sie können folgende Prioritätswerte zuweisen:
  • HOCH = 10
  • MED = 5
  • LOW = 1
• Die Anzahl der möglichen Pfade, die ein Angreifer nehmen könnte, um eine bestimmte Ressource zu erreichen.
• Die Häufigkeit, mit der ein simulierter Angreifer eine hochwertige Ressource am Ende eines bestimmten Angriffspfads erreichen und manipulieren kann, ausgedrückt als Prozentsatz der Gesamtzahl der Simulationen.
• Nur für Ergebnisse die Anzahl der hochwertigen Ressourcen, die durch die erkannte Sicherheitslücke oder Fehlkonfiguration gefährdet sind.

Für Ressourcen können Angriffsrisikobewertungen zwischen 0 und 10 liegen.

Auf übergeordneter Ebene berechnen die Simulationen Ressourcenwerte, indem der Prozentsatz der erfolgreichen Angriffe mit dem numerischen Prioritätswert der Ressourcen multipliziert wird.

Bei Ergebnissen haben Angriffsrisikobewertungen keine feste Obergrenze. Je häufiger ein Ergebnis bei Angriffspfaden zu gefährdeten Ressourcen im Satz hochwertiger Ressourcen auftritt und je höher die Prioritätswerte dieser Ressourcen sind, desto höher ist der Wert.

Auf übergeordneter Ebene berechnen die Simulationen Ergebniswerte mithilfe derselben Berechnung wie für Ressourcenbewertungen. Für das Ergebnis multiplizieren die Simulationen jedoch das Ergebnis der Berechnung mit der Anzahl der hochwertigen Ressourcen, die das Ergebnis bereitstellt.

Werte ändern

Die Bewertungen können sich bei jeder Ausführung einer Angriffspfadsimulation ändern. Ein Ergebnis oder eine Ressource, die heute einen Wert von null hat, kann morgen einen Wert ungleich null haben.

Bewertungen ändern sich aus verschiedenen Gründen, darunter:

• Die Erkennung oder Behebung einer Sicherheitslücke, die direkt oder indirekt eine hochwertige Ressource gefährdet.
• Das Hinzufügen oder Entfernen von Ressourcen in Ihrer Umgebung.

Änderungen an Ergebnissen oder Ressourcen nach der Ausführung einer Simulation spiegeln sich erst nach der nächsten Simulation in den Angriffsrisikobewertungen wider.

Angriffsrisikobewertungen verwenden, um Abhilfemaßnahmen bei gefundenen Ergebnissen zu priorisieren

Berücksichtigen Sie die folgenden Punkte, um die Behebung von Ergebnissen auf Grundlage ihrer Angriffsrisikobewertungen effektiv zu priorisieren:

• Jedes Ergebnis mit einer Angriffsrisikobewertung, die größer als null ist, stellt eine hochwertige Ressource in irgendeiner Weise einem potenziellen Angriff aus. Daher sollte die Abhilfe vor Ergebnissen mit einem Wert von null priorisiert werden.
• Je höher der Wert eines Ergebnisses ist, desto häufiger werden Ihre hochwertigen Ressourcen durch das Ergebnis offengelegt und desto höher sollten Sie die Fehlerbehebung priorisieren.

Im Allgemeinen sollten Sie bei der Behebung der Ergebnisse, die die höchsten Punktzahlen haben und die Angriffspfade zu Ihren hochwertigen Ressourcen am effektivsten blockieren, die höchste Priorität einräumen.

Auf der Seite Ergebnisse von Security Command Center in der Google Cloud Console können Sie die Ergebnisse im Bereich Ergebnisse der Ergebnisabfrage nach Angriffsrisikobewertung sortieren. Klicken Sie dazu auf die Spaltenüberschrift Angriffsrisikobewertung.

Sie können die Ergebnisse mit den höchsten Punktzahlen auch anzeigen, indem Sie der Ergebnisabfrage einen Filter hinzufügen, der nur Ergebnisse mit einem Angriffsrisikowert zurückgibt, der größer als eine von Ihnen angegebene Zahl ist.

Ergebnisse, die nicht korrigiert werden können.

In einigen Fällen können Sie ein Ergebnis mit einer hohen Angriffsrisikobewertung möglicherweise nicht korrigieren, da es entweder ein bekanntes und akzeptiertes Risiko darstellt oder weil sich das Ergebnis nicht einfach beheben lässt. In diesen Fällen müssen Sie das Risiko möglicherweise auf andere Weise mindern. Die Überprüfung des zugehörigen Angriffspfads liefert Ihnen möglicherweise Anregungen für andere Abhilfemaßnahmen.

Ressourcen mit Angriffsrisikobewertungen schützen

Eine Angriffsrisikobewertung ungleich null für eine Ressource bedeutet, dass die Angriffspfadsimulationen einen oder mehrere Angriffspfade vom öffentlichen Internet zur Ressource identifiziert haben.

So rufen Sie die Angriffsrisikobewertungen für Ihre hochwertigen Ressourcen auf:

1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf:

   Zu Assets

2. Wählen Sie den Tab Satz hochwertiger Ressourcen aus. Die Ressourcen in Ihrem Satz hochwertiger Ressourcen werden in absteigender Reihenfolge nach der Angriffsrisikobewertung angezeigt.

3. Rufen Sie die Angriffspfade für eine Ressource auf. Klicken Sie dazu in der entsprechenden Zeile in der Spalte Angriffsrisikobewertung auf die Zahl. Die Angriffspfade vom öffentlichen Internet zur Ressource werden angezeigt.

4. Überprüfen Sie die Angriffspfade, indem Sie auf den Knoten nach roten Kreisen suchen, die auf Ergebnisse hinweisen.

5. Klicken Sie auf einen Knoten mit einem roten Kreis, um die Ergebnisse zu sehen.

6. Ergreifen Sie Maßnahmen, um die Ergebnisse zu beheben.

Sie können die Angriffsrisikobewertungen Ihrer hochwertigen Ressourcen auch in den Einstellungen auf dem Tab Simulationen des Angriffspfads ansehen. Klicken Sie dazu auf In der letzten Simulation verwendete bewertete Ressourcen ansehen.

Angriffsbewertung von 0

Eine Angriffsrisikobewertung von 0 für eine Ressource bedeutet, dass Security Command Center bei den letzten Simulationen von Angriffspfaden keine potenziellen Pfade identifiziert hat, über die ein Angreifer die Ressource erreichen könnte.

Eine Angriffsrisikobewertung von 0 für ein Ergebnis bedeutet, dass der simulierte Angreifer in der letzten Angriffssimulation keine hochwertigen Ressourcen über das Ergebnis erreichen konnte.

Eine Angriffsrisikobewertung von 0 bedeutet jedoch nicht, dass kein Risiko besteht. Eine Angriffsrisikobewertung spiegelt die Gefährdung von unterstützten Google Cloud-Diensten, -Ressourcen und -Security Command Center-Ergebnissen potenziellen Bedrohungen aus dem öffentlichen Internet wider. Zum Beispiel berücksichtigen die Werte keine Bedrohungen durch interne Akteure, Zero-Day-Sicherheitslücken oder die Infrastruktur von Drittanbietern.

Keine Angriffsbewertung

Wenn ein Ergebnis oder eine Ressource keine Punktzahl hat, kann dies folgende Gründe haben:

• Das Ergebnis wurde nach der letzten Angriffspfadsimulation ausgegeben.
• Die Ressource wurde nach der letzten Angriffspfadsimulation dem Satz hochwertiger Ressourcen hinzugefügt.
• Das Angriffsrisikofeature unterstützt derzeit die Ergebniskategorie oder den Ressourcentyp nicht.

Eine Liste der unterstützten Ergebniskategorien finden Sie unter Unterstützung für Angriffsrisikofeatures.

Eine Liste der unterstützten Ressourcentypen finden Sie unter Ressourcen, die Angriffsrisikobewertungen erhalten.

Ressourcenwerte

Obwohl alle Ihre Ressourcen in Google Cloud einen Wert haben, identifiziert Security Command Center Angriffspfade und berechnet Angriffsrisikobewertungen nur für die Ressourcen, die Sie als hochwertige Ressourcen (manchmal auch als wertvolle Ressourcen bezeichnet) festlegen.

Hochwertige Ressourcen

Eine hochwertige Ressource in Google Cloud ist für Ihr Unternehmen zum Schutz vor potenziellen Angriffen besonders wichtig. Ihre hochwertigen Ressourcen können beispielsweise die Ressourcen sein, die Ihre wertvollen oder sensiblen Daten speichern oder Ihre geschäftskritischen Arbeitslasten hosten.

Zum Festlegen einer Ressource als hochwertige Ressource definieren Sie die Attribute der Ressource in einer Konfiguration für den Ressourcenwert. Bis zu einer Obergrenze von 1.000 Ressourceninstanzen behandelt Security Command Center jede Ressourceninstanz,die den in der Konfiguration angegebenen Attributen entspricht, als hochwertige Ressource.

Prioritätswerte

Unter den Ressourcen, die Sie als hochwertig festlegen, ist es wahrscheinlich, dass Sie die Sicherheit einiger mehr Priorität haben als andere. Beispielsweise kann eine Gruppe von Datenressourcen hochwertige Daten enthalten, aber bestimmte dieser Datenressourcen können Daten enthalten, die sensibler sind als der Rest.

Damit die Angriffsrisikobewertungen Ihrer Notwendigkeit widerspiegeln, die Sicherheit der Ressourcen innerhalb Ihres Satzes hochwertiger Ressourcen zu priorisieren, weisen Sie in den Ressourcenwertkonfigurationen einen Prioritätswert zu, der die Ressourcen als hochwertig kennzeichnet.

Wenn Sie Sensitive Data Protection verwenden, können Sie Ressourcen auch automatisch abhängig von der Vertraulichkeit der Daten priorisieren, die die Ressourcen enthalten.

Werte für Ressourcenpriorität manuell festlegen

In einer Ressourcenwertkonfiguration weisen Sie den übereinstimmenden hochwertigen Ressourcen eine Priorität zu, indem Sie einen der folgenden Prioritätswerte angeben:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Wenn Sie in einer Ressourcenwertkonfiguration den Prioritätswert LOW angeben, sind die übereinstimmenden Ressourcen weiterhin hochwertige Ressourcen. In den Angriffspfadsimulationen werden sie lediglich mit einer niedrigeren Priorität behandelt und weisen ihnen eine niedrigere Angriffsbewertung zu als hochwertige Ressourcen mit einem Prioritätswert von MEDIUM oder HIGH.

Wenn mehrere Konfigurationen unterschiedliche Werte für dieselbe Ressource zuweisen, gilt der höchste Wert, es sei denn, eine Konfiguration weist den Wert NONE zu.

Der Ressourcenwert NONE verhindert, dass die übereinstimmenden Ressourcen als hochwertige Ressource betrachtet werden, und überschreibt alle anderen Konfigurationen für Ressourcenwerte für dieselbe Ressource. Achten Sie daher darauf, dass jede Konfiguration, die NONE angibt, nur für eine begrenzte Anzahl von Ressourcen gilt.

Werte für die Ressourcenpriorität automatisch je nach Datensensibilität festlegen

Wenn Sie die Erkennung sensibler Daten verwenden und die Datenprofile in Security Command Center veröffentlichen, können Sie Security Command Center so konfigurieren, dass der Prioritätswert bestimmter hochwertiger Ressourcen automatisch anhand der Vertraulichkeit der in den Ressourcen enthaltenen Daten festgelegt wird.

Sie aktivieren die Priorisierung für sensible Daten, wenn Sie die Ressourcen in einer Konfiguration für den Ressourcenwert angeben.

Wenn diese Option aktiviert ist und die Erkennung sensibler Daten die Daten in einer Ressource als MEDIUM- oder HIGH-Sensibilität klassifiziert, wird der Prioritätswert der Ressource bei den Angriffspfadsimulationen standardmäßig auf denselben Wert festgelegt.

Die Datensensitivitätsstufen werden vom Sensitive Data Protection definiert, können aber so interpretiert werden:

Daten mit hoher Vertraulichkeit

Bei der Erkennung sensibler Daten wurde mindestens eine Instanz von Daten mit hoher Vertraulichkeit in der Ressource gefunden.

Daten mit mittlerer Vertraulichkeit

Bei der Erkennung sensibler Daten wurden in der Ressource mindestens eine Instanz mit Daten mit mittlerer Vertraulichkeit und keine Instanzen mit Daten mit hoher Vertraulichkeit gefunden.

Daten mit geringer Vertraulichkeit

Bei der Erkennung von Sensitive Data Protection wurden in der Ressource keine sensiblen Daten, Freitexttext oder unstrukturierte Daten erkannt.

Wenn die Erkennung sensibler Daten in einer übereinstimmenden Datenressource nur Daten mit geringer Vertraulichkeit identifiziert, wird die Ressource nicht als hochwertige Ressource festgelegt.

Wenn Datenressourcen, die nur Daten mit niedriger Vertraulichkeit enthalten, als hochwertige Ressourcen mit niedriger Priorität gekennzeichnet werden sollen, erstellen Sie eine Konfiguration für duplizierte Ressourcenwerte. Geben Sie dabei jedoch den Prioritätswert LOW an, anstatt die Priorisierung der Datensensibilität zu aktivieren. Die Konfiguration, die Sensitive Data Protection verwendet, überschreibt die Konfiguration, die den Prioritätswert LOW zuweist. Dies gilt jedoch nur für Ressourcen, die sensible Daten vom Typ HIGH oder MEDIUM enthalten.

Sie können die Standardprioritätswerte ändern, die Security Command Center verwendet, wenn sensible Daten in der Konfiguration des Ressourcenwerts erkannt werden.

Weitere Informationen zum Schutz sensibler Daten finden Sie unter Schutz sensibler Daten.

Priorisierung von Datensensibilität und der Standardsatz hochwertiger Ressourcen

Bevor Sie Ihren eigenen Satz hochwertiger Ressourcen erstellen, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen, um Angriffsrisikobewertungen und Angriffspfade zu berechnen.

Wenn Sie die Erkennung sensibler Daten verwenden, fügt Security Command Center automatisch Instanzen der unterstützten Datenressourcentypen, die HIGH- oder MEDIUM-Vertraulichkeitsdaten enthalten, dem Standardsatz hochwertiger Ressourcen hinzu.

Unterstützte Ressourcentypen für automatisierte Prioritätswerte für sensible Daten

Angriffspfadsimulationen können nur für die folgenden Datenressourcentypen automatisch Prioritätswerte festlegen, die auf Klassifizierungen für datensensible Artikel aus dem Schutz sensibler Daten basieren:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Sets hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen ist eine definierte Sammlung der Ressourcen in Ihrer Google Cloud-Umgebung, die am wichtigsten abgesichert und geschützt werden müssen.

Wenn Sie Ihren Satz hochwertiger Ressourcen definieren möchten, müssen Sie angeben, welche Ressourcen in Ihrer Google Cloud-Umgebung zu Ihrem Satz hochwertiger Ressourcen gehören. Erst wenn Sie Ihren Satz hochwertiger Ressourcen definiert haben, entsprechen die Angriffsrisikobewertungen und Angriffspfade Ihren Sicherheitsprioritäten nicht genau.

Sie geben die Ressourcen in Ihrem Satz hochwertiger Ressourcen an, indem Sie Konfigurationen für den Ressourcenwert erstellen. Die Kombination all Ihrer Konfigurationen für den Ressourcenwert definiert den Satz hochwertiger Ressourcen. Weitere Informationen finden Sie unter Ressourcenwertkonfigurationen.

Bis Sie Ihre erste Konfiguration für den Ressourcenwert definieren, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen. Dieser Standardsatz gilt für Ihre gesamte Organisation für alle Ressourcentypen, die von Angriffspfadsimulationen unterstützt werden. Weitere Informationen finden Sie unter Standardsatz hochwertiger Ressourcen.

Sie können den Satz hochwertiger Ressourcen, der in der letzten Angriffspfadsimulation verwendet wurde, in der Google Cloud Console auf der Seite Assets aufrufen. Klicken Sie dazu auf den Tab Satz hochwertiger Ressourcen. Sie können sie auch auf der Seite mit den Security Command Center-Einstellungen auf dem Tab Simulation des Angriffspfads sehen.

Konfigurationen von Ressourcenwerten

Sie verwalten die Ressourcen in Ihrem Satz hochwertiger Ressourcen mit Konfigurationen für Ressourcenwerte.

Konfigurationen für Ressourcenwerte werden in der Google Cloud Console auf der Seite Einstellungen von Security Command Center auf dem Tab Simulation des Angriffspfads erstellt.

In einer Ressourcenwertkonfiguration geben Sie die Attribute an, die eine Ressource haben muss, damit Security Command Center sie zu Ihrem Satz hochwertiger Ressourcen hinzufügen kann.

Zu den Attributen, die Sie angeben können, gehören der Ressourcentyp, Ressourcen-Tags, Ressourcenlabels und das übergeordnete Projekt, der Ordner oder die Organisation.

Außerdem weisen Sie den Ressourcen in einer Konfiguration einen Ressourcenwert zu. Der Ressourcenwert priorisiert die Ressourcen in einer Konfiguration relativ zu den anderen Ressourcen im Satz hochwertiger Ressourcen. Weitere Informationen finden Sie unter Ressourcenwerte.

Sie können in einer Google Cloud-Organisation bis zu 100 Konfigurationen für Ressourcenwerte erstellen.

Gemeinsam definieren alle von Ihnen erstellten Ressourcenwertkonfigurationen den Satz hochwertiger Ressourcen, den Security Command Center für die Angriffspfadsimulationen verwendet.

Ressourcenattribute

Damit eine Ressource in den Satz hochwertiger Ressourcen aufgenommen werden kann, müssen ihre Attribute mit den Attributen übereinstimmen, die Sie in einer Konfiguration für den Ressourcenwert angeben.

Sie können unter anderem folgende Attribute angeben:

• Einen Ressourcentyp oder Any. Wenn Any angegeben ist, gilt die Konfiguration für alle unterstützten Ressourcentypen im angegebenen Bereich. Any ist der Standardwert.
• Ein Bereich (die übergeordnete Organisation, der Ordner oder das Projekt), in dem sich die Ressourcen befinden müssen. Der Standardbereich ist Ihre Organisation. Wenn Sie eine Organisation oder einen Ordner angeben, gilt die Konfiguration auch für die Ressourcen in den untergeordneten Ordnern oder Projekten.
• Optional ein oder mehrere Tags oder Labels, die jede Ressource enthalten muss.

Wenn Sie eine oder mehrere Ressourcenwertkonfigurationen angeben, aber keine Ressourcen in Ihrer Google Cloud-Umgebung mit den in einer der Konfigurationen angegebenen Attributen übereinstimmen, gibt Security Command Center ein SCC Error-Ergebnis aus und greift auf den standardmäßigen Satz hochwertiger Ressourcen zurück.

Standardsatz hochwertiger Ressourcen

Security Command Center verwendet einen Standardsatz hochwertiger Ressourcen, um die Angriffsrisikobewertungen zu berechnen, wenn keine Konfigurationen für Ressourcenwerte definiert sind oder keine definierten Konfigurationen mit Ressourcen übereinstimmen.

Security Command Center weist Ressourcen in der standardmäßigen hochwertigen Ressource den Prioritätswert LOW zu, es sei denn, Sie verwenden die Erkennung zum Schutz sensibler Daten. In diesem Fall weist Security Command Center Ressourcen, die Daten mit hoher oder mittlerer Vertraulichkeit enthalten, einen entsprechenden Prioritätswert von HIGH oder MEDIUM zu.

Wenn Sie mindestens eine Konfiguration für den Ressourcenwert haben, die mindestens einer Ressource in Ihrer Umgebung entspricht, beendet Security Command Center die Verwendung des Standardsatzes hochwertiger Ressourcen.

Ersetzen Sie den Standardsatz hochwertiger Ressourcen durch Ihren eigenen Satz hochwertiger Ressourcen, um Angriffsrisikobewertungen zu erhalten, die Ihren Sicherheitsprioritäten genau entsprechen. Weitere Informationen finden Sie unter Satz hochwertiger Ressourcen definieren.

In der folgenden Liste sind die Ressourcentypen aufgeführt, die im Standardsatz hochwertiger Ressourcen enthalten sind:

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limit für Ressourcen in einem Satz hochwertiger Ressourcen

Security Command Center begrenzt die Anzahl der Ressourcen in einem Satz hochwertiger Ressourcen auf 1.000.

Wenn die Attributspezifikationen in einer oder mehreren Ressourcenwertkonfigurationen sehr breit gefasst sind, kann die Anzahl der Ressourcen, die den Attributspezifikationen entsprechen, 1.000 überschreiten.

Wenn die Anzahl der übereinstimmenden Ressourcen das Limit überschreitet, schließt Security Command Center Ressourcen aus dem Satz aus, bis die Anzahl der Ressourcen innerhalb des Limits liegt. Security Command Center schließt Ressourcen mit dem niedrigsten zugewiesenen Wert zuerst aus. Unter Ressourcen mit demselben zugewiesenen Wert schließt Security Command Center Ressourceninstanzen mithilfe eines Algorithmus aus, der die ausgeschlossenen Ressourcen auf die Ressourcentypen verteilt.

Eine Ressource, die aus dem Satz hochwertiger Ressourcen ausgeschlossen ist, wird bei der Berechnung der Angriffsrisikobewertungen nicht berücksichtigt.

Damit Sie benachrichtigt werden, wenn das Instanzlimit für die Berechnung des Scores überschritten wird, gibt Security Command Center ein SCC error-Ergebnis aus und zeigt auf dem Tab mit den Einstellungen für die Simulation des Angriffspfads in der Google Cloud Console eine Meldung an. Security Command Center gibt kein SCC error-Ergebnis aus, wenn der Standardwert für einen hohen Wert das Instanzlimit überschreitet.

Passen Sie die Konfigurationen für den Ressourcenwert an, um die Instanzen im Satz hochwertiger Ressourcen zu optimieren, um eine Überschreitung des Limits zu vermeiden.

Sie können Ihren Satz hochwertiger Ressourcen beispielsweise so optimieren:

• Verwenden Sie Tags oder Labels, um die Anzahl der Übereinstimmungen für einen bestimmten Ressourcentyp oder innerhalb eines angegebenen Bereichs zu reduzieren.
• Erstellen Sie eine Konfiguration für den Ressourcenwert, die einer Teilmenge der in einer anderen Konfiguration angegebenen Ressourcen den Wert NONE zuweist. Wenn Sie den Wert NONE angeben, werden alle anderen Konfigurationen überschrieben und die Ressourceninstanzen aus Ihrem Satz hochwertiger Ressourcen werden ausgeschlossen.
• Reduzieren Sie die Bereichsspezifikation in der Konfiguration des Ressourcenwerts.
• Löschen Sie Konfigurationen für den Ressourcenwert, die den Wert LOW zuweisen.

Hochwertige Ressourcen auswählen

Um den Satz hochwertiger Ressourcen mit Daten zu füllen, müssen Sie entscheiden, welche Ressourceninstanzen in Ihrer Umgebung wirklich einen hohen Wert haben.

Im Allgemeinen sind Ihre wirklichen hochwertigen Ressourcen die Ressourcen, die Ihre sensiblen Daten verarbeiten und speichern. In Google Cloud können dies beispielsweise Compute Engine-Instanzen, ein BigQuery-Dataset oder ein Cloud Storage-Bucket sein.

Ressourcen, die sich neben Ihren hochwertigen Ressourcen (z. B. Jump-Server) befinden, müssen nicht als hochwertig festgelegt werden. Bei den Simulationen des Angriffspfads werden diese angrenzenden Ressourcen bereits berücksichtigt. Wenn Sie sie ebenfalls als hochwertig festlegen, können Ihre Angriffsrisikobewertungen weniger zuverlässig sein.

Multi-Cloud-Unterstützung

Mit Angriffspfadsimulationen können Sie das Risiko in Ihren Bereitstellungen auf anderen Plattformen von Cloud-Dienstanbietern bewerten.

Nachdem Sie eine Verbindung zu einer anderen Plattform hergestellt haben, können Sie Ihre hochwertigen Ressourcen beim anderen Cloud-Dienstanbieter durch Erstellen von Ressourcenwertkonfigurationen festlegen, wie Sie es für Ressourcen in Google Cloud tun würden.

Security Command Center führt Simulationen für eine Cloud-Plattform unabhängig von Simulationen aus, die für andere Cloud-Plattformen ausgeführt werden.

Bevor Sie Ihre erste Konfiguration für Ressourcenwerte für einen anderen Cloud-Dienstanbieter erstellen, verwendet Security Command Center einen standardmäßigen Satz hochwertiger Ressourcen, der für den Cloud-Dienstanbieter spezifisch ist. Im Standardsatz hochwertiger Ressourcen werden alle unterstützten Ressourcen als hochwertige Ressourcen festgelegt.

Unterstützte Plattformen von Cloud-Dienstanbietern

Zusätzlich zu Google Cloud kann Security Command Center Angriffspfadsimulationen für Amazon Web Services (AWS) ausführen. Weitere Informationen finden Sie unter:

• Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen
• Unterstützung der Angriffspfadsimulation für AWS

Angriffspfade

Ein Angriffspfad ist eine interaktive, visuelle Darstellung eines oder mehrerer potenzieller Pfade, die ein hypothetischer Angreifer nehmen könnte, um vom öffentlichen Internet zu einer Ihrer hochwertigen Ressourceninstanzen zu gelangen.

Angriffspfadsimulationen identifizieren potenzielle Angriffspfade. Dazu wird modelliert, was passieren würde, wenn ein Angreifer bekannte Angriffsmethoden auf die Sicherheitslücken und Fehlkonfigurationen anwenden würde, die Security Command Center in Ihrer Umgebung erkannt hat, um Ihre hochwertigen Ressourcen zu erreichen.

Sie können Angriffspfade aufrufen, indem Sie in der Google Cloud Console auf die Angriffsrisikobewertung für ein Ergebnis oder eine Ressource klicken.

Wenn Sie sich größere Angriffspfade ansehen, können Sie Ihre Ansicht des Angriffspfads ändern. Ziehen Sie dazu das Auswahlfeld mit dem roten Quadrat des Fokus um die Miniaturansicht des Angriffspfads auf der rechten Seite des Bildschirms.

Wenn der Angriffspfad angezeigt wird, können Sie auf KI-Zusammenfassung^Vorschau klicken, um eine Erläuterung des Angriffspfads aufzurufen. Die Erklärung wird mithilfe von künstlicher Intelligenz (KI) dynamisch generiert. Weitere Informationen finden Sie unter KI-generierte Zusammenfassungen.

In einem Angriffspfad werden die Ressourcen eines Angriffspfads als Felder oder Knoten dargestellt. Die Linien stellen die potenzielle Barrierefreiheit zwischen Ressourcen dar. Zusammen stellen die Knoten und Linien den Angriffspfad dar.

Angriffspfadknoten

Die Knoten in einem Angriffspfad stellen die Ressourcen im Angriffspfad dar.

Knoteninformationen anzeigen

Sie können weitere Informationen zu den einzelnen Knoten in einem Angriffspfad anzeigen, indem Sie darauf klicken.

Wenn Sie auf den Ressourcennamen in einem Knoten klicken, werden weitere Informationen zur Ressource sowie alle Ergebnisse angezeigt, die sich auf die Ressource auswirken.

Durch Klicken auf Knoten maximieren werden mögliche Angriffsmethoden angezeigt, die verwendet werden könnten, wenn ein Angreifer Zugriff auf die Ressource erlangt hat.

Knotentypen

Es gibt drei verschiedene Knotentypen:

• Der Start- oder Einstiegspunkt des simulierten Angriffs, d. h. das öffentliche Internet. Wenn Sie auf einen Einstiegspunktknoten klicken, wird eine Beschreibung dieses Einstiegspunkts und Angriffsmethoden angezeigt, mit denen ein Angreifer Zugriff auf Ihre Umgebung erhalten könnte.
• Die betroffenen Ressourcen, über die ein Angreifer einen Pfad verfolgen kann.
• Die freigegebene Ressource am Ende eines Pfads, die eine der Ressourcen in Ihrem Satz hochwertiger Ressourcen ist. Nur eine Ressource in einem definierten oder standardmäßigen Satz hochwertiger Ressourcen kann eine freigegebene Ressource sein. Zum Definieren eines Satzes hochwertiger Ressourcen legen Sie Konfigurationen für den Ressourcenwert fest.

Vorgelagerte und nachgelagerte Knoten

In einem Angriffspfad kann ein Knoten den anderen Knoten vorgelagert oder nachgelagert sein. Ein vorgelagerter Knoten befindet sich näher am Einstiegspunkt und am Anfang des Angriffspfads. Ein nachgelagerter Knoten befindet sich näher an der preisgegebenen hochwertigen Ressource am Ende des Angriffspfads.

Knoten, die mehrere Containerressourceninstanzen darstellen

Ein Knoten kann mehrere Instanzen bestimmter Containerressourcentypen darstellen, wenn die Instanzen die gleichen Merkmale haben.

Mehrere Instanzen der folgenden Containerressourcentypen können durch einen einzelnen Knoten dargestellt werden:

• ReplicaSet-Controller
• Bereitstellungscontroller
• Jobcontroller
• CronJob-Controller
• DaemonSet-Controller

Angriffspfadlinien

In einem Angriffspfad stellen Linien zwischen den Feldern potenzielle Zugänglichkeit zwischen Ressourcen dar, die ein Angreifer nutzen könnte, um hochwertige Ressourcen zu erreichen.

Die Linien stellen keine Beziehung zwischen Ressourcen dar, die in Google Cloud definiert sind.

Wenn mehrere Pfade von mehreren vorgelagerten Knoten auf einen nachgelagerten Knoten verweisen, können die Upstream-Knoten entweder eine AND-Beziehung oder eine OR-Beziehung zueinander haben.

Eine AND-Beziehung bedeutet, dass ein Angreifer Zugriff auf beide vorgelagerten Knoten benötigt, um auf einen nachgelagerten Knoten im Pfad zuzugreifen.

Beispielsweise hat eine direkte Linie vom öffentlichen Internet zu einer hochwertigen Ressource am Ende eines Angriffspfads eine AND-Beziehung zu mindestens einer anderen Zeile im Angriffspfad. Ein Angreifer kann die hochwertige Ressource nur erreichen, wenn er sowohl Zugriff auf Ihre Google Cloud-Umgebung als auch auf mindestens eine andere im Angriffspfad angezeigte Ressource hat.

Eine OR-Beziehung bedeutet, dass ein Angreifer nur auf einen der vorgelagerten Knoten Zugriff auf den nachgelagerten Knoten benötigt.

Angriffspfadsimulationen

Security Command Center führt erweiterte Angriffspfadsimulationen durch, um alle möglichen Angriffspfade zu ermitteln und Angriffsrisikobewertungen zu berechnen.

Simulationszeitplan

Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Wenn Ihr Unternehmen wächst, dauern Simulationen länger, werden aber immer mindestens einmal pro Tag ausgeführt. Simulationsausführungen werden nicht durch das Erstellen, Ändern oder Löschen von Ressourcen oder Ressourcenwertkonfigurationen ausgelöst.

Schritte der Angriffspfadsimulation

Die Simulationen umfassen drei Schritte:

1. Modellgenerierung: Anhand der Umgebungsdaten wird automatisch ein Modell Ihrer Google Cloud-Umgebung generiert. Das Modell ist eine grafische Darstellung Ihrer Umgebung, die auf Analysen von Angriffspfaden zugeschnitten ist.
2. Angriffspfadsimulation: Angriffspfadsimulationen werden auf dem Diagrammmodell durchgeführt. Bei den Simulationen versucht ein virtueller Angreifer, die Ressourcen in Ihrem Satz hochwertiger Ressourcen zu erreichen und zu manipulieren. Die Simulationen nutzen die Erkenntnisse zu den einzelnen Ressourcen und Beziehungen, einschließlich Netzwerken, IAM, Konfigurationen, Fehlkonfigurationen und Sicherheitslücken.
3. Statistikberichte: Basierend auf den Simulationen weist Security Command Center Ihren hochwertigen Ressourcen und den Ergebnissen, die sie preisgeben, Angriffsrisikobewertungen zu und visualisiert die potenziellen Pfade, die ein Angreifer zu diesen Ressourcen nehmen könnte.

Merkmale der Simulationsausführung

Zusätzlich zu den Angriffsrisikobewertungen, Statistiken zu Angriffspfaden und Angriffspfaden haben Angriffspfadsimulationen die folgenden Eigenschaften:

• Sie haben keinen Einfluss auf Ihre Live-Umgebung: Alle Simulationen werden in einem virtuellen Modell durchgeführt und benötigen nur Lesezugriff für die Modellerstellung.
• Sie sind dynamisch: Das Modell wird ohne Agents nur über den API-Lesezugriff erstellt, sodass die Simulationen Änderungen an Ihrer Umgebung im Laufe der Zeit dynamisch verfolgen können.
• Ein virtueller Angreifer kann so viele Methoden und Sicherheitslücken wie möglich ausprobieren, um Ihre hochwertigen Ressourcen zu erreichen und zu manipulieren. Dazu gehören nicht nur „bekannte Daten“ wie Sicherheitslücken, Konfigurationen, Fehlkonfigurationen und Netzwerkbeziehungen, sondern auch bekanntermaßen unbekannte Risiken wie Phishing oder gehackte Anmeldedaten.
• Sie sind automatisiert: Die Angriffslogik ist in das Tool integriert. Sie müssen keine umfangreichen Abfragen oder großen Datasets erstellen oder verwalten.

Angriffsszenario und -funktionen

In den Simulationen hat Security Command Center eine logische Darstellung eines Angreiferversuchs, der Ihre hochwertigen Ressourcen ausnutzen kann, indem er sich Zugriff auf Ihre Google Cloud-Umgebung verschafft und potenziellen Zugriffspfaden durch Ihre Ressourcen und erkannten Sicherheitslücken folgt.

Der virtuelle Angreifer

Der virtuelle Angreifer, den die Simulationen verwenden, hat folgende Eigenschaften:

• Der Angreifer ist extern: Der Angreifer ist kein rechtmäßiger Nutzer Ihrer Google Cloud-Umgebung. Bei den Simulationen werden keine Angriffe von böswilligen oder fahrlässigen Nutzern modelliert oder einbezogen, die legitimen Zugriff auf Ihre Umgebung haben.
• Der Angreifer beginnt im öffentlichen Internet. Um einen Angriff zu starten, muss sich der Angreifer zuerst über das öffentliche Internet Zugriff auf Ihre Umgebung verschaffen.
• Der Angreifer ist hartnäckig. Der Angreifer wird aufgrund der Schwierigkeit einer bestimmten Angriffsmethode nicht entmutigt und verliert sein Interesse nicht.
• Der Angreifer ist kompetent und sachkundig. Der Angreifer probiert bekannte Methoden und Techniken aus, um auf Ihre hochwertigen Ressourcen zuzugreifen.

Anfänglicher Zugriff

In jeder Simulation versucht ein virtueller Angreifer die folgenden Methoden, um aus dem öffentlichen Internet Zugriff auf die Ressourcen in Ihrer Umgebung zu erhalten:

• Ermitteln Sie alle Dienste und Ressourcen, die über das öffentliche Internet zugänglich sind, und stellen Sie eine Verbindung zu ihnen her:
  • Dienste auf Compute Engine-VM-Instanzen und Google Kubernetes Engine-Knoten
  • Datenbanken
  • Container
  • Cloud Storage-Buckets
  • Cloud Functions
• Sie erhalten Zugriff auf Schlüssel und Anmeldedaten, darunter:
  • Dienstkontoschlüssel
  • Vom Nutzer bereitgestellte Verschlüsselungsschlüssel
  • SSH-Schlüssel der VM-Instanz
  • Projektweite SSH-Schlüssel
  • Externe Schlüsselverwaltungssysteme
  • Nutzerkonten, bei denen die Multi-Faktor-Authentifizierung (MFA) nicht erzwungen wird
  • Abgefangene virtuelle MFA-Tokens
• Zugriff auf öffentlich erreichbare Cloud-Assets durch Verwendung gestohlener Anmeldedaten oder Ausnutzen von Sicherheitslücken, die von Mandiant Attack Surface Management, VM Manager und Rapid Vulnerability Detection gemeldet wurden

Wenn die Simulation einen möglichen Einstiegspunkt in die Umgebung findet, versucht der virtuelle Angreifer, Ihre hochwertigen Ressourcen vom Einstiegspunkt aus zu erreichen und zu manipulieren, indem er Sicherheitskonfigurationen und Sicherheitslücken in der Umgebung nacheinander untersucht und ausnutzt.

Taktiken und Techniken

Die Simulation verwendet eine Vielzahl von Taktiken und Techniken, einschließlich legitimer Zugriffe, seitlicher Bewegung, Rechteausweitung, Sicherheitslücken, Fehlkonfigurationen und Codeausführung.

Einbindung von CVE-Daten

Bei der Berechnung der Angriffsrisikobewertungen für Ergebnisse berücksichtigen die Angriffspfadsimulationen Daten aus dem CVE-Eintrag der Sicherheitslücke, die CVSS-Werte sowie Bewertungen der Ausnutzbarkeit der Sicherheitslücke, die von Mandiant bereitgestellt werden.

Die folgenden CVE-Informationen werden berücksichtigt:

• Angriffsvektor: Der Angreifer muss die im CVSS-Angriffsvektor angegebene Zugriffsebene haben, um das CVE verwenden zu können. Beispielsweise kann eine CVE mit einem Netzwerkangriffsvektor, die in einem Asset mit einer öffentlichen IP-Adresse und offenen Ports gefunden wird, von einem Angreifer mit Netzwerkzugriff ausgenutzt werden. Wenn ein Angreifer nur Zugriff auf das Netzwerk hat und die CVE physischen Zugriff erfordert, kann der Angreifer das CVE nicht ausnutzen.
• Angriffskomplexität: Im Allgemeinen erzielen Sicherheitslücken oder Fehlkonfigurationen mit geringer Angriffskomplexität eher eine hohe Angriffsrisikobewertung als Ergebnisse mit hoher Angriffskomplexität.
• Ausnutzungsaktivitäten: Im Allgemeinen erzielen Sicherheitslücken mit umfassenden Ausnutzungsaktivitäten, die von Mandiant-Analysten für Cyberbedrohungen ermittelt wurden, mit höherer Wahrscheinlichkeit einen hohen Wert für die Angriffsgefährdung als Ergebnisse ohne bekannte Ausnutzungsaktivitäten.