Angriffsrisikobewertungen und Angriffspfade

Auf dieser Seite werden die wichtigsten Konzepte, Prinzipien und Einschränkungen erläutert. damit Sie mehr über das Angriffsrisiko erfahren, es optimieren und nutzen können. Bewertungen und Angriffspfade, die von der Risk Engine generiert werden von Security Command Center.

Angriffspfadbewertungen und Angriffspfade werden für beide der folgenden Elemente generiert:

• Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen (Ergebnisse zu Sicherheitslücken, zusammen), die die Ressourceninstanzen in Ihrem effektiven Ressourcensatz.
• Die Ressourcen in Ihrem effektiven Satz hochwertiger Ressourcen.

Angriffspfade stellen Möglichkeiten dar

Sie sehen in einem Angriffspfad keine Hinweise für einen tatsächlichen Angriff.

Risk Engine generiert Angriffspfade und Angriffsrisikobewertungen indem sie simulierten, was hypothetische Angreifer tun könnten, wenn sie sich Zugang in Ihre Google Cloud-Umgebung eingebunden und die Angriffspfade ermittelt und Sicherheitslücken, die Security Command Center bereits gefunden hat.

Jeder Angriffspfad zeigt eine oder mehrere Angriffsmethoden, die ein Angreifer könnte wenn sie Zugriff auf eine bestimmte Ressource haben. Das sollten Sie nicht tun: Angriffsmethoden mit tatsächlichen Angriffen zu verwechseln.

Eine hohe Angriffsrisikobewertung in einem Security Command Center ein Ergebnis oder eine Ressource nicht bedeutet, dass ein Angriff stattfindet.

Überwachen Sie die Ergebnisse der THREAT-Klasse, um nach tatsächlichen Angriffen zu suchen die von Diensten zur Bedrohungserkennung wie Event Threat Detection und Container Threat Detection:

Weitere Informationen finden Sie in den folgenden Abschnitten auf dieser Seite:

• Angriffsrisikobewertungen
• Angriffspfade
• Simulationen des Angriffspfads

Angriffsrisikobewertungen

Eine Angriffsbewertung für ein Security Command Center-Ergebnis oder eine Security Command Center-Ressource ist ein wie Ressourcen einem potenziellen Angriff ausgesetzt sind, wenn ein Zugriff auf Ihre Google Cloud-Umgebung erlangen.

Eine Angriffsbewertung für eine toxische Kombination wird das Ergebnis in einigen Kontexten als Wert der unangemessenen Kombination bezeichnet. z. B. auf der Seite Ergebnisse in der Google Cloud Console.

In der Beschreibung der Berechnung von Punktzahlen finden Sie im Allgemeinen Hinweise zu und in bestimmten anderen Kontexten den Begriff Der Angriffsbewertungswert gilt auch für die Bewertung von schädlichen Kombinationen.

Der Wert eines Ergebnisses gibt an, wie stark ein erkanntes Sicherheitsproblem ist. eine oder mehrere hochwertige Ressourcen verfügbar machen auf potenzielle Cyberangriffe. Für eine hochwertige Ressource ist der Wert ein Maß für die Ressource potenziellen Cyberangriffen ausgesetzt ist.

Nutzen Sie die Werte zu Software-Sicherheitslücken, Fehlkonfigurationen und unangemessenen Äußerungen. kombinieren, um die Korrektur dieser Ergebnisse zu priorisieren.

Nutzen Sie Angriffsrisikobewertungen für Ressourcen, um das die für Ihr Unternehmen am wertvollsten sind.

Bei den Angriffspfadsimulationen startet Risk Engine immer simulierten Angriffen aus dem Internet aus. Folglich ist das Angriffsrisikobewertungen berücksichtigen keine bösartige oder fahrlässige interne Akteure.

Ergebnisse, die Angriffsrisikobewertungen erhalten

Angriffsrisikobewertungen werden auf aktive Ergebnisklassen angewendet, die in Unterstützte Ergebniskategorien.

Angriffspfadsimulationen enthalten ausgeblendete Ergebnisse, sodass Risk Engine berechnet auch Punktzahlen und Angriffspfade für ausgeblendete Ergebnisse.

Angriffspfadsimulationen enthalten nur aktive Ergebnisse. Ergebnisse mit den Status INACTIVE haben, sind nicht in den Simulationen enthalten, also nicht erhalten Punktzahlen und werden nicht in Angriffspfade einbezogen.

Ressourcen, die Angriffsrisikobewertungen erhalten

Angriffspfadsimulationen berechnen Angriffsrisikobewertungen für unterstützten Ressourcentypen in Ihrem Satz hochwertiger Ressourcen. Sie legen fest, gehören zum Satz hochwertiger Ressourcen, Konfigurationen für Ressourcenwerte.

Wenn eine Ressource in einem Satz hochwertiger Ressourcen eine Angriffsrisikobewertung hat 0 wurden bei den Angriffspfadsimulationen keine Pfade zur Ressource identifiziert. die ein potenzieller Angreifer nutzen könnte.

Angriffspfadsimulationen unterstützen die folgenden Ressourcentypen:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Berechnung der Punktzahl

Bei jeder Ausführung der Angriffspfadsimulationen wird der Angriff neu berechnet Kontaktbewertungen Bei jeder Angriffspfadsimulation werden mehrere Simulationen ausgeführt Ein simulierter Angreifer probiert bekannte Angriffsmethoden und -techniken aus. die wertvollen Ressourcen zu erreichen und zu kompromittieren.

Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Als Ihr Unternehmen wächst, dauern Simulationen länger, werden aber immer mindestens einmal täglich. Simulationsausführungen werden nicht durch Erstellen, Ändern oder Ressourcen oder Ressourcenwertkonfigurationen zu löschen.

Bei den Simulationen werden die Bewertungen anhand einer Vielzahl von Messwerten berechnet, darunter Folgendes:

• Den Prioritätswert die den hochwertigen Ressourcen zugewiesen ist, exponiert sind. Die Prioritätswerte, die Sie zuweisen können, haben folgende Werte: <ph type="x-smartling-placeholder">
  </ph>
  • HOCH = 10
  • MED = 5
  • LOW = 1
• Die Anzahl der möglichen Pfade, die ein Angreifer einschlagen könnte, um ein bestimmtes .
• Die Häufigkeit, mit der ein simulierter Angreifer Zugang zu und am Ende eines Angriffspfads eine wertvolle Ressource gefährden, als Prozentsatz der Gesamtzahl der Simulationen.
• Nur für Ergebnisse die Anzahl der hochwertigen Ressourcen, die von der Sicherheitslücken oder Fehlkonfigurationen erkannt wurden.

Für Ressourcen können Angriffsrisikobewertungen zwischen 0 und 10 liegen.

Die Simulationen berechnen die Ressourcen-Scores den Prozentsatz erfolgreicher Angriffe mit dem numerischer Prioritätswert der Ressourcen.

Für Ergebnisse gibt es keine feste Obergrenze. Je häufiger ein Ergebnis bei Angriffspfaden zu gefährdeten Ressourcen auftritt im Satz hochwertiger Ressourcen und je höher die Priorität, der Werte dieser Ressourcen, desto höher ist der Wert.

Auf übergeordneter Ebene berechnen die Simulationen Ergebniswerte mithilfe der Funktion die gleiche Berechnung wie für die Ressourcen-Scores, und multipliziere dann das Ergebnis der Berechnung mit der Zahl hochwertiger Ressourcen, die durch das Ergebnis offengelegt werden.

Werte ändern

Die Bewertungen können sich bei jeder Ausführung einer Angriffspfadsimulation ändern. Ein Ergebnis oder Ressource, die heute einen Wert von null hat, einen Wert ungleich null haben kann Punkte morgen.

Bewertungen ändern sich aus verschiedenen Gründen, darunter:

• Die Erkennung oder Beseitigung einer Schwachstelle, die direkt oder indirekt eine hochwertige Ressource verfügbar macht.
• Das Hinzufügen oder Entfernen von Ressourcen in Ihrer Umgebung.

Änderungen an Ergebnissen oder Ressourcen nach der Ausführung einer Simulation sind nicht bis die nächste Simulation läuft.

Bewertungen verwenden, um Abhilfemaßnahmen für Ergebnisse zu priorisieren

Um die Korrektur von Ergebnissen effektiv zu priorisieren, Angriffsrisiko oder toxische Kombinationen sollten Sie folgende Punkte berücksichtigen:

• Alle Ergebnisse mit einem Wert, der größer als null ist eine wertvolle Ressource einem potenziellen Angriff aussetzt, Abhilfemaßnahmen sollten gegenüber Ergebnissen priorisiert werden, die einen Wert von null haben.
• Je höher der Wert eines Ergebnisses ist, desto mehr und umso höher die Priorisierung der Schadensbehebung.

Im Allgemeinen sollten Sie der Korrektur der Ergebnisse höchste Priorität einräumen. die die höchsten Punktzahlen haben und den Angriff zu Ihren hochwertigen Ressourcen.

Wenn die Werte einer toxischen Kombination eines Ergebnisses und eines Ergebnisses in einem anderen der Ergebnisklasse ungefähr gleich sind, priorisieren Sie die toxischen Kombination gefunden, da es einen vollständigen Pfad vom das öffentliche Internet an eine oder mehrere hochwertige Ressourcen Angreifern möglicherweise folgen, wenn sie sich Zugriff auf Ihre Cloud verschaffen. zu verbessern.

In den Ergebnissen von Security Command Center entweder in der Google Cloud Console oder die Security Operations-Konsole, können Sie die Ergebnisse im Seitenbereich indem Sie auf die Spaltenüberschrift klicken.

In der Google Cloud Console können Sie die Ergebnisse auch mit wenn Sie einen Filter hinzufügen, zur Ergebnisabfrage, die nur Ergebnisse mit einem Angriffsrisiko zurückgibt einen Wert größer als eine von Ihnen angegebene Zahl ist.

Auf der Seite Fälle in der Security Operations-Konsole können Sie auch der Fälle von unangemessenen Kombinationen nach Angriffsbewertung.

Ergebnisse, die nicht korrigiert werden können.

In einigen Fällen können Sie ein Ergebnis mit einer hohen Angriffsbewertung, entweder weil sie eine bekannte und Risiko akzeptiert oder das Ergebnis nicht einfach zu korrigieren ist. In In diesen Fällen müssen Sie das Risiko möglicherweise auf andere Weise mindern. Wird geprüft Der zugehörige Angriffspfad könnte Ihnen Ideen für andere mögliche und Abhilfemaßnahmen zu ergreifen.

Ressourcen mit Angriffsrisikobewertungen schützen

Eine Angriffsrisikobewertung ungleich null für eine Ressource bedeutet, dass die Angriffspfadsimulationen identifizierten mindestens einen Angriffspfad von aus dem öffentlichen Internet an die Ressource übertragen.

Um die Angriffsrisikobewertungen für Ihre hochwertigen Ressourcen zu sehen, führen Sie folgende Schritte aus:

1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

   <ph type="x-smartling-placeholder"></ph> „Assets“ aufrufen

2. Wählen Sie den Tab Satz hochwertiger Ressourcen aus. Die Ressourcen in Ihren hochwertigen Ressourcensatz werden in absteigender Reihenfolge der Angriffsbewertung angezeigt.

3. Klicken Sie auf die Zahl, um die Angriffspfade für eine Ressource aufzurufen für die entsprechende Zeile in der Spalte Angriffsrisikobewertung. Angriffspfade aus dem öffentlichen Internet zur Ressource.

4. Überprüfen Sie die Angriffspfade und suchen Sie nach roten Kreisen auf den Knoten, auf Ergebnisse hin.

5. Klicken Sie auf einen Knoten mit einem roten Kreis, um die Ergebnisse zu sehen.

6. Ergreifen Sie Maßnahmen, um die Ergebnisse zu beheben.

Sie können sich auch die Angriffsrisikobewertungen Ihrer hochwertigen Ressourcen ansehen auf dem Tab Simulationen des Angriffspfads in Einstellungen Klicken Sie dazu auf In der letzten Simulation verwendete wertvolle Ressourcen ansehen.

Der Tab Satz hochwertiger Ressourcen ist auch in der Ressourcen Seite der Security Operations-Konsole. Diese Funktion befindet sich in der Vorabversion und ist verfügbar für Nur für Security Command Center Enterprise-Kunden.

Angriffsbewertung von 0

Eine Angriffsrisikobewertung von 0 für eine Ressource bedeutet, dass in den letzten Simulationen des Angriffspfads, konnte Security Command Center keine mögliche Pfade, über die ein Angreifer die Ressource erreichen könnte.

Eine Angriffsrisikobewertung von 0 für ein Ergebnis bedeutet, dass in den letzten konnte der simulierte Angreifer keine hochwertigen durch das Ergebnis zu schaffen.

Eine Angriffsrisikobewertung von 0 bedeutet jedoch nicht, dass es keine Risiko. Eine Angriffsrisikobewertung der unterstützten Google Cloud-Dienste, -Ressourcen und Security Command Center-Ergebnisse zu potenziellen Bedrohungen aus das öffentliche Internet. Zum Beispiel berücksichtigen die Bewertungen Bedrohungen durch interne Akteure, Zero-Day-Sicherheitslücken oder und Infrastruktur.

Keine Angriffsbewertung

Wenn ein Ergebnis oder eine Ressource keine Bewertung hat, kann es für Folgendes sein: Gründe:

• Das Ergebnis wurde nach der letzten Angriffspfadsimulation ausgegeben.
• Die Ressource wurde dem Satz hochwertiger Ressourcen hinzugefügt nach der letzten Angriffspfadsimulation.
• Die Funktion „Angriffsrisiko“ unterstützt das Ergebnis derzeit nicht Kategorie oder den Ressourcentyp.

Eine Liste der unterstützten Ergebniskategorien finden Sie unter Unterstützung von Angriffsrisikofunktionen.

Eine Liste der unterstützten Ressourcentypen finden Sie unter Ressourcen, die Angriffsrisikobewertungen erhalten

Ressourcenwerte

Alle Ihre Ressourcen in Google Cloud haben einen Wert, Security Command Center identifiziert Angriffspfade und berechnet Angriffe Kontaktbewertungen nur für die Ressourcen, die Sie als Hochwertige Ressourcen (auch als wertvolle Ressourcen bezeichnet).

Hochwertige Ressourcen

Eine hochwertige Ressource in Google Cloud ist für Ihr Unternehmen besonders wichtig, um sich vor potenziellen . Beispiel: Ihre umsatzstark Ressourcen können die Ressourcen sein, die Ihre wertvollen oder sensiblen Daten speichern. oder die Ihre geschäftskritischen Arbeitslasten hosten.

Sie legen eine Ressource als hochwertige Ressource fest, indem Sie die Attribute definieren der Ressource in einer Konfiguration der Ressourcenwerte Bis zu einem Limit von 1.000 Ressourceninstanzen behandelt Security Command Center alle Ressourceninstanz, die den Attributen entspricht, die Sie in den Konfiguration als hochwertige Ressource zu nutzen.

Prioritätswerte

Unter den Ressourcen, die Sie als hochwertig einstufen, ist es wahrscheinlich, dass Sie die Sicherheit einiger wichtiger als andere. Beispiel: kann eine Gruppe von Datenressourcen hochwertige Daten enthalten, aber einige davon Datenressourcen enthalten können, die sensibler sind als der Rest.

Damit Ihre Bewertungen Ihren Priorisierungsanforderungen entsprechen, die Sicherheit der Ressourcen in Ihrem Satz hochwertiger Ressourcen, Sie weisen in den Konfigurationen für den Ressourcenwert einen Prioritätswert zu. der Ressourcen als hochwertig einstuft.

Wenn Sie Sensitive Data Protection verwenden, können Sie Außerdem werden Ressourcen automatisch nach der Vertraulichkeit der Daten priorisiert. die die Ressourcen enthalten.

Werte für Ressourcenpriorität manuell festlegen

In einer Konfiguration für den Ressourcenwert weisen Sie dem hochwertige Ressourcen abzugleichen, indem Sie eine der folgenden Optionen angeben: Prioritätswerte:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Wenn Sie in einer Ressourcenwertkonfiguration den Prioritätswert LOW angeben, dass die übereinstimmenden Ressourcen weiterhin hochwertige Ressourcen sind. Angriffspfad werden sie in den Simulationen nur mit einer niedrigeren Priorität behandelt als hochwertige Ressourcen mit einer Prioritätswert von MEDIUM oder HIGH.

Wenn mehrere Konfigurationen unterschiedliche Werte für dieselbe Ressource zuweisen, gilt der höchste Wert, es sei denn, eine Konfiguration weist den Wert NONE zu.

Der Ressourcenwert NONE schließt die übereinstimmenden Ressourcen aus. werden als hochwertige Ressource betrachtet und überschreiben jeden anderen Ressourcenwert Konfigurationen für dieselbe Ressource. Stellen Sie deshalb sicher, Jede Konfiguration, die NONE angibt, gilt nur für eine begrenzte Anzahl von Ressourcen.

Werte für die Ressourcenpriorität automatisch je nach Datensensibilität festlegen

Wenn Sie Schutz sensibler Daten verwenden Auffindbarkeit und veröffentlichen Sie die Datenprofile Security Command Center können Sie Security Command Center so konfigurieren, bestimmter hochwertiger Ressourcen durch die Vertraulichkeit der Daten, Ressourcen enthalten.

Sie aktivieren datensensible Priorisierung, wenn Sie die Ressourcen in einem Konfiguration des Ressourcenwerts

Wenn diese Option aktiviert ist, wird bei der Erkennung sensibler Daten die in einer Ressource entweder auf MEDIUM oder HIGH eingestellt ist, bei Angriffspfadsimulationen den Prioritätswert des Ressource auf denselben Wert.

Die Datensensibilitätsstufen Sensitive Data Protection, Sie können sie jedoch so interpretieren:

Daten mit hoher Vertraulichkeit

Bei der Erkennung sensibler Daten wurde mindestens ein Ergebnis gefunden Instanz von Daten mit hoher Vertraulichkeit in der Ressource.

Daten mit mittlerer Vertraulichkeit

Bei der Erkennung sensibler Daten wurde mindestens eine Instanz von gefunden Daten mit mittlerer Vertraulichkeit in der Ressource und keine Instanzen mit hoher Vertraulichkeit Daten.

Daten mit geringer Vertraulichkeit

Bei der Erkennung sensibler Daten wurden keine vertraulichen Daten erkannt Daten oder Freitext oder unstrukturierte Daten in der Ressource.

Wenn bei der Erkennung sensibler Daten festgestellt wird, in einer übereinstimmenden Datenressource, Die Ressource ist nicht als hochwertige Ressource vorgesehen.

Wenn Sie Datenressourcen benötigen, die nur Daten mit geringer Vertraulichkeit enthalten, als hochwertige Ressourcen mit niedriger Priorität bezeichnet, eine duplizierte Ressourcenwertkonfiguration erstellen, aber eine Priorität angeben LOW, anstatt die Priorisierung für sensible Daten zu aktivieren. Die Konfiguration, die Sensitive Data Protection verwendet überschreibt die Konfiguration, die dem Prioritätswert LOW zuweist, aber nur für Ressourcen, die HIGH oder MEDIUM enthalten sensible Daten.

Sie können die von Security Command Center verwendeten Standardprioritätswerte ändern wenn sensible Daten in der Konfiguration des Ressourcenwerts erkannt werden.

Weitere Informationen zu Sensitive Data Protection finden Sie unter Schutz sensibler Daten

Priorisierung von Datensensibilität und der Standardsatz hochwertiger Ressourcen

Bevor Sie Ihren eigenen Satz hochwertiger Ressourcen erstellen, verwendet einen Standardsatz hochwertiger Ressourcen, um Angriffsbewertungen zu berechnen und Angriffspfade.

Wenn Sie die Erkennung sensibler Daten verwenden, Security Command Center fügt Instanzen mit unterstützten Daten automatisch hinzu Ressourcentypen, die Vertraulichkeitsdaten vom Typ HIGH oder MEDIUM enthalten, Standardsatz hochwertiger Ressourcen.

Unterstützte Ressourcentypen für automatisierte Prioritätswerte für sensible Daten

Angriffspfadsimulationen können automatisch Prioritätswerte festlegen basierend auf den Datensensitivitätsklassifizierungen Schutz sensibler Daten nur für die folgenden Datenressourcentypen:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Sets hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen ist eine definierte Sammlung der Ressourcen. in Ihrer Google Cloud-Umgebung befinden, sicher und geschützt.

Um Ihren Satz hochwertiger Ressourcen zu definieren, müssen Sie angeben, Ressourcen in Ihrer Google Cloud-Umgebung gehören zu Ihrem Satz hochwertiger Ressourcen. Bis Sie Ihre hochwertigen Ressourcensatz, Angriffsrisikobewertungen, Angriffspfade und schädliche Kombinationen Die Ergebnisse spiegeln nicht genau Ihre Sicherheitsprioritäten wider.

Sie geben die Ressourcen in Ihrem Satz hochwertiger Ressourcen an, indem Sie Konfigurationen für den Wert von Ressourcen. Die Kombination all Ihrer Ressourcenwerte Konfigurationen Ihren Satz hochwertiger Ressourcen definieren. Weitere Informationen Siehe Ressourcenwertkonfigurationen.

Bis Sie Ihre erste Konfiguration des Ressourcenwerts definiert haben, Security Command Center verwendet einen Standardsatz hochwertiger Ressourcen. Der Standardsatz gilt in Ihrem Unternehmen bis hin zu allen Ressourcentypen, die und Pfadsimulationen. Weitere Informationen finden Sie unter Standardsatz hochwertiger Ressourcen:

Sie sehen den Satz hochwertiger Ressourcen, der im letzten Angriffspfad verwendet wurde in der Google Cloud Console auf der Seite Assets indem Sie auf den Tab Satz hochwertiger Ressourcen klicken. Sie können sie auch sehen, auf dem Tab Simulation des Angriffspfads auf der Seite mit den Security Command Center-Einstellungen.

Konfigurationen von Ressourcenwerten

Sie verwalten die Ressourcen in Ihrem Satz hochwertiger Ressourcen mit Konfigurationen für den Ressourcenwert.

Sie erstellen Konfigurationen für Ressourcenwerte in der Simulation des Angriffspfads Tab der Security Command Center-Seite Einstellungen in der Google Cloud Console.

In einer Ressourcenwertkonfiguration geben Sie die Attribute an, Ressource erforderlich, damit Security Command Center sie Ihrem hinzufügen kann Satz hochwertiger Ressourcen.

Zu den Attributen, die Sie angeben können, gehören der Ressourcentyp, Ressourcen-Tags, Ressourcenlabels und das übergeordnete Projekt. Ordner oder Organisation.

Außerdem weisen Sie den Ressourcen in einer Konfiguration einen Ressourcenwert zu. Der Ressourcenwert priorisiert die Ressourcen in einer Konfiguration relativ mit den anderen Ressourcen in der Gruppe hochwertiger Ressourcen. Weitere Informationen Weitere Informationen finden Sie unter Ressourcenwerte.

Sie können bis zu 100 Konfigurationen für Ressourcenwerte in einer Google Cloud-Organisation.

Alle von Ihnen erstellten Konfigurationen für den Ressourcenwert Satz hochwertiger Ressourcen definieren, den Security Command Center für die Angriffspfadsimulationen.

Ressourcenattribute

Damit eine Ressource in den Satz hochwertiger Ressourcen aufgenommen wird, Die Attribute müssen mit den Attributen übereinstimmen, die Sie in einem Ressourcenwert angeben. Konfiguration.

Sie können unter anderem folgende Attribute angeben:

• Einen Ressourcentyp oder Any. Wenn Any angegeben ist, wird die Konfiguration gilt für alle unterstützten Ressourcentypen innerhalb der angegebenen Umfang. Any ist der Standardwert.
• Ein Bereich (übergeordnete Organisation, übergeordneter Ordner oder Projekt), innerhalb dessen müssen sich die Ressourcen befinden. Der Standardumfang ist Ihr Unternehmen. Wenn Sie eine Organisation oder einen Ordner angeben, gilt auch für die Ressourcen in den untergeordneten Ordnern oder Projekten.
• Optional ein oder mehrere Tags oder Labels die jede Ressource enthalten muss.

Wenn Sie eine oder mehrere Konfigurationen für Ressourcenwerte, aber keine Ressourcen in Ihrer Google Cloud-Umgebung übereinstimmen die in einer der Konfigurationen angegebenen Attribute, Security Command Center gibt ein SCC Error-Ergebnis aus und greift auf Standardsatz hochwertiger Ressourcen.

Standardsatz hochwertiger Ressourcen

Security Command Center verwendet für die Berechnung Angriffsrisikobewertungen, wenn keine Konfigurationen für Ressourcenwerte definiert sind oder wenn keine definierten Konfigurationen mit Ressourcen übereinstimmen.

Security Command Center weist Ressourcen in der hochwertigen Standardressource zu Prioritätswert von LOW, es sei denn, Sie verwenden Sensitive Data Protection In diesem Fall weist Security Command Center Ressourcen zu, Daten mit hoher oder mittlerer Vertraulichkeit enthalten, ein entsprechendes Prioritätswert von HIGH oder MEDIUM.

Wenn Sie mindestens eine Ressourcenwertkonfiguration haben, die mit mindestens eine Ressource in Ihrer Umgebung, Security Command Center wird der Standardsatz hochwertiger Ressourcen nicht mehr verwendet.

Um Angriffsrisiko und Werte für toxische Kombinationen zu erhalten, die genau Ihre Sicherheitsprioritäten widerspiegeln und somit die standardmäßige hochwertige Ressource ersetzen mit Ihrem eigenen Satz hochwertiger Ressourcen. Weitere Informationen finden Sie unter Definieren Sie Ihren Satz hochwertiger Ressourcen.

In der folgenden Liste sind die Ressourcentypen aufgeführt, die in der Standardsatz hochwertiger Ressourcen:

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limit für Ressourcen in einem Satz hochwertiger Ressourcen

Security Command Center begrenzt die Anzahl der Ressourcen in einer hochwertige Ressource auf 1.000 festgelegt.

Wenn die Attributspezifikationen in einer oder mehreren Ressourcenwertkonfigurationen sind sehr breit gefasst, sodass die Anzahl der Ressourcen, die dem Attribut entsprechen, Spezifikationen können 1.000 überschreiten.

Wenn die Anzahl der übereinstimmenden Ressourcen das Limit überschreitet, Security Command Center schließt Ressourcen aus der Gruppe bis zur Anzahl der Ressourcen im Limit. Security Command Center-Ausschluss mit dem niedrigsten zugewiesenen Wert zuerst. Unter den Ressourcen mit demselben zugewiesenen Wert hat, schließt Security Command Center die Ressource aus Instanzen durch einen Algorithmus, der die ausgeschlossenen Ressourcen Ressourcentypen.

Eine Ressource, die aus dem Satz hochwertiger Ressourcen ausgeschlossen ist, bei der Berechnung der Angriffsrisikobewertungen berücksichtigt werden.

Um Sie zu benachrichtigen, wenn das Instanzlimit für die Berechnung des Werts überschritten wird, Security Command Center gibt ein SCC error-Ergebnis aus und zeigt eine Nachricht an auf dem Tab mit den Einstellungen für die Simulation des Angriffspfads in der Google Cloud Console. Security Command Center weist kein Problem auf Ein SCC error-Ergebnis, wenn der Standardsatz für hohe Werte den Wert Instanzlimit.

Passen Sie Ihre Konfigurationen für den Ressourcenwert so an, dass das Limit nicht überschritten wird: damit Sie die Instanzen in Ihrem Satz hochwertiger Ressourcen optimieren können.

So können Sie Ihren Satz hochwertiger Ressourcen optimieren: die folgenden Optionen:

• Tags verwenden oder Labels um die Anzahl der Übereinstimmungen für einen bestimmten Ressourcentyp zu reduzieren oder innerhalb eines bestimmten Umfangs liegen.
• Erstellen Sie eine Konfiguration für den Ressourcenwert, die diesem den Wert NONE zuweist. Eine Teilmenge der in einer anderen Konfiguration angegebenen Ressourcen. Wenn Sie den Wert NONE angeben, werden alle anderen Konfigurationen und die Ressourceninstanzen aus Ihrem Satz hochwertiger Ressourcen ausschließt.
• Reduzieren Sie die Bereichsspezifikation in der Konfiguration des Ressourcenwerts.
• Löschen Sie Konfigurationen für den Ressourcenwert, die den Wert LOW zuweisen.

Hochwertige Ressourcen auswählen

Um Ihren Satz hochwertiger Ressourcen zu füllen, müssen Sie entscheiden, welche Ressource in Ihrer Umgebung einen wirklich hohen Wert haben.

Im Allgemeinen sind Ihre wahren hochwertigen Ressourcen die Ressourcen, und Ihre sensiblen Daten zu speichern. In Google Cloud sind diese Compute Engine-Instanzen, ein BigQuery- Dataset oder Cloud Storage-Bucket.

Sie müssen keine benachbarten Ressourcen angeben wie einen Jump-Server als hochwertig einstufen. Die Angriffspfadsimulationen berücksichtigen diese benachbarten Ressourcen bereits, Und wenn Sie sie als hochwertig kennzeichnen, sind Angriffsrisikobewertungen weniger zuverlässig.

Multi-Cloud-Unterstützung

Mit Angriffspfadsimulationen können Sie Risiken in Ihren Bereitstellungen auf anderen Plattformen von Cloud-Dienstanbietern.

Nachdem Sie eine Verbindung zu einer anderen Plattform hergestellt haben, können Sie Ihre hochwertigen Ressourcen im anderen Cloud-Dienst Anbieter, indem Sie Ressourcenwertkonfigurationen erstellen, wie Sie es für Ressourcen tun würden in Google Cloud.

Security Command Center führt unabhängig Simulationen für eine Cloud-Plattform aus von Simulationen, die für andere Cloud-Plattformen ausgeführt werden.

Bevor Sie Ihre erste Ressourcenwertkonfiguration für eine andere erstellen Cloud-Dienstanbieter ist Security Command Center Ressourcensatz, der für den Cloud-Dienstanbieter spezifisch ist. Standardeinstellung Satz hochwertiger Ressourcen bestimmt alle unterstützten Ressourcen als hochwertige Ressourcen.

Unterstützte Plattformen von Cloud-Dienstanbietern

Neben Google Cloud kann Security Command Center Simulationen von Angriffspfaden für Amazon Web Services (AWS). Weitere Informationen finden Sie unter:

• Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen
• Unterstützung der Angriffspfadsimulation für AWS

Angriffspfade

Ein Angriffspfad ist eine interaktive, visuelle Darstellung einer oder mehrerer Mögliche Pfade, die ein hypothetischer Angreifer nutzen könnte, um aus dem aus dem öffentlichen Internet zu einer Ihrer hochwertigen Ressourceninstanzen.

Angriffspfadsimulationen identifizieren potenzielle Angriffspfade durch Modellierung was passieren würde, wenn ein Angreifer bekannte Angriffsmethoden Sicherheitslücken und Fehlkonfigurationen in Security Command Center in Ihrer Umgebung erkannt werden, um Ihre hochwertigen Ressourcen zu erreichen.

Sie können Angriffspfade ansehen, indem Sie auf die Angriffsbewertung für ein Ergebnis oder eine Ressource in der Google Cloud Console erstellen.

Wenn Sie sich einen Fall mit schädlichen Kombinationen in der Security Operations-Konsole ansehen, sehen Sie einen vereinfachten Angriffspfad Tab mit der Fallübersicht. Der vereinfachte Angriffspfad enthält einen Link zum vollständiger Angriffspfad. Weitere Informationen zu Angriffspfaden für toxische Inhalte kombinierten Ergebnissen, siehe Angriffspfade mit schädlichen Kombinationen:

Wenn Sie sich größere Angriffspfade ansehen, können Sie Ihre Ansicht des Angriffspfads ändern, indem Sie Ziehen Sie den Auswahlbereich für den Fokusbereich aus dem roten Quadrat um die Miniatur Ansicht des Angriffspfads auf der rechten Seite des Bildschirms.

Wenn der Angriffspfad in der Google Cloud Console angezeigt wird, können Sie auf KI-Zusammenfassung^Vorschau um eine Erläuterung des Angriffspfads anzuzeigen. Die Erläuterung wird generiert mithilfe von künstlicher Intelligenz (KI) dynamisch erstellen. Weitere Informationen finden Sie unter KI-generierte Zusammenfassungen:

In einem Angriffspfad: Ressourcen in einem Angriffspfad werden als Felder oder Knoten dargestellt. Die Linien stellen mögliche Zugänglichkeit zwischen Ressourcen. Zusammen stellen die Knoten und Linien des Angriffspfads.

Angriffspfadknoten

Die Knoten in einem Angriffspfad stellen die Ressourcen auf einem Angriffspfad.

Knoteninformationen anzeigen

Sie können weitere Informationen zu jedem Knoten in einem Angriffspfad anzeigen lassen indem Sie darauf klicken.

Wenn Sie auf den Ressourcennamen in einem Knoten klicken, werden weitere Informationen zu die Ressource sowie alle Ergebnisse, die sich auf die Ressource auswirken.

Durch Klicken auf Knoten maximieren werden mögliche Angriffsmethoden angezeigt, die wenn ein Angreifer Zugriff auf die Ressource erlangt hat.

Knotentypen

Es gibt drei verschiedene Knotentypen:

• Der Start- oder Einstiegspunkt des simulierten Angriffs. das öffentliche Internet. Beim Klicken auf einen Einstiegspunktknoten wird ein Beschreibung des Einstiegspunkts und die Angriffsmethoden eines Angreifers um Zugriff auf Ihre Umgebung zu erhalten.
• Die betroffenen Ressourcen, über die ein Angreifer einen Pfad verfolgen kann.
• Die freigegebene Ressource am Ende eines Pfads, die einer der folgenden ist: in Ihrem Satz hochwertiger Ressourcen. Nur Ressource in einer definierten oder default Satz hochwertiger Ressourcen kann eine freigegebene Ressource sein. Sie definieren eine Satz hochwertiger Ressourcen durch Erstellen von Konfigurationen für den Ressourcenwert

Vorgelagerte und nachgelagerte Knoten

In einem Angriffspfad kann sich ein Knoten vorgelagert oder nachgelagert befinden. anderen Knoten. Ein Upstream-Knoten befindet sich näher am Einstiegspunkt und oben des Angriffspfads. Ein nachgelagerter Knoten befindet sich näher am exponierten hochwertigen Knoten Ressource am Ende des Angriffspfads.

Knoten, die mehrere Containerressourceninstanzen darstellen

Ein Knoten kann mehrere Instanzen bestimmter Containerressourcentypen darstellen. wenn die Instanzen die gleichen Merkmale haben.

Mehrere Instanzen der folgenden Containerressourcentypen können durch einen einzelnen Knoten dargestellt:

• ReplicaSet-Controller
• Bereitstellungscontroller
• Jobcontroller
• CronJob-Controller
• DaemonSet-Controller

Angriffspfadlinien

In einem Angriffspfad stellen Linien zwischen den Rechtecken potenzielle Zugänglichkeit zwischen Ressourcen, die ein Angreifer nutzen könnte, um wertvolle Ressourcen.

Die Linien stellen keine Beziehung zwischen Ressourcen dar, die in Google Cloud

Wenn es mehrere Pfade gibt, die von mehreren vorgelagerten Knoten können die Upstream-Knoten entweder einen AND-Wert haben Beziehung zueinander oder eine OR-Beziehung zueinander ist.

Eine AND-Beziehung bedeutet, dass ein Angreifer Zugriff auf vorgelagerte Systeme benötigt, um auf einen nachgelagerten Knoten im Pfad zuzugreifen.

Zum Beispiel eine direkte Verbindung vom öffentlichen Internet zu einem umsatzstarken Ressource am Ende eines Angriffspfads hat eine AND-Beziehung zu mindestens eine weitere Zeile im Angriffspfad enthält. Ein Angreifer konnte nicht erreichen wertvolle Ressource, es sei denn, sie erhalten Zugriff auf Ihre Google Cloud-Umgebung und mindestens eine weitere Ressource die im Angriffspfad angezeigt werden.

Eine OR-Beziehung bedeutet, dass ein Angreifer nur Zugriff auf eine der für den Zugriff auf den nachgelagerten Knoten.

Angriffspfadsimulationen

Um alle möglichen Angriffspfade zu bestimmen und das Angriffsrisiko zu berechnen führt Security Command Center erweiterte Angriffspfadsimulationen durch.

Simulationszeitplan

Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Als Ihr Unternehmen wächst, dauern Simulationen länger, werden aber immer mindestens einmal täglich. Simulationsausführungen werden nicht durch Erstellen, Ändern oder Ressourcen oder Ressourcenwertkonfigurationen zu löschen.

Schritte der Angriffspfadsimulation

Die Simulationen umfassen drei Schritte:

1. Modellgenerierung: Ein Modell Ihrer Google Cloud-Umgebung basierend auf den Umgebungsdaten automatisch generiert wird. Das Modell ist ein Graph Darstellung Ihrer Umgebung, die auf Analysen von Angriffspfaden zugeschnitten ist.
2. Angriffspfadsimulation: Angriffspfadsimulationen werden auf der Graph-Modells zeichnen. Bei den Simulationen versucht ein virtueller Angreifer, die Ressourcen in Ihrem Satz hochwertiger Ressourcen kompromittieren. Die nutzen Simulationen die Erkenntnisse bestimmte Ressourcen und Beziehungen, einschließlich Netzwerken, IAM, Fehlkonfigurationen und Sicherheitslücken.
3. Statistikberichte: Basierend auf den Simulationen, Security Command Center weist Ihren hochwertigen Ressourcen Angriffsrisikobewertungen zu die sie aufdecken und die potenziellen Pfade eines diese Ressourcen nutzen könnten.

Merkmale der Simulationsausführung

Neben den Angriffsrisikowerten, dem Angriffspfad Erkenntnisse und Angriffspfaden, haben Angriffspfadsimulationen, die folgenden Merkmale haben:

• Sie haben keinen Einfluss auf Ihre Live-Umgebung: Alle Simulationen werden in einem virtuelles Modell erstellen und nur Lesezugriff für die Modellerstellung verwenden.
• Sie sind dynamisch: Das Modell wird ohne Agents über API-Lesevorgänge erstellt. -Zugriff, sodass die Simulationen im Laufe der Zeit an Ihrer Umgebung.
• Ein virtueller Angreifer versucht, so viele Methoden und Schwachstellen wie möglich Ihre hochwertigen Ressourcen zu nutzen. Dazu gehören nicht nur „die bekannten“, wie Sicherheitslücken, Konfigurationen, Fehlkonfigurationen Gemeinsamkeiten, sondern auch von „bekannten Unbekannten“ mit geringerer Wahrscheinlichkeit – Risiken, zum Beispiel Phishing oder gehackte Anmeldedaten.
• Sie sind automatisiert: Die Angriffslogik ist in das Tool integriert. Du nicht umfangreiche Abfragen oder große Datasets erstellen oder verwalten müssen.

Angriffsszenario und -funktionen

In den Simulationen hat Security Command Center eine logische Darstellung einer Angreifer versuchen, Ihre hochwertigen Ressourcen auszunutzen, zu Ihrer Google Cloud-Umgebung und folgen Sie potenziellen Pfaden, über Ihre Ressourcen und gefundene Sicherheitslücken.

Der virtuelle Angreifer

Der virtuelle Angreifer, den die Simulationen nutzen, hat Folgendes: Eigenschaften:

• Der Angreifer ist extern: Der Angreifer ist kein rechtmäßiger Nutzer Ihres Google Cloud-Umgebung In den Simulationen werden keine Modelle von böswilligen oder fahrlässigen Nutzern, die legitimen Zugriff auf für Ihre Umgebung.
• Der Angreifer beginnt im öffentlichen Internet. Um einen Angriff zu starten, Angreifer müssen sich zuerst aus der Öffentlichkeit Zugang zu Ihrer Umgebung verschaffen Internet.
• Der Angreifer ist hartnäckig. Der Angreifer wird nicht entmutigt, aufgrund der Schwierigkeit einer bestimmten Angriffsmethode das Interesse verlieren.
• Der Angreifer ist kompetent und sachkundig. Der Angreifer versucht, Methoden und Techniken für den Zugriff auf Ihre hochwertigen Ressourcen nutzen können.

Anfänglicher Zugriff

Bei jeder Simulation testet ein virtueller Angreifer die folgenden Methoden, Sie können über das öffentliche Internet auf die Ressourcen in Ihrer Umgebung zugreifen:

• Finden Sie alle Dienste und Ressourcen, die über das öffentliche Internet zugänglich sind: <ph type="x-smartling-placeholder">
  </ph>
  • Dienste auf Compute Engine-VM-Instanzen und Google Kubernetes Engine-Knoten
  • Datenbanken
  • Container
  • Cloud Storage-Buckets
  • Cloud Functions
• Sie erhalten Zugriff auf Schlüssel und Anmeldedaten, darunter: <ph type="x-smartling-placeholder">
  </ph>
  • Dienstkontoschlüssel
  • Vom Nutzer bereitgestellte Verschlüsselungsschlüssel
  • SSH-Schlüssel der VM-Instanz
  • Projektweite SSH-Schlüssel
  • Externe Schlüsselverwaltungssysteme
  • Nutzerkonten, bei denen die Multi-Faktor-Authentifizierung (MFA) nicht erzwungen wird
  • Abgefangene virtuelle MFA-Tokens
• Zugriff auf öffentlich erreichbare Cloud-Assets durch gestohlene Anmeldedaten ausnutzen oder Sicherheitslücken ausnutzen, Mandiant Attack Surface Management und VM Manager

Findet die Simulation einen möglichen Einstiegspunkt in die Umgebung, versucht der virtuelle Angreifer in der Simulation, Ihre hochwertigen Ressourcen vom Einstiegspunkt aus durch fortlaufende Untersuchung und Sicherheitslücken ausnutzen, innerhalb der Umgebung.

Taktiken und Techniken

Die Simulation nutzt eine Vielzahl von Taktiken und Techniken, Nutzung legitimer Zugriffsrechte, seitlicher Bewegung, Rechteausweitung Sicherheitslücken, Fehlkonfigurationen und Codeausführungen zu erkennen.

Einbindung von CVE-Daten

Bei der Berechnung der Angriffsrisikobewertungen für Ergebnisse von Sicherheitslücken werden bei den Angriffspfadsimulationen Daten aus der Schwachstelle CVE-Eintrag, die CVSS-Werte, sowie eine Bewertung der Ausnutzbarkeit der Sicherheitslücke, werden von Mandiant bereitgestellt.

Die folgenden CVE-Informationen werden berücksichtigt:

• Angriffsvektor: Der Angreifer muss über die entsprechende Zugriffsebene verfügen. der im CVSS-Angriffsvektor angegeben ist, um das CVE zu verwenden. Für CVE mit einem Netzwerkangriffsvektor auf einem Asset. mit einer öffentlichen IP-Adresse und offenen Ports von einem Angreifer mit Netzwerkzugriff ausgenutzt werden. Wenn ein Angreifer nur Netzwerkzugriff hat und die CVE physischen Zugriff erfordert, dann ist das das CVE ausnutzen kann.
• Angriffskomplexität: Im Allgemeinen eine Sicherheitslücke oder Fehlkonfiguration. mit geringer Angriffskomplexität zu finden, führt mit höherer Wahrscheinlichkeit zu einer hohen als ein Ergebnis mit hoher Angriffskomplexität.
• Ausnutzungsaktivitäten: Im Allgemeinen ist ein Sicherheitslückenergebnis mit groß angelegte Angriffsaktivitäten, ermittelt durch Cyber Threat Intelligence bei Mandiant, ist es wahrscheinlicher, dass als bei einem Ergebnis ohne bekannte Angriffsaktivität.