Punteggi di esposizione agli attacchi e percorsi di attacco

Questa pagina illustra concetti, principi e restrizioni chiave per aiutarti a scoprire, perfezionare e utilizzare i punteggi di esposizione agli attacchi e i percorsi di attacco generati da Risk Engine di Security Command Center.

I punteggi dei percorsi di attacco e i percorsi di attacco vengono generati per entrambi i seguenti elementi:

• Risultati relativi a vulnerabilità ed errori di configurazione (collettivamente risultati di vulnerabilità) che espongono le istanze delle risorse nel set effettivo di risorse di alto valore.
• Le risorse nel set effettivo di risorse di alto valore.

I percorsi di attacco rappresentano le possibilità

Non vedrai le prove di un attacco effettivo in un percorso di attacco.

Risk Engine genera percorsi di attacco e punteggi di esposizione agli attacchi simulando ciò che gli ipotetici utenti potrebbero fare se riuscissero ad accedere al tuo ambiente Google Cloud e scoprissero i percorsi di attacco e le vulnerabilità già individuati da Security Command Center.

Ogni percorso di attacco mostra uno o più metodi di attacco che un utente malintenzionato potrebbe utilizzare se ottiene l'accesso a una determinata risorsa. Non confondere questi metodi di attacco con attacchi reali.

Analogamente, un punteggio elevato di esposizione agli attacchi in un risultato o in una risorsa di Security Command Center non indica che è in corso un attacco.

Per individuare eventuali attacchi effettivi, monitora i risultati della classe THREAT prodotti dai servizi di rilevamento delle minacce, come Event Threat Detection e Container Threat Detection.

Per ulteriori informazioni, consulta le seguenti sezioni di questa pagina:

• Punteggi di esposizione agli attacchi
• Percorsi di attacco
• Simulazioni del percorso di attacco

Punteggi di esposizione agli attacchi

Un punteggio di esposizione agli attacchi su un risultato o una risorsa di Security Command Center è una misura del livello di esposizione delle risorse a un potenziale attacco nel caso in cui un utente malintenzionato riesca ad accedere al tuo ambiente Google Cloud.

Un punteggio di combinazione tossica su un risultato di combinazione tossica è un tipo di punteggio di esposizione agli attacchi. Un risultato di combinazione tossica rappresenta una serie di problemi di sicurezza, che potrebbero o meno includere altri risultati di singole vulnerabilità del software o configurazioni errate.

Nelle descrizioni di come vengono calcolati i punteggi, nelle linee guida generali su come dare priorità ai rimedi dei risultati e in determinati altri contesti, il termine punteggio di esposizione agli attacchi si applica anche ai punteggi di combinazioni tossiche.

Su un risultato, il punteggio è una misura di quanto un problema di sicurezza rilevato espone una o più risorse di alto valore a potenziali attacchi informatici. Per una risorsa di alto valore, il punteggio indica l'esposizione della risorsa a potenziali attacchi informatici.

Usa i punteggi dei risultati relativi a vulnerabilità del software, errori di configurazione e combinazioni tossiche per dare priorità alla correzione di questi risultati.

Utilizza i punteggi di esposizione agli attacchi sulle risorse per proteggere in modo proattivo le risorse più preziose per la tua attività.

Nelle simulazioni del percorso di attacco, Risk Engine avvia sempre gli attacchi simulati dalla rete internet pubblica. Di conseguenza, i punteggi di esposizione agli attacchi non tengono conto della possibile esposizione ad attori interni malintenzionati o negligenti.

Risultati che ricevono punteggi di esposizione agli attacchi

I punteggi di esposizione agli attacchi vengono applicati alle classi di risultati attivi elencate in Categorie di risultati supportate.

I punteggi delle combinazioni dannose vengono applicati solo ai risultati del corso Toxic combination.

Le simulazioni del percorso di attacco includono risultati disattivati, pertanto Risk Engine calcola i punteggi e i percorsi di attacco anche per i risultati disattivati.

Le simulazioni del percorso di attacco includono solo risultati attivi. I risultati con stato INACTIVE non sono inclusi nelle simulazioni, quindi non ricevono punteggi e non sono inclusi nei percorsi di attacco.

Risorse che ricevono punteggi di esposizione agli attacchi

Le simulazioni del percorso di attacco calcolano i punteggi dell'esposizione agli attacchi per i tipi di risorse supportati nel set di risorse di alto valore. Puoi specificare quali risorse appartengono al set di risorse di alto valore creando delle configurazioni dei valori delle risorse.

Se una risorsa in un set di risorse di alto valore ha un punteggio di esposizione agli attacchi pari a 0, le simulazioni del percorso di attacco non hanno identificato alcun percorso alla risorsa che un potenziale utente malintenzionato potrebbe sfruttare.

Le simulazioni del percorso di attacco supportano i seguenti tipi di risorse:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Calcolo del punteggio

Ogni volta che vengono eseguite le simulazioni del percorso di attacco, i punteggi dell'esposizione agli attacchi vengono ricalcolati. Ogni simulazione del percorso di attacco esegue diverse simulazioni in cui un utente malintenzionato simulato prova metodi e tecniche di attacco noti per raggiungere e compromettere le risorse preziose.

Le simulazioni del percorso di attacco possono essere eseguite fino a quattro volte al giorno (ogni sei ore). Man mano che la tua organizzazione cresce, le simulazioni richiedono più tempo, ma verranno eseguite almeno una volta al giorno. Le esecuzioni delle simulazioni non vengono attivate dalla creazione, dalla modifica o dell'eliminazione delle risorse o delle configurazioni dei valori delle risorse.

Le simulazioni calcolano i punteggi utilizzando una serie di metriche, tra cui:

• Il valore di priorità assegnato alle risorse di alto valore esposte. I valori di priorità che puoi assegnare hanno i seguenti valori:
  • ALTO = 10
  • MED = 5
  • BASSO = 1
• Il numero di possibili percorsi che un utente malintenzionato potrebbe seguire per raggiungere una determinata risorsa.
• Il numero di volte in cui un utente malintenzionato simulato è in grado di raggiungere e compromettere una risorsa di alto valore alla fine di un determinato percorso di attacco, espresso come percentuale del numero totale di simulazioni.
• Solo per i risultati, il numero di risorse di alto valore esposte dalla vulnerabilità rilevata o dall'errata configurazione.

Per le risorse, i punteggi di esposizione agli attacchi possono essere compresi tra 0 e 10.

A livello generale, le simulazioni calcolano i punteggi delle risorse moltiplicando la percentuale di attacchi andati a buon fine per il valore di priorità numerico delle risorse.

Per i risultati, i punteggi non hanno un limite superiore fisso. Più spesso si verifica un risultato nei percorsi di attacco verso risorse esposte nel set di risorse di alto valore e più elevati sono i valori di priorità di tali risorse, più alto è il punteggio.

A livello generale, le simulazioni calcolano i punteggi dei risultati utilizzando lo stesso calcolo utilizzato per i punteggi delle risorse, ma per i punteggi dei risultati le simulazioni moltiplicano il risultato del calcolo per il numero di risorse di alto valore esposte dal risultato.

Modificare i punteggi

I punteggi possono cambiare ogni volta che viene eseguita una simulazione del percorso di attacco. Un risultato o una risorsa che oggi ha un punteggio pari a zero potrebbe avere un punteggio diverso da zero domani.

I punteggi cambiano per diversi motivi, tra cui:

• Rilevamento o correzione di una vulnerabilità che espone direttamente o indirettamente una risorsa di alto valore.
• L'aggiunta o la rimozione di risorse nel tuo ambiente.

Le modifiche ai risultati o alle risorse dopo l'esecuzione di una simulazione non vengono considerate nei punteggi fino all'esecuzione della simulazione successiva.

Usare i punteggi per dare priorità alle correzioni dei risultati

Per dare priorità in modo efficace alla correzione dei risultati in base ai punteggi di esposizione agli attacchi o di combinazioni tossiche, considera i seguenti punti:

• Qualsiasi risultato con un punteggio maggiore di zero espone in qualche modo una risorsa di alto valore a un potenziale attacco, quindi la correzione deve avere la priorità sui risultati con un punteggio pari a zero.
• Più alto è il punteggio di un risultato, più questo espone le tue risorse di alto valore e più in alto dovresti dare priorità alla sua correzione.

In generale, assegna la massima priorità alla correzione dei risultati che hanno i punteggi più alti e che bloccano in modo più efficace i percorsi di attacco alle risorse di alto valore.

Nella pagina Risultati di Security Command Center nella console Google Cloud o in Security Operations Console, puoi ordinare i risultati nel riquadro della pagina in base al punteggio facendo clic sull'intestazione della colonna.

Nella console Google Cloud, puoi anche visualizzare i risultati con i punteggi più alti aggiungendo alla query dei risultati un filtro che restituisce solo i risultati con un punteggio di esposizione agli attacchi maggiore di un numero specificato.

Nella pagina Richieste di Security Operations Console, puoi anche ordinare i casi di combinazioni tossiche in base al punteggio di esposizione agli attacchi.

Risultati che non possono essere corretti.

In alcuni casi, potresti non essere in grado di correggere un risultato con un punteggio di esposizione all'attacco elevato perché rappresenta un rischio noto e accettato o perché non è possibile risolvere facilmente il risultato. In questi casi, potrebbe essere necessario mitigare il rischio in altri modi. L'analisi del percorso di attacco associato potrebbe darti idee per altre possibili mitigazioni.

Usa i punteggi di esposizione agli attacchi per proteggere le risorse

Un punteggio di esposizione agli attacchi diverso da zero su una risorsa significa che le simulazioni del percorso di attacco hanno identificato uno o più percorsi di attacco dalla rete internet pubblica alla risorsa.

Per visualizzare i punteggi di esposizione agli attacchi per le risorse di alto valore, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

   Vai ad Asset

2. Seleziona la scheda Set di risorse di alto valore. Le risorse nel set di risorse di alto valore vengono visualizzate in ordine decrescente in base al punteggio di esposizione agli attacchi.

3. Visualizza i percorsi di attacco per una risorsa facendo clic sul numero nella relativa riga nella colonna Punteggio di esposizione agli attacchi. Vengono visualizzati i percorsi di attacco dalla rete internet pubblica alla risorsa.

4. Rivedi i percorsi di attacco alla ricerca di cerchi rossi sui nodi che indicano risultati.

5. Fai clic su un nodo con un cerchio rosso per vedere i risultati.

6. Avvia l'azione per correggere i risultati.

Puoi anche visualizzare i punteggi di esposizione agli attacchi delle tue risorse di alto valore nella scheda Simulazioni del percorso di attacco in Impostazioni facendo clic su Visualizza le risorse con valori utilizzate nell'ultima simulazione.

La scheda Set di risorse di alto valore è disponibile anche nella pagina Risorse di Security Operations Console. Questa funzionalità è in anteprima ed è disponibile solo per i clienti di Security Command Center Enterprise.

Punteggi di esposizione agli attacchi pari a 0

Un punteggio di esposizione all'attacco pari a 0 su una risorsa significa che, nelle ultime simulazioni del percorso di attacco, Security Command Center non ha identificato alcun percorso potenziale che un utente malintenzionato potrebbe seguire per raggiungere la risorsa.

Un punteggio di esposizione all'attacco pari a 0 su un risultato significa che, nell'ultima simulazione di attacco, l'utente malintenzionato simulato non ha potuto raggiungere risorse di alto valore tramite il risultato.

Tuttavia, un punteggio di esposizione agli attacchi pari a 0 non indica l'assenza di rischi. Il punteggio di esposizione agli attacchi riflette l'esposizione dei risultati supportati da Google Cloud, delle risorse e dei risultati di Security Command Center a potenziali minacce provenienti dalla rete internet pubblica. Ad esempio, i punteggi non tengono conto delle minacce da parte di autori interni, vulnerabilità zero-day o infrastrutture di terze parti.

Nessun punteggio di esposizione agli attacchi

Se un risultato o una risorsa non ha un punteggio, i motivi possono essere i seguenti:

• Il risultato è stato emesso dopo l'ultima simulazione del percorso di attacco.
• La risorsa è stata aggiunta al set di risorse di alto valore dopo l'ultima simulazione del percorso di attacco.
• La funzionalità di esposizione agli attacchi al momento non supporta la categoria di esiti o il tipo di risorsa.

Per un elenco delle categorie di risultati supportate, vedi Supporto delle funzionalità di esposizione agli attacchi.

Per un elenco dei tipi di risorse supportati, consulta Risorse che ricevono punteggi di esposizione agli attacchi.

Valori delle risorse

Sebbene tutte le tue risorse su Google Cloud abbiano un valore, Security Command Center identifica i percorsi di attacco e calcola i punteggi dell'esposizione agli attacchi solo per le risorse che definisci come risorse di alto valore (a volte chiamate risorse di valore).

Risorse di alto valore

Una risorsa di alto valore su Google Cloud è una risorsa particolarmente importante che la tua azienda deve proteggere da potenziali attacchi. Ad esempio, le risorse di alto valore potrebbero essere quelle in cui vengono archiviati i tuoi dati importanti o sensibili o che ospitano i tuoi carichi di lavoro critici per l'attività.

Una risorsa viene designata come risorsa di alto valore definendone gli attributi in una configurazione dei valori delle risorse. Fino a un limite di 1000 istanze di risorse, Security Command Center considera qualsiasi istanza di risorsa corrispondente agli attributi specificati nella configurazione come una risorsa di alto valore.

Valori di priorità

Tra le risorse che definisci come di valore elevato, probabilmente dovrai dare la priorità alla sicurezza di alcune più di altre. Ad esempio, un insieme di risorse di dati potrebbe contenere dati di alto valore, ma alcune di queste risorse di dati potrebbero contenere dati più sensibili delle altre.

Affinché i punteggi riflettano la necessità di dare la priorità alla sicurezza delle risorse all'interno del set di risorse di alto valore, assegni un valore di priorità nelle configurazioni dei valori delle risorse che designa le risorse come di valore elevato.

Se utilizzi Sensitive Data Protection, puoi anche assegnare automaticamente la priorità alle risorse in base alla sensibilità dei dati contenuti nelle risorse.

Imposta manualmente i valori di priorità delle risorse

In una configurazione dei valori delle risorse, assegni una priorità alle risorse di alto valore corrispondenti specificando uno dei seguenti valori di priorità:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Se specifichi un valore di priorità LOW in una configurazione del valore delle risorse, le risorse corrispondenti sono comunque risorse di alto valore; le simulazioni del percorso di attacco le trattano solo con una priorità inferiore e assegna loro un punteggio di esposizione all'attacco più basso rispetto alle risorse di alto valore con un valore di priorità pari a MEDIUM o HIGH.

Se più configurazioni assegnano valori diversi per la stessa risorsa, viene applicato il valore più alto, a meno che una configurazione non assegni il valore NONE.

Un valore della risorsa NONE esclude le risorse corrispondenti dal considerarsi una risorsa di alto valore e sostituisce qualsiasi altra configurazione dei valori delle risorse per la stessa risorsa. Per questo motivo, assicurati che qualsiasi configurazione che specifica NONE si applichi solo a un insieme limitato di risorse.

Imposta automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati

Se utilizzi il rilevamento di Sensitive Data Protection e pubblichi i profili di dati su Security Command Center, puoi configurare Security Command Center in modo da impostare automaticamente il valore di priorità di determinate risorse di alto valore in base alla sensibilità dei dati contenuti nelle risorse.

Puoi abilitare l'assegnazione della priorità della sensibilità dei dati quando specifichi le risorse in una configurazione dei valori delle risorse.

Se abilitato, se il rilevamento di Sensitive Data Protection classifica i dati di una risorsa in base alla sensibilità MEDIUM o HIGH, per impostazione predefinita le simulazioni del percorso di attacco impostano il valore di priorità della risorsa sullo stesso valore.

I livelli di sensibilità dei dati sono definiti da Sensitive Data Protection, ma puoi interpretarli come segue:

Dati ad alta sensibilità

Il rilevamento di Sensitive Data Protection ha rilevato almeno un'istanza di dati ad alta sensibilità nella risorsa.

Dati di sensibilità media

Il rilevamento di Sensitive Data Protection ha trovato almeno un'istanza di dati a sensibilità media nella risorsa e nessuna istanza di dati ad alta sensibilità.

Dati a bassa sensibilità

Il rilevamento di Sensitive Data Protection non ha rilevato dati sensibili o alcun testo in formato libero o dati non strutturati nella risorsa.

Se il rilevamento di Sensitive Data Protection identifica solo i dati a bassa sensibilità in una risorsa di dati corrispondente, la risorsa non viene designata come risorsa di alto valore.

Se hai bisogno che le risorse di dati contenenti solo dati a bassa sensibilità vengano classificate come risorse di alto valore con priorità bassa, crea una configurazione di valori delle risorse duplicata, ma specifica un valore di priorità LOW anziché abilitare la priorità relativa alla sensibilità dei dati. La configurazione che utilizza Sensitive Data Protection sostituisce la configurazione che assegna il valore di priorità LOW, ma solo per le risorse che contengono dati di sensibilità HIGH o MEDIUM.

Puoi modificare i valori di priorità predefiniti utilizzati da Security Command Center quando vengono rilevati dati sensibili nella configurazione dei valori delle risorse.

Per maggiori informazioni su Sensitive Data Protection, consulta la panoramica di Sensitive Data Protection.

Priorità della sensibilità ai dati e set di risorse predefinito di alto valore

Prima di creare un set di risorse di alto valore, Security Command Center utilizza un set di risorse predefinito di alto valore per calcolare i punteggi di esposizione agli attacchi e i percorsi di attacco.

Se utilizzi il rilevamento di Sensitive Data Protection, Security Command Center aggiunge automaticamente istanze di tipi di risorse dati supportati che contengono dati di sensibilità HIGH o MEDIUM al set di risorse predefinito di alto valore.

Tipi di risorse supportati per i valori di priorità automatizzati della sensibilità dei dati

Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati da Sensitive Data Protection solo per i seguenti tipi di risorse dati:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Set di risorse di alto valore

Un set di risorse di alto valore è una raccolta definita di risorse nel tuo ambiente Google Cloud che sono le più importanti da proteggere e proteggere.

Per definire un set di risorse di alto valore, devi specificare quali risorse nel tuo ambiente Google Cloud appartengono al set di risorse di alto valore. Finché non definisci il set di risorse di alto valore, i punteggi dell'esposizione agli attacchi, i percorsi di attacco e i risultati relativi alle combinazioni dannose non riflettono accuratamente le tue priorità di sicurezza.

Puoi specificare le risorse nel set di risorse di alto valore creando delle configurazioni dei valori delle risorse. La combinazione di tutte le configurazioni dei valori delle risorse definisce un set di risorse di alto valore. Per maggiori informazioni, consulta Configurazioni dei valori delle risorse.

Finché non definisci la configurazione del primo valore delle risorse, Security Command Center utilizza un set di risorse predefinito di alto valore. Il set predefinito si applica nella tua organizzazione a tutti i tipi di risorse supportati dalle simulazioni dei percorsi di attacco. Per maggiori informazioni, consulta Set di risorse predefinito di alto valore.

Puoi visualizzare il set di risorse di alto valore utilizzato nell'ultima simulazione del percorso di attacco nella console Google Cloud nella pagina Asset facendo clic sulla scheda Set di risorse di alto valore. Puoi anche visualizzarle nella scheda Simulazione del percorso di attacco della pagina delle impostazioni di Security Command Center.

Configurazioni dei valori delle risorse

Puoi gestire le risorse nel set di risorse di alto valore mediante le configurazioni dei valori delle risorse.

Puoi creare le configurazioni dei valori delle risorse nella scheda Simulazione del percorso di attacco della pagina Impostazioni di Security Command Center nella console Google Cloud.

In una configurazione dei valori delle risorse, specifichi gli attributi che una risorsa deve avere affinché Security Command Center possa aggiungerla al set di risorse di alto valore.

Gli attributi che puoi specificare includono il tipo di risorsa, i tag delle risorse, le etichette delle risorse e il progetto, la cartella o l'organizzazione padre.

Puoi anche assegnare un valore alle risorse in una configurazione. Il valore della risorsa assegna la priorità alle risorse in una configurazione rispetto alle altre risorse nel set di risorse di alto valore. Per ulteriori informazioni, consulta Valori delle risorse.

Puoi creare fino a 100 configurazioni dei valori delle risorse in un'organizzazione Google Cloud.

Insieme, tutte le configurazioni dei valori delle risorse che crei definiscono il set di risorse di alto valore che Security Command Center utilizza per le simulazioni dei percorsi di attacco.

Attributi risorsa

Affinché una risorsa venga inclusa nel set di risorse di alto valore, i suoi attributi devono corrispondere a quelli specificati in una configurazione dei valori delle risorse.

Gli attributi che puoi specificare includono:

• Un tipo di risorsa o Any. Quando Any è specificato, la configurazione si applica a tutti i tipi di risorse supportati all'interno dell'ambito specificato. Any è il valore predefinito.
• Un ambito (organizzazione, cartella o progetto padre) all'interno del quale devono trovarsi le risorse. L'ambito predefinito è la tua organizzazione. Se specifichi un'organizzazione o una cartella, la configurazione si applica anche alle risorse nelle cartelle o nei progetti figlio.
• Facoltativamente, uno o più tag o etichette che ogni risorsa deve contenere.

Se specifichi una o più configurazioni dei valori delle risorse, ma nessuna risorsa nel tuo ambiente Google Cloud corrisponde agli attributi specificati in una qualsiasi delle configurazioni, Security Command Center invia un risultato SCC Error e utilizza il set di risorse di alto valore predefinito.

Set di risorse di alto valore predefinito

Security Command Center utilizza un set di risorse di alto valore predefinito per calcolare i punteggi di esposizione agli attacchi quando non vengono definite configurazioni dei valori delle risorse o quando nessuna configurazione definita corrisponde ad alcuna risorsa.

Security Command Center assegna alle risorse nella risorsa predefinita di alto valore un valore di priorità pari a LOW, a meno che non utilizzi l'individuazione di Sensitive Data Protection, nel qual caso Security Command Center assegna alle risorse che contengono dati ad alta sensibilità o a sensibilità media un valore di priorità corrispondente di HIGH o MEDIUM.

Se hai almeno una configurazione dei valori delle risorse che corrisponde ad almeno una risorsa nel tuo ambiente, Security Command Center interrompe l'utilizzo del set di risorse predefinito di alto valore.

Per ricevere punteggi relativi all'esposizione agli attacchi e alle combinazioni tossiche che riflettono accuratamente le tue priorità di sicurezza, sostituisci il set di risorse di alto valore predefinito con il tuo set di risorse di alto valore. Per ulteriori informazioni, consulta Definire un set di risorse di alto valore.

L'elenco seguente mostra i tipi di risorse inclusi nel set di risorse predefinito di alto valore:

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limite alle risorse in un set di risorse di alto valore

Security Command Center limita il numero di risorse di una risorsa di alto valore impostata su 1000.

Se le specifiche degli attributi in una o più configurazioni dei valori delle risorse sono molto ampie, il numero di risorse che corrispondono alle specifiche dell'attributo può superare i 1000.

Quando il numero di risorse corrispondenti supera il limite, Security Command Center esclude le risorse dal set fino a quando il numero di risorse non rientra nel limite. Security Command Center esclude prima le risorse con il valore assegnato più basso. Tra le risorse con lo stesso valore assegnato, Security Command Center esclude le istanze di risorse in base a un algoritmo che distribuisce le risorse escluse tra i diversi tipi di risorse.

Una risorsa esclusa dal set di risorse di alto valore non viene considerata nel calcolo dei punteggi di esposizione agli attacchi.

Per avvisarti quando viene superato il limite di istanze per il calcolo del punteggio, Security Command Center genera un risultato SCC error e visualizza un messaggio nella scheda delle impostazioni Simulazione del percorso di attacco della console Google Cloud. Security Command Center non genera un risultato SCC error se l'insieme predefinito di valore elevato supera il limite di istanze.

Per evitare di superare il limite, regola le configurazioni dei valori delle risorse per perfezionare le istanze nel set di risorse di alto valore.

Ecco alcune delle cose che puoi fare per perfezionare il tuo set di risorse di alto valore:

• Usa tag o etichette per ridurre il numero di corrispondenze per un determinato tipo di risorsa o all'interno di un ambito specificato.
• Crea una configurazione dei valori delle risorse che assegni un valore NONE a un sottoinsieme delle risorse specificate in un'altra configurazione. La specifica del valore NONE esegue l'override di qualsiasi altra configurazione e esclude le istanze di risorse dal set di risorse di alto valore.
• Riduci la specifica dell'ambito nella configurazione del valore delle risorse.
• Elimina le configurazioni dei valori delle risorse che assegnano un valore LOW.

Selezione delle risorse di alto valore

Per completare il set di risorse di alto valore, devi decidere quali istanze di risorse nel tuo ambiente hanno un valore davvero elevato.

In genere, le vere risorse di alto valore sono le risorse che elaborano e archiviano i tuoi dati sensibili. Ad esempio, su Google Cloud potrebbero essere istanze di Compute Engine, un set di dati BigQuery o un bucket Cloud Storage.

Non è necessario designare le risorse adiacenti alle risorse di alto valore, ad esempio un jump server, come di valore elevato. Le simulazioni del percorso di attacco prendono in considerazione già queste risorse adiacenti e, se le designi come valore elevato, possono rendere meno affidabili i punteggi di esposizione agli attacchi.

Supporto multi-cloud

Le simulazioni del percorso di attacco possono valutare i rischi dei deployment su altre piattaforme di provider di servizi cloud.

Dopo aver stabilito una connessione a un'altra piattaforma, puoi designare risorse di alto valore sull'altro provider di servizi cloud creando configurazioni dei valori delle risorse, come faresti per le risorse su Google Cloud.

Security Command Center esegue simulazioni per una piattaforma cloud indipendentemente da quelle eseguite per altre piattaforme cloud.

Prima di creare la tua prima configurazione del valore delle risorse per un altro provider di servizi cloud, Security Command Center utilizza un set di risorse predefinito di alto valore specifico per il provider di servizi cloud. Il set di risorse di alto valore predefinito designa tutte le risorse supportate come risorse di alto valore.

Piattaforme supportate dai provider di servizi cloud

Oltre a Google Cloud, Security Command Center può eseguire simulazioni dei percorsi di attacco per Amazon Web Services (AWS). Per ulteriori informazioni, consulta:

• Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio
• Supporto per la simulazione del percorso di attacco per AWS

Percorsi di attacco

Un percorso di attacco è una rappresentazione visiva interattiva di uno o più percorsi potenziali che un utente ipotetico potrebbe seguire per arrivare dalla rete internet pubblica a una delle tue istanze di risorse di alto valore.

Le simulazioni del percorso di attacco identificano i potenziali percorsi di attacco attraverso la modellazione di ciò che accadrebbe se un utente malintenzionato applicasse metodi di attacco noti alle vulnerabilità e alle configurazioni errate che Security Command Center ha rilevato nel tuo ambiente per cercare di raggiungere le tue risorse di alto valore.

Puoi visualizzare i percorsi di attacco facendo clic sul punteggio di esposizione agli attacchi in un risultato o una risorsa nella console Google Cloud.

Quando visualizzi un caso di combinazione tossica nella Security Operations Console, puoi visualizzare un percorso di attacco semplificato per la combinazione tossica nella scheda Panoramica della richiesta. Il percorso di attacco semplificato include un link al percorso di attacco completo. Per ulteriori informazioni sui percorsi di attacco per i risultati delle combinazioni tossiche, consulta Percorsi di attacco combinati tossici.

Quando si visualizzano percorsi di attacco più grandi, è possibile modificare la visualizzazione di questi ultimi trascinando il selettore dell'area di messa a fuoco con il quadrato rosso attorno alla miniatura del percorso di attacco sul lato destro del display.

Quando il percorso di attacco viene visualizzato nella console Google Cloud, puoi fare clic su Riepilogo IA^Anteprima per visualizzare una spiegazione del percorso. La spiegazione viene generata dinamicamente utilizzando l'intelligenza artificiale AIA). Per maggiori informazioni, consulta i riepiloghi creati con l'IA.

In un percorso di attacco, le risorse su un percorso di attacco sono rappresentate da caselle o nodi. Le linee rappresentano la potenziale accessibilità tra le risorse. Insieme, i nodi e le linee rappresentano il percorso di attacco.

Nodi del percorso di attacco

I nodi in un percorso di attacco rappresentano le risorse su un percorso di attacco.

Visualizzazione delle informazioni sui nodi

Puoi visualizzare ulteriori informazioni su ciascun nodo in un percorso di attacco facendo clic sul nodo.

Facendo clic sul nome della risorsa in un nodo, vengono visualizzate ulteriori informazioni sulla risorsa e gli eventuali risultati che la interessano.

Facendo clic su Espandi nodo vengono visualizzati i possibili metodi di attacco che potrebbero essere utilizzati se un utente malintenzionato avesse ottenuto l'accesso alla risorsa.

Tipi di nodi

Esistono tre diversi tipi di nodi:

• Il punto di partenza o punto di ingresso dell'attacco simulato, ovvero la rete internet pubblica. Facendo clic su un nodo del punto di ingresso, viene visualizzata una descrizione del punto di ingresso, insieme ai metodi di attacco che un utente malintenzionato potrebbe utilizzare per ottenere l'accesso al tuo ambiente.
• Le risorse interessate che un utente malintenzionato può utilizzare per avanzare lungo un percorso.
• La risorsa esposta alla fine di un percorso, che è una delle risorse nel set di risorse di alto valore. Solo una risorsa in un set di risorse di alto valore definito o predefinito può essere esposta. Per definire un set di risorse di alto valore, devi creare le configurazioni dei valori delle risorse.

Nodi upstream e downstream

In un percorso di attacco, un nodo può essere upstream o downstream degli altri nodi. Un nodo a monte è più vicino al punto di ingresso e alla parte superiore del percorso di attacco. Un nodo downstream è più vicino alla risorsa di alto valore esposta nella parte inferiore del percorso di attacco.

Nodi che rappresentano più istanze di risorse container

Un nodo può rappresentare più istanze di determinati tipi di risorse container se le istanze condividono le stesse caratteristiche.

Più istanze dei seguenti tipi di risorse container possono essere rappresentate da un singolo nodo:

• Controller ReplicaSet
• Controller deployment
• Controller job
• Controller CronJob
• Controller DaemonSet

Linee del percorso di attacco

In un percorso di attacco, le linee tra i riquadri rappresentano la potenziale accessibilità tra le risorse che un utente malintenzionato potrebbe sfruttare per raggiungere risorse di alto valore.

Le righe non rappresentano una relazione tra le risorse definita in Google Cloud.

Se sono presenti più percorsi che puntano a un nodo downstream da più nodi upstream, i nodi upstream possono avere una relazione AND o OR tra loro.

Una relazione AND significa che un utente malintenzionato ha bisogno di accedere a entrambi i nodi upstream per accedere a un nodo downstream sul percorso.

Ad esempio, una linea diretta dalla rete internet pubblica a una risorsa di alto valore alla fine di un percorso di attacco ha una relazione AND con almeno un'altra linea nel percorso di attacco. Un utente malintenzionato non potrebbe raggiungere la risorsa di alto valore a meno che non abbia accesso sia al tuo ambiente Google Cloud sia ad almeno un'altra risorsa mostrata nel percorso di attacco.

Una relazione OR significa che un utente malintenzionato ha bisogno di accedere solo a uno dei nodi upstream per accedere al nodo downstream.

Simulazioni del percorso di attacco

Per determinare tutti i possibili percorsi di attacco e calcolare i punteggi di esposizione agli attacchi, Security Command Center esegue simulazioni avanzate dei percorsi di attacco.

Pianificazione della simulazione

Le simulazioni del percorso di attacco possono essere eseguite fino a quattro volte al giorno (ogni sei ore). Man mano che la tua organizzazione cresce, le simulazioni richiedono più tempo, ma verranno eseguite almeno una volta al giorno. Le esecuzioni delle simulazioni non vengono attivate dalla creazione, dalla modifica o dell'eliminazione delle risorse o delle configurazioni dei valori delle risorse.

Passaggi della simulazione del percorso di attacco

Le simulazioni prevedono tre passaggi:

1. Generazione del modello: un modello dell'ambiente Google Cloud viene generato automaticamente in base ai dati dell'ambiente. Il modello è una rappresentazione grafica del tuo ambiente, su misura per le analisi dei percorsi di attacco.
2. Simulazione del percorso di attacco: le simulazioni del percorso di attacco vengono condotte sul modello grafico. Nelle simulazioni, un utente malintenzionato virtuale tenta di raggiungere e compromettere le risorse del set di risorse di alto valore. Le simulazioni sfruttano gli insight su ogni risorsa e relazione specifica, tra cui networking, IAM, configurazioni, configurazioni errate e vulnerabilità.
3. Report di insight: in base alle simulazioni, Security Command Center assegna punteggi di esposizione agli attacchi alle risorse di alto valore e ai risultati che le espongono, visualizzando i percorsi potenziali che un utente malintenzionato potrebbe seguire verso queste risorse.

Caratteristiche dell'esecuzione della simulazione

Oltre a fornire i punteggi di esposizione agli attacchi, gli insight e i percorsi di attacco, le simulazioni di questi percorsi presentano le seguenti caratteristiche:

• Non toccano l'ambiente live: tutte le simulazioni vengono condotte su un modello virtuale e utilizzano l'accesso in sola lettura per la creazione del modello.
• Sono dinamici: il modello viene creato senza agenti tramite l'accesso di sola lettura alle API, che consente alle simulazioni di seguire dinamicamente le modifiche all'ambiente nel tempo.
• Ha un utente malintenzionato virtuale che prova il maggior numero possibile di metodi e vulnerabilità per raggiungere e compromettere le risorse di alto valore. Ciò include non solo le "incognite note", come vulnerabilità, configurazioni, configurazioni errate e relazioni di rete, ma anche "incognite note" con minore probabilità, rischi noti, come la possibilità di phishing o la divulgazione di credenziali.
• Sono automatizzati: la logica di attacco è integrata nello strumento. Non è necessario creare o gestire set di query o set di dati di grandi dimensioni.

Scenario e capacità dell’aggressore

Nelle simulazioni, Security Command Center ha una rappresentazione logica di un tentativo di attacco che sfrutta le risorse di alto valore accedendo all'ambiente Google Cloud e seguendo potenziali percorsi di accesso attraverso le risorse e individuando le vulnerabilità.

L’aggressore virtuale

L'utente malintenzionato virtuale utilizzato dalle simulazioni ha le seguenti caratteristiche:

• L'utente malintenzionato è esterno: non è un utente legittimo del tuo ambiente Google Cloud. Le simulazioni non modellano né includono attacchi da parte di utenti malintenzionati o negligenti che hanno accesso legittimo al tuo ambiente.
• L’aggressore parte dalla rete internet pubblica. Per avviare un attacco, l'aggressore deve prima ottenere l'accesso al tuo ambiente dalla rete internet pubblica.
• L’aggressore è persistente. L'aggressore non verrà scoraggiato e non perderà interesse a causa della difficoltà di un particolare metodo di attacco.
• L’aggressore è esperto e competente. L'utente malintenzionato prova metodi e tecniche noti per accedere alle tue risorse di alto valore.

Accesso iniziale

Ogni simulazione prevede che un utente malintenzionato virtuale prova i seguenti metodi per ottenere l'accesso dalla rete internet pubblica alle risorse nel tuo ambiente:

• Scopri e connettiti a tutti i servizi e le risorse accessibili dalla rete internet pubblica:
  • I servizi su istanze di macchine virtuali (VM) Compute Engine e nodi Google Kubernetes Engine
  • Database
  • Container
  • Bucket Cloud Storage
  • Cloud Functions
• Ottenere l'accesso a chiavi e credenziali, tra cui:
  • Chiavi account di servizio
  • Chiavi di crittografia fornite dall'utente
  • Chiavi SSH di istanze VM
  • Chiavi SSH a livello di progetto
  • Sistemi di gestione delle chiavi esterni
  • Account utente in cui non viene applicata l’autenticazione a più fattori (MFA)
  • Token MFA virtuali intercettati
• Ottenere l'accesso ad asset cloud raggiungibili pubblicamente mediante l'uso di credenziali rubate o sfruttando le vulnerabilità segnalate da Mandiant Attack Surface Management, VM Manager e Rapid Vulnerability Detection

Se la simulazione trova un possibile punto di ingresso nell'ambiente, la simulazione chiede all'utente malintenzionato virtuale di raggiungere e compromettere le risorse di alto valore dal punto di ingresso esplorando e sfruttando consecutivamente le configurazioni di sicurezza e le vulnerabilità all'interno dell'ambiente.

Tattiche e tecniche

La simulazione utilizza un'ampia varietà di tattiche e tecniche, tra cui lo sfruttamento di accesso legittimo, spostamento laterale, escalation dei privilegi, vulnerabilità, configurazioni errate ed esecuzione di codice.

Incorporazione dei dati CVE

Nel calcolare i punteggi di esposizione agli attacchi per i risultati di vulnerabilità, le simulazioni del percorso di attacco prendono in considerazione i dati del record CVE della vulnerabilità, i punteggi CVSS nonché le valutazioni della sfruttabilità della vulnerabilità fornite da Mandiant.

Vengono prese in considerazione le seguenti informazioni CVE:

• Vettore d'attacco: per utilizzare la CVE, l'utente malintenzionato deve avere il livello di accesso specificato nel vettore di attacco CVSS. Ad esempio, un CVE con un vettore di attacco di rete trovato su un asset con un indirizzo IP pubblico e porte aperte può essere sfruttato da un utente malintenzionato con accesso alla rete. Se un utente malintenzionato ha accesso solo alla rete e la CVE richiede l'accesso fisico, l'aggressore non può sfruttare la CVE.
• Complessità dell'attacco: in genere, una vulnerabilità o una configurazione errata con una bassa complessità di attacco ha più probabilità di ottenere un punteggio di esposizione agli attacchi elevato rispetto a un risultato con una complessità di attacco elevata.
• Attività di sfruttamento: in genere, un risultato di vulnerabilità con un'ampia attività di sfruttamento, come stabilito dagli analisti di intelligence sulle minacce informatiche di Mandiant, ha più probabilità di ottenere un punteggio di esposizione agli attacchi elevato rispetto a un risultato senza attività di sfruttamento nota.