攻击风险得分和攻击路径

本页将介绍主要概念、原则和限制 帮助您了解、优化和利用 Risk Engine 生成的得分和攻击路径 Security Command Center

系统会针对以下两种情况生成攻击路径得分和攻击路径:

  • 漏洞和错误配置发现结果(统称为漏洞发现结果,它们会暴露有效的高价值资源集中的资源实例)。
  • 有效高价值资源集中的资源。

要使用攻击风险得分和攻击路径,您必须启用 组织级别的 Security Command Center 高级或企业层级。 您无法将攻击风险得分和攻击路径与项目级启用搭配使用。

攻击路径代表可能性

您不会在攻击路径中看到实际攻击的证据。

风险引擎会模拟假想的攻击者在获得 Google Cloud 环境访问权限并发现 Security Command Center 已发现的攻击路径和漏洞后可能采取的行动,从而生成攻击路径和攻击风险得分。

每个攻击路径都会显示攻击者在获得特定资源的访问权限后可能使用的一种或多种攻击方法。请勿将这些攻击方法与实际攻击混淆。

同样,Security Command Center 的攻击风险得分较高 并不意味着攻击正在进行中。

如需监控实际攻击,请监控 THREAT 类发现结果 威胁检测服务生成的任何一个, 事件威胁检测容器威胁检测

如需了解详情,请参阅本页面的以下部分:

攻击风险得分

Security Command Center 发现结果或资源的攻击风险得分可衡量如果恶意行为者获得对您的 Google Cloud 环境的访问权限,资源会受到潜在攻击的程度。

攻击风险得分 有毒组合结果 在某些情况下称为有毒组合得分,例如 Google Cloud 控制台结果页面。

在说明得分计算方式的部分、关于确定发现问题修复优先级的一般指南中,以及在某些其他上下文中,攻击风险得分一词也适用于恶意组合得分。

对于发现结果,该得分可衡量检测到的安全问题将一项或多项高价值资源暴露在潜在网络攻击下的程度。对于高价值资源,得分衡量的是 资源暴露在潜在的网络攻击中的程度。

使用软件漏洞、错误配置和恶意应用的评分 ,以优先修复这些发现结果。

根据资源的攻击风险得分,主动保护 对您的业务最有价值的资源。

在攻击路径模拟中,Risk Engine 始终会启动 来自公共互联网的模拟攻击。因此,攻击风险得分不会考虑怀有恶意或过失的内部操作者可能造成的任何风险。

获得攻击风险得分的发现结果

攻击风险得分适用于受支持的发现结果类别中列出的活跃的发现结果类别。

由于攻击路径模拟包含已忽略的发现结果,因此风险引擎也会为已忽略的发现结果计算得分和攻击路径。

攻击路径模拟仅包含活跃的发现结果。状态为 INACTIVE 的发现结果不包含在模拟中,因此不会收到得分,也不会包含在攻击路径中。

获得攻击风险得分的资源

攻击路径模拟会为高价值资源集中受支持的资源类型计算攻击风险得分。您可以通过创建资源值配置来指定哪些资源属于高价值资源集。

如果高价值资源集中的某项资源的攻击风险得分为 0,则表示攻击路径模拟未发现潜在攻击者可以利用的任何到达该资源的路径。

攻击路径模拟支持以下资源类型:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

分数计算

攻击路径模拟每次运行时,都会重新计算攻击 暴露量得分。每个攻击路径模拟实际上会运行多次模拟,在此过程中,模拟攻击者会尝试使用已知的攻击方法和技术访问和入侵重要的资源。

攻击路径模拟每天最多可运行四次(每六小时一次)。随着组织的发展,模拟需要更长的时间,但每天始终至少运行一次。模拟运行不会因创建、修改或删除资源或资源值配置而触发。

模拟使用各种指标计算得分,包括 以下:

  • 分配给暴露的高价值资源的优先级值。您可分配的优先级值包含以下值:
    • 高 = 10
    • 中 = 5
    • 低 = 1
  • 攻击者到达给定资源的可能途径的数量。
  • 模拟攻击者能够到达的次数 在给定攻击路径末端损害高价值资源, 以占模拟总数的百分比表示。
  • 仅限发现结果,表示被检测到的漏洞或配置错误暴露的高价值资源的数量。

对于资源,攻击风险得分介于 0 到 10 之间。

概括地说,模拟会将成功攻击的百分比乘以资源的数值优先级值,以此来计算资源得分。

对于发现结果,得分没有固定的上限。 在针对暴露资源的攻击路径上发现的频率越高 且优先级越高 这些资源的价值,得分就越高。

概括来讲,模拟使用 计算方法与资源得分相同,但在查找得分时, 然后将计算结果乘以 发现暴露的高价值资源的数量。

更改分数

每次运行攻击路径模拟时,得分都可能发生变化。发现 或今天得分为零的资源,可能有一个非零值, 得分。

得分发生变化的原因有很多,包括以下各项:

  • 检测到或修复了直接或间接暴露高价值资源的漏洞。
  • 添加或移除环境中的资源。

在模拟运行后,发现结果或资源更改直到下一次模拟运行才会反映到得分中。

使用得分确定修复措施的优先级

要根据攻击风险得分或危险组合得分有效地确定修复发现结果的优先级,请考虑以下几点:

  • 得分大于零的任何发现结果都会以某种方式将高价值资源暴露在潜在攻击之下,因此应优先对此类发现结果而不是得分为零的发现结果进行修复。
  • 发现结果的得分越高,它将高价值资源暴露的程度就越高,您就越应该优先对其进行修复。

通常,应最先修复得分最高且最能有效阻止高价值资源的攻击路径的发现结果。

如果某个恶意组合发现结果与另一项发现结果的分数 发现类别大致相同,请优先修复 发现有害组合,因为它代表了从 AI 的 连接到一个或多个高价值资源 如果攻击者访问您的云,他们可能会跟踪 环境

在 Security Command Center 的发现结果中 页面(位于 Google Cloud 控制台中) 或 Security Operations 控制台, 您可以在页面面板上对发现结果进行排序 按得分。

在 Google Cloud 控制台中,您还可以使用 添加过滤条件,获取最高得分 添加到发现结果查询,该查询仅返回具有攻击风险的发现结果 得分大于您指定的数字。

在 Security Operations 控制台的案例页面上,您还可以排序 按攻击风险得分计算恶意组合案例数。

无法修复的发现结果。

在某些情况下,您可能无法修复攻击风险得分较高的发现结果,因为它表示可接受的已知风险,或者表示发现结果无法轻易修复。在这些情况下,您可能需要通过其他方式降低风险。查看相关攻击路径也许有助于您了解其他可能的缓解措施。

使用攻击风险得分来保护资源

资源的攻击风险得分不为零意味着攻击路径模拟已识别出一条或多条从公共互联网到该资源的攻击路径。

如需查看高价值资源的攻击风险得分,请按以下步骤操作:

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

    前往“素材资源”

  2. 选择高价值资源集标签页。高价值数据中的资源 资源集按攻击风险得分降序显示。

  3. 点击攻击风险得分列中相应资源所在行中的数字,即可显示该资源的攻击路径。攻击路径 显示从公共互联网到资源的网络

  4. 查看攻击路径,看看节点上是否有红色圆圈, 指示发现结果。如需了解如何解读攻击路径,请参阅攻击路径

  5. 点击带有红色圆圈的节点,查看发现的问题。

  6. 采取措施来解决发现的问题。

您还可以查看高价值资源的攻击风险得分 攻击路径模拟标签页上 设置 方法是点击查看上一次模拟使用的重要资源

攻击风险得分为 0

如果某项资源的攻击风险得分为 0,则意味着,在最新的 攻击路径模拟,Security Command Center 未发现任何 攻击者获取资源所需的潜在路径。

发现结果的攻击风险得分为 0 意味着在最新的攻击模拟中,模拟攻击者无法通过发现结果访问任何高价值资源。

但是,攻击风险得分为 0 并不意味着没有风险。攻击风险得分反映了受支持的 Google Cloud 服务、资源和 Security Command Center 发现结果暴露在公共互联网的潜在威胁之下。例如,得分不会将 来自内部操作者、零日漏洞或第三方的威胁, 基础架构

无攻击风险得分

如果发现结果或资源没有得分,则可能是以下几项 原因:

  • 发现结果是在最新的攻击路径模拟之后发出的。
  • 该资源是在最新的攻击路径模拟之后添加到您的高价值资源集中的。
  • 攻击风险功能目前不支持此发现结果 类别或资源类型。

如需查看支持的发现结果类别列表,请参阅 Risk Engine 功能支持

如需查看支持的资源类型列表,请参阅会收到攻击风险得分的资源

资源值

虽然您在 Google Cloud 上的所有资源都有价值, Security Command Center 识别攻击路径并计算攻击 只对您指定为 高价值资源(有时称为“重要资源”)。

高价值资源

Google Cloud 上的高价值资源是指对您的业务来说特别重要的资源,需要受到保护以免遭到潜在攻击。例如,高价值资源可能是存储重要或敏感数据的资源,或者托管业务关键型工作负载的资源。

您可以通过在资源值配置中定义资源的属性,将资源指定为高价值资源。资源实例数上限为 1,000 个,Security Command Center 会将 与您在 作为高价值资源配置的

优先级值

在您指定为高价值的资源中,您可能需要优先考虑某些资源的安全性。例如,一组数据资源可能包含高价值数据,但其中某些数据资源可能包含比其他数据资源更敏感的数据。

让您的得分反映出您需要优先处理的事项 高价值资源集中的资源安全性, 您在资源值配置中分配了优先级值 将资源指定为高价值资源。

如果您使用敏感数据保护功能,还可以根据资源包含的数据的敏感性自动确定资源的优先级。

手动设置资源优先级值

在资源值配置中,您需要为 通过指定以下其中一项来匹配高价值资源 优先级值:

  • LOW = 1
  • MEDIUM = 5
  • HIGH = 10
  • NONE = 0

如果您在资源值配置中指定优先级值为 LOW,则匹配的资源仍然是高价值资源;攻击路径模拟只是将其视为优先级较低的资源,并为其分配的攻击风险得分低于优先级值为 MEDIUMHIGH 的高价值资源。

如果多个配置为同一资源分配不同的值,则以最大值为准,除非配置分配的值为 NONE

资源值 NONE 会使匹配的资源不被视为高价值资源,并替换同一资源的任何其他资源值配置。因此,请确保指定 NONE 的任何配置仅应用于一组有限的资源。

根据数据敏感度自动设置资源优先级值

如果您使用敏感数据保护发现功能将数据分析文件发布到 Security Command Center,则可以配置 Security Command Center,以根据资源包含的数据的敏感性自动设置某些高价值资源的优先级值。

资源值配置

启用后,如果 Sensitive Data Protection 发现功能将资源中的数据分类为 MEDIUMHIGH 敏感度,攻击路径模拟功能会默认将资源的优先级值设置为相同的值。

数据敏感度级别由敏感数据保护定义,但您可以按如下方式对其进行解读:

高敏感数据
发现至少一项敏感数据保护 高敏感度数据实例。
中敏感度数据
敏感数据保护发现找到至少一个 资源中存在中敏感度数据,并且没有高敏感度实例 数据。
低敏感度数据
Sensitive Data Protection 发现未检测到敏感数据 数据或者资源中的任何自由格式文本或非结构化数据。

如果敏感数据保护发现功能仅在匹配的数据资源中识别出低敏感度数据,则不会将该资源指定为高价值资源。

如果您需要对仅包含低敏感度数据的数据资源 被指定为具有低优先级的高价值资源 创建重复的资源值配置,但指定优先级 值 LOW,而不是启用数据敏感度优先级。 使用敏感数据保护功能的配置会替换分配 LOW 优先级值的配置,但仅适用于包含 HIGHMEDIUM 敏感度数据的资源。

您可以更改 Security Command Center 在资源值配置中检测到敏感数据时使用的默认优先级值。

如需详细了解敏感数据保护,请参阅敏感数据保护概览

数据敏感性优先级和默认的高价值资源集

在您创建自己的高价值资源集之前,Security Command Center 会使用默认的高价值资源集来计算攻击风险得分和攻击路径。

如果您使用敏感数据保护发现功能, Security Command Center 会自动添加受支持数据的实例 包含 HIGHMEDIUM 敏感度数据的资源类型 默认高价值资源集。

支持自动设置数据敏感度优先级值的 Google Cloud 资源类型

攻击路径模拟可自动设置优先级值 数据敏感度分类, Sensitive Data Protection 发现 仅适用于以下数据资源类型:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

用于自动数据敏感度优先级值的 AWS 资源类型

攻击路径模拟功能只能针对以下 AWS 数据资源类型,根据 Sensitive Data Protection 发现中的数据敏感性分类自动设置优先级值:

  • Amazon S3 存储桶

高价值资源集

高价值资源集是 Google Cloud 环境中定义的最需要保护的重要资源集合。

若要定义高价值资源集,您需要指定 Google Cloud 环境中哪些资源属于高价值资源集。在您定义高价值资源集之前,攻击风险得分、攻击路径和恶意组合发现结果无法准确反映您的安全优先级。

您可以通过创建资源值配置,来指定高价值资源集中的资源。所有资源值的组合 定义您的高价值资源集。如需了解详情,请参阅资源值配置

在您定义第一个资源值配置之前,Security Command Center 将使用默认的高价值资源集。默认集将在整个组织中应用于攻击路径模拟支持的所有资源类型。如需了解详情,请参阅默认的高价值资源集

如需查看上次攻击路径模拟中使用的高价值资源集,请参阅查看高价值资源集

资源值配置

您可以使用资源值配置管理高价值资源集中的资源。

您可以在攻击路径模拟中创建资源值配置 Google Cloud 控制台中 Security Command Center 设置页面的标签页。

在资源值配置中,您可以指定资源必须具有的属性,以便 Security Command Center 将其添加到高价值资源集中。

您可以指定的属性包括资源类型、资源标记、资源标签以及父级项目、文件夹或组织。

您还需要在配置中为资源分配资源值。资源值会相对于高价值资源集中的其他资源确定配置中资源的优先级。如需了解详情,请参阅资源值

您最多可以在一个 Google Cloud 组织中创建 100 个资源值配置。

您创建的所有资源值配置共同定义了 Security Command Center 用于攻击路径模拟的高价值资源集。

资源属性

对于要纳入高价值资源集的资源,其属性必须与您在资源值配置中指定的属性一致。

您可以指定的属性包括:

  • 一个资源类型,或 Any。指定 Any 时,配置将应用于指定范围内所有受支持的资源类型。Any 为默认值。
  • 资源必须所在的范围(父级组织、文件夹或项目)。默认范围是您的组织。如果您指定了组织或文件夹,则配置也会应用于子文件夹或项目中的资源。
  • (可选)每个资源必须包含的一个或多个标记标签

如果指定了一个或多个资源值配置,但 Google Cloud 环境中没有资源与任何配置中指定的属性匹配,则 Security Command Center 会发出 SCC Error 发现结果并回退到默认的高价值资源集。

默认的高价值资源集

如果未定义资源值配置或定义的配置与任何资源都不匹配,则 Security Command Center 会使用默认的高价值资源集来计算攻击风险得分。

除非您使用敏感数据保护发现功能,否则 Security Command Center 会为默认高价值资源中的资源分配优先级值 LOW。如果您使用敏感数据保护发现功能,Security Command Center 会为包含高敏感度或中敏感度数据的资源分配相应的优先级值 HIGHMEDIUM

如果至少一个资源值配置与环境中至少一个资源匹配,则 Security Command Center 将停止使用默认的高价值资源集。

为了接收准确反映安全优先级的攻击风险得分和有害组合得分,请将默认的高价值资源集替换为您自己的高价值资源集。如需了解详情,请参阅定义和管理高价值资源集

以下列表显示了 默认高价值资源集:

  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

高价值资源集中的资源限制

Security Command Center 将高价值资源中的资源数量限制为 1000。

如果一个或多个资源值配置中的属性规范非常广泛,则与属性规范匹配的资源数量可能会超过 1,000。

如果匹配资源的数量超过限制,Security Command Center 会从资源集中排除资源,直到资源数量在限制范围内。Security Command Center 首先排除分配值最低的资源。在具有相同分配值的资源中,Security Command Center 通过一种算法来排除资源实例,该算法可跨各个资源类型分配排除的资源。

计算攻击风险得分时不考虑从高价值资源集中排除的资源。

为了在超过得分计算的实例限制时提醒您,Security Command Center 会发出 SCC error 发现结果,并在 Google Cloud 控制台中的攻击路径模拟设置标签页上显示消息。如果默认的最大值集超过实例限制,则 Security Command Center 不会发出 SCC error 发现结果。

为避免超出限制,请调整资源值配置,以优化高价值资源集中的实例。

您可以采取以下措施来优化高价值资源集,包括:

  • 使用标记标签来减少给定资源类型或指定范围内的匹配数量。
  • 创建资源值配置,以将值 NONE 分配给在另一配置中指定的部分资源。指定 NONE 值时会替换任何其他配置,并排除高价值资源集中的资源实例。
  • 缩小资源值配置中的范围规范。
  • 删除分配了 LOW 值的资源值配置。

选择高价值资源

如需填充高价值资源集,您需要确定环境中哪些资源实例确实具有高价值。

一般来说,真正的高价值资源是指 并存储您的敏感数据例如,在 Google Cloud 上,这些资源可能是 Compute Engine 实例、BigQuery 数据集或 Cloud Storage 存储桶。

您无需将高价值资源(例如跳转服务器)附近的资源指定为高价值资源。攻击路径模拟会考虑这些相邻的资源,如果您也将其指定为高价值资源,可能会使得攻击风险得分不那么可靠。

多云支持

攻击路径模拟功能可评估您在其他云服务提供商平台上的部署存在的风险。

与其他平台建立连接后,您可以指定 其他云服务上的高价值资源 创建资源值配置,就像为资源配置资源一样 。

Security Command Center 会为某个云平台运行模拟,而不会影响为其他云平台运行的模拟。

请先为另一个 Cloud Storage 存储分区创建第一个资源值配置, Security Command Center 使用默认的高价值 云服务提供商特有的资源集。默认的高价值资源集会将所有受支持的资源指定为高价值资源。

支持的云服务提供商平台

除了 Google Cloud 之外,Security Command Center 还可以运行 Amazon Web Services (AWS) 的攻击路径模拟。如需了解详情,请参阅以下主题:

攻击路径

攻击路径以可视化的交互方式描述了假想的攻击者可能会采取的一条或多条潜在路径,他们通过此类潜在路径从公共互联网到达您的某个高价值资源实例。

攻击路径模拟可模仿攻击者将已知的攻击方法应用于 Security Command Center 已在您的环境中检测到的漏洞和配置错误以尝试访问您的高价值目标时发生的情况,从而识别潜在的攻击路径。

您可以点击以下位置上的攻击风险得分来查看攻击路径: 在 Google Cloud 控制台中找到发现结果或资源。

在 Security Operations 控制台中查看恶意组合案例时, 您可以在 支持请求“概览”标签页简化的攻击路径包括指向 完整攻击路径。详细了解恶意内容的攻击路径 组合发现结果,请参阅 恶意组合攻击路径

查看较大的攻击路径时,您可以通过以下方式更改对攻击路径的看法: 围绕微缩模型拖动红色方形焦点区域选择器 显示屏幕右侧的攻击路径视图。

当 Google Cloud 控制台中显示攻击路径时,您可以点击 AI 摘要预览版 显示攻击路径的说明。该说明是使用人工智能 (AI) 动态生成的。如需了解详情,请参阅 AI 生成的摘要

在攻击路径中,攻击路径上的资源表示为方框或节点。线条表示资源之间的潜在可访问性。节点和线条共同表示攻击路径。

攻击路径节点

攻击路径中的节点代表攻击路径上的资源。

显示节点信息

点击攻击路径中的每个节点,即可显示有关它的更多信息。

点击节点中的资源名称后,系统会显示有关该资源的详细信息以及影响该资源的任何发现结果。

点击展开节点可显示在攻击者获得资源访问权限时可能使用的攻击方法。

节点类型

节点有三种不同的类型:

  • 模拟攻击的起点或入口点,即公共互联网。点击某个入口点节点后,系统会显示入口点的说明以及攻击者可用来访问您的环境的攻击方法。
  • 攻击者可用于在路径上前进的受影响的资源
  • 路径末尾存在攻击风险的资源,即高价值资源集中的资源之一。只有已定义或默认的高价值资源集中的资源才是存在攻击风险的资源。您定义了 创建高价值资源集 资源值配置

上游和下游节点

在攻击路径中,节点可以是其他节点的上游或下游。上游节点更接近入口点和攻击路径的顶部。下游节点更靠近攻击路径底部存在攻击风险的高价值资源。

表示多个容器资源实例的节点

节点可以表示某些容器资源类型的多个实例,前提是这些实例具有相同的特征。

以下容器资源类型的多个实例可以由单个节点表示:

  • ReplicaSet 控制器
  • Deployment 控制器
  • Job 控制器
  • CronJob 控制器
  • DaemonSet 控制器

攻击路径线

在攻击路径中,方框之间的线条表示资源之间的潜在可访问性,攻击者可以加以利用以访问高价值资源。

这些线条并不表示 Google Cloud 中定义的资源之间的关系。

如果有多个路径从多个上游节点指向一个下游节点,则上游节点之间可以是 AND 关系,也可以是 OR 关系。

AND 关系表示攻击者需要这两个上游节点的访问权限,才能访问路径上的下游节点。

例如,从公共互联网到攻击路径末尾的高价值资源的直接行与攻击路径中的另一行具有 AND 关系。除非攻击者同时访问您的 Google Cloud 环境和攻击路径中显示的至少一个其他资源,否则他们无法访问高价值资源。

OR 关系表示攻击者只需要其中一个上游节点的访问权限即可访问下游节点。

攻击路径模拟

为了确定所有可能的攻击路径并计算攻击风险得分,Security Command Center 会执行高级攻击路径模拟。

模拟时间表

攻击路径模拟每天最多可运行四次(每六小时一次)。随着组织的发展,模拟需要更长的时间,但每天始终至少运行一次。模拟运行不会因创建、修改或删除资源或资源值配置而触发。

攻击路径模拟步骤

模拟包含三个步骤:

  1. 模型生成:Google Cloud 环境的模型会根据环境数据自动生成。该模型是环境的图表表示形式,专为攻击路径分析量身定制。
  2. 攻击路径模拟:在图表模型上进行攻击路径模拟。这些模拟会让虚拟攻击者尝试访问并入侵高价值资源集中的资源。模拟利用针对每个特定资源和关系(包括网络、IAM、配置、配置错误和漏洞)的分析洞见。
  3. 分析洞见报告:Security Command Center 会根据模拟对高价值资源和暴露这些资源的发现结果分配攻击风险得分,并直观呈现攻击者访问这些资源的潜在路径。

模拟执行特征

攻击路径模拟除了提供攻击风险得分、攻击路径分析洞见和攻击路径之外,还具有以下特征:

  • 它们不会影响您的实际环境:所有模拟都是在虚拟模型上进行的,并且仅使用读取权限来创建模型。
  • 它们是动态的:模型是在不使用代理的情况下仅通过 API 读取权限创建的,这使得模拟能够随着时间的推移动态地跟随环境的变化。
  • 它们会让虚拟攻击者尝试尽可能多的方法和漏洞来访问和入侵您的高价值资源。这不仅包括“已知内容”(例如漏洞、配置、配置错误和网络关系),还包括低概率的“已知的未知内容”,即我们已知存在的风险,例如可能的钓鱼式攻击或凭据泄露。
  • 它们是自动的:攻击逻辑内置于工具中。您无需构建或维护大量查询或大型数据集。

攻击者的情况和能力

在模拟中,Security Command Center 以逻辑方式表示攻击者尝试通过访问您的 Google Cloud 环境并通过您的资源和检测到的漏洞按照潜在访问路径来利用您的高价值资源。

虚拟攻击者

模拟使用的虚拟攻击者具有以下特征:

  • 攻击者来自外部:攻击者不是 Google Cloud 环境的合法用户。模拟不包括建模或包括 来自拥有合法访问权的恶意或过失用户的攻击 您的环境
  • 攻击者从公共互联网开始攻击。若要发起攻击,攻击者必须先从公共互联网访问您的环境。
  • 攻击者会坚持不懈。攻击者不会因为特定攻击方法太难而气馁或失去兴趣。
  • 攻击者很熟练,并且知识渊博。攻击者会尝试使用已知的方法和技术来访问高价值资源。

初始访问

每个模拟都会让一名虚拟攻击者尝试使用以下方法从公共互联网访问环境中的资源:

  • 发现并连接可通过公共互联网访问的任何服务和资源:
    • Compute Engine 虚拟机实例和 Google Kubernetes Engine 节点上的服务
    • 数据库
    • 容器
    • Cloud Storage 存储桶
    • Cloud Run 函数
  • 获取密钥和凭据的访问权限,包括:
    • 服务账号密钥
    • 用户提供的加密密钥
    • 虚拟机实例 SSH 密钥
    • 项目范围的 SSH 密钥
    • 外部密钥管理系统
    • 未强制执行多重身份验证 (MFA) 的用户账号
    • 拦截的虚拟 MFA 令牌
  • 通过使用窃取的 或利用 Mandiant Attack Surface Management 和虚拟机管理器

如果模拟找到环境的可能入口点,则会让虚拟攻击者不断探索和利用环境中的安全配置和漏洞,以尝试从入口点访问和入侵高价值资源。

战术和方法

该模拟使用各种策略和技术,包括利用合法访问、横向移动、提升权限、漏洞、配置错误和代码执行。

合并 CVE 数据

在计算漏洞发现结果的攻击风险得分时,攻击路径模拟会考虑漏洞的 CVE 记录CVSS 评分中的数据,以及 Mandiant 提供的漏洞可利用性评估。

考虑以下 CVE 信息:

  • 攻击途径:攻击者需要具有 CVSS 攻击途径中指定的访问权限级别才能使用 CVE。例如,在具有公共 IP 地址和开放端口的资产上发现具有网络攻击途径的 CVE 可能会被具有网络访问权限的攻击者利用。如果攻击者仅具有网络访问权限,并且 CVE 需要物理访问权限,攻击者就无法利用 CVE。
  • 攻击复杂性:通常,相较于复杂度高的发现结果,攻击复杂度低的漏洞或配置错误发现结果更有可能获得较高的攻击风险得分。
  • 漏洞利用活动:通常,发现存在以下漏洞的漏洞: 根据网络威胁情报确定的广泛入侵活动 Mandiant 的分析师更有可能受到严重攻击 与没有任何已知利用活动的发现结果相比。