Niveaux d'exposition aux attaques et chemins d'attaque

Cette page explique les concepts, principes et restrictions clés pour vous aider à découvrir, affiner et utiliser les scores d'exposition aux attaques et les chemins d'attaque générés par le moteur de risque de Security Command Center.

Des scores et des chemins d'attaque sont générés pour les deux éléments suivants:

  • Résultats de failles et d'erreurs de configuration (résultats de failles, collectivement) qui exposent les instances de ressources de votre ensemble de ressources à forte valeur effective.
  • Ressources de votre ensemble de ressources à forte valeur effectif.

Pour utiliser les scores d'exposition aux attaques et les chemins d'attaque, vous devez activer le niveau Premium ou Enterprise de Security Command Center au niveau de l'organisation. Vous ne pouvez pas utiliser les scores d'exposition aux attaques et les chemins d'attaque avec les activations au niveau du projet.

Les chemins d'attaque représentent des possibilités

Vous ne verrez aucune preuve d'attaque réelle dans un chemin d'attaque.

L'outil Risk Engine génère des chemins d'attaque et des scores d'exposition aux attaques en simulant ce que des pirates informatiques hypothétiques pourraient faire s'ils parvenaient à accéder à votre environnement Google Cloud et à découvrir les chemins d'attaque et les failles déjà détectées par Security Command Center.

Chaque chemin d'attaque vous montre une ou plusieurs méthodes d'attaque qu'un pirate informatique pourrait utiliser s'il parvenait à accéder à une ressource particulière. Ne confondez pas ces méthodes d'attaque avec des attaques réelles.

De même, un score d'exposition aux attaques élevé associé à un résultat ou à une ressource de Security Command Center ne signifie pas qu'une attaque est en cours.

Pour surveiller les attaques réelles, surveillez les résultats de la classe THREAT produits par les services de détection des menaces, tels que Event Threat Detection et Container Threat Detection.

Pour en savoir plus, consultez les sections suivantes de cette page:

Scores d'exposition aux attaques

Le score d'exposition au piratage associé à un résultat ou à une ressource de Security Command Center mesure dans quelle mesure les ressources sont exposées à une attaque potentielle si un acteur malveillant parvenait à accéder à votre environnement Google Cloud.

Dans certains contextes, comme la page Résultats de la console Google Cloud, le score d'exposition à une attaque pour une combinaison toxique est appelé score de combinaison toxique.

Dans les descriptions du calcul des scores, dans les conseils généraux sur la hiérarchisation des solutions et dans certains autres contextes, le terme score d'exposition aux attaques s'applique également aux scores de combinaisons toxiques.

Pour un résultat, le score indique dans quelle mesure un problème de sécurité détecté expose une ou plusieurs ressources à forte valeur à des cyberattaques potentielles. Pour une ressource de forte valeur, le score mesure son exposition aux cyberattaques potentielles.

Utilisez les scores des résultats de failles logicielles, d'erreurs de configuration et de combinaisons toxiques pour hiérarchiser la correction de ces résultats.

Utilisez les scores d'exposition aux attaques sur les ressources pour sécuriser de manière proactive les ressources les plus précieuses pour votre entreprise.

Dans les simulations de chemins d'attaque, Risk Engine lance toujours les attaques simulées à partir d'Internet public. Par conséquent, les scores d'exposition aux attaques ne tiennent pas compte de toute exposition possible à des acteurs internes malveillants ou négligents.

Résultats qui reçoivent des scores d'exposition aux attaques

Les scores d'exposition aux attaques sont appliqués aux classes de résultats actifs listées dans les catégories de résultats compatibles.

Les simulations de chemin d'attaque incluent les résultats ignorés. Le moteur de risque calcule donc également des scores et des chemins d'attaque pour les résultats ignorés.

Les simulations de chemin d'attaque n'incluent que les résultats actifs. Les résultats dont l'état est INACTIVE ne sont pas inclus dans les simulations. Ils ne reçoivent donc pas de scores et ne sont pas inclus dans les chemins d'attaque.

Ressources recevant des scores d'exposition aux attaques

Les simulations de chemins d'attaque calculent les scores d'exposition aux attaques pour les types de ressources compatibles de votre ensemble de ressources à forte valeur. Vous spécifiez les ressources qui appartiennent à l'ensemble de ressources à forte valeur en créant des configurations de valeurs de ressources.

Si une ressource d'un ensemble de ressources à forte valeur a un score d'exposition aux attaques de 0, cela signifie que les simulations de chemin d'attaque n'ont identifié aucun chemin vers la ressource qu'un pirate informatique potentiel pourrait exploiter.

Les simulations de chemin d'attaque sont compatibles avec les types de ressources suivants:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Calcul du score

Chaque fois que les simulations de chemin d'attaque s'exécutent, elles recalculent les scores d'exposition aux attaques. Chaque simulation de chemin d'attaque exécute en réalité plusieurs simulations dans lesquelles un pirate informatique simulé tente d'utiliser des méthodes et des techniques d'attaque connues pour atteindre et compromettre les ressources de valeur.

Les simulations de chemins d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.

Les simulations calculent les scores à l'aide de diverses métriques, y compris les suivantes:

  • Valeur de priorité attribuée aux ressources de forte valeur exposées. Les valeurs de priorité que vous pouvez attribuer sont les suivantes :
    • HIGH = 10
    • MED = 5
    • LOW = 1
  • Nombre de chemins qu'un pirate informatique pourrait emprunter pour accéder à une ressource donnée.
  • Nombre de fois où un pirate informatique simulé parvient à atteindre et à compromettre une ressource à forte valeur à la fin d'un chemin d'attaque donné, exprimé en pourcentage du nombre total de simulations.
  • Pour les résultats uniquement, nombre de ressources à forte valeur exposées par la faille ou la mauvaise configuration détectées.

Pour les ressources, les scores d'exposition aux attaques peuvent être compris entre 0 et 10.

De manière générale, les simulations calculent les scores des ressources en multipliant le pourcentage d'attaques réussies par la valeur numérique de priorité des ressources.

Pour les résultats, les scores n'ont pas de limite supérieure fixe. Plus un résultat apparaît sur des chemins d'attaque vers des ressources exposées dans l'ensemble de ressources à forte valeur, et plus les valeurs de priorité de ces ressources sont élevées, plus le score est élevé.

De manière générale, les simulations calculent les scores des résultats à l'aide du même calcul que pour les scores des ressources. Toutefois, pour les scores des résultats, les simulations multiplient ensuite le résultat du calcul par le nombre de ressources à forte valeur que le résultat expose.

Modifier les scores

Les scores peuvent changer à chaque exécution d'une simulation de chemin d'attaque. Un résultat ou une ressource qui ont un score nul aujourd'hui peuvent avoir un score non nul demain.

Les scores peuvent changer pour différentes raisons, y compris les suivantes:

  • Détection ou correction d'une faille qui expose directement ou indirectement une ressource de grande valeur.
  • Ajout ou suppression de ressources dans votre environnement.

Les modifications apportées aux résultats ou aux ressources après l'exécution d'une simulation ne sont pas reflétées dans les scores tant que la simulation suivante n'a pas été exécutée.

Utiliser les scores pour hiérarchiser les solutions

Pour hiérarchiser efficacement la correction des résultats en fonction de leur exposition aux attaques ou de leur score de combinaison toxique, tenez compte des points suivants:

  • Tout résultat dont le score est supérieur à zéro expose une ressource à forte valeur à une attaque potentielle. La correction doit donc être prioritaire par rapport aux résultats dont le score est nul.
  • Plus le score d'un résultat est élevé, plus il expose vos ressources de forte valeur et plus vous devez donner la priorité à sa résolution.

En règle générale, accordez la priorité absolue à la résolution des résultats qui obtiennent les scores les plus élevés et qui bloquent le plus efficacement les chemins d'attaque vers vos ressources de forte valeur.

Si les scores d'une combinaison toxique et d'une autre classe de résultats sont à peu près égaux, priorisez la correction de la combinaison toxique, car elle représente un chemin complet entre l'Internet public et une ou plusieurs ressources à forte valeur ajoutée qu'un pirate informatique peut potentiellement suivre s'il a réussi à accéder à votre environnement cloud.

Sur la page Résultats de Security Command Center dans la console Google Cloud ou la console Security Operations, vous pouvez trier les résultats dans le panneau de la page par score en cliquant sur l'en-tête de colonne.

Dans la console Google Cloud, vous pouvez également afficher les résultats avec les scores les plus élevés en ajoutant un filtre à la requête de résultats qui ne renvoie que les résultats avec un score d'exposition aux attaques supérieur à un nombre que vous spécifiez.

Sur la page Cas de la console Security Operations, vous pouvez également trier les cas de combinaisons toxiques en fonction du score d'exposition aux attaques.

Résultats qui ne peuvent pas être corrigés

Dans certains cas, vous ne pourrez peut-être pas corriger une anomalie ayant un score d'exposition aux attaques élevé, soit parce qu'elle représente un risque connu et accepté, soit parce qu'elle ne peut pas être facilement corrigée. Dans ce cas, vous devrez peut-être atténuer le risque par d'autres moyens. L'examen du chemin d'attaque associé peut vous donner des idées pour d'autres mesures d'atténuation possibles.

Utiliser les scores d'exposition aux attaques pour sécuriser les ressources

Un score d'exposition aux attaques non nul sur une ressource signifie que les simulations de chemin d'attaque ont identifié un ou plusieurs chemins d'attaque de l'Internet public vers la ressource.

Pour afficher les scores d'exposition aux attaques de vos ressources de forte valeur, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

    Accéder

  2. Sélectionnez l'onglet Ensemble de ressources à forte valeur. Les ressources de votre ensemble de ressources à forte valeur sont affichées par ordre décroissant de score d'exposition aux attaques.

  3. Pour afficher les chemins d'attaque d'une ressource, cliquez sur le nombre correspondant sur sa ligne dans la colonne Score d'exposition aux attaques. Les chemins d'attaque de l'Internet public vers la ressource s'affichent.

  4. Examinez les chemins d'attaque en recherchant des cercles rouges sur les nœuds qui indiquent des résultats. Pour savoir comment interpréter les chemins d'attaque, consultez la section Chemins d'attaque.

  5. Cliquez sur un nœud associé à un cercle rouge pour afficher les résultats.

  6. Prenez les mesures nécessaires pour corriger les problèmes détectés.

Vous pouvez également consulter les scores d'exposition aux attaques de vos ressources à forte valeur dans l'onglet Simulations de chemins d'attaque de Paramètres en cliquant sur Afficher les ressources de valeur utilisées dans la dernière simulation.

Scores d'exposition aux attaques de 0

Un score d'exposition aux attaques de 0 sur une ressource signifie que, lors des dernières simulations de chemin d'attaque, Security Command Center n'a identifié aucun chemin potentiel qu'un pirate informatique pourrait emprunter pour atteindre la ressource.

Un score d'exposition aux attaques de 0 sur un résultat signifie que, lors de la dernière simulation d'attaque, le pirate informatique simulé n'a pu atteindre aucune ressource à forte valeur ajoutée via le résultat.

Toutefois, un score d'exposition au piratage de 0 ne signifie pas qu'il n'y a pas de risque. Un score d'exposition aux attaques reflète l'exposition des ressources, des services Google Cloud compatibles et des résultats de Security Command Center aux menaces potentielles provenant de l'Internet public. Par exemple, les scores ne tiennent pas compte des menaces provenant d'acteurs internes, des failles de type "zero-day" ni de l'infrastructure tierce.

Aucun score d'exposition aux attaques

Si un résultat ou une ressource n'ont pas de score, cela peut être dû aux raisons suivantes:

  • Le résultat a été émis après la dernière simulation du chemin d'attaque.
  • La ressource a été ajoutée à votre ensemble de ressources à forte valeur après la dernière simulation de chemin d'attaque.
  • La fonctionnalité d'exposition aux attaques n'est actuellement pas compatible avec la catégorie de résultats ni avec le type de ressource.

Pour obtenir la liste des catégories de résultats compatibles, consultez la section Compatibilité avec les fonctionnalités du moteur de risque.

Pour obtenir la liste des types de ressources compatibles, consultez la section Ressources recevant des scores d'exposition aux attaques.

Valeurs de ressource

Bien que toutes vos ressources sur Google Cloud aient de la valeur, Security Command Center n'identifie et ne calcule les scores d'exposition aux attaques que pour les ressources que vous désignez comme ressources à forte valeur (parfois appelées ressources de valeur).

Ressources de forte valeur

Une ressource de grande valeur sur Google Cloud est une ressource particulièrement importante pour votre entreprise à protéger contre les attaques potentielles. Par exemple, vos ressources à forte valeur ajoutée peuvent être celles qui stockent vos données précieuses ou sensibles, ou qui hébergent vos charges de travail critiques pour l'entreprise.

Pour désigner une ressource comme ressource à forte valeur, définissez ses attributs dans une configuration de valeur de ressource. Jusqu'à une limite de 1 000 instances de ressources, Security Command Center considère toute instance de ressource correspondant aux attributs que vous spécifiez dans la configuration comme une ressource à forte valeur.

Valeurs de priorité

Parmi les ressources que vous désignez comme étant de grande valeur, vous devrez probablement donner la priorité à la sécurité de certaines plus que d'autres. Par exemple, un ensemble de ressources de données peut contenir des données à forte valeur, mais certaines de ces ressources de données peuvent contenir des données plus sensibles que les autres.

Pour que vos scores reflètent votre besoin de donner la priorité à la sécurité des ressources de votre ensemble de ressources à forte valeur, vous devez attribuer une valeur de priorité dans les configurations de valeur de ressource qui désigne les ressources comme étant à forte valeur.

Si vous utilisez la protection des données sensibles, vous pouvez également hiérarchiser automatiquement les ressources en fonction de la sensibilité des données qu'elles contiennent.

Définir manuellement les valeurs de priorité des ressources

Dans une configuration de valeur de ressource, vous attribuez une priorité aux ressources à forte valeur correspondantes en spécifiant l'une des valeurs de priorité suivantes:

  • LOW = 1
  • MEDIUM = 5
  • HIGH = 10
  • NONE = 0

Si vous spécifiez une valeur de priorité de LOW dans une configuration de valeur de ressource, les ressources correspondantes restent des ressources à forte valeur. Les simulations de chemins d'attaque les traitent simplement avec une priorité inférieure et leur attribuent un score d'exposition aux attaques inférieur à celui des ressources à forte valeur dont la valeur de priorité est MEDIUM ou HIGH.

Si plusieurs configurations attribuent des valeurs différentes à la même ressource, la valeur la plus élevée s'applique, sauf si une configuration attribue une valeur de NONE.

Une valeur de ressource de NONE exclut les ressources correspondantes de la liste des ressources à forte valeur et remplace toutes les autres configurations de valeur de ressource pour la même ressource. Pour cette raison, assurez-vous que toute configuration spécifiant NONE ne s'applique qu'à un ensemble limité de ressources.

Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données

Si vous utilisez la découverte de la protection des données sensibles et que vous publiez les profils de données dans Security Command Center, vous pouvez configurer Security Command Center pour qu'il définisse automatiquement la valeur de priorité de certaines ressources de grande valeur en fonction de la sensibilité des données qu'elles contiennent.

Vous activez la hiérarchisation en fonction de la sensibilité des données lorsque vous spécifiez les ressources dans une configuration de valeur de ressource.

Lorsque cette option est activée, si la découverte de la protection des données sensibles classe les données d'une ressource comme étant de sensibilité MEDIUM ou HIGH, les simulations de chemin d'attaque définissent par défaut la valeur de priorité de la ressource sur cette même valeur.

Les niveaux de sensibilité des données sont définis par la protection des données sensibles, mais vous pouvez les interpréter comme suit:

Données hautement sensibles
La découverte Sensitive Data Protection a détecté au moins une instance de données hautement sensibles dans la ressource.
Données à sensibilité moyenne
La découverte Sensitive Data Protection a détecté au moins une instance de données de sensibilité moyenne dans la ressource et aucune instance de données de sensibilité élevée.
Données à faible sensibilité
La détection de la protection des données sensibles n'a détecté aucune donnée sensible, ni aucun texte de forme libre ni aucune donnée non structurée dans la ressource.

Si la découverte Sensitive Data Protection n'identifie que des données à faible sensibilité dans une ressource de données correspondante, la ressource n'est pas désignée comme une ressource à forte valeur.

Si vous devez désigner des ressources de données ne contenant que des données à faible sensibilité comme des ressources de haute valeur avec une faible priorité, créez une configuration de valeur de ressource en double, mais spécifiez une valeur de priorité de LOW au lieu d'activer la hiérarchisation en fonction de la sensibilité des données. La configuration qui utilise la protection des données sensibles remplace la configuration qui attribue la valeur de priorité LOW, mais uniquement pour les ressources contenant des données de sensibilité HIGH ou MEDIUM.

Vous pouvez modifier les valeurs de priorité par défaut utilisées par Security Command Center lorsque des données sensibles sont détectées dans la configuration des valeurs de ressources.

Pour en savoir plus sur Sensitive Data Protection, consultez la présentation de Sensitive Data Protection.

Priorisation en fonction de la sensibilité des données et ensemble de ressources de valeur élevée par défaut

Avant que vous ne créiez votre propre ensemble de ressources à forte valeur, Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer les scores d'exposition aux attaques et les chemins d'attaque.

Si vous utilisez la découverte de la protection des données sensibles, Security Command Center ajoute automatiquement des instances de types de ressources de données compatibles contenant des données de sensibilité HIGH ou MEDIUM à l'ensemble de ressources de valeur élevée par défaut.

Types de ressources Google Cloud compatibles avec les valeurs de priorité automatiques en fonction de la sensibilité des données

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données issues de la découverte de la protection des données sensibles, mais uniquement pour les types de ressources de données suivants:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Types de ressources AWS compatibles avec les valeurs de priorité automatiques en fonction de la sensibilité des données

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données de la découverte de la protection des données sensibles, mais uniquement pour les types de ressources de données AWS suivants:

  • Bucket Amazon S3

Ensembles de ressources de forte valeur

Un ensemble de ressources à forte valeur ajoutée est un ensemble défini de ressources de votre environnement Google Cloud qui sont les plus importantes à sécuriser et à protéger.

Pour définir votre ensemble de ressources à forte valeur ajoutée, vous devez spécifier les ressources de votre environnement Google Cloud qui appartiennent à cet ensemble. Tant que vous n'aurez pas défini votre ensemble de ressources à forte valeur, les scores d'exposition aux attaques, les chemins d'attaque et les résultats de la combinaison toxique ne reflèteront pas précisément vos priorités de sécurité.

Vous spécifiez les ressources de votre ensemble de ressources à forte valeur en créant des configurations de valeur de ressource. La combinaison de toutes vos configurations de valeur de ressource définit votre ensemble de ressources à forte valeur. Pour en savoir plus, consultez la section Configurations de valeurs de ressources.

Tant que vous n'avez pas défini votre première configuration de valeur de ressource, Security Command Center utilise un ensemble de ressources à forte valeur par défaut. L'ensemble par défaut s'applique à l'ensemble de votre organisation pour tous les types de ressources compatibles avec les simulations de chemin d'attaque. Pour en savoir plus, consultez la section Ensemble de ressources à forte valeur par défaut.

Pour afficher l'ensemble de ressources à forte valeur utilisé dans la dernière simulation de chemin d'attaque, y compris les scores d'exposition aux attaques et les configurations correspondantes, consultez Afficher l'ensemble de ressources à forte valeur.

Configurations des valeurs de ressources

Vous gérez les ressources de votre ensemble de ressources à forte valeur à l'aide de configurations de valeurs de ressources.

Vous créez des configurations de valeurs de ressources dans l'onglet Simulation de chemin d'attaque de la page Paramètres de Security Command Center dans la console Google Cloud.

Dans une configuration de valeur de ressource, vous spécifiez les attributs qu'une ressource doit posséder pour que Security Command Center l'ajoute à votre ensemble de ressources à forte valeur.

Les attributs que vous pouvez spécifier incluent le type de ressource, les tags de ressource, les libellés de ressource, ainsi que le projet, le dossier ou l'organisation parent.

Vous devez également attribuer une valeur de ressource aux ressources d'une configuration. La valeur de la ressource hiérarchise les ressources d'une configuration par rapport aux autres ressources de l'ensemble de ressources à forte valeur. Pour en savoir plus, consultez la section Valeurs de ressources.

Vous pouvez créer jusqu'à 100 configurations de valeurs de ressources dans une organisation Google Cloud.

Ensemble, toutes les configurations de valeurs de ressources que vous créez définissent l'ensemble de ressources à forte valeur que Security Command Center utilise pour les simulations de chemins d'attaque.

Attributs de ressource

Pour qu'une ressource soit incluse dans votre ensemble de ressources à forte valeur, ses attributs doivent correspondre à ceux que vous spécifiez dans une configuration de valeur de ressource.

Vous pouvez spécifier les attributs suivants:

  • Un type de ressource ou Any. Lorsque Any est spécifié, la configuration s'applique à tous les types de ressources compatibles dans le champ d'application spécifié. Any est la valeur par défaut.
  • Champ d'application (organisation, dossier ou projet parent) dans lequel les ressources doivent se trouver. Le champ d'application par défaut est votre organisation. Si vous spécifiez une organisation ou un dossier, la configuration s'applique également aux ressources des dossiers ou projets enfants.
  • (Facultatif) Un ou plusieurs tags ou libellés que chaque ressource doit contenir.

Si vous spécifiez une ou plusieurs configurations de valeur de ressource, mais qu'aucune ressource de votre environnement Google Cloud ne correspond aux attributs spécifiés dans l'une des configurations, Security Command Center génère un résultat SCC Error et revient à l'ensemble de ressources par défaut à forte valeur.

Ensemble de ressources à forte valeur par défaut

Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer les scores d'exposition aux attaques lorsqu'aucune configuration de valeur de ressource n'est définie ou lorsqu'aucune configuration définie ne correspond à une ressource.

Security Command Center attribue aux ressources de la ressource de valeur élevée par défaut une valeur de priorité LOW, sauf si vous utilisez la découverte de la protection des données sensibles. Dans ce cas, Security Command Center attribue aux ressources contenant des données à sensibilité élevée ou moyenne une valeur de priorité correspondante de HIGH ou MEDIUM.

Si vous disposez d'au moins une configuration de valeur de ressource correspondant à au moins une ressource de votre environnement, Security Command Center cesse d'utiliser l'ensemble de ressources par défaut à forte valeur.

Pour recevoir des scores d'exposition aux attaques et de combinaisons toxiques qui reflètent précisément vos priorités de sécurité, remplacez l'ensemble de ressources à forte valeur par défaut par le vôtre. Pour en savoir plus, consultez la section Définir et gérer votre ensemble de ressources à forte valeur.

La liste suivante indique les types de ressources inclus dans l'ensemble de ressources de valeur élevée par défaut:

  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Limite sur les ressources d'un ensemble de ressources de forte valeur

Security Command Center limite le nombre de ressources dans un ensemble de ressources à forte valeur à 1 000.

Si les spécifications d'attribut dans une ou plusieurs configurations de valeurs de ressources sont très larges, le nombre de ressources correspondant aux spécifications d'attribut peut dépasser 1 000.

Lorsque le nombre de ressources correspondantes dépasse la limite, Security Command Center exclut les ressources de l'ensemble jusqu'à ce que le nombre de ressources soit inférieur à la limite. Security Command Center exclut d'abord les ressources dont la valeur attribuée est la plus faible. Parmi les ressources ayant la même valeur attribuée, Security Command Center exclut les instances de ressources à l'aide d'un algorithme qui distribue les ressources exclues entre les types de ressources.

Une ressource exclue de l'ensemble de ressources à forte valeur n'est pas prise en compte dans le calcul des scores d'exposition aux attaques.

Pour vous alerter lorsque la limite d'instances pour le calcul du score est dépassée, Security Command Center génère un résultat SCC error et affiche un message dans l'onglet des paramètres de la simulation de chemin d'attaque de la console Google Cloud. Security Command Center n'émet pas de résultat SCC error si la valeur élevée par défaut définie dépasse la limite d'instances.

Pour éviter de dépasser la limite, ajustez vos configurations de valeurs de ressources afin d'affiner les instances de votre ensemble de ressources à forte valeur.

Voici quelques exemples de ce que vous pouvez faire pour affiner votre ensemble de ressources à forte valeur:

  • Utilisez des balises ou des libellés pour réduire le nombre de correspondances pour un type de ressource donné ou dans un champ d'application spécifié.
  • Créez une configuration de valeur de ressource qui attribue une valeur de NONE à un sous-ensemble des ressources spécifiées dans une autre configuration. Spécifier la valeur NONE remplace toutes les autres configurations et exclut les instances de ressources de votre ensemble de ressources à forte valeur.
  • Réduisez la spécification de champ d'application dans la configuration de la valeur de la ressource.
  • Supprimez les configurations de valeurs de ressources qui attribuent une valeur de LOW.

Sélectionner vos ressources à fort potentiel

Pour renseigner votre ensemble de ressources de forte valeur, vous devez déterminer quelles instances de ressources de votre environnement sont vraiment de forte valeur.

En règle générale, vos ressources à forte valeur ajoutée sont celles qui traitent et stockent vos données sensibles. Par exemple, sur Google Cloud, il peut s'agir d'instances Compute Engine, d'un ensemble de données BigQuery ou d'un bucket Cloud Storage.

Vous n'avez pas besoin de désigner les ressources adjacentes à vos ressources de grande valeur, comme un serveur de saut, comme des ressources de grande valeur. Les simulations de chemin d'attaque tiennent déjà compte de ces ressources adjacentes. Si vous les désignez également comme des ressources à forte valeur, vos scores d'exposition aux attaques peuvent être moins fiables.

Prise en charge du multicloud

Les simulations de chemin d'attaque peuvent évaluer les risques de vos déploiements sur d'autres plates-formes de fournisseurs de services cloud.

Une fois que vous avez établi une connexion avec une autre plate-forme, vous pouvez désigner vos ressources à forte valeur ajoutée sur l'autre fournisseur de services cloud en créant des configurations de valeur de ressource, comme vous le feriez pour les ressources sur Google Cloud.

Security Command Center exécute des simulations pour une plate-forme cloud indépendamment des simulations exécutées pour d'autres plates-formes cloud.

Avant de créer votre première configuration de valeur de ressource pour un autre fournisseur de services cloud, Security Command Center utilise un ensemble de ressources par défaut à forte valeur spécifique au fournisseur de services cloud. L'ensemble de ressources à forte valeur par défaut désigne toutes les ressources compatibles comme des ressources à forte valeur.

Plates-formes de fournisseurs de services cloud compatibles

En plus de Google Cloud, Security Command Center peut exécuter des simulations de chemin d'attaque pour Amazon Web Services (AWS). Pour en savoir plus, consultez les pages suivantes :

Chemins d'attaque

Un chemin d'attaque est une représentation visuelle interactive d'un ou de plusieurs chemins potentiels qu'un pirate informatique hypothétique pourrait emprunter pour passer de l'Internet public à l'une de vos instances de ressources à forte valeur.

Les simulations de chemin d'attaque identifient les chemins d'attaque potentiels en modélisant ce qui se passerait si un pirate informatique appliquait des méthodes d'attaque connues aux failles et aux erreurs de configuration détectées par Security Command Center dans votre environnement pour tenter d'atteindre vos ressources à forte valeur ajoutée.

Vous pouvez afficher les chemins d'attaque en cliquant sur le score d'exposition aux attaques d'un résultat ou d'une ressource dans la console Google Cloud.

Lorsque vous consultez un cas de combinaison toxique dans la console Security Operations, vous pouvez afficher un chemin d'attaque simplifié pour la combinaison toxique dans l'onglet "Présentation du cas". Le chemin d'attaque simplifié inclut un lien vers le chemin d'attaque complet. Pour en savoir plus sur les chemins d'attaque des résultats de combinaison toxique, consultez la section Chemins d'attaque de la combinaison toxique.

Lorsque vous affichez des chemins d'attaque plus longs, vous pouvez modifier la vue du chemin d'attaque en faisant glisser le sélecteur de zone de mise au point carré rouge autour de la vue miniature du chemin d'attaque sur le côté droit de l'écran.

Dans un chemin d'attaque, les ressources sont représentées par des cases ou des nœuds. Les lignes représentent l'accessibilité potentielle entre les ressources. Ensemble, les nœuds et les lignes représentent le chemin d'attaque.

Nœuds du chemin d'attaque

Les nœuds d'un chemin d'attaque représentent les ressources sur un chemin d'attaque.

Afficher des informations sur le nœud

Vous pouvez afficher plus d'informations sur chaque nœud d'un chemin d'attaque en cliquant dessus.

Cliquez sur le nom de la ressource dans un nœud pour afficher plus d'informations à son sujet, ainsi que les résultats qui l'affectent.

Cliquer sur Développer le nœud affiche les méthodes d'attaque possibles qui pourraient être utilisées si un pirate informatique obtenait l'accès à la ressource.

Types de nœuds

Il existe trois types de nœuds:

  • Point de départ ou point d'entrée de l'attaque simulée, qui est l'Internet public. Cliquez sur un nœud de point d'entrée pour afficher une description du point d'entrée, ainsi que les méthodes d'attaque qu'un pirate informatique pourrait utiliser pour accéder à votre environnement.
  • Ressources concernées qu'un pirate informatique peut utiliser pour avancer sur un chemin.
  • Ressource exposée à la fin d'un chemin, qui fait partie de votre ensemble de ressources à forte valeur. Seule une ressource d'un ensemble de ressources à forte valeur défini ou par défaut peut être une ressource exposée. Vous définissez un ensemble de ressources à forte valeur en créant des configurations de valeurs de ressources.

Nœuds en amont et en aval

Dans un chemin d'attaque, un nœud peut être en amont ou en aval des autres nœuds. Un nœud en amont est plus proche du point d'entrée et du début du chemin d'attaque. Un nœud en aval est plus proche de la ressource à forte valeur exposée en bas du chemin d'attaque.

Nœuds représentant plusieurs instances de ressources de conteneur

Un nœud peut représenter plusieurs instances de certains types de ressources de conteneur si les instances partagent les mêmes caractéristiques.

Un seul nœud peut représenter plusieurs instances des types de ressources de conteneur suivants:

  • Contrôleur de ReplicaSet
  • Contrôleur de déploiement
  • Contrôleur de tâche
  • Contrôleur CronJob
  • Contrôleur DaemonSet

Lignes de chemin d'attaque

Dans un chemin d'attaque, les lignes entre les cases représentent l'accessibilité potentielle entre les ressources qu'un pirate informatique pourrait exploiter pour atteindre une ressource à forte valeur.

Les lignes ne représentent pas une relation entre les ressources définies dans Google Cloud.

Si plusieurs chemins pointent vers un nœud en aval à partir de plusieurs nœuds en amont, les nœuds en amont peuvent avoir une relation AND ou OR entre eux.

Une relation AND signifie qu'un pirate informatique doit avoir accès aux deux nœuds en amont pour accéder à un nœud en aval sur le chemin.

Par exemple, une ligne directe de l'Internet public vers une ressource de grande valeur à la fin d'un chemin d'attaque a une relation AND avec au moins une autre ligne du chemin d'attaque. Un pirate informatique ne peut pas atteindre la ressource de grande valeur à moins d'avoir accès à la fois à votre environnement Google Cloud et à au moins une autre ressource indiquée dans le chemin d'attaque.

Une relation OR signifie qu'un pirate informatique n'a besoin d'accéder qu'à l'un des nœuds en amont pour accéder au nœud en aval.

Simulations de chemin d'attaque

Pour déterminer tous les chemins d'attaque possibles et calculer les scores d'exposition aux attaques, Security Command Center effectue des simulations avancées de chemins d'attaque.

Calendrier de simulation

Les simulations de chemins d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.

Étapes de la simulation du chemin d'attaque

Les simulations comprennent trois étapes:

  1. Génération de modèle: un modèle de votre environnement Google Cloud est généré automatiquement en fonction des données de l'environnement. Le modèle est une représentation graphique de votre environnement, adaptée aux analyses de chemin d'attaque.
  2. Simulation du chemin d'attaque: les simulations du chemin d'attaque sont effectuées sur le modèle de graphique. Les simulations consistent à faire en sorte qu'un pirate informatique virtuel tente d'atteindre et de compromettre les ressources de votre ensemble de ressources à forte valeur. Les simulations exploitent les insights sur chaque ressource et relation spécifique, y compris la mise en réseau, IAM, les configurations, les erreurs de configuration et les failles.
  3. Rapports d'insights: sur la base des simulations, Security Command Center attribue des scores d'exposition aux attaques à vos ressources à forte valeur et aux résultats qui les exposent, et visualise les chemins potentiels qu'un pirate informatique pourrait emprunter pour accéder à ces ressources.

Caractéristiques d'exécution de la simulation

En plus de fournir les scores d'exposition aux attaques, les insights sur les chemins d'attaque et les chemins d'attaque, les simulations de chemin d'attaque présentent les caractéristiques suivantes:

  • Elles n'affectent pas votre environnement en direct: toutes les simulations sont effectuées sur un modèle virtuel et n'utilisent que l'accès en lecture pour la création de modèles.
  • Elles sont dynamiques: le modèle est créé sans agents via un accès en lecture à l'API uniquement, ce qui permet aux simulations de suivre dynamiquement les modifications de votre environnement au fil du temps.
  • Un pirate informatique virtuel tente d'utiliser autant de méthodes et de failles que possible pour atteindre et compromettre vos ressources à forte valeur. Cela inclut non seulement les "éléments connus", tels que les failles, les configurations, les erreurs de configuration et les relations réseau, mais aussi les "éléments inconnus connus" moins probables, c'est-à-dire les risques que nous savons exister, comme la possibilité d'hameçonnage ou de fuite d'identifiants.
  • Elles sont automatisées: la logique d'attaque est intégrée à l'outil. Vous n'avez pas besoin de créer ni de gérer d'ensembles de requêtes ou d'ensembles de données volumineux.

Scénario et capacités de l'attaquant

Dans les simulations, Security Command Center présente une représentation logique d'une tentative d'exploitation par un pirate informatique de vos ressources à forte valeur ajoutée en accédant à votre environnement Google Cloud et en suivant les chemins d'accès potentiels via vos ressources et les failles détectées.

L'attaquant virtuel

L'attaquant virtuel utilisé dans les simulations présente les caractéristiques suivantes:

  • Le pirate informatique est externe: il ne s'agit pas d'un utilisateur légitime de votre environnement Google Cloud. Les simulations ne modélisent ni n'incluent pas les attaques d'utilisateurs malveillants ou négligents qui ont un accès légitime à votre environnement.
  • Le pirate informatique commence à partir de l'Internet public. Pour lancer une attaque, l'attaquant doit d'abord accéder à votre environnement depuis l'Internet public.
  • L'attaquant est persistant. Le pirate informatique ne sera pas découragé ni ne perdra son intérêt en raison de la difficulté d'une méthode d'attaque particulière.
  • L'attaquant est compétent et expérimenté. Le pirate informatique tente d'accéder à vos ressources de grande valeur à l'aide de méthodes et de techniques connues.

Accès initial

Dans chaque simulation, un pirate informatique virtuel tente d'accéder aux ressources de votre environnement depuis l'Internet public à l'aide des méthodes suivantes:

  • Découvrez et connectez-vous à tous les services et ressources accessibles depuis l'Internet public :
    • Services sur les instances de machine virtuelle (VM) Compute Engine et les nœuds Google Kubernetes Engine
    • Bases de données
    • Conteneurs
    • Buckets Cloud Storage
    • Fonctions Cloud Run
  • Accéder aux clés et aux identifiants, y compris :
    • Clés de compte de service
    • Clés de chiffrement fournies par l'utilisateur
    • Clés SSH des instances de VM
    • Clés SSH à l'échelle du projet
    • Systèmes de gestion des clés externes
    • Comptes utilisateur pour lesquels l'authentification multifacteur (MFA) n'est pas appliquée
    • Jetons d'authentification MFA virtuels interceptés
  • Accès aux ressources cloud accessibles au public à l'aide d'identifiants volés ou en exploitant les failles signalées par Mandiant Attack Surface Management et VM Manager

Si la simulation détecte un point d'entrée possible dans l'environnement, le pirate informatique virtuel tente ensuite d'atteindre et de compromettre vos ressources à forte valeur ajoutée à partir du point d'entrée en explorant et en exploitant consécutivement les configurations de sécurité et les failles de l'environnement.

Tactiques et techniques

La simulation utilise une grande variété de tactiques et de techniques, y compris l'exploitation d'un accès légitime, le mouvement latéral, l'escalade de privilèges, les failles, les mauvaises configurations et l'exécution de code.

Intégration des données CVE

Lors du calcul des scores d'exposition aux attaques pour les résultats de failles, les simulations de chemins d'attaque tiennent compte des données de l'enregistrement CVE de la faille, des scores CVSS, ainsi que des évaluations de l'exploitabilité de la faille fournies par Mandiant.

Les informations CVE suivantes sont prises en compte:

  • Vecteur d'attaque: le pirate informatique doit disposer du niveau d'accès spécifié dans le vecteur d'attaque CVSS pour exploiter la faille CVE. Par exemple, une faille CVE avec un vecteur d'attaque réseau détectée sur un composant disposant d'une adresse IP publique et de ports ouverts peut être exploitée par un pirate informatique disposant d'un accès au réseau. Si un pirate informatique n'a accès qu'au réseau et que la faille CVE nécessite un accès physique, il ne peut pas l'exploiter.
  • Complexité de l'attaque: en règle générale, un résultat de faille ou de configuration incorrecte avec une faible complexité d'attaque est plus susceptible d'obtenir un score d'exposition aux attaques élevé qu'un résultat avec une complexité d'attaque élevée.
  • Activité d'exploitation: en général, une faille détectée avec une activité d'exploitation étendue, comme l'ont déterminé les analystes de Mandiant en matière d'intelligence sur les menaces cybernétiques, est plus susceptible d'obtenir un score d'exposition aux attaques élevé qu'une détection sans activité d'exploitation connue.