Niveaux d'exposition aux attaques et chemins d'attaque

Cette page décrit les concepts, principes et restrictions clés pour vous aider à mieux comprendre, affiner et utiliser l'exposition aux attaques et les chemins d'attaque générés par le moteur de Security Command Center.

Les scores et les chemins d'attaque sont générés pour les deux éléments suivants:

• Les résultats de failles et d'erreurs de configuration (résultats de failles, collectivement) qui exposent les instances ressources dans votre environnement ensemble de ressources.
• Les ressources de votre ensemble de ressources à forte valeur ajoutée.

Pour utiliser les scores d'exposition aux attaques et les chemins d'attaque, vous devez activer le Security Command Center Premium ou Enterprise au niveau de l'organisation. Vous ne pouvez pas utiliser les scores d'exposition aux attaques et les chemins d'attaque avec les activations au niveau du projet.

Les chemins d'attaque représentent des possibilités

Vous ne verrez aucune preuve d'attaque réelle dans un chemin d'attaque.

L'outil Risk Engine génère des chemins d'attaque et des scores d'exposition aux attaques en simulant ce que des pirates informatiques hypothétiques pourraient faire s'ils parvenaient à accéder à votre environnement Google Cloud et à découvrir les chemins d'attaque et les failles déjà détectées par Security Command Center.

Chaque chemin d'attaque vous montre une ou plusieurs méthodes d'attaque qu'un pirate informatique pourrait utiliser s'il parvenait à accéder à une ressource particulière. À ne pas faire confondre ces méthodes d'attaque avec des attaques réelles.

De même, un score élevé d'exposition aux attaques sur Security Command Center ou une ressource ne signifie pas qu'une attaque est en cours.

Pour surveiller les attaques réelles, surveillez les résultats de la classe THREAT. produits par les services de détection des menaces, comme Event Threat Detection et Container Threat Detection.

Pour en savoir plus, consultez les sections suivantes de cette page:

• Niveaux d'exposition aux attaques
• Chemins d'attaque
• Simulations de chemin d'attaque

Scores d'exposition aux attaques

Le score d'exposition au piratage associé à un résultat ou à une ressource de Security Command Center mesure dans quelle mesure les ressources sont exposées à une attaque potentielle si un acteur malveillant parvenait à accéder à votre environnement Google Cloud.

Dans certains contextes, comme la page Résultats de la console Google Cloud, le score d'exposition aux attaques d'une combinaison toxique est appelé score de combinaison toxique.

Dans les descriptions du mode de calcul des scores, des conseils généraux sur prioriser la recherche de mesures correctives et, dans certains autres contextes, le terme Le score d'exposition aux attaques s'applique également aux scores de combinaison toxique.

Sur un résultat, le score mesure le degré de détection d'un problème de sécurité expose une ou plusieurs ressources de forte valeur ; aux cyberattaques potentielles. Pour une ressource de forte valeur, le score mesure son exposition aux cyberattaques potentielles.

Utilisez les scores sur les failles logicielles, les erreurs de configuration des combinaisons de résultats pour hiérarchiser la résolution de ces résultats.

Utilisez les scores d'exposition aux attaques sur les ressources pour sécuriser de manière proactive les ressources les plus précieuses pour votre entreprise.

Dans les simulations de chemin d'attaque, le moteur de risque démarre toujours les attaques simulées à partir de l'Internet public. Par conséquent, le Les niveaux d'exposition au piratage ne tiennent pas compte de l'exposition potentielle aux par des acteurs internes malveillants ou négligents.

Résultats recevant des scores d'exposition au piratage

Les scores d'exposition aux attaques sont appliqués aux classes de résultats actifs listées dans les catégories de résultats compatibles.

Les simulations de chemin d'attaque incluent les résultats ignorés. Le moteur de risque calcule donc également des scores et des chemins d'attaque pour les résultats ignorés.

Les simulations de chemin d'attaque n'incluent que les résultats actifs. Les résultats dont l'état est INACTIVE ne sont pas inclus dans les simulations. Ils ne reçoivent donc pas de scores et ne sont pas inclus dans les chemins d'attaque.

Ressources recevant des scores d'exposition aux attaques

Les simulations de chemin d'attaque calculent les scores d'exposition aux attaques pour compatibles avec votre ensemble de ressources à forte valeur. Vous spécifiez les ressources qui appartiennent à l'ensemble de ressources à forte valeur en créant des configurations de valeurs de ressources.

Si une ressource d'un ensemble de ressources à forte valeur a un score d'exposition aux attaques de 0, cela signifie que les simulations de chemin d'attaque n'ont identifié aucun chemin vers la ressource qu'un pirate informatique potentiel pourrait exploiter.

Les simulations de chemin d'attaque sont compatibles avec les types de ressources suivants:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Calcul du score

Chaque fois que les simulations de chemin d'attaque s'exécutent, elles recalculent les scores d'exposition aux attaques. Chaque simulation de chemin d'attaque exécute en fait plusieurs simulations dans lequel un attaquant simulé essaie des méthodes et techniques d’attaque connues pour atteindre et compromettre les ressources de valeur.

Les simulations de chemin d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification des ressources ou des configurations de valeurs de ressources.

Les simulations calculent les scores à l'aide de diverses métriques, y compris les suivantes :

• La valeur de priorité attribuée aux ressources à forte valeur ajoutée sont exposées. Les valeurs de priorité que vous pouvez attribuer ont les valeurs suivantes:
  • HIGH = 10
  • MED = 5
  • LOW = 1
• Nombre de chemins qu'un pirate informatique pourrait emprunter pour accéder à une ressource donnée.
• Nombre de fois où un pirate informatique simulé parvient à atteindre et à compromettre une ressource à forte valeur à la fin d'un chemin d'attaque donné, exprimé en pourcentage du nombre total de simulations.
• Pour les résultats uniquement, nombre de ressources de forte valeur exposées par le détecté une faille ou une mauvaise configuration.

Pour les ressources, les scores d'exposition aux attaques peuvent être compris entre 0 et 10.

De manière générale, les simulations calculent les scores des ressources en multipliant le pourcentage d'attaques réussies par de priorité numérique des ressources.

Pour les résultats, les scores n'ont pas de limite supérieure fixe. Plus un constat se produit souvent sur des chemins d'attaque vers des ressources exposées dans l'ensemble de ressources à forte valeur, et plus le niveau de priorité de ces ressources, plus le score est élevé.

De manière générale, les simulations calculent les scores des résultats en utilisant le le même calcul que pour les scores de ressources, mais pour trouver des scores, les simulations multiplient ensuite le résultat du calcul par le nombre de ressources de forte valeur exposées par le résultat.

Modifier les scores

Les scores peuvent changer chaque fois qu'une simulation de chemin d'attaque s'exécute. Un résultat ou une ressource qui ont un score nul aujourd'hui peuvent avoir un score non nul demain.

Les scores peuvent varier pour diverses raisons, y compris les suivantes:

• Détection ou correction d'une faille qui expose directement ou indirectement une ressource de grande valeur.
• Ajout ou suppression de ressources dans votre environnement.

Les modifications apportées aux résultats ou aux ressources après l'exécution d'une simulation ne sont pas reflétées dans les scores tant que la simulation suivante n'est pas exécutée.

Utiliser les scores pour hiérarchiser les solutions

Pour hiérarchiser efficacement la correction des résultats en fonction de leur exposition aux attaques ou de leur score de combinaison toxique, tenez compte des points suivants :

• Tout résultat dont le score est supérieur à zéro expose une ressource de grande valeur à une attaque potentielle d'une manière ou d'une autre. de correction doit être prioritaire sur les résultats qui ont un score de zéro.
• Plus le score d'un résultat est élevé, plus celui-ci expose votre ressources de grande valeur, et plus vous devez prioriser sa correction.

En règle générale, accordez la priorité absolue à la résolution des résultats qui obtiennent les scores les plus élevés et qui bloquent le plus efficacement les chemins d'attaque vers vos ressources de forte valeur.

Si les scores d'un résultat de combinaison toxique et d'un résultat dans une autre sont à peu près égales, priorisez la correction du de combinaison toxique, car elle représente le chemin complet l'Internet public à une ou plusieurs ressources de forte valeur le pirate informatique peut suivre s'il parvient à accéder à votre cloud environnement.

Dans les résultats de Security Command Center de la console Google Cloud ou la console Opérations de sécurité, vous pouvez trier les résultats dans le panneau des pages par score en cliquant sur l'en-tête de la colonne.

Dans la console Google Cloud, vous pouvez également afficher les résultats avec les scores les plus élevés en ajoutant un filtre à la requête de résultats qui ne renvoie que les résultats avec un score d'exposition aux attaques supérieur à un nombre que vous spécifiez.

Sur la page Demandes de la console Opérations de sécurité, vous pouvez également trier les cas de combinaison toxique selon le score d'exposition au piratage.

Résultats qui ne peuvent pas être corrigés.

Dans certains cas, vous ne pourrez peut-être pas corriger une anomalie avec un score d'exposition aux attaques élevé, soit parce qu'elle représente un risque connu et accepté, soit parce qu'elle ne peut pas être facilement corrigée. Dans ce cas, vous devrez peut-être atténuer le risque par d'autres moyens. L'examen du chemin d'attaque associé peut vous donner des idées pour d'autres mesures d'atténuation possibles.

Sécuriser les ressources à l'aide des scores d'exposition aux attaques

Un score d'exposition aux attaques non nul sur une ressource signifie que les simulations de chemin d'attaque ont identifié un ou plusieurs chemins d'attaque de l'Internet public vers la ressource.

Pour afficher les scores d'exposition aux attaques de vos ressources de forte valeur, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

   Accéder

2. Sélectionnez l'onglet Ensemble de ressources de forte valeur. Les ressources de votre ensemble de ressources à forte valeur sont affichées par ordre décroissant de score d'exposition aux attaques.

3. Pour afficher les chemins d'attaque d'une ressource, cliquez sur le nombre correspondant sur sa ligne dans la colonne Score d'exposition aux attaques. Les chemins d'attaque de l'Internet public vers la ressource s'affichent.

4. Examinez les chemins d'attaque à la recherche de cercles rouges sur les nœuds qui indiquent des résultats.

5. Cliquez sur un nœud associé à un cercle rouge pour afficher les résultats.

6. Prenez les mesures nécessaires pour corriger les problèmes détectés.

Vous pouvez également afficher les scores d'exposition aux attaques de vos ressources à forte valeur dans l'onglet Simulations de chemins d'attaque de Paramètres en cliquant sur Afficher les ressources de valeur utilisées dans la dernière simulation.

L'onglet Ensemble de ressources à forte valeur est également disponible sur la page Ressources de la console Security Operations. Cette fonctionnalité est en version Preview et n'est disponible que pour les clients Security Command Center Enterprise.

Scores d'exposition aux attaques de 0

Un score d'exposition au piratage de 0 sur une ressource signifie que, dans les derniers de simulation de chemin d'attaque, Security Command Center n'a identifié chemins potentiels qu’un attaquant pourrait emprunter pour atteindre la ressource.

Un score d'exposition aux attaques de 0 sur un résultat signifie que, lors de la dernière simulation d'attaque, le pirate informatique simulé n'a pu atteindre aucune ressource à forte valeur via le résultat.

Toutefois, un score d'exposition au piratage de 0 ne signifie pas le risque. Le score d'exposition au piratage reflète l'exposition des services, ressources et services Google Cloud compatibles les résultats de Security Command Center aux menaces potentielles émanant de l'Internet public. Par exemple, les scores ne tiennent pas compte les menaces internes, les vulnérabilités zero-day ou les attaques de l'infrastructure.

Aucun score d'exposition au piratage

Si un résultat ou une ressource n'a pas de score, cela peut être pour raisons:

• Le résultat a été émis après la dernière simulation du chemin d'attaque.
• La ressource a été ajoutée à votre ensemble de ressources à forte valeur après la dernière simulation du chemin d'attaque.
• La fonctionnalité d'exposition aux attaques n'est actuellement pas compatible avec la catégorie de résultats ni avec le type de ressource.

Pour obtenir la liste des catégories de résultats compatibles, consultez la section Compatibilité avec les fonctionnalités du moteur de risque.

Pour obtenir la liste des types de ressources pris en charge, consultez Ressources recevant des scores d'exposition aux attaques.

Valeurs de ressource

Bien que toutes vos ressources sur Google Cloud aient de la valeur, Security Command Center identifie les chemins d'attaque et calcule les des niveaux d'exposition uniquement pour les ressources que vous désignez comme Les ressources de grande valeur (parfois appelées ressources de valeur).

Ressources de forte valeur

Une ressource de grande valeur sur Google Cloud est une ressource particulièrement importante pour votre entreprise à protéger contre les attaques potentielles. Par exemple, vos ressources à forte valeur ajoutée peuvent être celles qui stockent vos données précieuses ou sensibles, ou qui hébergent vos charges de travail critiques pour l'entreprise.

Pour désigner une ressource comme ressource à forte valeur, vous devez définir ses attributs dans une configuration de valeur de ressource. Dans la limite de 1 000 instances de ressources, Security Command Center traite instance de ressource correspondant aux attributs que vous avez spécifiés dans en tant que ressource de forte valeur.

Valeurs de priorité

Parmi les ressources que vous désignez comme étant de grande valeur, vous devrez probablement donner la priorité à la sécurité de certaines plus que d'autres. Par exemple, un de ressources de données peut contenir des données de grande valeur, mais certaines d'entre elles ressources de données peuvent contenir des données plus sensibles que les autres.

Pour que vos scores reflètent votre besoin de prioriser la sécurité des ressources de votre ensemble de ressources à forte valeur Vous attribuez une valeur de priorité dans les configurations de valeur de ressource. qui désigne les ressources comme étant à forte valeur.

Si vous utilisez la protection des données sensibles, vous pouvez également hiérarchiser automatiquement les ressources en fonction de la sensibilité des données qu'elles contiennent.

Définir manuellement les valeurs de priorité des ressources

Dans la configuration d'une valeur de ressource, vous attribuez une priorité les ressources de forte valeur correspondantes en spécifiant l'une des valeurs valeurs de priorité:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Si vous spécifiez une valeur de priorité de LOW dans une configuration de valeur de ressource, les ressources correspondantes restent de forte valeur ; le chemin d'attaque dans le cadre d'une simulation, attribuez-leur une priorité inférieure d'exposition au piratage que les ressources de forte valeur valeur de priorité de MEDIUM ou HIGH.

Si plusieurs configurations attribuent différentes valeurs à la même ressource, la valeur la plus élevée s'applique, sauf si une configuration attribue la valeur NONE.

Une valeur de ressource de NONE empêche les ressources correspondantes d'être considérées comme des ressources à forte valeur et remplace toutes les autres configurations de valeur de ressource pour la même ressource. Pour cette raison, assurez-vous que toute configuration spécifiant NONE ne s'applique qu'à un ensemble limité de ressources.

Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données

Si vous utilisez la détection de la protection des données sensibles et publier les profils de données dans Security Command Center, vous pouvez configurer Security Command Center pour définir automatiquement la priorité de certaines ressources de forte valeur en fonction de la sensibilité des données que les ressources contiennent.

Vous activez la hiérarchisation en fonction de la sensibilité des données lorsque vous spécifiez les ressources dans un configuration des valeurs des ressources.

Lorsque cette option est activée, si la découverte de la protection des données sensibles classe les données d'une ressource comme étant de sensibilité MEDIUM ou HIGH, les simulations de chemin d'attaque définissent par défaut la valeur de priorité de la ressource sur cette même valeur.

Niveaux de sensibilité des données sont définis par Sensitive Data Protection, mais vous pouvez les interpréter comme suit:

Données à haute sensibilité

La détection de la protection des données sensibles a été détectée au moins un instance de données à sensibilité élevée dans la ressource.

Données à sensibilité moyenne

La détection de la protection des données sensibles a détecté au moins une instance de données de sensibilité moyenne dans la ressource (aucune instance de sensibilité élevée) données.

Données à faible sensibilité

La détection de la protection des données sensibles n'a détecté aucune donnée sensible, ni aucun texte de forme libre ni aucune donnée non structurée dans la ressource.

Si la détection Sensitive Data Protection identifie uniquement des données de faible sensibilité dans une ressource de données correspondante, la ressource n'est pas désignée comme ressource à forte valeur.

Si vous devez désigner des ressources de données ne contenant que des données à faible sensibilité comme des ressources de haute valeur avec une faible priorité, créez une configuration de valeur de ressource en double, mais spécifiez une valeur de priorité de LOW au lieu d'activer la hiérarchisation en fonction de la sensibilité des données. La configuration qui utilise la protection des données sensibles remplace la configuration qui attribue la valeur de priorité LOW, mais uniquement pour les ressources contenant des données de sensibilité HIGH ou MEDIUM.

Vous pouvez modifier les valeurs de priorité par défaut utilisées par Security Command Center lorsque des données sensibles sont détectées dans la configuration des valeurs de ressources.

Pour en savoir plus sur la protection des données sensibles, consultez Présentation de la protection des données sensibles

Priorisation en fonction de la sensibilité des données et ensemble de ressources de valeur élevée par défaut

Avant de créer votre propre ensemble de ressources à forte valeur ajoutée, Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer les scores d'exposition aux attaques et chemins d'attaque.

Si vous utilisez la détection de la protection des données sensibles, Security Command Center ajoute automatiquement les instances de données compatibles les types de ressources contenant des données de sensibilité HIGH ou MEDIUM pour l'ensemble de ressources à forte valeur par défaut.

Types de ressources Google Cloud compatibles pour les valeurs de priorité de sensibilité des données automatisées

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données issues de la découverte de la protection des données sensibles, mais uniquement pour les types de ressources de données suivants :

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Types de ressources AWS compatibles avec les valeurs de priorité automatiques en fonction de la sensibilité des données

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données de la découverte de la protection des données sensibles, mais uniquement pour les types de ressources de données AWS suivants :

• Bucket Amazon S3

Ensembles de ressources à forte valeur

Un ensemble de ressources à forte valeur ajoutée est un ensemble défini de ressources de votre environnement Google Cloud qui sont les plus importantes à sécuriser et à protéger.

Pour définir votre ensemble de ressources à forte valeur ajoutée, vous devez spécifier les ressources de votre environnement Google Cloud qui appartiennent à cet ensemble. Tant que vous n'aurez pas défini votre ensemble de ressources à forte valeur, les scores d'exposition aux attaques, les chemins d'attaque et les résultats de la combinaison toxique ne reflèteront pas précisément vos priorités de sécurité.

Vous spécifiez les ressources de votre ensemble de ressources à forte valeur en créant configurations de valeurs de ressources. La combinaison de toutes vos configurations de valeurs de ressources définit votre ensemble de ressources à forte valeur. Pour en savoir plus, consultez la section Configurations de valeurs de ressources.

Tant que vous n'aurez pas défini votre première configuration des valeurs de ressource, utilise un ensemble de ressources à forte valeur par défaut. L'ensemble par défaut s'applique dans votre organisation à tous les types de ressources pour les simulations de chemin. Pour en savoir plus, consultez la section Ensemble de ressources à forte valeur par défaut.

Vous pouvez consulter l'ensemble de ressources à forte valeur utilisé dans la dernière simulation de chemin d'attaque dans la console Google Cloud sur la page Éléments en cliquant sur l'onglet Ensemble de ressources à forte valeur. Vous pouvez également les consulter dans l'onglet Simulation du chemin d'attaque de la page des paramètres de Security Command Center.

Configurations des valeurs de ressources

Vous gérez les ressources de votre ensemble de ressources à forte valeur à l'aide de configurations de valeurs de ressources.

Vous créez des configurations de valeurs de ressources dans la simulation du chemin d'attaque. de la page Paramètres de Security Command Center dans la console Google Cloud.

Dans une configuration de valeur de ressource, vous spécifiez les attributs qu'une ressource requise pour que Security Command Center l'ajoute à votre ensemble de ressources à forte valeur ajoutée.

Les attributs que vous pouvez spécifier incluent le type de ressource, les tags de ressources, les libellés de ressources et le projet parent, dossier ou organisation.

Vous devez également attribuer une valeur de ressource aux ressources d'une configuration. La valeur de la ressource hiérarchise les ressources d'une configuration par rapport aux autres ressources de l'ensemble de ressources à forte valeur. Pour plus d'informations, consultez la section Valeurs de ressource.

Vous pouvez créer jusqu'à 100 configurations de valeurs de ressources dans une organisation Google Cloud.

Ensemble, toutes les configurations de valeurs de ressources que vous créez définir l'ensemble de ressources à forte valeur utilisé par Security Command Center les simulations de chemin d'attaque.

Attributs de ressource

Pour qu'une ressource soit incluse dans votre ensemble de ressources à forte valeur, ses attributs doivent correspondre à ceux que vous spécifiez dans une valeur de ressource configuration.

Vous pouvez spécifier les attributs suivants:

• Un type de ressource ou Any. Lorsque Any est spécifié, la configuration s'applique à tous les types de ressources compatibles au sein de le champ d'application. Any est la valeur par défaut.
• Un champ d'application (organisation, dossier ou projet parent) dans lequel où les ressources doivent résider. Le champ d'application par défaut est votre organisation. Si vous spécifiez une organisation ou un dossier, la configuration s'applique également aux ressources des dossiers ou projets enfants.
• (Facultatif) Un ou plusieurs tags ou libellés que chaque ressource doit contenir.

Si vous spécifiez une ou plusieurs configurations de valeur de ressource, mais que les ressources de votre environnement Google Cloud les attributs spécifiés dans les configurations, Security Command Center émet un résultat SCC Error et revient à l'ensemble de ressources à forte valeur par défaut.

Ensemble de ressources à forte valeur par défaut

Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer les scores d'exposition aux attaques lorsqu'aucune configuration de valeur de ressource n'est définie ou lorsqu'aucune configuration définie ne correspond à une ressource.

Security Command Center attribue des ressources à la ressource à forte valeur par défaut : valeur de priorité de LOW, sauf si vous utilisez la protection des données sensibles dans ce cas, Security Command Center attribue les ressources qui contiennent des données de sensibilité élevée ou moyenne valeur de priorité de HIGH ou MEDIUM.

Si au moins une configuration de valeur de ressource correspond au moins une ressource dans votre environnement, Security Command Center cesse d'utiliser l'ensemble de ressources à forte valeur par défaut.

Pour recevoir des scores d'exposition aux attaques et de combinaisons de toxiques avec précision vos priorités en termes de sécurité, remplacez la ressource par défaut à forte valeur ajoutée avec votre propre ensemble de ressources à forte valeur. Pour en savoir plus, consultez la section Définir et gérer votre ensemble de ressources à forte valeur.

La liste suivante indique les types de ressources inclus dans l'ensemble de ressources de valeur élevée par défaut :

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limite sur les ressources d'un ensemble de ressources de forte valeur

Security Command Center limite le nombre de ressources dans un ressource à forte valeur définie sur 1 000.

Si les spécifications d'attribut dans une ou plusieurs configurations de valeur de ressource sont très larges, le nombre de ressources correspondant à l'attribut les spécifications peuvent dépasser 1 000.

Lorsque le nombre de ressources correspondantes dépasse la limite, Security Command Center exclut les ressources de l'ensemble jusqu'à ce que le nombre de ressources soit inférieur à la limite. Security Command Center exclut les ressources avec la valeur attribuée la plus basse en premier. Parmi les ressources avec la même valeur attribuée, Security Command Center exclut la ressource par un algorithme qui répartit les ressources exclues types de ressources.

Une ressource exclue de l'ensemble de ressources à forte valeur dans le calcul des scores d'exposition au piratage.

Pour vous alerter lorsque la limite d'instances pour le calcul du score est dépassée, Security Command Center génère un résultat SCC error et affiche un message dans l'onglet des paramètres de la simulation de chemin d'attaque dans la console Google Cloud. Security Command Center n'émet pas de résultat SCC error si la valeur élevée par défaut définie dépasse la limite d'instances.

Pour éviter de dépasser la limite, ajustez les configurations des valeurs de ressources pour d'affiner les instances de votre ensemble de ressources à forte valeur.

Voici quelques-unes des actions que vous pouvez effectuer pour affiner votre ensemble de ressources à forte valeur : les options suivantes:

• Utilisez des balises ou des libellés pour réduire le nombre de correspondances pour un type de ressource donné ou dans un champ d'application spécifié.
• Créez une configuration de valeur de ressource qui attribue la valeur NONE à un sous-ensemble des ressources spécifiées dans une autre configuration. La spécification d'une valeur NONE remplace toutes les autres configurations et exclut les instances ressources de votre ensemble de ressources à forte valeur.
• Réduisez la spécification de champ d'application dans la configuration de la valeur de la ressource.
• Supprimez les configurations de valeurs de ressources qui attribuent une valeur de LOW.

Sélectionner vos ressources les plus importantes

Pour renseigner votre ensemble de ressources de forte valeur, vous devez déterminer quelles instances de ressources de votre environnement sont vraiment de forte valeur.

En général, vos vraies ressources à forte valeur sont les ressources qui traitent et stocker vos données sensibles. Par exemple, sur Google Cloud, ces il peut s'agir d'instances Compute Engine, un ensemble de données ou un bucket Cloud Storage.

Il n'est pas nécessaire de désigner des ressources adjacentes à vos ressources les plus importantes, comme un serveur intermédiaire, Les simulations de chemin d'attaque tiennent déjà compte de ces ressources adjacentes. Si vous les désignez également comme des ressources à forte valeur, vos scores d'exposition aux attaques peuvent être moins fiables.

Prise en charge du multicloud

Les simulations de chemin d'attaque peuvent évaluer les risques de vos déploiements sur d'autres plates-formes de fournisseurs de services cloud.

Une fois que vous avez établi une connexion avec une autre plate-forme, vous pouvez désigner vos ressources à forte valeur ajoutée sur l'autre fournisseur de services cloud en créant des configurations de valeur de ressource, comme vous le feriez pour les ressources sur Google Cloud.

Security Command Center exécute des simulations pour une plate-forme cloud indépendamment des simulations exécutées pour d'autres plates-formes cloud.

Avant de créer votre première configuration de valeur de ressource pour un autre fournisseur de services cloud, Security Command Center utilise par défaut de ressources spécifique au fournisseur de services cloud. La valeur par défaut l'ensemble de ressources à forte valeur ressources compatibles en tant que ressources de forte valeur.

Plates-formes de fournisseurs de services cloud compatibles

Outre Google Cloud, Security Command Center peut exécuter de simulation de chemin d'attaque pour Amazon Web Services (AWS). Pour en savoir plus, consultez les pages suivantes :

• Se connecter à AWS pour détecter les failles et évaluer les risques
• Compatibilité du moteur de risque avec AWS

Chemins d'attaque

Une voie d'attaque est une représentation visuelle interactive d'un ou de plusieurs les chemins potentiels qu’un attaquant pourrait emprunter pour sortir du l'Internet public vers l'une de vos instances de ressources à forte valeur ajoutée.

Les simulations de chemin d'attaque identifient les chemins d'attaque potentiels grâce à la modélisation que se passerait-il si un attaquant appliquait des méthodes d’attaque connues à les failles et erreurs de configuration de Security Command Center détectées dans votre environnement pour tenter d'accéder à vos ressources les plus importantes.

Vous pouvez afficher les chemins d'attaque en cliquant sur le score d'exposition au piratage un résultat ou une ressource dans la console Google Cloud.

Lorsque vous consultez un cas de combinaison toxique dans la console Opérations de sécurité, vous pouvez voir un chemin d'attaque simplifié pour la combinaison toxique sur l'onglet "Présentation de la demande". Le chemin d'attaque simplifié inclut un lien vers le chemin d'attaque complet. Pour en savoir plus sur les chemins d'attaque de combinaison, consultez Chemins d'attaque par combinaison toxique.

Lorsque vous affichez des chemins d'attaque plus longs, vous pouvez modifier la vue du chemin d'attaque en faisant glisser le sélecteur de zone de mise au point carré rouge autour de la vue miniature du chemin d'attaque sur le côté droit de l'écran.

Lorsque le chemin d'attaque s'affiche dans la console Google Cloud, vous pouvez cliquer sur Aperçu du résumé de l'IA pour afficher une explication du chemin d'attaque. L'explication est générée de manière dynamique à l'aide de l'intelligence artificielle (IA). Pour en savoir plus, consultez la section Résumés générés par IA.

Dans un vecteur d'attaque, les ressources sont représentées par des cases ou des nœuds. Les lignes représentent le potentiel l'accessibilité entre les ressources. Ensemble, les nœuds et les lignes représentent le chemin d'attaque.

Nœuds du chemin d'attaque

Les nœuds d'un chemin d'attaque représentent les ressources sur un chemin d'attaque.

Afficher des informations sur le nœud

Vous pouvez afficher plus d'informations sur chaque nœud d'un chemin d'attaque en cliquant dessus.

Cliquez sur le nom de la ressource dans un nœud pour afficher plus d'informations à son sujet, ainsi que les résultats qui l'affectent.

Cliquez sur Développer le nœud pour afficher les méthodes d'attaque possibles qui pourrait être utilisée si un attaquant avait accès à la ressource.

Types de nœuds

Il existe trois types de nœuds différents:

• Point de départ ou point d'entrée de l'attaque simulée, qui est l'Internet public. Cliquez sur un nœud de point d'entrée pour afficher une description du point d'entrée, ainsi que les méthodes d'attaque qu'un pirate informatique pourrait utiliser pour accéder à votre environnement.
• Ressources concernées qu'un pirate informatique peut utiliser pour avancer sur un chemin.
• La ressource exposée à la fin d'un chemin, qui est l'une des ressources de votre ensemble de ressources à forte valeur. Seule une ressource d'un ensemble de ressources à forte valeur défini ou par défaut peut être une ressource exposée. Vous définissez de ressources à forte valeur ajoutée en créant configurations de valeurs de ressources.

Nœuds en amont et en aval

Dans un chemin d'attaque, un nœud peut se trouver en amont ou en aval d'autres nœuds. Un nœud en amont est plus proche du point d'entrée et la partie supérieure du chemin d'attaque. Un nœud en aval est plus proche du nœud à forte valeur exposé ressource en bas du chemin d'attaque.

Nœuds représentant plusieurs instances de ressources de conteneur

Un nœud peut représenter plusieurs instances de certains types de ressources de conteneur si les instances partagent les mêmes caractéristiques.

Plusieurs instances des types de ressources de conteneur suivants peuvent être représenté par un seul nœud:

• Contrôleur de réplication
• Contrôleur de déploiement
• Contrôleur de tâches
• Contrôleur CronJob
• Contrôleur DaemonSet

Lignes de chemin d'attaque

Dans un chemin d'attaque, les lignes entre les cadres représentent le potentiel l’accessibilité entre les ressources qu’un attaquant pourrait exploiter pour atteindre une ressource de grande valeur.

Les lignes ne représentent pas une relation entre les ressources définies dans Google Cloud.

Si plusieurs chemins pointent vers un nœud en aval à partir de plusieurs nœuds en amont, les nœuds en amont peuvent avoir une relation AND ou une relation OR entre eux.

Une relation AND signifie qu'un pirate informatique a besoin d'accéder aux deux en amont les nœuds pour accéder à un nœud en aval sur le chemin.

Par exemple, une ligne directe de l'Internet public vers une ressource de grande valeur à la fin d'un chemin d'attaque a une relation AND avec au moins une autre ligne du chemin d'attaque. Un pirate informatique ne peut pas atteindre la ressource de grande valeur à moins d'avoir accès à la fois à votre environnement Google Cloud et à au moins une autre ressource indiquée dans le chemin d'attaque.

Une relation OR signifie qu'un pirate informatique n'a besoin d'accéder qu'à l'un des nœuds en amont pour accéder au nœud en aval.

Simulations de chemin d'attaque

Pour déterminer tous les chemins d'attaque possibles et calculer les scores d'exposition aux attaques, Security Command Center effectue des simulations avancées de chemins d'attaque.

Calendrier de simulation

Les simulations de chemins d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification des ressources ou des configurations de valeurs de ressources.

Étapes de la simulation du chemin d'attaque

Les simulations comprennent trois étapes :

1. Génération de modèle: un modèle de votre environnement Google Cloud généré automatiquement en fonction des données d'environnement. Le modèle est une représentation graphique de votre environnement, adaptée aux analyses des chemins d'attaque.
2. Simulation du chemin d'attaque : les simulations de chemin d'attaque sont effectuées sur le modèle de graphique. Dans les simulations, un attaquant virtuel tente d’atteindre et compromettre les ressources de votre ensemble de ressources à forte valeur. Les simulations exploitent les insights sur chaque ressource et relation spécifique, y compris la mise en réseau, IAM, les configurations, les erreurs de configuration et les failles.
3. Rapports d'insights : sur la base des simulations, Security Command Center attribue des scores d'exposition aux attaques à vos ressources à forte valeur et aux résultats qui les exposent, et visualise les chemins potentiels qu'un pirate informatique pourrait emprunter pour accéder à ces ressources.

Caractéristiques d'exécution de la simulation

En plus de fournir les scores d'exposition aux attaques, les insights sur les chemins d'attaque et les chemins d'attaque, les simulations de chemin d'attaque présentent les caractéristiques suivantes :

• Elles ne touchent pas votre environnement réel: toutes les simulations sont réalisées un modèle virtuel et n'utilisez l'accès en lecture que pour créer le modèle.
• Ils sont dynamiques: le modèle est créé sans agent via la lecture des API ce qui permet aux simulations de suivre dynamiquement de votre environnement au fil du temps.
• L’attaquant virtuel essaie autant de méthodes et de vulnérabilités que possible pour atteindre et compromettre vos ressources de forte valeur. Cela inclut non seulement les « connus », comme les failles, les configurations, les erreurs de configuration mais aussi des "inconnues connues" de probabilité plus faible, qui risquent existent, comme la possibilité d’hameçonnage ou la fuite d’identifiants.
• Ils sont automatisés: la logique d'attaque est intégrée à l'outil. Vous n'avez pas besoin de créer ni de gérer d'ensembles de requêtes ou d'ensembles de données volumineux.

Scénarios et capacités de l’attaquant

Dans les simulations, Security Command Center présente une représentation logique d'une tentative d'exploitation par un pirate informatique de vos ressources à forte valeur ajoutée en accédant à votre environnement Google Cloud et en suivant les chemins d'accès potentiels via vos ressources et les failles détectées.

L'attaquant virtuel

Le pirate informatique virtuel utilisé par les simulations présente les caractéristiques suivantes : caractéristiques:

• Le pirate est externe: il n'est pas un utilisateur légitime de votre environnement Google Cloud. Les simulations ne modélisent pas ni n'incluent les attaques d'utilisateurs malveillants ou négligents qui ont un accès légitime à votre environnement.
• Le pirate commence par l'Internet public. Pour lancer une attaque, le pirate informatique doit d'abord accéder à votre environnement à Internet.
• L'attaquant est persistant. Le pirate informatique ne sera pas découragé ni ne perdra son intérêt en raison de la difficulté d'une méthode d'attaque particulière.
• L'attaquant est compétent et expérimenté. L'attaquant essaie des informations méthodes et techniques pour accéder à vos ressources de forte valeur.

Accès initial

Dans chaque simulation, un attaquant virtuel essaie les méthodes suivantes pour accédez aux ressources de votre environnement depuis l'Internet public:

• Découvrez et connectez-vous à tous les services et ressources accessibles depuis l'Internet public :
  • Services sur des instances de machines virtuelles (VM) Compute Engine et les nœuds Google Kubernetes Engine
  • Bases de données
  • Conteneurs
  • Buckets Cloud Storage
  • Fonctions Cloud Run
• Accéder aux clés et aux identifiants, y compris :
  • Clés de compte de service
  • Clés de chiffrement fournies par l'utilisateur
  • Clés SSH des instances de VM
  • Clés SSH à l'échelle du projet
  • Systèmes externes de gestion des clés
  • Comptes utilisateur pour lesquels l'authentification multifacteur (MFA) n'est pas appliquée
  • Jetons d'authentification multifacteur virtuels interceptés
• Accès à des ressources cloud accessibles publiquement au moyen d'un vol ou en exploitant les failles signalées par Mandiant Attack Surface Management et VM Manager

Si la simulation trouve un point d'entrée possible dans l'environnement, la simulation a ensuite l’attaquant virtuel d’essayer d’atteindre et de compromettre vos ressources de forte valeur dès le point d'entrée en explorant consécutivement et exploiter les configurations de sécurité et les failles dans l'environnement.

Stratégies et techniques

La simulation repose sur un large éventail de tactiques et de techniques, parmi lesquelles : l’exploitation d’accès légitimes, de mouvements latéraux, d’élévation des privilèges, les failles, les erreurs de configuration et l'exécution du code.

Intégration des données CVE

Lors du calcul des scores d'exposition aux attaques pour les résultats de failles, les simulations de chemin d'attaque prennent en compte les données Enregistrement CVE les scores CVSS, ainsi que des évaluations de l'exploitabilité de la vulnérabilité sont fournies par Mandiant.

Les informations CVE suivantes sont prises en compte :

• Vecteur d'attaque: le pirate informatique doit disposer du niveau d'accès spécifié dans le vecteur d'attaque CVSS pour utiliser la CVE. Par exemple, une faille CVE avec un vecteur d'attaque réseau détectée sur un composant disposant d'une adresse IP publique et de ports ouverts peut être exploitée par un pirate informatique disposant d'un accès au réseau. Si un pirate informatique n'a accès qu'au réseau et que la faille CVE nécessite un accès physique, il ne peut pas l'exploiter.
• Complexité de l'attaque : en règle générale, une faille ou une configuration incorrecte présentant une faible complexité d'attaque est plus susceptible d'obtenir un score d'exposition élevé aux attaques qu'une faille ou une configuration incorrecte présentant une complexité d'attaque élevée.
• Activité d'exploitation : en général, une faille détectée avec une activité d'exploitation étendue, comme l'ont déterminé les analystes de Mandiant en matière de cyber-intelligence, est plus susceptible d'obtenir un score d'exposition aux attaques élevé qu'une détection sans activité d'exploitation connue.