Puntuaciones de exposición a ataques y rutas de ataque

En esta página, se explican los conceptos clave, los principios y las restricciones para ayudarte a conocer, perfeccionar y usar la exposición a ataques y las rutas de ataque generadas por el motor de riesgos de Security Command Center.

Las puntuaciones de las rutas de ataque y las rutas de ataque se generan para los siguientes elementos:

• Hallazgos de vulnerabilidades y configuración incorrecta (resultados de vulnerabilidades, colectivamente) que expongan las instancias de recursos en tu red de conjunto de recursos.
• Los recursos en tu conjunto eficaz de recursos de alto valor.

Las rutas de ataque representan posibilidades

No verás evidencia de un ataque real en una ruta de ataque.

Risk Engine genera rutas de ataque y puntuaciones de exposición a ataques simulando lo que podrían hacer los atacantes hipotéticos si obtuvieran acceso a tu entorno de Google Cloud y descubriste las rutas de ataque y vulnerabilidades que Security Command Center ya encontró.

Cada ruta de ataque te muestra uno o más métodos de ataque que un atacante podría si obtuvieron acceso a un recurso en particular. Qué no debes hacer confundir estos métodos de ataque con ataques reales.

De manera similar, una puntuación alta de exposición al ataque en Security Command Center un hallazgo o recurso no significa que un ataque esté en curso.

Para detectar ataques reales, supervisa los hallazgos de la clase THREAT. producidos por los servicios de detección de amenazas, como Event Threat Detection y Container Threat Detection.

Para obtener más información, consulta las siguientes secciones de esta página:

• Puntuaciones de exposición a ataques
• Rutas de ataque
• Simulaciones de rutas de ataque

Puntuaciones de exposición a ataques

Una puntuación de exposición a ataques en un hallazgo o recurso de Security Command Center es un una medición de cómo están expuestos los recursos a un posible ataque si y perpetrador obtendría acceso a tu entorno de Google Cloud.

Una puntuación de exposición a ataques en una combinación tóxica se denomina puntuación de combinación tóxica en algunos contextos, como la página Hallazgos en la consola de Google Cloud.

En las descripciones de cómo se calculan las puntuaciones, como guía en general sobre priorizar la búsqueda de correcciones y, en ciertos otros contextos, el término puntuación de exposición a ataques también se aplica a puntuaciones de combinaciones tóxicas.

En un hallazgo, la puntuación es una medida de la medida en que se detectó un problema de seguridad expone uno o más recursos de alto valor a posibles ciberataques. En un recurso de alto valor, la puntuación es una medida de qué tan expuesto está el recurso a posibles ciberataques.

Usa las puntuaciones de vulnerabilidades de software, configuración incorrecta y contenido tóxico una combinación de los resultados para priorizar la corrección de esos hallazgos.

Usa puntuaciones de exposición a ataques en los recursos para proteger proactivamente la más valiosos para tu empresa.

En las simulaciones de rutas de ataque, Risk Engine siempre inicia los ataques simulados de la Internet pública. En consecuencia, las puntuaciones de exposición a ataques no consideran ninguna posible exposición agentes internos maliciosos o negligentes.

Hallazgos que reciben puntuaciones de exposición a ataques

Las puntuaciones de exposición a ataques se aplican a las clases de hallazgos activos que se incluyen en Categorías de hallazgos admitidas.

Las simulaciones de rutas de ataque incluyen hallazgos silenciados, por lo que Risk Engine también calcula las puntuaciones y las rutas de ataque de los hallazgos silenciados.

Las simulaciones de rutas de ataque solo incluyen hallazgos activos. Los resultados que tienen un estado de INACTIVE, no se incluyen en las simulaciones, por lo que no reciben puntuaciones y no se incluyen en rutas de ataque.

Recursos que reciben puntuaciones de exposición a ataques

Las simulaciones de rutas de ataque calculan las puntuaciones de exposición a ataques para tipos de recursos admitidos en tu conjunto de recursos de alto valor. Tú especificas recursos pertenecen al conjunto de recursos de alto valor creando parámetros de configuración de los valores de los recursos.

Si un recurso en un conjunto de recursos de alto valor tiene una puntuación de exposición a ataques de 0, las simulaciones de rutas de ataque no identificaron ninguna ruta hacia el recurso que un posible atacante podría aprovechar.

Las simulaciones de rutas de ataque admiten los siguientes tipos de recursos:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Cálculo de la puntuación

Cada vez que se ejecutan las simulaciones de rutas de ataque, vuelven a calcular el ataque y puntuaciones de exposición. Cada simulación de ruta de ataque ejecuta varias simulaciones en el que un atacante simulado prueba métodos y técnicas de ataque conocidos para alcanzar y comprometer los recursos valiosos.

Las simulaciones de rutas de ataque se pueden ejecutar hasta cuatro veces al día (cada seis horas). Como organización crece, las simulaciones demoran más, pero siempre se ejecutarán al menos una vez al día. Las ejecuciones de simulación no se activan mediante la creación, modificación o la eliminación de recursos o la configuración de valores de recursos.

Las simulaciones calculan las puntuaciones a partir de diversas métricas, como las siguientes: lo siguiente:

• El valor de prioridad que se asigna a los recursos de alto valor que queden expuestas. Los valores de prioridad que puedes asignar tienen los siguientes valores:
  • ALTO = 10
  • MED = 5
  • BAJO = 1
• La cantidad de posibles rutas que un atacante podría tomar para llegar a un determinado recurso.
• La cantidad de veces que un atacante simulado puede alcanzar y comprometen un recurso de alto valor al final de una ruta de ataque determinada, expresada como un porcentaje del número total de simulaciones.
• Solo para los hallazgos, la cantidad de recursos de alto valor que expone el se detectó una vulnerabilidad o configuración incorrecta.

Para los recursos, las puntuaciones de exposición a ataques pueden estar en el rango de 0 a 10.

En un nivel alto, las simulaciones calculan las puntuaciones de los recursos según multiplicando el porcentaje de ataques exitosos por el valor de prioridad numérico de los recursos.

Para los resultados, las puntuaciones no tienen un límite superior fijo. Con mayor frecuencia se produce un hallazgo en rutas de ataque a recursos expuestos. en el conjunto de recursos de alto valor y cuanto más alta sea la prioridad de esos recursos, más alta será la puntuación.

En un nivel alto, las simulaciones calculan las puntuaciones de los resultados con el mismo cálculo que con las puntuaciones de recursos, pero para encontrar puntuaciones las simulaciones, luego multiplicaremos el resultado del cálculo por el número de recursos de alto valor que expone el hallazgo.

Cambio de puntuaciones

Las puntuaciones pueden cambiar cada vez que se ejecuta una simulación de ruta de ataque. Un hallazgo o recurso que hoy tiene una puntuación de cero podría tener un valor distinto de cero su puntuación de mañana.

Las puntuaciones cambian por diversos motivos, entre los que se incluyen los siguientes:

• La detección o corrección de una vulnerabilidad que directa o indirectamente expone un recurso de alto valor.
• La adición o eliminación de recursos en tu entorno.

Los cambios en los resultados o recursos después de que se ejecuta una simulación no en las puntuaciones hasta que se ejecute la siguiente simulación.

Uso de puntuaciones para priorizar las soluciones de hallazgos

Para priorizar eficazmente la corrección de los hallazgos en función de su exposición a ataques o puntuaciones de combinaciones tóxicas, considera los siguientes puntos:

• Cualquier hallazgo que tiene una puntuación mayor que cero expone un recurso de alto valor a un posible ataque de alguna manera, la corrección debe priorizarse sobre los hallazgos que tengan una puntuación de cero.
• Cuanto más alta sea la puntuación de un hallazgo, más expone el hallazgo recursos de alto valor y mayor prioridad deberás priorizar su corrección.

En general, dar la mayor prioridad a la corrección de los hallazgos que tienen los puntajes más altos y que bloquean el ataque de manera más eficaz las rutas a los recursos de alto valor.

Si las puntuaciones de un hallazgo de combinación tóxica y un hallazgo en otro de salida son aproximadamente iguales, prioriza la corrección de la de combinación tóxica, porque representa una ruta completa desde el la Internet pública a uno o más recursos de alto valor que un el atacante podría seguir si obtuvo acceso a tu nube en un entorno de nube.

En Security Command Center Hallazgos en la consola de Google Cloud o la consola de operaciones de seguridad, puedes ordenar los hallazgos en el panel de la página por puntaje haciendo clic en el encabezado de la columna.

En la consola de Google Cloud, también puedes ver los hallazgos con las puntuaciones más altas agregando un filtro a la consulta de hallazgos que solo devuelve resultados con una exposición a ataques una puntuación mayor que un número que especifiques.

En la página de casos en la consola de Operaciones de seguridad, también puedes ordenar. los casos de combinaciones tóxicas según la puntuación de exposición a ataques.

Resultados que no se pueden corregir.

En algunos casos, es posible que no puedas corregir un hallazgo con un alto puntuación de exposición a ataques, ya sea porque representa un nivel riesgo aceptado o porque el hallazgo no se puede corregir fácilmente. En en estos casos, quizás debas mitigar el riesgo de otras maneras. Revisando la ruta de ataque asociada podría darle ideas sobre otras posibles mitigaciones.

Usar puntuaciones de exposición a ataques para proteger recursos

Una puntuación de exposición a ataques distinta de cero en un recurso significa que el de rutas de ataque identificaron una o más rutas de ataque desde la Internet pública al recurso.

Para ver las puntuaciones de exposición a ataques de tus recursos de alto valor, sigue estos pasos:

1. En la consola de Google Cloud, ve a la página Recursos de Security Command Center.

   Ir a Recursos

2. Selecciona la pestaña Conjunto de recursos de alto valor. Los recursos en tus recursos de recursos se muestran en orden descendente según la puntuación de exposición a ataques.

3. Mostrar las rutas de ataque de un recurso haciendo clic en el número en su fila de la columna Puntuación de exposición a ataques. Las rutas de ataque de la Internet pública al recurso.

4. Revise las rutas de ataque en busca de círculos rojos en los nodos que indican resultados.

5. Haz clic en un nodo que tenga un círculo rojo para ver cuáles son los hallazgos.

6. Iniciar la acción para corregir los hallazgos.

También puedes ver las puntuaciones de exposición a ataques de tus recursos de alto valor en la pestaña Simulaciones de rutas de ataque en Configuración Haz clic en Ver los recursos de valor que se usaron en la última simulación.

La pestaña Conjunto de recursos de alto valor también está disponible en el Recursos página de la consola de operaciones de seguridad. Esta función se encuentra en Versión preliminar y está disponible para Solo para clientes de Security Command Center Enterprise.

Puntuaciones de exposición al ataque de 0

Una puntuación de exposición a ataques de 0 en un recurso significa que, en el último de rutas de ataque, Security Command Center no identificó las posibles rutas que un atacante podría tomar para llegar al recurso.

Una puntuación de exposición a ataques de 0 en un hallazgo significa que, en el último simulación de ataque, el atacante simulado no podría alcanzar ningún tipo recursos a través del hallazgo.

Sin embargo, una puntuación de exposición a ataques de 0 no significa que no haya riesgo. Una puntuación de exposición a ataques refleja la exposición a servicios, recursos y servicios de Google Cloud los hallazgos de Security Command Center sobre amenazas potenciales que se originan en a la Internet pública. Por ejemplo, las puntuaciones no tienen en cuenta amenazas de perpetradores internos, vulnerabilidades de día cero o de terceros de Google Cloud.

Sin puntuación de exposición a ataques

Si un resultado o recurso no tiene una puntuación, puede ser para el siguiente motivos:

• El hallazgo se emitió después de la última simulación de ruta de ataque.
• El recurso se agregó a tu conjunto de recursos de alto valor. después de la simulación de ruta de ataque más reciente.
• Por el momento, la función de exposición a ataques no admite el hallazgo categoría o el tipo de recurso.

Para obtener una lista de las categorías de resultados admitidas, consulta Compatibilidad con la función de exposición a ataques.

Para obtener una lista de los tipos de recursos admitidos, consulta Recursos que reciben puntuaciones de exposición a ataques.

Valores de recursos

Aunque todos tus recursos en Google Cloud tienen valor, Security Command Center identifica las rutas de ataque y calcula el ataque puntuaciones de exposición solo para los recursos que designes como recursos de alto valor (a veces denominados recursos valiosos).

Recursos de alto valor

Un recurso de alto valor en Google Cloud es un recurso que se especialmente importante para que tu empresa la proteja de posibles de ataques de seguridad cibernética. Por ejemplo, tu alto recursos podrían ser los que almacenan tus datos valiosos o sensibles o que alojen las cargas de trabajo fundamentales de tu empresa.

Para designar un recurso como de alto valor, debes definir los atributos del recurso en una configuración del valor del recurso. Hasta un límite de 1,000 instancias de recursos, Security Command Center instancia de recurso que coincida con los atributos que especificas en el configuración como recurso de alto valor.

Valores de prioridad

Entre los recursos que designes como de alto valor, es probable que necesites priorizar la seguridad de algunos más que de otros. Por ejemplo, un conjunto de recursos de datos puede contener datos de alto valor, pero algunos de estos es posible que los recursos de datos contengan datos más sensibles que el resto.

Para que las puntuaciones reflejen tu necesidad de priorizar la seguridad de los recursos dentro de un conjunto de recursos de alto valor Debes asignar un valor de prioridad en la configuración de valor de los recursos. que designa los recursos como de alto valor.

Si usas la protección de datos sensibles, puedes también priorizan los recursos automáticamente según la sensibilidad de los datos que contienen los recursos.

Establece manualmente los valores de prioridad de los recursos

En una configuración de valor de recurso, se asigna una prioridad al coincidencias de recursos de alto valor especificando una de las siguientes opciones de prioridad:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Si especificas un valor de prioridad de LOW en una configuración de valor de recurso, los recursos coincidentes siguen siendo de alto valor; la ruta de ataque de datos, simplemente los tratan con una prioridad más baja y les asignan una puntuación de exposición a ataques que los recursos de alto valor que tienen un valor de prioridad de MEDIUM o HIGH.

Si varios parámetros de configuración asignan diferentes valores al mismo recurso, se aplica el valor más alto, a menos que una configuración asigne un valor de NONE.

Un valor de recurso de NONE excluye los recursos coincidentes para que no se considera un recurso de alto valor y anula cualquier otro valor de recurso del mismo recurso. Por este motivo, asegúrate de que cualquier configuración que especifique NONE se aplica solo a un conjunto limitado de de Google Cloud.

Establece valores de prioridad de recursos automáticamente según la sensibilidad de los datos

Si usas la Protección de datos sensibles descubrimiento y publicar los perfiles de datos Security Command Center, puedes configurar Security Command Center para que establezca automáticamente la prioridad de ciertos recursos de alto valor por la sensibilidad de los datos a los que que contienen.

Habilita la priorización de la sensibilidad de los datos cuando especificas los recursos en un configuración de valor del recurso.

Cuando está habilitada, si el descubrimiento de Sensitive Data Protection clasifica que los datos de un recurso tengan la sensibilidad MEDIUM o HIGH, el las simulaciones de rutas de ataque de forma predeterminada establecen el valor de prioridad del recurso con ese mismo valor.

Los niveles de sensibilidad de los datos están definidos por la protección de datos sensibles, pero puedes interpretarlas de la siguiente manera:

Datos de alta sensibilidad

Se encontró al menos uno de los resultados de Sensitive Data Protection de datos sensibles en el recurso.

Datos de sensibilidad media

El descubrimiento de Sensitive Data Protection encontró al menos una instancia de datos de sensibilidad media en el recurso y sin instancias de sensibilidad alta con datos valiosos y útiles.

Datos de baja sensibilidad

El descubrimiento de Sensitive Data Protection no se detectó texto en formato libre o no estructurado en el recurso.

Si el descubrimiento de Sensitive Data Protection identifica solo datos de baja sensibilidad en un recurso de datos coincidente, el recurso no está designado como uno de alto valor.

Si necesitas que los recursos de datos que contengan solo datos de baja sensibilidad se designan como recursos de alto valor con una prioridad baja crea una configuración de valor de recurso duplicado, pero especifica una prioridad de LOW en lugar de habilitar la priorización de la sensibilidad de los datos. La configuración que usa Sensitive Data Protection anula la configuración que asigna el valor de prioridad LOW pero solo para los recursos que contienen HIGH o MEDIUM sensibles.

Puedes cambiar los valores de prioridad predeterminados que usa Security Command Center cuando se detectan datos sensibles en la configuración del valor del recurso.

Para obtener más información sobre la protección de datos sensibles, consulta Descripción general de la protección de datos sensibles.

Priorización de la sensibilidad de los datos y conjunto de recursos predeterminados de alto valor

Antes de crear tu propio conjunto de recursos de alto valor, Security Command Center usa un conjunto de recursos predeterminado de alto valor para calcular las puntuaciones de exposición a ataques y rutas de ataque.

Si usas el descubrimiento de Sensitive Data Protection, Security Command Center agrega automáticamente instancias de datos compatibles tipos de recursos que contienen datos de sensibilidad HIGH o MEDIUM para el conjunto predeterminado de recursos de alto valor.

Tipos de recursos admitidos para valores de prioridad automatizados de sensibilidad de los datos

Las simulaciones de rutas de ataque pueden establecer valores de prioridad automáticamente basadas en clasificaciones de sensibilidad de los datos desde Protección de datos sensibles solo para los siguientes tipos de recursos de datos:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Conjuntos de recursos de alto valor

Un conjunto de recursos de alto valor es una colección definida de los recursos en tu entorno de Google Cloud que son los más importantes para asegurar y proteger.

Para definir tu conjunto de recursos de alto valor, debes especificar qué recursos en tu entorno de Google Cloud pertenezcan a tu conjunto de recursos de alto valor. Hasta que definas tu conjunto de recursos, puntuaciones de exposición a ataques, rutas de ataque y combinación tóxica no reflejan con exactitud tus prioridades de seguridad.

Para especificar los recursos de tu conjunto de recursos de alto valor, crea configuraciones de valores de recursos. La combinación de todo el valor de tu recurso parámetros de configuración definen tu conjunto de recursos de alto valor. Para obtener más información, consulta Configuraciones de valores de recursos.

Hasta que definas la primera configuración del valor del recurso, Security Command Center usa un conjunto predeterminado de recursos de alto valor. Se aplica el conjunto predeterminado en toda tu organización a todos los tipos de recursos que atacan las simulaciones de rutas de acceso. Para obtener más información, consulta Conjunto predeterminado de recursos de alto valor.

Puedes ver el conjunto de recursos de alto valor que se usó en la última ruta de ataque de simulación en la consola de Google Cloud Página Recursos haciendo clic en la pestaña Conjunto de recursos de alto valor. También puedes verlos en la pestaña Simulación de ruta de ataque de la página de configuración de Security Command Center.

Parámetros de configuración de valores de recursos

Administras los recursos en tu conjunto de recursos de alto valor con los parámetros de configuración de los valores de los recursos.

Puedes crear configuraciones de valores de recursos en la simulación de ruta de ataque. de la página Configuración de Security Command Center en la consola de Google Cloud.

En una configuración de valor de recurso, se especifican los atributos recurso debe tener para que Security Command Center lo agregue a tu un conjunto de recursos de alto valor.

Los atributos que puedes especificar incluyen el tipo de recurso, etiquetas de recursos, etiquetas de recursos y el proyecto superior, carpeta u organización.

También debes asignar un valor de recurso a los recursos en una configuración. El valor del recurso prioriza los recursos en una configuración relativa a otros recursos del conjunto de recursos de alto valor. Para ver más consulta Valores de recursos.

Puedes crear hasta 100 configuraciones de valores de recursos en una organización de Google Cloud.

En conjunto, todas las configuraciones de valor de los recursos que crees definir el conjunto de recursos de alto valor que Security Command Center usa para las simulaciones de rutas de ataque.

Atributos de recursos

Para que un recurso se incluya en tu conjunto de recursos de alto valor, sus atributos deben coincidir con los que especifiques en un valor de recurso configuración.

Entre los atributos que puedes especificar, se incluyen los siguientes:

• Un tipo de recurso o Any Cuando se especifica Any, la configuración se aplica a todos los tipos de recursos admitidos del proyecto. Any es el valor predeterminado.
• Un permiso (la organización superior, la carpeta o el proyecto) dentro del cual los recursos deben residir. El permiso predeterminado es tu para que se adapten a las necesidades de tu organización. Si especificas una organización o carpeta, la configuración también se aplica a los recursos de las carpetas o los proyectos secundarios.
• Opcionalmente, una o más etiquetas o etiquetas que debe contener cada recurso.

Si especificas una o más configuraciones de valores de recursos, pero no de tu entorno de Google Cloud deben coincidir los atributos especificados en cualquiera de los parámetros de configuración, Security Command Center emite un hallazgo SCC Error y recurre al el conjunto predeterminado de recursos de alto valor.

Conjunto de recursos de alto valor predeterminado

Security Command Center usa un conjunto predeterminado de recursos de alto valor para calcular puntuaciones de exposición a ataques cuando no se definen configuraciones de valores de recursos o cuando no hay una configuración definida que coincida con ningún recurso.

Security Command Center asigna recursos en el recurso predeterminado de alto valor el valor de prioridad de LOW, a menos que uses Sensitive Data Protection descubrimiento, en cuyo caso, Security Command Center asigna recursos que contienen datos de alta o media sensibilidad que un valor de prioridad de HIGH o MEDIUM.

Si tienes al menos una configuración de valor de recurso que coincide al menos un recurso en tu entorno, Security Command Center deja de usar el conjunto predeterminado de recursos de alto valor.

Para recibir exposición a ataques y puntuaciones de combinaciones tóxicas que sean reflejan tus prioridades de seguridad, reemplaza el recurso predeterminado de alto valor con tu propio conjunto de recursos de alto valor. Para obtener más información, consulta Define tu conjunto de recursos de alto valor.

En la siguiente lista, se muestran los tipos de recursos que se incluyen en conjunto de recursos de alto valor predeterminado:

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Límite en los recursos de un conjunto de recursos de alto valor

Security Command Center limita la cantidad de recursos en una recurso de alto valor establecido en 1,000.

Si las especificaciones del atributo en una o más configuraciones de valores de recursos son muy amplias, la cantidad de recursos que coinciden con el atributo las especificaciones pueden superar las 1,000.

Cuando la cantidad de recursos coincidentes supera el límite Security Command Center excluye recursos del conjunto hasta que se alcance recursos está dentro del límite. Security Command Center excluye los recursos con el valor asignado más bajo primero. Entre recursos con el mismo valor asignado, Security Command Center excluye recursos las instancias mediante un algoritmo que distribuye los recursos excluidos entre tipos de recursos.

Un recurso que se excluye del conjunto de recursos de alto valor no considerados en el cálculo de las puntuaciones de exposición a ataques.

A fin de alertarte cuando se supere el límite de instancias para el cálculo de la puntuación, haz lo siguiente: Security Command Center emite un hallazgo SCC error y muestra un mensaje. en la pestaña de configuración Simulación de ruta de ataque en la consola de Google Cloud. Security Command Center no genera un hallazgo SCC error si el conjunto predeterminado de valores altos excede el límite de instancia.

Para evitar superar el límite, ajusta la configuración de los valores de los recursos a definir mejor las instancias en tu conjunto de recursos de alto valor.

Algunas de las cosas que puedes hacer para definir mejor tu conjunto de recursos de alto valor incluyen las siguientes opciones:

• Utiliza etiquetas. o etiquetas para reducir la cantidad de coincidencias para un tipo de recurso determinado o dentro de un alcance especificado.
• Crea una configuración de valor de recurso que asigne un valor de NONE a un subconjunto de los recursos que se especifican en otra configuración. Si especificas un valor de NONE, se anula cualquier otra configuración y excluye las instancias de recursos de tu conjunto de recursos de alto valor.
• Reduce la especificación del alcance en la configuración del valor del recurso.
• Borra las configuraciones de valor de recursos que asignen un valor de LOW.

Selecciona tus recursos de alto valor

Para propagar tu conjunto de recursos de alto valor, debes decidir qué recurso en tu entorno son muy valiosas.

Por lo general, los recursos de alto valor son aquellos que procesan y almacenar tus datos sensibles. Por ejemplo, en Google Cloud, estas pueden ser instancias de Compute Engine, BigQuery un conjunto de datos o un bucket de Cloud Storage.

No es necesario designar recursos adyacentes a los recursos de alto valor, como un servidor de salto, como de alto valor. Las simulaciones de rutas de ataque ya tienen en cuenta estos recursos adyacentes, y, si los designas como de alto valor también, pueden hacer que tus a los niveles de exposición a ataques menos confiables.

Compatibilidad con múltiples nubes

Las simulaciones de rutas de ataque pueden evaluar el riesgo en sus implementaciones en otras y plataformas de proveedores de servicios en la nube.

Luego de establecer una conexión con otra plataforma, puedes designar tus recursos de alto valor en el otro proveedor de servicios en la nube del proveedor creando configuraciones de valores de recursos, como lo harías con recursos en Google Cloud.

Security Command Center ejecuta simulaciones de manera independiente para una plataforma en la nube de simulaciones que se ejecutan para otras plataformas en la nube.

Antes de crear tu primera configuración de valor de recurso para otra de servicios en la nube, Security Command Center usa una configuración conjunto de recursos específico del proveedor de servicios en la nube. Predeterminado El conjunto de recursos de alto valor designa todos los recursos compatibles como recursos de alto valor.

Plataformas de proveedores de servicios en la nube compatibles

Además de Google Cloud, Security Command Center puede ejecutar simulaciones de rutas de ataque para Amazon Web Services (AWS). Para obtener más información, consulte:

• Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos
• Compatibilidad con la simulación de rutas de ataque para AWS

Rutas de ataque

Una ruta de ataque es una representación visual interactiva de una o más las posibles rutas que un atacante hipotético podría tomar para llegar del por la Internet pública a una de tus instancias de recursos de alto valor.

Las simulaciones de rutas de ataque identifican las posibles rutas de ataque a través del modelado qué sucedería si un atacante aplicara métodos de ataque conocidos al y parámetros de configuración incorrectos que Security Command Center detectadas en tu entorno para intentar alcanzar los recursos de alto valor.

Puedes ver las rutas de ataque haciendo clic en la puntuación de exposición a ataques en un hallazgo o recurso en la consola de Google Cloud.

Al ver un caso de combinación tóxico en la consola de operaciones de seguridad, puede ver una ruta de ataque simplificada para la combinación tóxica en la pestaña de descripción general del caso. La ruta de ataque simplificada incluye un vínculo al ruta de ataque completa. Para obtener más información sobre las rutas de ataque resultados de combinaciones, consulte Rutas de ataque de combinaciones tóxicas.

Cuando visualiza las rutas de ataque más grandes, puede cambiar su visión de la ruta de ataque arrastrando el selector de área de enfoque del cuadrado rojo alrededor de la imagen de la ruta de ataque en el lado derecho de la pantalla.

Cuando se muestra la ruta de ataque en la consola de Google Cloud, puedes hacer clic en AI summary^{Vista previa} para mostrar una explicación de la ruta de ataque. La explicación se genera de forma dinámica con la Inteligencia Artificial (IA). Para obtener más información, consulta Resúmenes generados por IA.

En una ruta de ataque, los recursos en una ruta de ataque se representan como cuadros o nodos. Las líneas representan el potencial la accesibilidad entre recursos. Juntos, los nodos y las líneas representan en la ruta de ataque.

Nodos de rutas de ataque

Los nodos en una ruta de ataque representan los recursos en un ruta de ataque.

Muestra la información del nodo

Puedes mostrar más información sobre cada nodo de una ruta de ataque haciendo clic en ella.

Si haces clic en el nombre del recurso en un nodo, se muestra más información sobre el recurso, así como cualquier resultado que lo afecte.

Si haces clic en Expandir nodo, se muestran los posibles métodos de ataque que podrían usarse si un atacante consiguiera acceso al recurso.

Tipos de nodos

Existen tres tipos diferentes de nodos:

• Es el punto de partida o punto de entrada del ataque simulado, que es a la Internet pública. Si haces clic en un nodo de punto de entrada, se mostrará descripción del punto de entrada junto con los métodos de ataque que un atacante que podrías usar para acceder a tu entorno.
• Son los recursos afectados que puede usar un atacante para avanzar en una ruta.
• El recurso expuesto al final de una ruta de acceso, que es uno de los recursos en tu conjunto de recursos de alto valor. Solo un recurso en una ubicación definida o default de alto valor puede ser un recurso expuesto. Debes definir conjunto de recursos de alto valor mediante la creación de configuraciones de valor de recursos.

Nodos ascendentes y descendentes

En una ruta de ataque, un nodo puede estar ascendente o descendente desde el otros nodos. Un nodo upstream está más cerca del punto de entrada y de la parte superior de la ruta de ataque. Un nodo descendente está más cerca del valor alto expuesto recurso en la parte inferior de la ruta de ataque.

Nodos que representan varias instancias de recursos de contenedor

Un nodo puede representar varias instancias de ciertos tipos de recursos de contenedor si las instancias comparten las mismas características.

Se pueden crear varias instancias de los siguientes tipos de recursos de contenedor representados por un solo nodo:

• Controlador de ReplicaSet
• Controlador de implementación
• Controlador de trabajos
• Controlador de CronJob
• Controlador de DaemonSet

Líneas de ruta de ataque

En una ruta de ataque, las líneas entre las cajas representan el potencial accesibilidad entre recursos que un atacante podría aprovechar para alcanzar recursos de alto valor.

Las líneas no representan una relación entre recursos que se define en en Google Cloud.

Si hay varias rutas de acceso que apuntan a un nodo downstream de varios nodos ascendentes, estos pueden tener un AND o una relación OR entre sí.

Una relación AND significa que un atacante necesita acceso a las operaciones nodos para acceder a un nodo downstream en la ruta.

Por ejemplo, una línea directa de la Internet pública a una red de al final de una ruta de ataque tiene una relación AND con al menos una línea más en la ruta de ataque. Un atacante no pudo alcanzar el recurso de alto valor, a menos que obtengan acceso a tus Entorno de Google Cloud y al menos un recurso más se muestran en la ruta de ataque.

Una relación OR significa que un atacante necesita acceder a solo uno de los nodos ascendentes para acceder al nodo downstream.

Simulaciones de rutas de ataque

Para determinar todas las rutas de ataque posibles y calcular la exposición a ellos Security Command Center realiza simulaciones avanzadas de rutas de ataque.

Programa de simulación

Las simulaciones de rutas de ataque se pueden ejecutar hasta cuatro veces al día (cada seis horas). Como organización crece, las simulaciones demoran más, pero siempre se ejecutarán al menos una vez al día. Las ejecuciones de simulación no se activan mediante la creación, modificación o la eliminación de recursos o la configuración de valores de recursos.

Pasos de la simulación de rutas de ataque

Las simulaciones tienen tres pasos:

1. Generación del modelo: Un modelo de tu entorno de Google Cloud es generarse automáticamente en función de los datos del entorno. El modelo es un grafo de tu entorno, adaptada para análisis de rutas de ataque.
2. Simulación de rutas de ataque: las simulaciones de rutas de ataque se llevan a cabo en la de grafo único. Las simulaciones hacen que un atacante virtual intente alcanzar y puede comprometer los recursos del conjunto de recursos de alto valor. El de datos aprovechan la información de cada recursos y relaciones específicos, incluidas las herramientas de redes, IAM, parámetros de configuración incorrectos y vulnerabilidades.
3. Informes de estadísticas: basados en las simulaciones, Security Command Center asigna puntuaciones de exposición a ataques a tus recursos de alto valor y a los hallazgos que los exponen y visualizan las posibles rutas que que el atacante podría llevar a esos recursos.

Características de la ejecución de la simulación

Además de proporcionar las puntuaciones de exposición a ataques, la ruta de ataque estadísticas y rutas de ataque, las simulaciones de rutas de ataque las siguientes características:

• No afectan el entorno en vivo: todas las simulaciones se realizan en un modelo virtual y usar acceso de solo lectura para la creación de modelos.
• Son dinámicos: el modelo se crea sin agentes mediante la lectura de la API. acceso exclusivo, lo que permite que las simulaciones sigan de forma dinámica cambios en tu entorno con el tiempo.
• Tienen un atacante virtual que intenta tantos métodos y vulnerabilidades como sea posible para alcanzar y comprometer tus recursos de alto valor. Esto incluye no solo "los conocidos", como las vulnerabilidades, los parámetros de configuración, los errores de configuración y sino también "desconocidas" de menor probabilidad, riesgos que saben que existen, como la posibilidad de suplantación de identidad (phishing) o credenciales filtradas.
• Son automatizados: la lógica de ataque está integrada en la herramienta. No debes necesitas compilar o mantener amplios conjuntos de consultas o grandes conjuntos de datos.

Situación y capacidades del agresor

En las simulaciones, Security Command Center tiene una representación lógica de un de un atacante aprovechar sus recursos de alto valor al obtener acceso a tu entorno de Google Cloud y seguir las posibles rutas de acceso a través de tus recursos y las vulnerabilidades detectadas.

El atacante virtual

El atacante virtual que usan las simulaciones tiene las siguientes características: características:

• El atacante es externo: no es un usuario legítimo de tu entorno de Google Cloud. Las simulaciones no modelan ni incluyen ataques de usuarios maliciosos o negligentes que tienen acceso legítimo a tu entorno.
• El atacante comienza desde la Internet pública. Para iniciar un ataque, el el atacante primero debe obtener acceso a su entorno desde el a Internet.
• El atacante es persistente. El atacante no se desanimará ni pierden el interés debido a la dificultad de un método de ataque en particular.
• El atacante es capacitado y tiene conocimientos. El atacante intenta conocer métodos y técnicas para acceder a tus recursos de alto valor.

Acceso inicial

En cada simulación, un atacante virtual prueba los siguientes métodos para obtener acceso desde la Internet pública a los recursos de tu entorno:

• Descubre y conéctate a cualquier servicio y recurso accesibles desde la Internet pública:
  • Servicios en instancias de máquina virtual (VM) de Compute Engine y nodos de Google Kubernetes Engine
  • Bases de datos
  • Contenedores
  • Buckets de Cloud Storage
  • Cloud Functions
• Obtén acceso a claves y credenciales, como las siguientes:
  • Claves de cuenta de servicio
  • Claves de encriptación proporcionadas por el usuario
  • Claves SSH de la instancia de VM
  • Claves SSH para todo el proyecto
  • Sistemas de administración de claves externas
  • Cuentas de usuario donde no se aplica la autenticación de varios factores (MFA)
  • Tokens MFA virtuales interceptados
• Obtener acceso a recursos en la nube accesibles de forma pública mediante el uso de credenciales o mediante la explotación de vulnerabilidades informadas por Mandiant Attack Surface Management y VM Manager

Si la simulación encuentra un posible punto de entrada al entorno, la simulación hace que el atacante virtual intente alcanzar y comprometer tus recursos de alto valor desde el punto de entrada explorando de forma consecutiva y explotar configuraciones de seguridad y vulnerabilidades dentro del entorno.

Tácticas y técnicas

La simulación utiliza una amplia variedad de tácticas y técnicas, incluidas aprovechar el acceso legítimo, el desplazamiento lateral, la elevación de privilegios, vulnerabilidades, errores de configuración y ejecución de código.

Incorporación de datos de CVE

Cuando calculas las puntuaciones de exposición a ataques de hallazgos de vulnerabilidades, las simulaciones de rutas de ataque consideran los datos Registro CVE, las puntuaciones del CVSS, y evaluaciones de la explotación de la vulnerabilidad que son proporcionados por Mandiant.

Se considera la siguiente información de CVE:

• Vector de ataque: El atacante necesita tener el nivel de acceso que se especifica en el vector de ataque CVSS para utilizar el CVE. Para una CVE con un vector de ataque de red que se encuentra en un recurso con una dirección IP pública y puertos abiertos puede aprovecharse de un atacante con acceso a la red. Si un atacante solo tiene acceso a la red y la CVE requiere acceso físico, el no puede explotar la CVE.
• Complejidad del ataque: Por lo general, una vulnerabilidad o una configuración incorrecta con una baja complejidad de ataque tiene más probabilidades de obtener un alto a la puntuación de exposición a ataques que un hallazgo con alta complejidad a los ataques.
• Actividad de explotación: por lo general, un hallazgo de vulnerabilidad con una amplia actividad de explotación de vulnerabilidades, según lo determinado por la información sobre ciberamenazas los analistas de datos en Mandiant, es más probable que sufra un ataque alto de exposición que un hallazgo sin actividad de explotación conocida.