此页面由 Cloud Translation API 翻译。

攻击风险得分和攻击路径

本页将介绍主要概念、原则和限制帮助您了解、优化和利用 Risk Engine 生成的得分和攻击路径 Security Command Center

系统会针对以下两个方面生成攻击路径得分和攻击路径：

漏洞和配置错误发现结果（漏洞发现结果、以公开您的有效高价值资源中的资源实例，资源集。
有效高价值资源集中的资源。

攻击路径代表可能性

您不会在攻击路径中看到实际攻击的证据。

Risk Engine 会生成攻击路径和攻击风险得分通过模拟假设攻击者获得访问权限后可以做什么并发现攻击路径 Security Command Center 发现的漏洞和漏洞。

每个攻击路径都会显示攻击者在获得特定资源的访问权限后可能使用的一种或多种攻击方法。请勿将这些攻击方法与实际攻击混淆。

同样，Security Command Center 的攻击风险得分较高并不意味着攻击正在进行中。

如需监控实际攻击，请监控 THREAT 类发现结果 Event Threat Detection 等威胁检测服务生成的，容器威胁检测。

如需了解详情，请参阅本页面的以下部分：

攻击风险得分
攻击路径
攻击路径模拟

攻击风险得分

Security Command Center 发现结果或资源的攻击风险得分是指用于衡量在发现恶意攻击发生时，暴露的资源参与者访问您的 Google Cloud 环境的权限。

恶意组合的攻击风险得分在某些情况下，所得结果称为有毒组合分数，例如 Google Cloud 控制台中的发现结果页面。

在说明如何计算得分时，一般准则而在某些其他情况下， 攻击风险得分也适用于恶意组合得分。

对于发现结果，得分用于衡量已检测到的安全问题的程度公开一个或多个高价值资源潜在的网络攻击对于高价值资源，得分衡量的是资源在潜在的网络攻击中的暴露程度。

使用软件漏洞、错误配置和恶意应用的评分，以优先修复这些发现结果。

根据资源的攻击风险得分，主动保护对您的业务最有价值的资源。

在攻击路径模拟中，Risk Engine 始终会启动来自公共互联网的模拟攻击。因此，攻击风险得分未考虑任何可能的恶意或过失的内部行为者。

获得攻击风险得分的发现结果

攻击风险得分会应用于支持的发现结果类别。

攻击路径模拟包含已忽略的发现结果，因此 Risk Engine 还可以为已忽略的发现结果计算得分和攻击路径。

攻击路径模拟仅包含活跃的发现结果。符合以下条件的发现结果： INACTIVE 状态，且未包含在模拟中，因此请勿可接收得分，且不会被纳入攻击路径。

接收攻击风险得分的资源

攻击路径模拟计算以下各项的攻击风险得分：支持的资源类型。您可以指定通过创建资源将资源归属于高价值资源集 资源值配置。

如果高价值资源集中的资源具有攻击风险得分为 0，则攻击路径模拟未识别到资源的任何路径供潜在攻击者利用

攻击路径模拟支持以下资源类型：

aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/TrainingPipeline

bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket

分数计算

攻击路径模拟每次运行时，都会重新计算攻击暴露量得分。每个攻击路径模拟实际上会运行多次模拟模拟攻击者会尝试使用已知的攻击方法和技术获取和危害宝贵资源。

攻击路径模拟每天最多可运行四次（每六小时一次）。随着组织的发展，模拟需要更长的时间，但每天始终至少运行一次。模拟运行并非由创建、修改或删除资源或资源值配置。

模拟使用各种指标计算得分，包括以下：

优先级值分配给需要投入的高价值资源所有资源。您可分配的优先级值包含以下值： <ph type="x-smartling-placeholder">
- 高 = 10
- 中 = 5
- 低 = 1
攻击者到达给定资源的可能途径的数量。
模拟攻击者能够到达的次数在给定攻击路径末端损害高价值资源，以占模拟总数的百分比表示。
（仅针对发现结果）检测到漏洞或配置错误

对于资源，攻击风险得分介于 0 到 10 之间。

概括来讲，模拟计算资源得分的依据是将攻击成功百分比乘以数字优先级值

对于发现结果，得分没有固定的上限。在针对暴露资源的攻击路径上发现的频率越高且优先级越高这些资源的价值，得分就越高。

概括来讲，模拟使用计算方法与资源得分相同，但在查找得分时，然后将计算结果乘以发现暴露的高价值资源的数量。

更改分数

每次运行攻击路径模拟时，得分都可能发生变化。发现或今天得分为零的资源，可能有一个非零值，得分。

得分发生变化的原因有很多，包括以下各项：

检测到或修复了直接或间接暴露高价值资源的漏洞。
添加或移除环境中的资源。

模拟运行后，系统不会对发现结果或资源进行更改会体现在得分中，直到下一次模拟运行。

根据评分确定修复措施的优先顺序

根据发现的问题，有效地确定修复工作的优先级攻击风险或恶意组合得分，请考虑以下要点：

任何得分大于零的发现结果以某种方式使高价值资源面临潜在攻击，因此应优先处理得分为零的发现结果。
发现结果的得分越高，它将高价值资源暴露的程度就越高，您就越应该优先对其进行修复。

通常，应最先修复得分最高且最能有效阻止高价值资源的攻击路径的发现结果。

如果某个恶意组合发现结果与另一项发现结果的分数发现类别大致相同，请优先修复发现有毒组合，因为它代表了从 AI 的连接到一个或多个高价值资源如果攻击者访问您的云，他们可能会跟踪环境

在 Security Command Center 的发现结果中页面（位于 Google Cloud 控制台中）或 Security Operations 控制台，您可以在页面面板上对发现结果进行排序按得分。

在 Google Cloud 控制台中，您还可以使用添加过滤条件，获取最高得分添加到发现结果查询，该查询仅返回具有攻击风险的发现结果得分大于您指定的数字。

在 Security Operations 控制台的案例页面上，您还可以排序按攻击风险得分计算恶意组合案例数。

无法修复的发现结果。

在某些情况下，您可能无法修复攻击风险得分较高的发现结果，因为它表示可接受的已知风险，或者表示发现结果无法轻易修复。在这些情况下，您可能需要通过其他方式降低风险。查看相关攻击路径也许有助于您了解其他可能的缓解措施。

利用攻击风险得分来保护资源

资源的非零攻击风险得分意味着攻击路径模拟识别了一条或多条攻击路径，连接到该资源

如需查看高价值资源的攻击风险得分，请按以下步骤操作：

在 Google Cloud 控制台中，前往 Security Command Center 的资产页面。
<ph type="x-smartling-placeholder"></ph> 前往“素材资源”
选择高价值资源集标签页。高价值数据中的资源资源集按攻击风险得分降序显示。
点击数字编号，显示资源的攻击路径 攻击风险得分列中相应行。攻击路径显示从公共互联网到资源的网络
查看攻击路径，看看节点上是否有红色圆圈，指示发现结果。
点击带红色圆圈的节点即可查看发现结果。
开始采取措施，对发现结果进行补救。

您还可以查看高价值资源的攻击风险得分 攻击路径模拟标签页上设置方法是点击查看上一次模拟使用的重要资源。

高价值资源集标签页也在资源页面安全运维控制台。此功能目前处于预览版阶段，可供以下人员使用：仅适用于 Security Command Center Enterprise 客户。

攻击风险得分为 `0`

如果某项资源的攻击风险得分为 0，则意味着，在最新的攻击路径模拟，Security Command Center 未发现任何攻击者获取资源所需的潜在路径。

发现结果的攻击风险得分为 0 意味着在最新的攻击模拟中，模拟攻击者无法通过发现结果访问任何高价值资源。

不过，攻击风险得分 0 并不意味着没有风险。攻击风险得分反映的是支持的 Google Cloud 服务、资源和 Security Command Center 对以下来源的潜在威胁的发现结果：公共互联网。例如，得分不会将来自内部操作者、零日漏洞或第三方的威胁，基础架构

无攻击风险得分

如果发现结果或资源没有得分，则可能是以下几项原因：

发现结果是在最新的攻击路径模拟之后发出的。
该资源已添加到高价值资源集中在最新攻击路径模拟后的结果。
攻击风险功能目前不支持此发现结果类别或资源类型。

如需查看受支持的发现结果类别列表，请参阅攻击风险功能支持。

如需查看支持的资源类型的列表，请参阅获得攻击风险得分的资源。

资源值

虽然您在 Google Cloud 上的所有资源都有价值， Security Command Center 识别攻击路径并计算攻击只对您指定为 高价值资源（有时称为“重要资源”）。

高价值资源

Google Cloud 上的高价值资源这对您的业务而言非常重要，攻击。例如，您的高价值资源可能是存储您的有价值或敏感数据的资源或托管业务关键型工作负载的工作负载

您可以通过定义属性来将资源指定为高价值资源一个 Pod 中 资源值配置。资源实例数上限为 1,000 个，Security Command Center 会将与您在作为高价值资源配置的

优先级值

在您指定的高价值资源中，您可能需要更加重视某些安全。例如，一组数据资源可能包含高价值数据，数据资源可能包含比其余数据更敏感的数据。

让您的得分反映出您需要优先处理的事项高价值资源集中的资源安全性，您在资源值配置中分配了优先级值将资源指定为高价值资源

如果您使用 Sensitive Data Protection，则可以：还会根据数据的敏感程度自动确定资源的优先级资源包含的资源

手动设置资源优先级值

在资源值配置中，您需要为通过指定以下其中一项来匹配高价值资源优先级值：

LOW = 1
MEDIUM = 5
HIGH = 10
NONE = 0

如果您在资源值配置中将优先级值指定为 LOW，匹配的资源仍然是高价值资源；攻击路径模拟只会为它们分配较低的优先级攻击风险得分高于优先级值为 MEDIUM 或 HIGH。

如果多个配置为同一资源分配不同的值，则以最大值为准，除非配置分配的值为 NONE。

如果资源值为 NONE，则系统不会将匹配的资源被视为高价值资源，并替换任何其他资源值同一资源的多个配置因此，请确保指定 NONE 的任何配置仅应用于一组有限的资源。

根据数据敏感度自动设置资源优先级值

如果您使用敏感数据保护发现然后将数据分析文件发布到 Security Command Center 那么您可以配置 Security Command Center 以自动设置特定高价值资源的价值，根据数据资源中包含的资源。

在资源值配置。

启用后，如果敏感数据保护发现功能对敏感度设为 MEDIUM 或 HIGH，则默认将优先级值设为设置为相同的值。

数据敏感度级别由敏感数据保护定义但您可以将其解读如下：

高敏感度数据: 发现至少一项敏感数据保护高敏感度数据实例。
中敏感度数据: 敏感数据保护发现找到至少一个资源中存在中敏感度数据，并且没有高敏感度实例数据。
低敏感度数据: Sensitive Data Protection 发现未检测到敏感数据数据或者资源中的任何自由格式文本或非结构化数据。

如果敏感数据保护发现功能发现匹配数据资源中的低敏感度数据，该资源未被指定为高价值资源。

如果您需要对仅包含低敏感度数据的数据资源被指定为具有低优先级的高价值资源创建重复的资源值配置，但指定优先级值 LOW，而不是启用数据敏感度优先级。使用 Sensitive Data Protection 的配置会替换分配了 LOW 优先级值的配置，但仅适用于包含 HIGH 或 MEDIUM 的资源敏感度数据

您可以更改 Security Command Center 使用的默认优先级值当在资源值配置中检测到敏感数据时触发。

如需详细了解 Sensitive Data Protection，请访问 Sensitive Data Protection 概览。

数据敏感性优先级和默认的高价值资源集

在您创建自己的高价值资源集之前，Security Command Center 使用默认的高价值资源集来计算攻击风险得分和攻击路径

如果您使用敏感数据保护发现功能， Security Command Center 会自动添加受支持数据的实例包含 HIGH 或 MEDIUM 敏感度数据的资源类型默认高价值资源集。

自动数据敏感度优先级值支持的资源类型

攻击路径模拟可自动设置优先级值数据敏感度分类，敏感数据保护仅适用于以下数据资源类型：

bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance

高价值资源集

高价值资源集是 Google Cloud 环境中定义的最需要保护的重要资源集合。

若要定义高价值资源集，您需要指定 Google Cloud 环境中哪些资源属于高价值资源集。在确定高价值客户之前资源集、攻击风险得分、攻击路径和恶意组合并不能准确反映您的安全优先级。

您可以通过创建资源值配置，来指定高价值资源集中的资源。所有资源值的组合定义您的高价值资源集。如需更多信息请参阅资源值配置。

在您定义第一个资源值配置之前，Security Command Center 将使用默认的高价值资源集。默认集将在整个组织中应用于攻击路径模拟支持的所有资源类型。如需了解详情，请参阅默认的高价值资源集。

您可以看到上次攻击路径中使用的高价值资源集在 Google Cloud 控制台中进行模拟资源页面方法是点击高价值资源集标签页。你还可以查看在攻击路径模拟标签页上 Security Command Center 设置页面。

资源值配置

您可以使用资源值配置管理高价值资源集中的资源。

您可以在攻击路径模拟中创建资源值配置 Google Cloud 控制台中 Security Command Center 设置页面的标签页。

在资源值配置中，您可以指定资源必须具有的属性，以便 Security Command Center 将其添加到高价值资源集中。

您可以指定的属性包括资源类型、资源标记、资源标签以及父级项目、文件夹或组织。

您还需要在配置中为资源分配资源值。资源值会相对于高价值资源集中的其他资源确定配置中资源的优先级。如需了解详情，请参阅资源值。

您最多可以在一个 Google Cloud 组织中创建 100 个资源值配置。

您创建的所有资源值配置共同定义了 Security Command Center 用于攻击路径模拟的高价值资源集。

资源属性

对于要纳入高价值资源集的资源，其属性必须与您在资源值配置中指定的属性一致。

您可以指定的属性包括：

一个资源类型，或 Any。指定 Any 时，配置将应用于指定范围内所有受支持的资源类型。Any 为默认值。
资源必须所在的范围（父级组织、文件夹或项目）。默认范围是您的组织。如果您指定了组织或文件夹，则配置也会应用于子文件夹或项目中的资源。
（可选）一个或多个标记或标签每个资源必须包含的一系列属性

如果指定了一个或多个资源值配置，但 Google Cloud 环境中没有资源与任何配置中指定的属性匹配，则 Security Command Center 会发出 SCC Error 发现结果并回退到默认的高价值资源集。

默认的高价值资源集

Security Command Center 使用默认高价值资源集来计算未定义资源值配置时的攻击风险得分，或在没有定义的配置与任何资源匹配时触发。

Security Command Center 会为默认高价值资源中的资源分配一个优先级值为 LOW（除非您使用 Sensitive Data Protection）在这种情况下，Security Command Center 会将资源分配给包含高敏感度或中敏感度数据，优先级值为 HIGH 或 MEDIUM。

如果至少一个资源值配置与环境中至少一个资源匹配，则 Security Command Center 将停止使用默认的高价值资源集。

接收攻击风险和恶意组合得分反映您的安全优先级，替换默认的高价值资源资源集。如需了解详情，请参阅定义高价值资源集。

以下列表显示了默认高价值资源集：

bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket

高价值资源集中的资源限制

Security Command Center 将高价值资源中的资源数量限制为 1000。

如果一个或多个资源值配置中的属性规范非常广泛，则与属性规范匹配的资源数量可能会超过 1,000。

如果匹配资源的数量超过限制，Security Command Center 会从资源集中排除资源，直到资源数量在限制范围内。Security Command Center 首先排除分配值最低的资源。在具有相同分配值的资源中，Security Command Center 通过一种算法来排除资源实例，该算法可跨各个资源类型分配排除的资源。

计算攻击风险得分时不考虑从高价值资源集中排除的资源。

为了在超过得分计算的实例限制时提醒您，Security Command Center 会发出 SCC error 发现结果，并在 Google Cloud 控制台中的攻击路径模拟设置标签页上显示消息。如果默认的最大值集超过实例限制，则 Security Command Center 不会发出 SCC error 发现结果。

为避免超出限制，请调整资源值配置，以优化高价值资源集中的实例。

您可以采取以下措施来优化高价值资源集，包括：

使用代码或标签减少给定资源类型的匹配项数量还是在指定范围内
创建资源值配置，以将值 NONE 分配给在另一配置中指定的部分资源。指定 NONE 值时会替换任何其他配置，并排除高价值资源集中的资源实例。
缩小资源值配置中的范围规范。
删除分配了 LOW 值的资源值配置。

选择高价值资源

如需填充高价值资源集，您需要确定环境中哪些资源实例确实具有高价值。

一般来说，真正的高价值资源是指和存储您的敏感数据例如，在 Google Cloud 上 Compute Engine 实例、BigQuery 数据集或 Cloud Storage 存储桶。

您无需将高价值资源（例如跳转服务器）附近的资源指定为高价值资源。攻击路径模拟会考虑这些相邻的资源，如果您也将其指定为高价值资源，可能会使得攻击风险得分不那么可靠。

多云支持

攻击路径模拟可以评估云服务提供商平台

与其他平台建立连接后，您可以指定其他云服务上的高价值资源通过创建资源值配置来提供提供程序，就像为资源创建配置一样。

Security Command Center 针对云平台独立运行模拟针对其他云平台运行的模拟。

请先为另一个 Cloud Storage 存储分区创建第一个资源值配置， Security Command Center 使用默认的高价值云服务提供商特有的资源集。默认高价值资源集指定了所有支持的资源将资源视为高价值资源

支持的云服务提供商平台

除了 Google Cloud 之外，Security Command Center 还可以运行 Amazon Web Services (AWS) 的攻击路径模拟。如需了解详情，请参阅以下主题：

攻击路径

攻击路径以可视化的交互方式描述了假想的攻击者可能会采取的一条或多条潜在路径，他们通过此类潜在路径从公共互联网到达您的某个高价值资源实例。

攻击路径模拟可模仿攻击者将已知的攻击方法应用于 Security Command Center 已在您的环境中检测到的漏洞和配置错误以尝试访问您的高价值目标时发生的情况，从而识别潜在的攻击路径。

您可以点击以下位置上的攻击风险得分来查看攻击路径：在 Google Cloud 控制台中找到发现结果或资源。

在 Security Operations 控制台中查看恶意组合案例时，您可以在支持请求“概览”标签页简化的攻击路径包括指向完整攻击路径。详细了解恶意内容的攻击路径组合发现结果，请参阅恶意组合攻击路径。

查看较大的攻击路径时，您可以通过围绕微缩模型拖动红色方形焦点区域选择器显示屏幕右侧的攻击路径视图。

当 Google Cloud 控制台中显示攻击路径时，您可以点击 AI 摘要^预览版显示攻击路径的说明。该说明是使用人工智能 (AI) 动态生成的。如需了解详情，请参阅 AI 生成的摘要。

在攻击路径中，攻击路径上的资源表示为方框或节点。线条表示资源之间的潜在可访问性。节点和线条共同表示攻击路径。

攻击路径节点

攻击路径中的节点代表攻击路径上的资源。

显示节点信息

点击攻击路径中的每个节点，即可显示有关它的更多信息。

点击节点中的资源名称后，系统会显示有关该资源的详细信息以及影响该资源的任何发现结果。

点击展开节点可显示在攻击者获得资源访问权限时可能使用的攻击方法。

节点类型

节点有三种不同的类型：

模拟攻击的起点或入口点，即公共互联网。点击某个入口点节点后，系统会显示入口点的说明以及攻击者可用来访问您的环境的攻击方法。
攻击者可用于在路径上前进的受影响的资源。
路径末尾存在攻击风险的资源，即高价值资源集中的资源之一。仅限指定或 default 高价值资源集可能是公开资源您可以通过创建资源值配置来定义高价值资源集。

上游和下游节点

在攻击路径中，节点可以是其他节点的上游或下游。上游节点更接近入口点和攻击路径的顶部。下游节点更靠近攻击路径底部存在攻击风险的高价值资源。

表示多个容器资源实例的节点

节点可以表示某些容器资源类型的多个实例，前提是这些实例具有相同的特征。

以下容器资源类型的多个实例可以由单个节点表示：

ReplicaSet 控制器
Deployment 控制器
Job 控制器
CronJob 控制器
DaemonSet 控制器

攻击路径线

在攻击路径中，方框之间的线条表示资源之间的潜在可访问性，攻击者可以加以利用以访问高价值资源。

这些线条并不表示 Google Cloud 中定义的资源之间的关系。

如果有多个路径从多个上游节点指向一个下游节点，则上游节点之间可以是 AND 关系，也可以是 OR 关系。

AND 关系表示攻击者需要这两个上游节点的访问权限，才能访问路径上的下游节点。

例如，从公共互联网到攻击路径末尾的高价值资源的直接行与攻击路径中的另一行具有 AND 关系。除非攻击者同时访问您的 Google Cloud 环境和攻击路径中显示的至少一个其他资源，否则他们无法访问高价值资源。

OR 关系表示攻击者只需要其中一个上游节点的访问权限即可访问下游节点。

攻击路径模拟

确定所有可能的攻击路径并计算攻击风险 Security Command Center 可以模拟高级攻击路径。

模拟时间表

攻击路径模拟步骤

模拟包含三个步骤：

模型生成：Google Cloud 环境的模型会根据环境数据自动生成。该模型是环境的图表表示形式，专为攻击路径分析量身定制。
攻击路径模拟：在图表模型上进行攻击路径模拟。这些模拟会让虚拟攻击者尝试访问并入侵高价值资源集中的资源。模拟利用针对每个特定资源和关系（包括网络、IAM、配置、配置错误和漏洞）的分析洞见。
数据分析报告：Security Command Center 基于模拟将攻击风险得分分配给您的高价值资源，这些发现结果可揭示它们，并直观呈现攻击者可以获取这些资源

模拟执行特征

攻击路径模拟除了提供攻击风险得分、攻击路径分析洞见和攻击路径之外，还具有以下特征：

它们不会影响您的实际环境：所有模拟都是在虚拟模型上进行的，并且仅使用读取权限来创建模型。
它们是动态的：模型是在不使用代理的情况下仅通过 API 读取权限创建的，这使得模拟能够随着时间的推移动态地跟随环境的变化。
它们会让虚拟攻击者尝试尽可能多的方法和漏洞来访问和入侵您的高价值资源。这不仅包括“已知内容”（例如漏洞、配置、配置错误和网络关系），还包括低概率的“已知的未知内容”，即我们已知存在的风险，例如可能的钓鱼式攻击或凭据泄露。
它们是自动的：攻击逻辑内置于工具中。您无需构建或维护大量查询或大型数据集。

攻击者的情况和能力

在模拟中，Security Command Center 以逻辑方式表示攻击者尝试通过访问您的 Google Cloud 环境并通过您的资源和检测到的漏洞按照潜在访问路径来利用您的高价值资源。

虚拟攻击者

模拟使用的虚拟攻击者具有以下特征：

攻击者来自外部：攻击者不是 Google Cloud 环境的合法用户。模拟不包括建模或包含来自恶意或过失用户的攻击您的环境
攻击者从公共互联网开始攻击。若要发起攻击，攻击者必须先从公共互联网访问您的环境。
攻击者会坚持不懈。攻击者不会因为特定攻击方法太难而气馁或失去兴趣。
攻击者很熟练，并且知识渊博。攻击者会尝试使用已知的方法和技术来访问高价值资源。

初始访问

每个模拟都会让一名虚拟攻击者尝试使用以下方法从公共互联网访问环境中的资源：

发现并连接可通过公共互联网访问的任何服务和资源：
- Compute Engine 虚拟机实例和 Google Kubernetes Engine 节点上的服务
- 数据库
- 容器
- Cloud Storage 存储桶
- Cloud Functions
获取密钥和凭据的访问权限，包括：
- 服务账号密钥
- 用户提供的加密密钥
- 虚拟机实例 SSH 密钥
- 项目范围的 SSH 密钥
- 外部密钥管理系统
- 未强制执行多重身份验证 (MFA) 的用户账号
- 拦截的虚拟 MFA 令牌
通过使用被盗机制获取的云资产访问权限或利用 Mandiant Attack Surface Management 和虚拟机管理器

如果模拟找到环境的可能入口点，则会让虚拟攻击者不断探索和利用环境中的安全配置和漏洞，以尝试从入口点访问和入侵高价值资源。

战术和方法

该模拟使用各种策略和技术，包括利用合法访问、横向移动、提升权限、漏洞、配置错误和代码执行。

合并 CVE 数据

在计算漏洞发现结果的攻击风险得分时，攻击路径模拟会考虑漏洞 CVE 记录 CVSS 评分、以及对黑客入侵的漏洞由 Mandiant 提供

我们会考虑以下 CVE 信息：

攻击途径：攻击者需要具有 CVSS 攻击途径中指定的访问权限级别才能使用 CVE。例如，在具有公共 IP 地址和开放端口的资产上发现具有网络攻击途径的 CVE 可能会被具有网络访问权限的攻击者利用。如果攻击者仅具有网络访问权限，并且 CVE 需要物理访问权限，攻击者就无法利用 CVE。
攻击复杂性：通常，相较于复杂度高的发现结果，攻击复杂度低的漏洞或配置错误发现结果更有可能获得较高的攻击风险得分。
漏洞利用活动：通常，发现存在以下漏洞的漏洞：根据网络威胁情报确定的广泛入侵活动 Mandiant 的分析师更有可能受到严重攻击与没有任何已知利用活动的发现结果相比。