Scores d'exposition au piratage et chemins d'attaque

Cette page décrit les concepts, principes et restrictions clés pour vous aider à mieux comprendre, affiner et utiliser l'exposition aux attaques et les chemins d'attaque générés par le moteur de Security Command Center.

Les scores et les chemins d'attaque sont générés pour les deux éléments suivants:

  • Résultats de failles et d'erreurs de configuration (résultats de failles, collectivement) qui exposent les instances de ressources de votre ensemble de ressources à forte valeur effective.
  • Ressources de votre ensemble de ressources à forte valeur effectif.

Pour utiliser les scores d'exposition aux attaques et les chemins d'attaque, vous devez activer le niveau Premium ou Enterprise de Security Command Center au niveau de l'organisation. Vous ne pouvez pas utiliser les scores d'exposition aux attaques ni les chemins d'attaque avec ou d'activations.

Les chemins d'attaque représentent des possibilités

Vous ne verrez aucune preuve d'attaque réelle dans un chemin d'attaque.

Le moteur de gestion des risques génère des chemins d'attaque et des scores d'exposition aux attaques en simulant ce que des attaquants hypothétiques feraient s’ils obtenaient un accès à votre environnement Google Cloud et découvert les vecteurs d'attaque et les failles déjà détectées par Security Command Center.

Chaque chemin d'attaque vous montre une ou plusieurs méthodes d'attaque qu'un attaquant pourrait utiliser s'ils ont obtenu l'accès à une ressource particulière. À ne pas faire confondre ces méthodes d’attaque avec des attaques réelles.

De même, un score d'exposition aux attaques élevé associé à un résultat ou à une ressource de Security Command Center ne signifie pas qu'une attaque est en cours.

Pour surveiller les attaques réelles, surveillez les résultats de la classe THREAT produits par les services de détection des menaces, tels que Event Threat Detection et Container Threat Detection.

Pour en savoir plus, consultez les sections suivantes de cette page:

Scores d'exposition au piratage

Le score d'exposition aux attaques d'un résultat ou d'une ressource Security Command Center est du degré d'exposition des ressources à une attaque potentielle à accéder à votre environnement Google Cloud.

Le niveau d'exposition au piratage d'un combinaison toxique est appelé score de combinaison toxique dans certains contextes, par exemple la page Résultats de la console Google Cloud.

Dans les descriptions du mode de calcul des scores, des conseils généraux sur prioriser la recherche de mesures correctives et, dans certains autres contextes, le terme Le score d'exposition aux attaques s'applique également aux scores de combinaison toxique.

Pour un résultat, le score indique dans quelle mesure un problème de sécurité détecté expose une ou plusieurs ressources à forte valeur à des cyberattaques potentielles. Sur une ressource de forte valeur, le score est une mesure le degré d’exposition de la ressource aux cyberattaques potentielles.

Utilisez les scores des résultats de failles logicielles, d'erreurs de configuration et de combinaisons toxiques pour hiérarchiser la correction de ces résultats.

Utilisez les scores d'exposition aux attaques sur les ressources pour sécuriser proactivement les plus intéressantes pour votre entreprise.

Dans les simulations de chemin d'attaque, Risk Engine lance toujours les attaques simulées à partir d'Internet public. Par conséquent, le Les niveaux d'exposition au piratage ne tiennent pas compte de l'exposition potentielle aux par des acteurs internes malveillants ou négligents.

Résultats recevant des scores d'exposition au piratage

Les scores d'exposition au piratage sont appliqués aux classes de résultats actifs listés dans Catégories de résultats compatibles

Les simulations de chemin d'attaque incluent des résultats masqués, de sorte que le moteur de risque calcule également les scores et les chemins d'attaque pour les résultats ignorés.

Les simulations de chemin d'attaque n'incluent que les résultats actifs. Les résultats dont l'état est INACTIVE ne sont pas inclus dans les simulations. Ils ne reçoivent donc pas de scores et ne sont pas inclus dans les chemins d'attaque.

Ressources recevant des scores d'exposition aux attaques

Les simulations de chemins d'attaque calculent les scores d'exposition aux attaques pour les types de ressources compatibles de votre ensemble de ressources à forte valeur. Vous spécifiez les ressources à un ensemble de ressources à forte valeur configurations de valeurs de ressources.

Si une ressource d'un ensemble de ressources à forte valeur a un score d'exposition aux attaques de 0, cela signifie que les simulations de chemin d'attaque n'ont identifié aucun chemin vers la ressource qu'un pirate informatique potentiel pourrait exploiter.

Les simulations de chemin d'attaque sont compatibles avec les types de ressources suivants:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Calcul du score

Chaque fois que les simulations de chemin d'attaque s'exécutent, elles recalculent le niveau d'attaque les scores d'exposition. Chaque simulation de chemin d'attaque exécute en réalité plusieurs simulations dans lesquelles un pirate informatique simulé tente d'utiliser des méthodes et des techniques d'attaque connues pour atteindre et compromettre les ressources de valeur.

Les simulations de chemin d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). En tant que l'entreprise se développe, les simulations prennent plus de temps, mais elles sont exécutées une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.

Les simulations calculent les scores à l'aide de diverses métriques, y compris les suivantes :

  • La valeur de priorité attribuée aux ressources à forte valeur ajoutée sont exposées. Les valeurs de priorité que vous pouvez attribuer ont les valeurs suivantes:
    • HIGH = 10
    • MED = 5
    • LOW = 1
  • Le nombre de chemins qu’un pirate informatique pourrait emprunter pour atteindre un ressource.
  • Nombre de fois où un pirate informatique simulé parvient à atteindre et à compromettre une ressource à forte valeur à la fin d'un chemin d'attaque donné, exprimé en pourcentage du nombre total de simulations.
  • Pour les résultats uniquement, nombre de ressources de forte valeur exposées par détecté une faille ou une mauvaise configuration.

Pour les ressources, les scores d'exposition aux attaques peuvent être compris entre 0 et 10.

De manière générale, les simulations calculent les scores des ressources en multipliant le pourcentage d'attaques réussies par de priorité numérique des ressources.

Pour les résultats, les scores n'ont pas de limite supérieure fixe. Plus un résultat apparaît sur des chemins d'attaque vers des ressources exposées dans l'ensemble de ressources à forte valeur, et plus les valeurs de priorité de ces ressources sont élevées, plus le score est élevé.

De manière générale, les simulations calculent les scores des résultats à l'aide du même calcul que pour les scores des ressources. Toutefois, pour les scores des résultats, les simulations multiplient ensuite le résultat du calcul par le nombre de ressources à forte valeur que le résultat expose.

Modifier les scores

Les scores peuvent changer chaque fois qu'une simulation de chemin d'attaque s'exécute. Un résultat ou une ressource dont le score est égal à zéro aujourd'hui peut avoir une valeur différente de zéro votre score demain.

Les scores peuvent changer pour différentes raisons, y compris les suivantes :

  • La détection ou la correction d’une vulnérabilité qui, directement ou indirectement, expose une ressource de forte valeur.
  • Ajout ou suppression de ressources dans votre environnement.

Les modifications apportées aux résultats ou aux ressources après l'exécution d'une simulation ne sont pas dans les scores jusqu'à l'exécution de la prochaine simulation.

Utiliser les scores pour hiérarchiser les solutions

Pour hiérarchiser efficacement la correction des résultats en fonction de leur exposition aux attaques ou de leur score de combinaison toxique, tenez compte des points suivants :

  • Tout résultat dont le score est supérieur à zéro expose une ressource de grande valeur à une attaque potentielle d'une manière ou d'une autre. de correction doit être prioritaire sur les résultats qui ont un score de zéro.
  • Plus le score d'un résultat est élevé, plus il expose vos ressources de forte valeur et plus vous devez donner la priorité à sa résolution.

En règle générale, accordez la priorité absolue à la résolution des résultats qui obtiennent les scores les plus élevés et qui bloquent le plus efficacement les chemins d'attaque vers vos ressources de forte valeur.

Si les scores d'un résultat de combinaison toxique et d'un résultat dans une autre classe de résultat sont à peu près égales, priorisez la correction du de combinaison toxique, car elle représente le chemin complet l'Internet public à une ou plusieurs ressources de forte valeur le pirate informatique peut suivre s'il parvient à accéder à votre cloud environnement.

Sur la page Résultats de Security Command Center dans la console Google Cloud ou la console Security Operations, vous pouvez trier les résultats dans le panneau de la page par score en cliquant sur l'en-tête de colonne.

Dans la console Google Cloud, vous pouvez également afficher les résultats les notes les plus élevées en ajoutant un filtre à la requête de résultats qui renvoie uniquement les résultats présentant une exposition au piratage supérieur au nombre spécifié.

Sur la page Cas de la console Security Operations, vous pouvez également trier les cas de combinaisons toxiques en fonction du score d'exposition aux attaques.

Résultats qui ne peuvent pas être corrigés.

Dans certains cas, vous ne pourrez peut-être pas corriger une anomalie avec un score d'exposition aux attaques élevé, soit parce qu'elle représente un risque connu et accepté, soit parce qu'elle ne peut pas être facilement corrigée. Dans ce cas, vous devrez peut-être atténuer le risque par d'autres moyens. L'examen du chemin d'attaque associé peut vous donner des idées pour d'autres mesures d'atténuation possibles.

Utiliser les scores d'exposition aux attaques pour sécuriser les ressources

Un score d'exposition aux attaques différent de zéro sur une ressource signifie que des simulations de chemin d'attaque ont identifié un ou plusieurs chemins d'attaque l'Internet public à la ressource.

Pour afficher les scores d'exposition aux attaques de vos ressources de forte valeur, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

    Accéder

  2. Sélectionnez l'onglet Ensemble de ressources de forte valeur. Les ressources de votre ensemble de ressources à forte valeur sont affichées par ordre décroissant de score d'exposition aux attaques.

  3. Pour afficher les chemins d'attaque d'une ressource, cliquez sur le nombre correspondant sur sa ligne dans la colonne Score d'exposition aux attaques. Les chemins d'attaque de l'Internet public vers la ressource s'affichent.

  4. Examinez les chemins d'attaque à la recherche de cercles rouges sur les nœuds qui indiquent des résultats. Pour savoir comment interpréter les chemins d'attaque, consultez la section Chemins d'attaque.

  5. Cliquez sur un nœud avec un cercle rouge pour afficher les résultats.

  6. Prenez les mesures nécessaires pour corriger les problèmes détectés.

Vous pouvez aussi afficher les scores d'exposition au piratage de vos ressources les plus importantes dans l'onglet Attack path simulations (Simulations de chemin d'attaque) de Paramètres en cliquant sur Afficher les ressources de valeur utilisées dans la dernière simulation.

Scores d'exposition aux attaques de 0

Un score d'exposition aux attaques de 0 sur une ressource signifie que, lors des dernières simulations de chemin d'attaque, Security Command Center n'a identifié aucun chemin potentiel qu'un pirate informatique pourrait emprunter pour atteindre la ressource.

Un score d'exposition au piratage de 0 sur un résultat signifie que, dans les derniers d’attaque, l’attaquant simulé n’a pu atteindre aucun des ressources par le biais du résultat.

Toutefois, un score d'exposition au piratage de 0 ne signifie pas le risque. Un score d'exposition aux attaques reflète l'exposition des ressources, des services Google Cloud compatibles et des résultats de Security Command Center aux menaces potentielles provenant de l'Internet public. Par exemple, les scores ne tiennent pas compte les menaces internes, les vulnérabilités zero-day ou les attaques de l'infrastructure.

Aucun score d'exposition aux attaques

Si un résultat ou une ressource n'ont pas de score, cela peut être dû aux raisons suivantes :

  • Le résultat a été publié après la dernière simulation du chemin d’attaque.
  • La ressource a été ajoutée à votre ensemble de ressources à forte valeur après la dernière simulation de chemin d'attaque.
  • Pour le moment, la fonctionnalité d'exposition au piratage ne permet pas une catégorie ou un type de ressource.

Pour obtenir la liste des catégories de résultats acceptées, consultez Compatibilité des fonctionnalités de Risk Engine.

Pour obtenir la liste des types de ressources pris en charge, consultez Ressources recevant des scores d'exposition aux attaques.

Valeurs de ressource

Bien que toutes vos ressources sur Google Cloud aient de la valeur, Security Command Center n'identifie et ne calcule les scores d'exposition aux attaques que pour les ressources que vous désignez comme ressources à forte valeur (parfois appelées ressources de valeur).

Ressources de forte valeur

Une ressource de grande valeur sur Google Cloud est une ressource particulièrement importante pour votre entreprise à protéger contre les attaques potentielles. Par exemple, vos ressources à forte valeur ajoutée peuvent être celles qui stockent vos données précieuses ou sensibles, ou qui hébergent vos charges de travail critiques pour l'entreprise.

Pour désigner une ressource comme ressource de forte valeur, définissez les attributs de la ressource dans un configuration des valeurs de ressource. Jusqu'à une limite de 1 000 instances de ressources, Security Command Center considère toute instance de ressource correspondant aux attributs que vous spécifiez dans la configuration comme une ressource à forte valeur.

Valeurs de priorité

Parmi les ressources que vous désignez comme étant de forte valeur, vous aurez probablement besoin de donner la priorité à la sécurité de certains plus que d’autres. Par exemple, un ensemble de ressources de données peut contenir des données à forte valeur, mais certaines de ces ressources de données peuvent contenir des données plus sensibles que les autres.

Pour que vos scores reflètent votre besoin de donner la priorité à la sécurité des ressources de votre ensemble de ressources à forte valeur, vous devez attribuer une valeur de priorité dans les configurations de valeur de ressource qui désigne les ressources comme étant à forte valeur.

Si vous utilisez la protection des données sensibles, vous pouvez également hiérarchiser automatiquement les ressources en fonction de la sensibilité des données qu'elles contiennent.

Définir manuellement les valeurs de priorité des ressources

Dans la configuration d'une valeur de ressource, vous attribuez une priorité les ressources de forte valeur correspondantes en spécifiant l'une des valeurs valeurs de priorité:

  • LOW = 1
  • MEDIUM = 5
  • HIGH = 10
  • NONE = 0

Si vous spécifiez une valeur de priorité de LOW dans une configuration de valeur de ressource, les ressources correspondantes restent des ressources à forte valeur. Les simulations de chemins d'attaque les traitent simplement avec une priorité inférieure et leur attribuent un score d'exposition aux attaques inférieur à celui des ressources à forte valeur dont la valeur de priorité est MEDIUM ou HIGH.

Si plusieurs configurations attribuent différentes valeurs à la même ressource, la valeur la plus élevée s'applique, sauf si une configuration attribue la valeur NONE.

Une valeur de ressource de NONE exclut les ressources correspondantes de la liste des ressources à forte valeur et remplace toutes les autres configurations de valeur de ressource pour la même ressource. Par conséquent, assurez-vous que toute configuration spécifiant NONE ne s'applique qu'à un ensemble limité ressources.

Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données

Si vous utilisez la découverte de la protection des données sensibles et que vous publiez les profils de données dans Security Command Center, vous pouvez configurer Security Command Center pour qu'il définisse automatiquement la valeur de priorité de certaines ressources de grande valeur en fonction de la sensibilité des données qu'elles contiennent.

Vous activez la hiérarchisation en fonction de la sensibilité des données lorsque vous spécifiez les ressources dans un configuration des valeurs des ressources.

Lorsque cette option est activée, si la détection Sensitive Data Protection classe d'une ressource avec une sensibilité MEDIUM ou HIGH, le paramètre par défaut, les simulations de chemin d'attaque définissent la valeur de priorité à la même valeur.

Les niveaux de sensibilité des données sont définis par la protection des données sensibles, mais vous pouvez les interpréter comme suit :

Données hautement sensibles
La découverte de la protection des données sensibles a détecté au moins une instance de données hautement sensibles dans la ressource.
Données à sensibilité moyenne
La détection de la protection des données sensibles a détecté au moins une instance de données de sensibilité moyenne dans la ressource (aucune instance de sensibilité élevée) données.
Données à faible sensibilité
La détection des données sensibles par la protection des données n'a pas détecté de données sensibles du texte libre ou des données non structurées de la ressource.

Si la détection Sensitive Data Protection identifie uniquement des données de faible sensibilité dans une ressource de données correspondante, la ressource n'est pas désignée comme ressource à forte valeur.

Si vous avez besoin de ressources de données ne contenant que des données de faible sensibilité désignées comme des ressources à forte valeur avec une faible priorité, créer une configuration de valeur de ressource en double, mais spécifier une priorité la valeur LOW au lieu d'activer une hiérarchisation en fonction de la sensibilité des données. La configuration qui utilise la protection des données sensibles remplace la configuration qui attribue la valeur de priorité LOW, mais uniquement pour les ressources contenant HIGH ou MEDIUM les données sensibles.

Vous pouvez modifier les valeurs de priorité par défaut utilisées par Security Command Center lorsque des données sensibles sont détectées dans la configuration des valeurs de ressources.

Pour en savoir plus sur la protection des données sensibles, consultez la présentation de Sensitive Data Protection.

Priorisation en fonction de la sensibilité des données et ensemble de ressources de valeur élevée par défaut

Avant que vous ne créiez votre propre ensemble de ressources à forte valeur, Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer les scores d'exposition aux attaques et les chemins d'attaque.

Si vous utilisez la découverte de la protection des données sensibles, Security Command Center ajoute automatiquement des instances de types de ressources de données compatibles contenant des données de sensibilité HIGH ou MEDIUM à l'ensemble de ressources de valeur élevée par défaut.

Types de ressources Google Cloud compatibles pour les valeurs de priorité de sensibilité des données automatisées

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité sur la base des classifications de la sensibilité des données issues Détection pour la protection des données sensibles uniquement pour les types de ressources de données suivants:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Types de ressources AWS compatibles pour les valeurs de priorité de sensibilité des données automatisées

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données de la découverte de la protection des données sensibles, mais uniquement pour les types de ressources de données AWS suivants :

  • Bucket Amazon S3

Ensembles de ressources à forte valeur

Un ensemble de ressources à forte valeur est une collection définie des ressources. dans votre environnement Google Cloud sont les plus importantes à sécuriser et à protéger.

Pour définir votre ensemble de ressources à forte valeur ajoutée, vous devez spécifier les ressources de votre environnement Google Cloud qui appartiennent à cet ensemble. Tant que vous n'avez pas défini ensemble de ressources, scores d'exposition aux attaques, chemins d'attaque et combinaison toxique ne reflètent pas précisément vos priorités en termes de sécurité.

Vous spécifiez les ressources de votre ensemble de ressources à forte valeur en créant des configurations de valeur de ressource. La combinaison de toutes les valeurs de votre ressource "configurations" définissent votre ensemble de ressources à forte valeur. Pour plus d'informations, consultez la page Configurations de valeurs de ressources.

Tant que vous n'avez pas défini votre première configuration de valeur de ressource, Security Command Center utilise un ensemble de ressources à forte valeur par défaut. L'ensemble par défaut s'applique à l'ensemble de votre organisation à tous les types de ressources compatibles avec les simulations de chemin d'attaque. Pour en savoir plus, consultez Ensemble de ressources à forte valeur par défaut

Pour afficher l'ensemble de ressources à forte valeur utilisé dans le dernier chemin d'attaque la simulation, consultez la section Afficher l'ensemble de ressources à forte valeur.

Configurations des valeurs de ressources

Vous gérez les ressources de votre ensemble de ressources à forte valeur avec des configurations de valeurs de ressources.

Vous créez des configurations de valeurs de ressources dans l'onglet Simulation de chemin d'attaque de la page Paramètres de Security Command Center dans la console Google Cloud.

Dans une configuration de valeur de ressource, vous spécifiez les attributs qu'une ressource doit posséder pour que Security Command Center l'ajoute à votre ensemble de ressources à forte valeur.

Les attributs que vous pouvez spécifier incluent le type de ressource, les tags de ressource, les libellés de ressource, ainsi que le projet, le dossier ou l'organisation parent.

Vous attribuez également une valeur de ressource aux ressources d'une configuration. La valeur de la ressource donne la priorité aux ressources d'une configuration relative aux autres ressources de l'ensemble de ressources à forte valeur. Pour plus d'informations, consultez la section Valeurs de ressource.

Vous pouvez créer jusqu'à 100 configurations de valeurs de ressources dans une organisation Google Cloud.

Ensemble, toutes les configurations de valeurs de ressources que vous créez définir l'ensemble de ressources à forte valeur utilisé par Security Command Center les simulations de chemin d'attaque.

Attributs de ressource

Pour qu'une ressource soit incluse dans votre ensemble de ressources à forte valeur, ses attributs doivent correspondre à ceux que vous spécifiez dans une valeur de ressource configuration.

Vous pouvez spécifier les attributs suivants:

  • Un type de ressource ou Any. Lorsque Any est spécifié, la configuration s'applique à tous les types de ressources compatibles dans le champ d'application spécifié. Any est la valeur par défaut.
  • Champ d'application (organisation, dossier ou projet parent) dans lequel les ressources doivent se trouver. Le champ d'application par défaut est organisation. Si vous spécifiez une organisation ou un dossier, la configuration s'applique également aux ressources des dossiers ou projets enfants.
  • (Facultatif) Un ou plusieurs tags ou libellés que chaque ressource doit contenir.

Si vous spécifiez une ou plusieurs configurations de valeur de ressource, mais que les ressources de votre environnement Google Cloud les attributs spécifiés dans les configurations, Security Command Center émet un résultat SCC Error et revient à l'ensemble de ressources à forte valeur par défaut.

Ensemble de ressources à forte valeur par défaut

Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer les scores d'exposition aux attaques lorsqu'aucune configuration de valeur de ressource n'est définie ou lorsqu'aucune configuration définie ne correspond à une ressource.

Security Command Center attribue aux ressources de la ressource de valeur élevée par défaut une valeur de priorité LOW, sauf si vous utilisez la découverte de la protection des données sensibles. Dans ce cas, Security Command Center attribue aux ressources contenant des données à sensibilité élevée ou moyenne une valeur de priorité correspondante de HIGH ou MEDIUM.

Si au moins une configuration de valeur de ressource correspond au moins une ressource dans votre environnement, Security Command Center cesse d'utiliser l'ensemble de ressources à forte valeur par défaut.

Pour recevoir des scores d'exposition aux attaques et de combinaisons toxiques qui reflètent précisément vos priorités de sécurité, remplacez l'ensemble de ressources à forte valeur par défaut par le vôtre. Pour en savoir plus, consultez Définissez et gérez votre ensemble de ressources à forte valeur.

La liste suivante répertorie les types de ressources inclus dans le Ensemble de ressources à forte valeur par défaut:

  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Limite sur les ressources d'un ensemble de ressources à forte valeur

Security Command Center limite le nombre de ressources dans un ensemble de ressources à forte valeur à 1 000.

Si les spécifications d'attribut dans une ou plusieurs configurations de valeurs de ressources sont très larges, le nombre de ressources correspondant aux spécifications d'attribut peut dépasser 1 000.

Lorsque le nombre de ressources correspondantes dépasse la limite, Security Command Center exclut les ressources de l'ensemble jusqu'au nombre ne dépasse pas la limite. Security Command Center exclut d'abord les ressources dont la valeur attribuée est la plus faible. Parmi les ressources ayant la même valeur attribuée, Security Command Center exclut les instances de ressources à l'aide d'un algorithme qui distribue les ressources exclues en fonction des types de ressources.

Une ressource exclue de l'ensemble de ressources à forte valeur dans le calcul des scores d'exposition au piratage.

Pour vous avertir lorsque la limite d'instances pour le calcul du score est dépassée, Security Command Center émet un résultat SCC error et affiche un message dans l'onglet des paramètres Simulation du chemin d'attaque de la console Google Cloud. Security Command Center n'émet un résultat SCC error si l'ensemble de valeurs élevées par défaut dépasse la valeur limite d'instances.

Pour éviter de dépasser la limite, ajustez vos configurations de valeurs de ressources afin d'affiner les instances de votre ensemble de ressources à forte valeur.

Voici quelques exemples de ce que vous pouvez faire pour affiner votre ensemble de ressources à forte valeur :

  • Utilisez des tags ou des libellés pour réduire le nombre de correspondances pour un type de ressource donné ou dans un champ d'application spécifié.
  • Créez une configuration de valeur de ressource qui attribue la valeur NONE à un sous-ensemble des ressources spécifiées dans une autre configuration. Spécifier la valeur NONE remplace toutes les autres configurations et exclut les instances de ressources de votre ensemble de ressources à forte valeur.
  • Réduisez la spécification de champ d'application dans la configuration de la valeur de la ressource.
  • Supprimez les configurations de valeurs de ressources qui attribuent une valeur de LOW.

Sélectionner vos ressources les plus importantes

Pour renseigner votre ensemble de ressources de forte valeur, vous devez déterminer quelles instances de ressources de votre environnement sont vraiment de forte valeur.

En règle générale, vos ressources à forte valeur ajoutée sont celles qui traitent et stockent vos données sensibles. Par exemple, sur Google Cloud, il peut s'agir d'instances Compute Engine, d'un ensemble de données BigQuery ou d'un bucket Cloud Storage.

Il n'est pas nécessaire de désigner des ressources adjacentes à vos ressources les plus importantes, comme un serveur intermédiaire, Les simulations de chemin d'attaque prennent déjà en compte ces ressources adjacentes, Si vous les désignez comme étant à forte valeur, les scores d'exposition au piratage sont moins fiables.

Prise en charge du multicloud

Les simulations de chemin d'attaque peuvent évaluer les risques de vos déploiements sur d'autres plates-formes de fournisseurs de services cloud.

Une fois que vous avez établi une connexion avec une autre plate-forme, vous pouvez désigner vos ressources à forte valeur ajoutée sur l'autre fournisseur de services cloud en créant des configurations de valeur de ressource, comme vous le feriez pour les ressources sur Google Cloud.

Security Command Center exécute des simulations pour une plate-forme cloud indépendamment des simulations exécutées pour d'autres plates-formes cloud.

Avant de créer votre première configuration de valeur de ressource pour un autre fournisseur de services cloud, Security Command Center utilise un ensemble de ressources par défaut à forte valeur spécifique au fournisseur de services cloud. L'ensemble de ressources à forte valeur par défaut désigne toutes les ressources compatibles comme des ressources à forte valeur.

Plates-formes de fournisseurs de services cloud compatibles

En plus de Google Cloud, Security Command Center peut exécuter des simulations de chemin d'attaque pour Amazon Web Services (AWS). Pour en savoir plus, consultez les pages suivantes :

Chemins d'attaque

Un chemin d'attaque est une représentation visuelle interactive d'un ou de plusieurs chemins potentiels qu'un pirate informatique hypothétique pourrait emprunter pour passer de l'Internet public à l'une de vos instances de ressources à forte valeur.

Les simulations de chemin d'attaque identifient les chemins d'attaque potentiels grâce à la modélisation que se passerait-il si un attaquant appliquait des méthodes d’attaque connues à les failles et erreurs de configuration de Security Command Center détectées dans votre environnement pour tenter d'accéder à vos ressources les plus importantes.

Vous pouvez afficher les chemins d'attaque en cliquant sur le score d'exposition au piratage un résultat ou une ressource dans la console Google Cloud.

Lorsque vous consultez un cas de combinaison toxique dans la console Opérations de sécurité, vous pouvez voir un chemin d'attaque simplifié pour la combinaison toxique sur dans l'onglet "Présentation de la demande". Le chemin d'attaque simplifié inclut un lien vers le chemin d'attaque complet. Pour en savoir plus sur les chemins d'attaque des résultats de combinaison toxique, consultez la section Chemins d'attaque de la combinaison toxique.

Lorsque vous affichez des chemins d'attaque plus vastes, vous pouvez modifier votre vue du chemin d'attaque en en faisant glisser le sélecteur de zone de mise au point au carré rouge autour de la miniature une vue du chemin d'attaque sur le côté droit de l'écran.

Lorsque le chemin d'attaque est affiché dans la console Google Cloud, vous pouvez cliquer sur Résumé de l'IAPreview pour afficher une explication du chemin d'attaque. L'explication est générée dynamiquement à l'aide de l'intelligence artificielle (IA). Pour en savoir plus, consultez la section Résumés générés par IA.

Dans un vecteur d'attaque, les ressources sont représentées par des cases ou des nœuds. Les lignes représentent le potentiel l'accessibilité entre les ressources. Ensemble, les nœuds et les lignes représentent le chemin d'attaque.

Nœuds du chemin d'attaque

Les nœuds d'un chemin d'attaque représentent les ressources sur un chemin d'attaque.

Afficher des informations sur le nœud

Vous pouvez afficher plus d'informations sur chaque nœud d'un chemin d'attaque en cliquant dessus.

Cliquez sur le nom de la ressource dans un nœud pour afficher plus d'informations à son sujet, ainsi que les résultats qui l'affectent.

Cliquer sur Développer le nœud affiche les méthodes d'attaque possibles qui pourraient être utilisées si un pirate informatique obtenait l'accès à la ressource.

Types de nœuds

Il existe trois types de nœuds :

  • Point de départ ou point d'entrée de l'attaque simulée, qui est l'Internet public. Cliquez sur un nœud de point d'entrée pour afficher description du point d’entrée ainsi que les méthodes d’attaque qu’un attaquant que vous pourriez utiliser pour accéder à votre environnement.
  • Ressources concernées qu'un pirate informatique peut utiliser pour avancer sur un chemin.
  • La ressource exposée à la fin d'un chemin, qui est l'une des ressources de votre ensemble de ressources à forte valeur. Seule une ressource d'un ensemble de ressources à forte valeur défini ou par défaut peut être une ressource exposée. Vous définissez un ensemble de ressources à forte valeur en créant des configurations de valeurs de ressources.

Nœuds en amont et en aval

Dans un chemin d'attaque, un nœud peut se trouver en amont ou en aval d'autres nœuds. Un nœud en amont est plus proche du point d'entrée et la partie supérieure du chemin d'attaque. Un nœud en aval est plus proche du nœud à forte valeur exposé ressource en bas du chemin d'attaque.

Nœuds représentant plusieurs instances de ressources de conteneur

Un nœud peut représenter plusieurs instances de certains types de ressources de conteneur si les instances partagent les mêmes caractéristiques.

Plusieurs instances des types de ressources de conteneur suivants peuvent être représenté par un seul nœud:

  • Contrôleur de réplication
  • Contrôleur de déploiement
  • Contrôleur de tâches
  • Contrôleur de tâches cron
  • Contrôleur DaemonSet

Lignes du chemin d'attaque

Dans un chemin d'attaque, les lignes entre les cases représentent l'accessibilité potentielle entre les ressources qu'un pirate informatique pourrait exploiter pour atteindre une ressource à forte valeur.

Les lignes ne représentent pas une relation entre les ressources définies dans Google Cloud.

S'il existe plusieurs chemins d'accès pointant vers un nœud en aval à partir de plusieurs nœuds en amont, les nœuds en amont peuvent avoir un AND entre elles ou des relations OR.

Une relation AND signifie qu'un pirate informatique a besoin d'accéder aux deux en amont les nœuds pour accéder à un nœud en aval sur le chemin.

Par exemple, une ligne directe reliant l'Internet public à un réseau ressource au bout d'un chemin d'attaque possède une relation AND avec au moins une autre ligne dans le chemin d'attaque. Un attaquant n’a pas pu atteindre la ressource à forte valeur ajoutée, sauf s'ils peuvent accéder à la fois l'environnement Google Cloud et au moins une autre ressource ; indiqués dans le chemin d'attaque.

Une relation OR signifie qu'un pirate informatique n'a besoin d'accéder qu'à l'un des nœuds en amont pour accéder au nœud en aval.

Simulations de chemin d'attaque

Pour déterminer tous les chemins d'attaque possibles et calculer les scores d'exposition aux attaques, Security Command Center effectue des simulations avancées de chemins d'attaque.

Calendrier de simulation

Les simulations de chemins d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.

Étapes de simulation du chemin d'attaque

Les simulations comprennent trois étapes :

  1. Génération de modèle: un modèle de votre environnement Google Cloud généré automatiquement en fonction des données d'environnement. Le modèle est une représentation graphique de votre environnement, adaptée aux analyses des chemins d'attaque.
  2. Simulation du chemin d'attaque: les simulations de chemin d'attaque sont effectuées sur le graphique. Les simulations consistent à faire en sorte qu'un pirate informatique virtuel tente d'atteindre et de compromettre les ressources de votre ensemble de ressources à forte valeur. La les simulations tirent parti des informations de chaque des ressources et des relations spécifiques, y compris le réseautage, l'IAM, les erreurs de configuration et les failles.
  3. Rapports d'insights: basés sur les simulations, Security Command Center attribue des scores d'exposition aux attaques aux ressources de forte valeur les résultats qui les exposent et permet de visualiser les chemins potentiels le pirate pourrait accéder à ces ressources.

Caractéristiques d'exécution de la simulation

En plus de fournir les scores d'exposition aux attaques, les insights sur les chemins d'attaque et les chemins d'attaque, les simulations de chemin d'attaque présentent les caractéristiques suivantes :

  • Elles ne touchent pas votre environnement réel: toutes les simulations sont réalisées un modèle virtuel et n'utilisez l'accès en lecture que pour créer le modèle.
  • Ils sont dynamiques: le modèle est créé sans agent via la lecture des API ce qui permet aux simulations de suivre dynamiquement de votre environnement au fil du temps.
  • L’attaquant virtuel essaie autant de méthodes et de vulnérabilités que possible pour atteindre et compromettre vos ressources de forte valeur. Cela inclut non seulement les « connus », comme les failles, les configurations, les erreurs de configuration mais aussi des "inconnues connues" de probabilité plus faible, qui risquent existent, comme la possibilité d’hameçonnage ou la fuite d’identifiants.
  • Elles sont automatisées : la logique d'attaque est intégrée à l'outil. Vous ne devez pas vous devez créer ou gérer des ensembles de requêtes volumineux ou des ensembles de données volumineux.

Scénarios et capacités de l’attaquant

Dans les simulations, Security Command Center présente une représentation logique d'une tentative d'exploitation par un pirate informatique de vos ressources à forte valeur ajoutée en accédant à votre environnement Google Cloud et en suivant les chemins d'accès potentiels via vos ressources et les failles détectées.

L'attaquant virtuel

Le pirate informatique virtuel utilisé par les simulations présente les caractéristiques suivantes : caractéristiques:

  • Le pirate informatique est externe : il ne s'agit pas d'un utilisateur légitime de votre environnement Google Cloud. Les simulations ne modélisent ni n'incluent pas les attaques d'utilisateurs malveillants ou négligents qui ont un accès légitime à votre environnement.
  • Le pirate informatique commence par l'Internet public. Pour lancer une attaque, l'attaquant doit d'abord accéder à votre environnement depuis l'Internet public.
  • L'attaquant est persistant. Le pirate informatique ne sera pas découragé ni ne perdra son intérêt en raison de la difficulté d'une méthode d'attaque particulière.
  • L'attaquant est compétent et expérimenté. L'attaquant essaie des informations méthodes et techniques pour accéder à vos ressources de forte valeur.

Accès initial

Dans chaque simulation, un attaquant virtuel essaie les méthodes suivantes pour accédez aux ressources de votre environnement depuis l'Internet public:

  • Découvrez et connectez-vous à tous les services et ressources accessibles à partir de l'Internet public:
    • Services sur les instances de machine virtuelle (VM) Compute Engine et les nœuds Google Kubernetes Engine
    • Bases de données
    • Conteneurs
    • Buckets Cloud Storage
    • Fonctions Cloud Run
  • Accédez aux clés et identifiants, y compris aux éléments suivants:
    • Clés de compte de service
    • Clés de chiffrement fournies par l'utilisateur
    • Clés SSH des instances de VM
    • Clés SSH à l'échelle du projet
    • Systèmes de gestion des clés externes
    • Comptes utilisateur pour lesquels l'authentification multifacteur (MFA) n'est pas appliquée
    • Jetons MFA virtuels interceptés
  • Accès aux ressources cloud accessibles au public à l'aide d'identifiants volés ou exploitation des failles signalées par Mandiant Attack Surface Management et VM Manager

Si la simulation trouve un point d'entrée possible dans l'environnement, la simulation a ensuite l’attaquant virtuel d’essayer d’atteindre et de compromettre vos ressources de forte valeur dès le point d'entrée en explorant consécutivement des configurations et des failles de sécurité dans l'environnement.

Tactique et techniques

La simulation repose sur un large éventail de tactiques et de techniques, parmi lesquelles : l’exploitation d’accès légitimes, de mouvements latéraux, d’élévation des privilèges, les failles, les erreurs de configuration et l'exécution du code.

Intégration des données CVE

Lors du calcul des scores d'exposition aux attaques pour les résultats de failles, les simulations de chemin d'attaque prennent en compte les données Enregistrement CVE les scores CVSS, ainsi que des évaluations de l'exploitabilité de la vulnérabilité sont fournies par Mandiant.

Les informations CVE suivantes sont prises en compte:

  • Vecteur d'attaque : le pirate informatique doit disposer du niveau d'accès spécifié dans le vecteur d'attaque CVSS pour exploiter la faille CVE. Par exemple, une faille CVE avec un vecteur d'attaque réseau détectée sur un composant disposant d'une adresse IP publique et de ports ouverts peut être exploitée par un pirate informatique disposant d'un accès au réseau. Si un pirate informatique a uniquement accès au réseau et la CVE nécessite un accès physique, alors le pirate ne peut pas exploiter la CVE.
  • Complexité de l'attaque: généralement, une faille ou une mauvaise configuration avec une complexité d'attaque faible a plus de chances d'obtenir d’exposition au piratage qu’un résultat avec une complexité d’attaque élevée.
  • Activité d'exploitation: généralement, la détection de failles les activités d’exploitation de grande envergure, selon les données de renseignement sur les cybermenaces. chez Mandiant, est plus susceptible de subir un score d'exposition plus élevé qu'un résultat sans activité d'exploitation connue.