Puntuaciones de exposición a ataques y rutas de ataque

En esta página, se explican los conceptos, los principios y las restricciones clave para ayudarte a conocer, definir mejor y usar las puntuaciones de exposición a ataques de Security Command Center y las rutas de ataque que generan las simulaciones de rutas de ataque.

Las puntuaciones de las rutas de ataque y las rutas de ataque se generan para los siguientes elementos:

• Resultados de vulnerabilidades y configuración incorrecta (resultados de vulnerabilidades, en conjunto) que exponen las instancias de recursos en tu conjunto eficaz de recursos de alto valor.
• Los recursos en tu conjunto eficaz de recursos de alto valor.

Las rutas de ataque representan posibilidades

No verás evidencia de un ataque real en una ruta de ataque.

Las simulaciones de rutas de ataque generan rutas de ataque y puntuaciones de exposición a ataques simulando lo que podrían hacer los atacantes hipotéticos si obtuvieran acceso a tu entorno de Google Cloud y descubrieran las rutas de ataque y las vulnerabilidades que ya encontró Security Command Center.

Cada ruta de ataque te muestra uno o más métodos de ataque que un atacante podría usar si obtuviera acceso a un recurso en particular. No confundas estos métodos de ataque con ataques reales.

De manera similar, una puntuación alta de exposición al ataque en un hallazgo o recurso de Security Command Center no significa que un ataque esté en curso.

Para detectar ataques reales, supervisa los hallazgos de la clase THREAT que producen los servicios de detección de amenazas, como Event Threat Detection y Container Threat Detection.

Para obtener más información, consulta las siguientes secciones de esta página:

• Puntuaciones de exposición a ataques
• Rutas de ataque
• Simulaciones de rutas de ataque

Puntuaciones de exposición a ataques

Una puntuación de exposición a ataques en un hallazgo o recurso de Security Command Center es una medida de qué tan expuestos están los recursos a un posible ataque si un agente malicioso obtuviera acceso a tu entorno de Google Cloud.

En un hallazgo, la puntuación es una medida de cuánto un problema de seguridad detectado expone uno o más recursos de alto valor a posibles ciberataques. En un recurso de alto valor, la puntuación es una medida de qué tan expuesto está el recurso a posibles ciberataques.

Usa las puntuaciones de exposición a ataques en los hallazgos de vulnerabilidades para priorizar la solución de los hallazgos.

Usa las puntuaciones de exposición a ataques en los recursos para proteger de forma proactiva los recursos más valiosos para tu empresa.

Las simulaciones de rutas de ataque siempre inician ataques desde la Internet pública. En consecuencia, las puntuaciones de exposición a ataques no consideran ninguna posible exposición a actores internos maliciosos o negligentes.

Hallazgos que reciben puntuaciones de exposición a ataques

Las puntuaciones de exposición a ataques se aplican a los hallazgos activos de las clases Vulnerability y Misconfiguration que se enumeran en Categorías de hallazgos compatibles.

Las simulaciones de rutas de ataque incluyen hallazgos silenciados, por lo que reciben puntuaciones de exposición a ataques y se incluyen en las rutas de ataque.

Las simulaciones de rutas de ataque solo incluyen hallazgos activos. Los resultados que tienen un estado de INACTIVE no se incluyen en las simulaciones, por lo que no reciben puntuaciones de exposición a ataques y no se incluyen en las rutas de ataque.

Recursos que reciben puntuaciones de exposición a ataques

Las simulaciones de rutas de ataque calculan las puntuaciones de exposición a ataques para los tipos de recursos admitidos en tu conjunto de recursos de alto valor. Para especificar qué recursos pertenecen al conjunto de recursos de alto valor, crea configuraciones de valores de recursos.

Si un recurso en un conjunto de recursos de alto valor tiene una puntuación de exposición a ataques de 0, las simulaciones de rutas de ataque no identificaron ninguna ruta hacia el recurso que un atacante potencial pudiera aprovechar.

Las simulaciones de rutas de ataque admiten los siguientes tipos de recursos:

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Cálculo de la puntuación

Cada vez que se ejecutan las simulaciones de rutas de ataque, se vuelven a calcular las puntuaciones de exposición al ataque. Cada simulación de ruta de ataque ejecuta varias simulaciones en las que un atacante prueba métodos y técnicas de ataque conocidos para alcanzar y comprometer los recursos valiosos.

Las simulaciones de rutas de ataque se pueden ejecutar hasta cuatro veces al día (cada seis horas). A medida que tu organización crece, las simulaciones tardan más tiempo, pero siempre se ejecutarán al menos una vez al día. Las ejecuciones de simulación no se activan mediante la creación, modificación o eliminación de recursos o configuraciones de valores de recursos.

Las simulaciones calculan las puntuaciones a partir de varias métricas, incluidas las siguientes:

• El valor de prioridad que se asigna a los recursos de alto valor que se exponen. Los valores de prioridad que puedes asignar tienen los siguientes valores:
  • ALTO = 10
  • MED = 5
  • BAJO = 1
• La cantidad de rutas posibles que un atacante podría tomar para llegar a un recurso determinado.
• La cantidad de veces en las que un atacante simulado puede alcanzar y comprometer un recurso de alto valor al final de una ruta de ataque determinada, expresada como un porcentaje de la cantidad total de simulaciones.
• Solo para resultados, la cantidad de recursos de alto valor que se exponen por la vulnerabilidad o la configuración incorrecta detectadas

Para los recursos, las puntuaciones de exposición a ataques pueden estar en el rango de 0 a 10.

En un nivel alto, las simulaciones calculan las puntuaciones de los recursos multiplicando el porcentaje de ataques exitosos por el valor numérico de prioridad de los recursos.

Para los hallazgos, las puntuaciones de exposición a ataques no tienen un límite superior fijo. Cuanto más frecuente sea un hallazgo en las rutas de ataque a recursos expuestos en el conjunto de recursos de alto valor, y cuanto más altos sean los valores de prioridad de esos recursos, mayor será la puntuación.

En un nivel alto, las simulaciones calculan las puntuaciones de los resultados con el mismo cálculo que las puntuaciones de recursos; sin embargo, para encontrar puntuaciones, las simulaciones luego multiplican el resultado del cálculo por la cantidad de recursos de alto valor que expone el resultado.

Cambio de puntuaciones

Las puntuaciones pueden cambiar cada vez que se ejecuta una simulación de ruta de ataque. Un hallazgo o recurso que hoy tiene una puntuación de cero podría tener una puntuación distinta de cero mañana.

Las puntuaciones cambian por diversos motivos, entre los que se incluyen los siguientes:

• La detección o corrección de una vulnerabilidad que, directa o indirectamente, expone un recurso de alto valor.
• La adición o eliminación de recursos en tu entorno.

Los cambios en los resultados o recursos después de que se ejecuta una simulación no se reflejan en las puntuaciones de exposición a ataques hasta que se ejecuta la siguiente simulación.

Usar puntuaciones de exposición a ataques para priorizar las soluciones de los hallazgos

Para priorizar de manera efectiva la corrección de los hallazgos en función de sus puntuaciones de exposición a ataques, considera los siguientes puntos:

• Cualquier hallazgo que tenga una puntuación de exposición a ataques mayor que cero expone un recurso de alto valor a un ataque potencial de alguna manera, por lo que la corrección debe priorizarse sobre los hallazgos que tengan una puntuación de cero.
• Cuanto más alta sea la puntuación de un resultado, más exponga el resultado tus recursos de alto valor y mayor será la prioridad de su solución.

Por lo general, debes dar la mayor prioridad a la solución de los resultados que tienen las puntuaciones más altas y que bloquean de manera más efectiva las rutas de ataque a tus recursos de alto valor.

En la página Hallazgos de Security Command Center en la consola de Google Cloud, puedes ordenar los hallazgos en el panel Resultados de la consulta por puntuación de exposición a ataques. Para ello, haz clic en el encabezado de la columna Nivel de exposición a ataques.

También puedes ver los resultados con las puntuaciones más altas si agregas un filtro a la consulta de hallazgos que solo muestra resultados con una puntuación de exposición a ataques mayor que el número que especificas.

Resultados que no se pueden corregir.

En algunos casos, es posible que no puedas corregir un hallazgo con una puntuación alta de exposición a ataques, ya sea porque representa un riesgo conocido y aceptado o porque el hallazgo no se puede corregir con facilidad. En estos casos, es posible que debas mitigar el riesgo de otras maneras. Revisar la ruta de ataque asociada puede darte ideas para otras posibles mitigaciones.

Usar puntuaciones de exposición a ataques para proteger recursos

Una puntuación de exposición a ataques distinta de cero en un recurso significa que las simulaciones de rutas de ataque identificaron una o más rutas de ataque desde la Internet pública hasta el recurso.

Para ver las puntuaciones de exposición a ataques de tus recursos de alto valor, sigue estos pasos:

1. Ve a la página Recursos de Security Command Center en la consola de Google Cloud:

   Ir a recursos

2. Selecciona la pestaña Conjunto de recursos de alto valor. Los recursos en tu conjunto de recursos de alto valor se muestran en orden descendente de puntuación de exposición a ataques.

3. Para mostrar las rutas de ataque de un recurso, haz clic en el número de su fila en la columna Puntuación de exposición a ataques. Se muestran las rutas de ataque desde la Internet pública hasta el recurso.

4. Revisa las rutas de ataque en busca de círculos rojos en los nodos que indican hallazgos.

5. Haz clic en un nodo que tenga un círculo rojo para ver cuáles son los hallazgos.

6. Iniciar la acción para corregir los hallazgos.

También puedes ver las puntuaciones de exposición a ataques de tus recursos de alto valor en la pestaña Simulaciones de rutas de ataque en Configuración. Para ello, haz clic en Ver recursos valiosos que se usaron en la última simulación.

Puntuaciones de exposición al ataque de 0

Una puntuación de exposición a ataques de 0 en un recurso significa que, en las últimas simulaciones de rutas de ataque, Security Command Center no identificó ninguna ruta potencial que un atacante pudiera tomar para llegar al recurso.

Una puntuación de exposición a ataques de 0 en un resultado significa que, en la simulación más reciente, el atacante simulado no pudo alcanzar ningún recurso de alto valor a través del hallazgo.

Sin embargo, una puntuación de exposición a ataques de 0 no significa que no haya ningún riesgo. Una puntuación de exposición a ataques refleja la exposición de los servicios, los recursos y los hallazgos de Security Command Center admitidos de Google Cloud a amenazas potenciales que se originan en la Internet pública. Por ejemplo, las puntuaciones no tienen en cuenta las amenazas de actores internos, las vulnerabilidades de día cero ni la infraestructura de terceros.

Sin puntuación de exposición a ataques

Si un resultado o recurso no tiene una puntuación, puede deberse a los siguientes motivos:

• El hallazgo se emitió después de la última simulación de ruta de ataque.
• El recurso se agregó a tu conjunto de recursos de alto valor después de la última simulación de ruta de ataque.
• Por el momento, la función de exposición a ataques no admite la categoría del hallazgo ni el tipo de recurso.

Para obtener una lista de las categorías de hallazgos admitidas, consulta Compatibilidad con la función Exposición a ataques.

Para obtener una lista de los tipos de recursos admitidos, consulta Recursos que reciben puntuaciones de exposición a ataques.

Valores de recursos

Aunque todos tus recursos en Google Cloud tienen valor, Security Command Center identifica las rutas de ataque y calcula las puntuaciones de exposición solo a los recursos que designes como recursos de alto valor (a veces denominados recursos valiosos).

Recursos de alto valor

Un recurso de alto valor en Google Cloud es aquel que es particularmente importante para que tu empresa la proteja de posibles ataques. Por ejemplo, los recursos de alto valor pueden ser los que almacenan los datos valiosos o sensibles, o los que alojan las cargas de trabajo fundamentales para la empresa.

Para designar un recurso como de alto valor, debes definir sus atributos en una configuración de valor de recurso. Hasta un límite de 1,000 instancias de recursos, Security Command Center trata cualquier instancia de recurso que coincida con los atributos que especificaste en la configuración como un recurso de alto valor.

Valores de prioridad

Entre los recursos que designes como de alto valor, es probable que debas priorizar la seguridad de algunos más que de otros. Por ejemplo, un conjunto de recursos de datos puede contener datos de alto valor, pero algunos de esos recursos de datos pueden contener datos más sensibles que el resto.

Para que las puntuaciones de exposición a ataques reflejen tu necesidad de priorizar la seguridad de los recursos dentro de tu conjunto de recursos de alto valor, debes asignar un valor de prioridad en las configuraciones de valor de recursos que designe los recursos como de alto valor.

Si usas la protección de datos sensibles, también puedes priorizar recursos automáticamente según la sensibilidad de los datos que contienen.

Establece manualmente los valores de prioridad de los recursos

En una configuración de valor de recurso, debes asignar una prioridad a los recursos de alto valor coincidentes mediante la especificación de uno de los siguientes valores de prioridad:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Si especificas un valor de prioridad de LOW en una configuración de valor de recurso, los recursos coincidentes siguen siendo de alto valor; las simulaciones de la ruta de ataque solo los tratan con una prioridad más baja y les asignan una puntuación de exposición a ataques más baja que los recursos de alto valor que tienen un valor de prioridad de MEDIUM o HIGH.

Si varias configuraciones asignan valores diferentes para el mismo recurso, se aplica el valor más alto, a menos que una configuración asigne un valor de NONE.

Un valor de recurso de NONE excluye los recursos coincidentes para que no se consideren como recursos de alto valor y anula cualquier otra configuración de valor de recurso para el mismo recurso. Por este motivo, asegúrate de que cualquier configuración que especifique NONE se aplique solo a un conjunto limitado de recursos.

Establece valores de prioridad de recursos automáticamente según la sensibilidad de los datos

Si usas el descubrimiento de la protección de datos sensibles y publicas los perfiles de datos en Security Command Center, puedes configurar Security Command Center para establecer de forma automática el valor de prioridad de ciertos recursos de alto valor según la sensibilidad de los datos que contienen los recursos.

Puedes habilitar la priorización de la sensibilidad de los datos cuando especificas los recursos en una configuración de valor de recurso.

Cuando está habilitada, si el descubrimiento de la protección de datos sensibles clasifica los datos en un recurso para que tengan una sensibilidad de MEDIUM o HIGH, las simulaciones de rutas de ataque establecen de forma predeterminada el valor de prioridad del recurso en ese mismo valor.

Sensitive Data Protection define los niveles de sensibilidad de los datos, pero puedes interpretarlos de la siguiente manera:

Datos de alta sensibilidad

El descubrimiento de la protección de datos sensibles encontró al menos una instancia de datos sensibles en el recurso.

Datos de sensibilidad media

El descubrimiento de la protección de datos sensibles encontró al menos una instancia de datos de sensibilidad media en el recurso y ninguna instancia de datos de alta sensibilidad.

Datos de baja sensibilidad

El descubrimiento de la protección de datos sensibles no detectó datos sensibles, texto de formato libre o datos no estructurados en el recurso.

Si el descubrimiento de Sensitive Data Protection solo identifica datos con poca sensibilidad en un recurso de datos coincidente, el recurso no se designa como un recurso de alto valor.

Si necesitas que los recursos de datos que solo contengan datos de baja sensibilidad se designen como recursos de alto valor con una prioridad baja, crea una configuración de valor de recurso duplicada, pero especifica un valor de prioridad de LOW en lugar de habilitar la priorización de la sensibilidad de los datos. La configuración que usa la protección de datos sensibles anula la configuración que asigna el valor de prioridad LOW, pero solo para recursos que contienen datos sensibles de HIGH o MEDIUM.

Puedes cambiar los valores de prioridad predeterminados que Security Command Center usa cuando se detectan datos sensibles en la configuración de valores de recursos.

Para obtener más información sobre la protección de datos sensibles, consulta la descripción general de la protección de datos sensibles.

Priorización de la sensibilidad de los datos y conjunto de recursos predeterminados de alto valor

Antes de crear tu propio conjunto de recursos de alto valor, Security Command Center usa uno predeterminado para calcular las puntuaciones de exposición a ataques y las rutas de ataque.

Si usas el descubrimiento de la protección de datos sensibles, Security Command Center agrega de forma automática instancias de tipos de recursos de datos compatibles que contienen datos de sensibilidad HIGH o MEDIUM al conjunto predeterminado de recursos de alto valor.

Tipos de recursos admitidos para valores de prioridad automatizados de sensibilidad de los datos

Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad según las clasificaciones de sensibilidad de los datos de Sensitive Data Protection solo para los siguientes tipos de recursos de datos:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Conjuntos de recursos de alto valor

Un conjunto de recursos de alto valor es una colección definida de los recursos en tu entorno de Google Cloud que es más importante proteger y proteger.

Para definir el conjunto de recursos de alto valor, debes especificar qué recursos de tu entorno de Google Cloud pertenecen al conjunto de recursos de alto valor. Hasta que definas tu conjunto de recursos de alto valor, las puntuaciones de exposición a ataques y las rutas de ataque no reflejan con precisión tus prioridades de seguridad.

Para especificar los recursos en tu conjunto de recursos de alto valor, crea configuraciones de valor de recursos. La combinación de todas las configuraciones de valor de los recursos define tu conjunto de recursos de alto valor. Para obtener más información, consulta Configuraciones de valores de recursos.

Hasta que definas la primera configuración de valor del recurso, Security Command Center usará un conjunto predeterminado de recursos de alto valor. El conjunto predeterminado se aplica en toda la organización a todos los tipos de recursos que admiten las simulaciones de rutas de ataque. Para obtener más información, consulta Conjunto predeterminado de recursos de alto valor.

Puedes ver el conjunto de recursos de alto valor que se usó en la última simulación de la ruta de ataque en la consola de Google Cloud en la página Recursos. Para ello, haz clic en la pestaña Conjunto de recursos de alto valor. También puedes verlos en la pestaña Simulación de ruta de ataque de la página de configuración de Security Command Center.

Parámetros de configuración de valores de recursos

Debes administrar los recursos en tu conjunto de recursos de alto valor con la configuración de valor de recursos.

Puedes crear configuraciones de valores de recursos en la pestaña Simulación de ruta de ataque de la página Configuración de Security Command Center en la consola de Google Cloud.

En una configuración de valor de recurso, debes especificar los atributos que debe tener un recurso para que Security Command Center lo agregue al conjunto de recursos de alto valor.

Entre los atributos que puedes especificar, se incluyen el tipo de recurso, las etiquetas de recursos, las etiquetas de recursos y el proyecto, la carpeta o la organización superiores.

También debes asignar un valor de recurso a los recursos en una configuración. El valor del recurso prioriza los recursos en una configuración en relación con los otros recursos del conjunto de recursos de alto valor. Para obtener más información, consulta Valores de recursos.

Puedes crear hasta 100 configuraciones de valores de recursos en una organización de Google Cloud.

En conjunto, todas las configuraciones de valor de los recursos que creas definen el conjunto de recursos de alto valor que Security Command Center usa para las simulaciones de rutas de ataque.

Atributos de recursos

Para que un recurso se incluya en tu conjunto de recursos de alto valor, sus atributos deben coincidir con los atributos que especificas en una configuración de valor de recurso.

Entre los atributos que puedes especificar, se incluyen los siguientes:

• Un tipo de recurso o Any Cuando se especifica Any, la configuración se aplica a todos los tipos de recursos compatibles dentro del alcance especificado. Any es el valor predeterminado.
• Un permiso (la organización, la carpeta o el proyecto superior) dentro del cual deben residir los recursos. El permiso predeterminado es tu organización. Si especificas una organización o carpeta, la configuración también se aplica a los recursos de las carpetas o proyectos secundarios.
• De manera opcional, una o más etiquetas o etiquetas que debe contener cada recurso.

Si especificas una o más configuraciones de valores de recursos, pero ningún recurso de tu entorno de Google Cloud coincide con los atributos especificados en ninguna de las configuraciones, Security Command Center emite un hallazgo SCC Error y recurre al conjunto predeterminado de recursos de alto valor.

Conjunto de recursos de alto valor predeterminado

Security Command Center usa un conjunto predeterminado de recursos de alto valor para calcular las puntuaciones de exposición a ataques cuando no se define ninguna configuración de valor de recurso o cuando ninguna configuración definida coincide con ningún recurso.

Security Command Center asigna a los recursos en el recurso de alto valor predeterminado un valor de prioridad de LOW, a menos que uses el descubrimiento de Sensitive Data Protection, en cuyo caso, Security Command Center asigna a los recursos que contienen datos de alta o media sensibilidad un valor de prioridad correspondiente de HIGH o MEDIUM.

Si tienes al menos una configuración de valor de recurso que coincide con al menos un recurso de tu entorno, Security Command Center deja de usar el conjunto de recursos de alto valor predeterminado.

Para recibir puntuaciones de exposición a ataques que reflejen con precisión tus prioridades de seguridad, reemplaza el conjunto de recursos de alto valor predeterminado por tu propio conjunto de recursos de alto valor. Para obtener más información, consulta Define tu conjunto de recursos de alto valor.

En la siguiente lista, se muestran los tipos de recursos que se incluyen en el conjunto predeterminado de recursos de alto valor:

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Límite en los recursos de un conjunto de recursos de alto valor

Security Command Center limita la cantidad de recursos de un recurso de alto valor en 1,000.

Si las especificaciones de los atributos en una o más configuraciones de valores de recursos son muy amplias, la cantidad de recursos que coinciden con las especificaciones del atributo puede ser superior a 1,000.

Cuando la cantidad de recursos coincidentes supera el límite, Security Command Center excluye recursos del conjunto hasta que la cantidad de recursos esté dentro del límite. Security Command Center excluye primero los recursos con el valor asignado más bajo. Entre los recursos con el mismo valor asignado, Security Command Center excluye las instancias de recursos mediante un algoritmo que distribuye los recursos excluidos entre los tipos de recursos.

Un recurso que está excluido del conjunto de recursos de alto valor no se considera en el cálculo de las puntuaciones de exposición a ataques.

Para alertarte cuando se supera el límite de instancias para el cálculo de la puntuación, Security Command Center emite un hallazgo SCC error y muestra un mensaje en la pestaña de configuración Simulación de ruta de ataque en la consola de Google Cloud. Security Command Center no emite un resultado de SCC error si el conjunto de valores altos predeterminado supera el límite de instancias.

Para evitar exceder el límite, ajusta la configuración de valores de los recursos para definir mejor las instancias en tu conjunto de recursos de alto valor.

Algunas de las cosas que puedes hacer para definir mejor tu conjunto de recursos de alto valor incluyen las siguientes opciones:

• Usa etiquetas o etiquetas para reducir la cantidad de coincidencias para un tipo de recurso determinado o dentro de un alcance específico.
• Crea una configuración de valor de recurso que asigne un valor de NONE a un subconjunto de los recursos que se especifican en otra configuración. Si especificas un valor de NONE, se anula cualquier otra configuración y se excluyen las instancias de recursos de tu conjunto de recursos de alto valor.
• Reduce la especificación del alcance en la configuración del valor del recurso.
• Borra las configuraciones de valor de recursos que asignen un valor de LOW.

Selecciona tus recursos de alto valor

Para propagar tu conjunto de recursos de alto valor, debes decidir qué instancias de recursos de tu entorno tienen un valor realmente alto.

Por lo general, los recursos de alto valor son los que procesan y almacenan los datos sensibles. Por ejemplo, en Google Cloud, pueden ser instancias de Compute Engine, un conjunto de datos de BigQuery o un bucket de Cloud Storage.

No es necesario designar recursos adyacentes a los recursos de alto valor (por ejemplo, un servidor de salto) como de valor alto. Las simulaciones de rutas de ataque ya tienen en cuenta estos recursos adyacentes y, si los designas como de alto valor, pueden hacer que las puntuaciones de exposición a ataques sean menos confiables.

Compatibilidad con múltiples nubes

Las simulaciones de rutas de ataque pueden evaluar el riesgo de tus implementaciones en otras plataformas de proveedores de servicios en la nube.

Después de establecer una conexión con otra plataforma, puedes designar tus recursos de alto valor en el otro proveedor de servicios en la nube mediante la creación de configuraciones de valores de recursos, como lo harías con los recursos en Google Cloud.

Security Command Center ejecuta simulaciones para una plataforma en la nube independientemente de las simulaciones que se ejecutan en otras plataformas en la nube.

Antes de crear la primera configuración de valor de recurso para otro proveedor de servicios en la nube, Security Command Center usa un conjunto de recursos predeterminado de alto valor que es específico del proveedor de servicios en la nube. El conjunto predeterminado de recursos de alto valor designa todos los recursos compatibles como recursos de alto valor.

Plataformas de proveedores de servicios en la nube compatibles

Además de Google Cloud, Security Command Center puede ejecutar simulaciones de rutas de ataque para Amazon Web Services (AWS). Para obtener más información, consulta:

• Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos
• Compatibilidad con la simulación de rutas de ataque para AWS

Rutas de ataque

Una ruta de ataque es una representación visual interactiva de una o más rutas posibles que un atacante hipotético podría tomar para ir desde la Internet pública hasta una de tus instancias de recursos de alto valor.

Las simulaciones de rutas de ataque identifican posibles rutas de ataque mediante el modelado de lo que ocurriría si un atacante aplicara métodos de ataque conocidos a las vulnerabilidades y los parámetros de configuración incorrectos que Security Command Center detectó en tu entorno para tratar de alcanzar tus recursos de alto valor.

Para ver las rutas de ataque, haz clic en la puntuación de exposición a ataques de un hallazgo o recurso en la consola de Google Cloud.

Cuando visualizas rutas de ataque más grandes, puedes cambiar tu vista de la ruta de ataque arrastrando el selector de área de enfoque cuadrada roja alrededor de la vista en miniatura de la ruta de ataque en el lado derecho de la pantalla.

Cuando se muestra la ruta de ataque, puedes hacer clic en AI summary^{Vista previa} para mostrar una explicación de la ruta de ataque. La explicación se genera de forma dinámica con inteligencia artificial (IA). Para obtener más información, consulta Resúmenes generados por IA.

En una ruta de ataque, los recursos en una ruta de ataque se representan como cuadros o nodos. Las líneas representan la posible accesibilidad entre recursos. Juntos, los nodos y las líneas representan la ruta de ataque.

Nodos de rutas de ataque

Los nodos en una ruta de ataque representan los recursos en una ruta de ataque.

Muestra la información del nodo

Para mostrar más información sobre cada nodo de una ruta de ataque, haz clic en él.

Si haces clic en el nombre del recurso en un nodo, se muestra más información sobre el recurso, así como cualquier resultado que lo afecte.

Si haces clic en Expandir nodo, se muestran los posibles métodos de ataque que se podrían usar si un atacante obtuviera acceso al recurso.

Tipos de nodos

Existen tres tipos diferentes de nodos:

• Es el punto de partida o punto de entrada del ataque simulado, que es la Internet pública. Si haces clic en un nodo de punto de entrada, se mostrará una descripción del punto de entrada junto con los métodos de ataque que un atacante podría usar para obtener acceso a tu entorno.
• Son los recursos afectados que puede usar un atacante para avanzar en una ruta.
• El recurso expuesto al final de una ruta de acceso, que es uno de los recursos del conjunto de recursos de alto valor. Solo un recurso en un conjunto de recursos de alto valor definido o predeterminado puede ser un recurso expuesto. Para definir un conjunto de recursos de alto valor, debes crear configuraciones de valores de recursos.

Nodos ascendentes y descendentes

En una ruta de ataque, un nodo puede estar ascendente o downstream desde los otros nodos. Un nodo upstream está más cerca del punto de entrada y de la parte superior de la ruta de ataque. Un nodo downstream está más cerca del recurso de alto valor expuesto en la parte inferior de la ruta de ataque.

Nodos que representan varias instancias de recursos de contenedor

Un nodo puede representar varias instancias de ciertos tipos de recursos de contenedor si las instancias comparten las mismas características.

Un solo nodo puede representar varias instancias de los siguientes tipos de recursos de contenedor:

• Controlador de ReplicaSet
• Controlador de implementación
• Controlador de trabajos
• Controlador de CronJob
• Controlador de DaemonSet

Líneas de ruta de ataque

En una ruta de ataque, las líneas entre las cajas representan la posible accesibilidad entre recursos que un atacante podría aprovechar para alcanzar recursos de alto valor.

Las líneas no representan una relación entre los recursos que se define en Google Cloud.

Si hay varias rutas de acceso que apuntan a un nodo descendente desde varios nodos ascendentes, los nodos ascendentes pueden tener una relación AND o OR entre sí.

Una relación AND significa que un atacante necesita acceso a ambos nodos ascendentes para acceder a un nodo descendente de la ruta.

Por ejemplo, una línea directa de la Internet pública a un recurso de alto valor al final de una ruta de ataque tiene una relación AND con, al menos, una línea más en la ruta de ataque. Un atacante no podría alcanzar el recurso de alto valor, a menos que obtenga acceso a tu entorno de Google Cloud y a al menos otro recurso que se muestre en la ruta de ataque.

Una relación OR significa que un atacante necesita acceder solo a uno de los nodos ascendentes para acceder al nodo descendente.

Simulaciones de rutas de ataque

Para determinar todas las rutas de ataque posibles y calcular las puntuaciones de exposición a ataques, Security Command Center realiza simulaciones avanzadas de rutas de ataque.

Programa de simulación

Las simulaciones de rutas de ataque se pueden ejecutar hasta cuatro veces al día (cada seis horas). A medida que tu organización crece, las simulaciones tardan más tiempo, pero siempre se ejecutarán al menos una vez al día. Las ejecuciones de simulación no se activan mediante la creación, modificación o eliminación de recursos o configuraciones de valores de recursos.

Pasos de la simulación de rutas de ataque

Las simulaciones tienen tres pasos:

1. Generación de modelos: Se genera de forma automática un modelo de tu entorno de Google Cloud según los datos del entorno. El modelo es una representación gráfica de tu entorno, diseñada para el análisis de rutas de ataque.
2. Simulación de rutas de ataque: Las simulaciones de rutas de ataque se realizan en el modelo gráfico. Las simulaciones hacen que un atacante virtual intente alcanzar y comprometer los recursos de tu conjunto de recursos de alto valor. Las simulaciones aprovechan las estadísticas de cada recurso y relaciones específicos, incluidas las herramientas de redes, la IAM, los parámetros de configuración, los parámetros de configuración incorrectos y las vulnerabilidades.
3. Informes de estadísticas: en función de las simulaciones, Security Command Center asigna puntuaciones de exposición a los ataques a tus recursos de alto valor y a los hallazgos que los exponen, y visualiza las posibles rutas que un atacante podría tomar hacia esos recursos.

Características de la ejecución de la simulación

Además de proporcionar las puntuaciones de exposición a los ataques, las estadísticas y las rutas de ataque, las simulaciones de rutas de ataque tienen las siguientes características:

• No afectan tu entorno en vivo: todas las simulaciones se realizan en un modelo virtual y usan solo acceso de lectura para la creación de modelos.
• Son dinámicos: el modelo se crea sin agentes solo mediante el acceso de lectura a la API, lo que permite que las simulaciones sigan de forma dinámica los cambios en tu entorno a lo largo del tiempo.
• Tienen un atacante virtual que prueba tantos métodos y vulnerabilidades como sea posible para alcanzar y comprometer tus recursos de alto valor. Esto incluye no solo “los conocidos”, como las vulnerabilidades, los parámetros de configuración, los errores de configuración y las relaciones de red, sino también los “desconocidos conocidos” de menor probabilidad (riesgos que sabemos que existen, como la posibilidad de phishing o credenciales filtradas).
• Son automatizados: la lógica de ataque está integrada en la herramienta. No es necesario que compiles o mantengas conjuntos extensos de consultas o conjuntos de datos grandes.

Situación y capacidades del agresor

En las simulaciones, Security Command Center tiene una representación lógica de un intento de ataque de un atacante obtener acceso a tu entorno de Google Cloud y seguir rutas de acceso potenciales a través de tus recursos y vulnerabilidades detectadas para aprovecharse de tus recursos de alto valor.

El atacante virtual

El atacante virtual que usan las simulaciones tiene las siguientes características:

• El atacante es externo: no es un usuario legítimo de tu entorno de Google Cloud. Las simulaciones no modelan ni incluyen ataques de usuarios maliciosos o negligentes que tienen acceso legítimo a tu entorno.
• El atacante comienza desde la Internet pública. Para iniciar un ataque, el atacante primero debe obtener acceso a tu entorno desde la Internet pública.
• El atacante es persistente. El atacante no se desanimará ni perderá interés debido a la dificultad de un método de ataque en particular.
• El atacante es capacitado y tiene conocimientos. Prueba métodos y técnicas conocidos para acceder a tus recursos de alto valor.

Acceso inicial

En cada simulación, un atacante virtual prueba los siguientes métodos para obtener acceso desde la Internet pública a los recursos de tu entorno:

• Descubre cualquier servicio y recurso que sea accesible desde la Internet pública, y conéctate a ellos:
  • Servicios en instancias de máquina virtual (VM) de Compute Engine y nodos de Google Kubernetes Engine
  • Bases de datos
  • Contenedores
  • Buckets de Cloud Storage
  • Cloud Functions
• Obtener acceso a claves y credenciales, lo que incluye lo siguiente:
  • Claves de cuenta de servicio
  • Claves de encriptación proporcionadas por el usuario
  • Claves SSH de la instancia de VM
  • Claves SSH para todo el proyecto
  • Sistemas de administración de claves externas
  • Cuentas de usuario donde no se aplica la autenticación de varios factores (MFA)
  • Tokens MFA virtuales interceptados
• Obtención de acceso a activos de la nube de acceso público mediante el uso de credenciales robadas o la explotación de vulnerabilidades informadas por Mandiant Attack Surface Management, VM Manager y la Detección rápida de vulnerabilidades

Si la simulación encuentra un posible punto de entrada al entorno, hace que el atacante virtual intente alcanzar y comprometer tus recursos de alto valor desde el punto de entrada mediante la exploración y explotación de configuraciones de seguridad y vulnerabilidades dentro del entorno.

Tácticas y técnicas

La simulación usa una amplia variedad de tácticas y técnicas, que incluyen el aprovechamiento del acceso legítimo, el desplazamiento lateral, la elevación de privilegios, las vulnerabilidades, los parámetros de configuración incorrectos y la ejecución de código.

Incorporación de datos de CVE

Cuando se calculan las puntuaciones de exposición a ataques de hallazgos de vulnerabilidades, las simulaciones de rutas de ataque consideran los datos del registro CVE de la vulnerabilidad, las puntuaciones de CVSS y las evaluaciones de la capacidad de explotación de la vulnerabilidad que proporciona Mandiant.

Se considera la siguiente información de CVE:

• Vector de ataque: El atacante necesita tener el nivel de acceso especificado en el vector de ataque CVSS para usar la CVE. Por ejemplo, un atacante con acceso a la red puede aprovechar una CVE con un vector de ataque de red que se encuentra en un recurso con una dirección IP pública y puertos abiertos. Si un atacante solo tiene acceso a la red y la CVE requiere acceso físico, no puede explotar la CVE.
• Complejidad del ataque: Por lo general, un hallazgo de vulnerabilidad o configuración incorrecta con una complejidad de ataque baja tiene más probabilidades de obtener una puntuación de exposición a ataques alta que un hallazgo con alta complejidad de ataque.
• Actividad de explotación: por lo general, un hallazgo de vulnerabilidad con una amplia actividad de explotación, según lo determinan los analistas de inteligencia sobre ciberamenazas de Mandiant, tiene más probabilidades de obtener una alta puntuación de exposición al ataque que un hallazgo sin actividad de explotación conocida.