攻击风险得分和攻击路径

本页面介绍了关键概念、原则和限制，帮助您了解、优化和使用攻击路径模拟生成的 Security Command Center 攻击风险得分和攻击路径。

系统会针对以下两项生成攻击路径得分和攻击路径：

• 漏洞和配置错误发现结果（统称为漏洞发现结果），会公开有效的高价值资源集中的资源实例。
• 您的高价值资源集中的资源。

攻击路径代表可能性

您不会在攻击路径中看到实际攻击的证据。

攻击路径模拟通过模拟假设的攻击者可以访问您的 Google Cloud 环境并发现 Security Command Center 已发现的攻击路径和漏洞，他们可能会做些什么，从而生成攻击路径和攻击风险得分。

每个攻击路径都会显示攻击者在获得特定资源的访问权限后可能使用的一种或多种攻击方法。请勿将这些攻击方法与实际攻击混淆。

同样，Security Command Center 发现结果或资源的高攻击暴露风险得分并不表示攻击正在进行中。

如需观察实际攻击，请监控 Event Threat Detection 和 Container Threat Detection 等威胁检测服务生成的 THREAT 类发现结果。

如需了解详情，请参阅本页面的以下部分：

• 攻击风险得分
• 攻击路径
• 攻击路径模拟

攻击风险得分

Security Command Center 发现结果或资源的攻击风险得分衡量的是，如果恶意操作者获得了您的 Google Cloud 环境的访问权限，那么暴露的资源对潜在攻击的影响。

针对发现结果，得分用于衡量检测到的安全问题将一个或多个高价值资源暴露给潜在网络攻击的程度。 对于高价值资源，得分是衡量资源暴露于潜在网络攻击的程度的指标。

根据漏洞发现结果的攻击风险得分，确定修复发现结果的优先级。

根据资源的攻击风险得分，主动保护对您的业务最有价值的资源。

攻击路径模拟始终从公共互联网开始攻击。因此，攻击风险得分不会考虑怀有恶意或过失的内部操作者可能造成的任何风险。

获得攻击风险得分的发现结果

攻击风险得分适用于支持的发现结果类别中列出的活跃 Vulnerability 和 Misconfiguration 类发现结果。

由于攻击路径模拟包含已忽略的发现结果，因此已忽略的发现结果会收到攻击风险得分并包含在攻击路径中。

攻击路径模拟仅包含活跃的发现结果。状态为 INACTIVE 的发现结果不包含在模拟中，因此不会收到攻击风险得分，也不会包含在攻击路径中。

获得攻击风险得分的资源

攻击路径模拟可计算高价值资源集中支持的资源类型的攻击风险得分。您可以通过创建资源值配置来指定哪些资源属于高价值资源集。

如果高价值资源集中某资源的攻击风险得分为 0，则表示攻击路径模拟无法识别潜在攻击者可以利用的资源的任何路径。

攻击路径模拟支持以下资源类型：

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

分数计算

每次运行攻击路径模拟时，他们都会重新计算攻击暴露风险得分。每个攻击路径模拟实际上都会运行多次模拟，其中模拟的攻击者会尝试已知的攻击方法和技术，以访问并危害重要资源。

攻击路径模拟每天最多可运行四次（每六小时一次）。随着组织的发展，模拟需要更长的时间，但每天始终至少运行一次。创建、修改或删除资源或资源值配置不会触发模拟运行。

该模拟使用各种指标计算得分，包括以下指标：

• 分配给提供的高价值资源的优先级值。 您可以分配的优先级值如下：
  • 高 = 10
  • 中 = 5
  • 低 = 1
• 攻击者到达给定资源的可能途径的数量。
• 模拟攻击者能够在给定攻击路径结束时访问并入侵高价值资源的次数，以模拟总数的百分比表示。
• 由检测到的漏洞或配置错误所公开的高价值资源的数量（仅适用于发现结果）。

对于资源，攻击风险得分介于 0 到 10 之间。

概括来讲，该模拟通过将成功攻击的百分比乘以资源的数字优先级值来计算资源得分。

对于发现结果，攻击风险得分没有固定的上限。在对高价值资源集中的公开资源的攻击路径上发现结果的频率越高，这些资源的优先级值越高，得分就越高。

概括来讲，模拟使用与资源得分相同的计算方法来计算发现结果得分，但对于发现结果得分，模拟将计算结果乘以发现的高价值资源数量。

更改分数

每次运行攻击路径模拟时，得分都可能发生变化。今天的得分为零的发现结果或资源明天的得分可能为非零。

得分发生变化的原因有很多，包括以下各项：

• 检测到或修复了直接或间接暴露高价值资源的漏洞。
• 添加或移除环境中的资源。

在模拟运行后，发现结果或资源更改直到下一次模拟运行才会反映到攻击风险得分中。

根据攻击风险得分来确定寻找修复措施的优先级

要根据攻击风险得分有效地确定修复发现结果的优先级，请考虑以下几点：

• 攻击风险得分大于零的任何发现结果都会以某种方式将高价值资源暴露在潜在攻击之下，因此应优先对此类发现结果而不是得分为零的发现结果进行修复。
• 发现结果的得分越高，它将高价值资源暴露的程度就越高，您就越应该优先对其进行修复。

通常，应最先修复得分最高且最能有效阻止高价值资源的攻击路径的发现结果。

在 Google Cloud 控制台的 Security Command Center 发现结果页面上，您可以点击攻击风险得分列标题，按攻击风险得分对发现结果的查询结果面板中的发现结果进行排序。

您还可以查看得分最高的发现结果，方法是向发现结果查询添加过滤条件，仅返回攻击风险得分大于指定数字的发现结果。

无法修复的发现结果。

在某些情况下，您可能无法修复攻击风险得分较高的发现结果，因为它表示可接受的已知风险，或者表示发现结果无法轻易修复。在这些情况下，您可能需要通过其他方式降低风险。查看相关攻击路径也许有助于您了解其他可能的缓解措施。

使用攻击风险得分保护资源

资源的非零攻击风险得分表示攻击路径模拟识别了从公共互联网到资源的一条或多条攻击路径。

如需查看高价值资源的攻击风险得分，请按以下步骤操作：

1. 转到 Google Cloud 控制台中的 Security Command Center 资产页面：

   打开“资产”

2. 选择高价值资源集标签页。高价值资源集中的资源按攻击风险得分降序显示。

3. 点击攻击风险得分列中相应资源所在行上的数字，以显示该资源的攻击路径。系统会显示从公共互联网到资源的攻击路径。

4. 查看攻击路径，查找指示发现结果的节点上的红色圆圈。

5. 点击带有红色圆圈的节点可查看发现结果。

6. 采取措施来修复发现结果。

您还可以在设置的攻击路径模拟标签页上点击查看上一次模拟中使用的重要资源，以查看高价值资源的攻击风险得分。

攻击风险得分为 0

资源的攻击风险得分为 0 意味着，在最新的攻击路径模拟中，Security Command Center 未确定攻击者访问资源可能采取的任何路径。

发现结果的攻击风险得分为 0 意味着在最新的攻击模拟中，模拟攻击者无法通过发现结果访问任何高价值资源。

但是，攻击风险得分为 0 并不意味着没有风险。攻击风险得分反映了受支持的 Google Cloud 服务、资源和 Security Command Center 发现结果受到来自公共互联网的潜在威胁的暴露量。例如，得分并未考虑来自内部操作者的威胁、零日漏洞或第三方基础架构。

无攻击风险得分

如果发现结果或资源没有得分，可能是由于以下原因：

• 发现结果是在最新的攻击路径模拟之后发出的。
• 该资源是在最新的攻击路径模拟后添加到您的高价值资源集中。
• 攻击风险功能目前不支持发现结果类别或资源类型。

如需查看受支持的发现结果类别列表，请参阅攻击风险功能支持。

如需查看支持的资源类型的列表，请参阅收到攻击风险得分的资源。

资源值

虽然 Google Cloud 上的所有资源都有价值，但 Security Command Center 仅会识别您指定为高价值资源（有时称为“重要资源”）的资源，能够识别攻击路径并计算攻击暴露风险得分。

高价值资源

Google Cloud 上的高价值资源是一种对您的企业极为重要的资源，有助于防止其遭受潜在攻击。例如，高价值资源可能是存储有价值或敏感数据的资源，也可能是托管业务关键型工作负载的资源。

如需将某项资源指定为高价值资源，您可以在资源值配置中定义资源的特性。Security Command Center 会将与您在配置中指定的属性匹配的任何资源实例视为高价值资源。

优先级值

在您指定为高价值的资源中，您可能需要更加重视某些资源的安全性。例如，一组数据资源可能包含高价值数据，但其中一些数据资源可能包含比其余数据更敏感的数据。

为了让攻击风险得分反映您需要优先考虑高价值资源集中资源的安全性，请在资源值配置中将资源指定为高价值资源的优先级值。

如果您使用敏感数据保护，还可以根据资源包含的数据的敏感度自动确定资源优先级。

手动设置资源优先级值

在资源值配置中，您可以通过指定以下优先级值之一为匹配的高价值资源分配优先级：

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

如果您在资源值配置中指定 LOW 的优先级值，则匹配的资源仍然是高价值资源；攻击路径模拟只会将它们的优先级设为较低的优先级，并为其分配比优先级值为 MEDIUM 或 HIGH 的高价值资源更低的攻击风险得分。

如果多个配置为同一资源分配不同的值，则以最大值为准，除非配置分配的值为 NONE。

资源值 NONE 不会将匹配的资源视为高价值资源，并替换同一资源的任何其他资源值配置。因此，请确保指定 NONE 的任何配置仅应用于一组有限的资源。

按数据敏感度自动设置资源优先级值

如果您使用 Sensitive Data Protection 发现，则可以将 Security Command Center 配置为根据某些高价值资源包含的数据的敏感度自动设置这些资源的优先级值。

在资源值配置中指定资源时，您可以启用数据敏感度优先级。

启用后，如果敏感数据保护发现将资源中的数据分类为 MEDIUM 或 HIGH 敏感度，则攻击路径模拟会默认将资源的优先级值设置为相同的值。

数据敏感度级别由敏感数据保护功能定义，但您可以将其解读如下：

高敏感度数据

敏感数据保护发现在资源中发现了至少一个高敏感度数据实例。

中等敏感度数据

敏感数据保护发现发现资源中至少有一个实例日期为中等敏感度，但没有任何高敏感度数据实例。

低敏感度数据

敏感数据保护发现未检测到资源中的敏感数据或者任何自由格式文本或非结构化数据。

如果 Sensitive Data Protection 发现仅识别匹配数据资源中的低敏感度数据，则该资源不会被指定为高价值资源。

如果您需要将仅包含低敏感度数据的数据资源指定为优先级低的高价值资源，请创建一个重复的资源值配置，但指定优先级值 LOW，而不是启用数据敏感度优先级。使用敏感数据保护的配置会覆盖分配 LOW 优先级值的配置，但仅限于包含 HIGH 或 MEDIUM 敏感度数据的资源。

您可以更改在资源值配置中检测到敏感数据时 Security Command Center 使用的默认优先级值。

如需详细了解敏感数据保护，请参阅敏感数据保护概览。

数据敏感度优先级和默认高价值资源集

在创建您自己的高价值资源集之前，Security Command Center 会使用默认的高价值资源集来计算攻击风险得分和攻击路径。

如果您使用敏感数据保护发现，Security Command Center 会自动将包含 HIGH 或 MEDIUM 敏感度数据的受支持数据资源类型的实例添加到默认的高价值资源集中。

自动数据敏感度优先级值支持的资源类型

攻击路径模拟可以根据敏感数据保护的数据敏感度分类仅为 bigquery.googleapis.com/Dataset 数据资源类型自动设置优先级值。

高价值资源集

高价值资源集是 Google Cloud 环境中定义的最需要保护的重要资源集合。

若要定义高价值资源集，您需要指定 Google Cloud 环境中哪些资源属于高价值资源集。定义高价值资源集之后，攻击风险得分和攻击路径才能准确反映安全优先级。

您可以通过创建资源值配置，来指定高价值资源集中的资源。所有资源值配置的组合定义了您的高价值资源集。如需了解详情，请参阅资源值配置。

在您定义第一个资源值配置之前，Security Command Center 将使用默认的高价值资源集。默认集将在整个组织中应用于攻击路径模拟支持的所有资源类型。如需了解详情，请参阅默认的高价值资源集。

您可以在 Google Cloud 控制台的资产页面上点击高价值资源集标签页，查看上次攻击路径模拟中使用的高价值资源集。您也可以在 Security Command Center 设置页面的攻击路径模拟标签页中查看这些事件。

资源值配置

您可以使用资源值配置管理高价值资源集中的资源。

您可以在 Google Cloud 控制台中 Security Command Center 设置页面的攻击路径模拟标签页上创建资源值配置。

在资源值配置中，您可以指定资源必须具有的属性，以便 Security Command Center 将其添加到高价值资源集中。

您可以指定的属性包括资源类型、资源标记、资源标签以及父级项目、文件夹或组织。

您还需要在配置中为资源分配资源值。资源值会相对于高价值资源集中的其他资源确定配置中资源的优先级。如需了解详情，请参阅资源值。

您最多可以在一个 Google Cloud 组织中创建 100 个资源值配置。

您创建的所有资源值配置共同定义了 Security Command Center 用于攻击路径模拟的高价值资源集。

资源属性

对于要纳入高价值资源集的资源，其属性必须与您在资源值配置中指定的属性一致。

您可以指定的属性包括：

• 一个资源类型，或 Any。指定 Any 时，配置将应用于指定范围内所有受支持的资源类型。Any 为默认值。
• 资源必须所在的范围（父级组织、文件夹或项目）。默认范围是您的组织。如果您指定了组织或文件夹，则配置也会应用于子文件夹或项目中的资源。
• （可选）每个资源必须包含的一个或多个标记或标签。

如果指定了一个或多个资源值配置，但 Google Cloud 环境中没有资源与任何配置中指定的属性匹配，则 Security Command Center 会发出 SCC Error 发现结果并回退到默认的高价值资源集。

默认的高价值资源集

Security Command Center 使用默认的高价值资源集，以便在未定义资源值配置或定义的配置与任何资源都不匹配时，计算攻击风险得分。

Security Command Center 会为默认高价值资源中的资源分配优先级值 LOW，除非您使用敏感数据保护发现，在这种情况下，Security Command Center 会为包含高敏感度或中等敏感度数据的资源分配相应的优先级值 HIGH 或 MEDIUM。

如果至少一个资源值配置与环境中至少一个资源匹配，则 Security Command Center 将停止使用默认的高价值资源集。

为了接收准确反映安全优先级的攻击风险得分，请将默认的高价值资源集替换为您自己的高价值资源集。如需了解详情，请参阅定义高价值资源集。

以下列表显示了默认高价值资源集中包含的资源类型：

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

高价值资源集中的资源限制

Security Command Center 将高价值资源中的资源数量限制为 1000。

如果一个或多个资源值配置中的属性规范非常广泛，则与属性规范匹配的资源数量可能会超过 1,000。

如果匹配资源的数量超过限制，Security Command Center 会从资源集中排除资源，直到资源数量在限制范围内。Security Command Center 首先排除分配值最低的资源。在具有相同分配值的资源中，Security Command Center 通过一种算法来排除资源实例，该算法可跨各个资源类型分配排除的资源。

计算攻击风险得分时不考虑从高价值资源集中排除的资源。

为了在超过得分计算的实例限制时提醒您，Security Command Center 会发出 SCC error 发现结果，并在 Google Cloud 控制台中的攻击路径模拟设置标签页上显示消息。如果默认的最大值集超过实例限制，则 Security Command Center 不会发出 SCC error 发现结果。

为避免超出限制，请调整资源值配置，以优化高价值资源集中的实例。

您可以采取以下措施来优化高价值资源集，包括：

• 使用标记或标签来减少给定资源类型或指定范围内的匹配数量。
• 创建资源值配置，以将值 NONE 分配给在另一配置中指定的部分资源。指定 NONE 值时会替换任何其他配置，并排除高价值资源集中的资源实例。
• 缩小资源值配置中的范围规范。
• 删除分配了 LOW 值的资源值配置。

选择高价值资源

如需填充高价值资源集，您需要确定环境中哪些资源实例确实具有高价值。

一般来说，真正的高价值资源是处理和存储敏感数据的资源。例如，在 Google Cloud 上，这些文件可能是 Compute Engine 实例、BigQuery 数据集或 Cloud Storage 存储桶。

您无需将高价值资源（例如跳转服务器）附近的资源指定为高价值资源。攻击路径模拟会考虑这些相邻的资源，如果您也将其指定为高价值资源，可能会使得攻击风险得分不那么可靠。

多云支持

攻击路径模拟可以评估您在其他云服务提供商平台上部署的风险。

与其他平台建立连接后，您可以通过创建资源值配置来指定其他云服务提供商上的高价值资源，就像您在 Google Cloud 上为资源指定配置一样。

Security Command Center 会针对云平台运行模拟，独立于其他云平台运行的模拟。

在您为其他云服务提供商创建第一个资源值配置之前，Security Command Center 会使用特定于该云服务提供商的默认高价值资源集。默认的高价值资源集将所有受支持的资源指定为高价值资源。

支持的云服务提供商平台

除了 Google Cloud 之外，Security Command Center 还可以针对 Amazon Web Services (AWS) 运行攻击路径模拟。如需了解详情，请参阅以下主题：

• 连接到 AWS 以进行漏洞检测和风险评估
• 针对 AWS 的攻击路径模拟支持

攻击路径

攻击路径以可视化的交互方式描述了假想的攻击者可能会采取的一条或多条潜在路径，他们通过此类潜在路径从公共互联网到达您的某个高价值资源实例。

攻击路径模拟可模仿攻击者将已知的攻击方法应用于 Security Command Center 已在您的环境中检测到的漏洞和配置错误以尝试访问您的高价值目标时发生的情况，从而识别潜在的攻击路径。

您可以在 Google Cloud 控制台中点击发现结果或资源的攻击风险得分，查看攻击路径。

在查看较大的攻击路径时，您可以在显示屏幕右侧的攻击路径微缩视图周围拖动红色方形的焦点区域选择器，从而更改攻击路径视图。

显示攻击路径时，您可以点击 AI 摘要^预览版以显示攻击路径的说明。该说明是使用人工智能 (AI) 动态生成的。如需了解详情，请参阅 AI 生成的摘要。

在攻击路径中，攻击路径上的资源表示为方框或节点。线条表示资源之间的潜在可访问性。节点和线条共同表示攻击路径。

攻击路径节点

攻击路径中的节点代表攻击路径上的资源。

显示节点信息

点击攻击路径中的每个节点，即可显示有关它的更多信息。

点击节点中的资源名称后，系统会显示有关该资源的详细信息以及影响该资源的任何发现结果。

点击展开节点可显示在攻击者获得资源访问权限时可能使用的攻击方法。

节点类型

节点有三种不同的类型：

• 模拟攻击的起点或入口点，即公共互联网。点击某个入口点节点后，系统会显示入口点的说明以及攻击者可用来访问您的环境的攻击方法。
• 攻击者可用于在路径上前进的受影响的资源。
• 路径末尾存在攻击风险的资源，即高价值资源集中的资源之一。只有已定义或默认的高价值资源集中的资源才是存在攻击风险的资源。您可以通过创建资源值配置来定义高价值资源集。

上游和下游节点

在攻击路径中，节点可以是其他节点的上游或下游。上游节点更接近入口点和攻击路径的顶部。下游节点更靠近攻击路径底部存在攻击风险的高价值资源。

表示多个容器资源实例的节点

节点可以表示某些容器资源类型的多个实例，前提是这些实例具有相同的特征。

以下容器资源类型的多个实例可以由单个节点表示：

• ReplicaSet 控制器
• Deployment 控制器
• Job 控制器
• CronJob 控制器
• DaemonSet 控制器

攻击路径线

在攻击路径中，方框之间的线条表示资源之间的潜在可访问性，攻击者可以加以利用以访问高价值资源。

这些线条并不表示 Google Cloud 中定义的资源之间的关系。

如果有多个路径从多个上游节点指向一个下游节点，则上游节点之间可以是 AND 关系，也可以是 OR 关系。

AND 关系表示攻击者需要这两个上游节点的访问权限，才能访问路径上的下游节点。

例如，从公共互联网到攻击路径末尾的高价值资源的直接行与攻击路径中的另一行具有 AND 关系。除非攻击者同时访问您的 Google Cloud 环境和攻击路径中显示的至少一个其他资源，否则他们无法访问高价值资源。

OR 关系表示攻击者只需要其中一个上游节点的访问权限即可访问下游节点。

攻击路径模拟

为了确定所有可能的攻击路径并计算攻击风险得分，Security Command Center 会执行高级攻击路径模拟。

模拟时间表

攻击路径模拟每天最多可运行四次（每六小时一次）。随着组织的发展，模拟需要更长的时间，但每天始终至少运行一次。创建、修改或删除资源或资源值配置不会触发模拟运行。

攻击路径模拟步骤

模拟包含三个步骤：

1. 模型生成：Google Cloud 环境的模型会根据环境数据自动生成。该模型是环境的图表表示形式，专为攻击路径分析量身定制。
2. 攻击路径模拟：在图表模型上进行攻击路径模拟。这些模拟会让虚拟攻击者尝试访问并入侵高价值资源集中的资源。模拟利用针对每个特定资源和关系（包括网络、IAM、配置、配置错误和漏洞）的分析洞见。
3. 数据分析报告：根据模拟结果，Security Command Center 会将攻击风险得分分配给高价值资源以及暴露这些资源的发现结果，并直观呈现攻击者访问这些资源的潜在路径。

模拟执行特征

攻击路径模拟除了提供攻击风险得分、攻击路径分析洞见和攻击路径之外，还具有以下特征：

• 它们不会影响您的实际环境：所有模拟都是在虚拟模型上进行的，并且仅使用读取权限来创建模型。
• 它们是动态的：模型是在不使用代理的情况下仅通过 API 读取权限创建的，这使得模拟能够随着时间的推移动态地跟随环境的变化。
• 它们会让虚拟攻击者尝试尽可能多的方法和漏洞来访问和入侵您的高价值资源。这不仅包括“已知内容”（例如漏洞、配置、配置错误和网络关系），还包括低概率的“已知的未知内容”，即我们已知存在的风险，例如可能的钓鱼式攻击或凭据泄露。
• 它们是自动的：攻击逻辑内置于工具中。您无需构建或维护大量查询或大型数据集。

攻击者的情况和能力

在模拟中，Security Command Center 以逻辑方式表示攻击者尝试通过访问您的 Google Cloud 环境并通过您的资源和检测到的漏洞按照潜在访问路径来利用您的高价值资源。

虚拟攻击者

模拟使用的虚拟攻击者具有以下特征：

• 攻击者来自外部：攻击者不是 Google Cloud 环境的合法用户。对于可合法访问环境的怀有恶意或过失的用户，模拟无法模仿或包含他们发起的攻击。
• 攻击者从公共互联网开始攻击。若要发起攻击，攻击者必须先从公共互联网访问您的环境。
• 攻击者会坚持不懈。攻击者不会因为特定攻击方法太难而气馁或失去兴趣。
• 攻击者很熟练，并且知识渊博。攻击者会尝试使用已知的方法和技术来访问高价值资源。

初始访问

每个模拟都会让一名虚拟攻击者尝试使用以下方法从公共互联网访问环境中的资源：

• 发现并连接可通过公共互联网访问的任何服务和资源：
  • Compute Engine 虚拟机实例和 Google Kubernetes Engine 节点上的服务
  • 数据库
  • 容器
  • Cloud Storage 存储桶
  • Cloud Functions
• 获取密钥和凭据的访问权限，包括：
  • 服务账号密钥
  • 用户提供的加密密钥
  • 虚拟机实例 SSH 密钥
  • 项目范围的 SSH 密钥
  • 外部密钥管理系统
  • 未强制执行多重身份验证 (MFA) 的用户账号
  • 拦截的虚拟 MFA 令牌
• 使用被盗凭据或利用虚拟机管理器和快速漏洞检测报告的漏洞，访问可公开访问的云资产

如果模拟找到环境的可能入口点，则会让虚拟攻击者不断探索和利用环境中的安全配置和漏洞，以尝试从入口点访问和入侵高价值资源。

战术和方法

该模拟使用各种策略和技术，包括利用合法访问、横向移动、提升权限、漏洞、配置错误和代码执行。

纳入 CVE 数据

在计算漏洞发现结果的攻击风险得分时，攻击路径模拟会考虑漏洞的 CVE 记录中的数据、CVSS 评分，以及 Mandiant 提供的漏洞被利用性的评估结果。

系统会考虑以下 CVE 信息：

• 攻击途径：攻击者需要具有 CVSS 攻击途径中指定的访问权限级别才能使用 CVE。例如，在具有公共 IP 地址和开放端口的资产上发现具有网络攻击途径的 CVE 可能会被具有网络访问权限的攻击者利用。如果攻击者仅具有网络访问权限，并且 CVE 需要物理访问权限，攻击者就无法利用 CVE。
• 攻击复杂性：通常，相较于复杂度高的发现结果，攻击复杂度低的漏洞或配置错误发现结果更有可能获得较高的攻击风险得分。
• 利用活动：通常，Mandiant 的网络威胁情报分析师确定的广泛利用活动的漏洞发现结果比无已知利用活动的发现结果更有可能获得较高的攻击暴露风险。