Punteggi di esposizione agli attacchi e percorsi di attacco

Questa pagina illustra i concetti chiave, i principi e le restrizioni per aiutarti a conoscere, perfezionare e utilizzare l'esposizione agli attacchi e percorsi di attacco generati dal motore di Security Command Center.

I punteggi dei percorsi di attacco e i percorsi di attacco vengono generati per entrambi i seguenti fattori:

• Risultati relativi a vulnerabilità ed errori di configurazione (risultati vulnerabilità, collettivamente) che espongono le istanze di risorse nei tuoi asset un set di risorse.
• Le risorse nel set effettivo di risorse di alto valore.

I percorsi di attacco rappresentano le possibilità

Non vedrai le prove di un attacco effettivo in un percorso di attacco.

Risk Engine genera punteggi per i percorsi di attacco e l'esposizione agli attacchi simulando ciò che gli ipotetici aggressori potrebbero fare se avessero ottenuto l’accesso al tuo ambiente Google Cloud e scoperto i percorsi di attacco e le vulnerabilità che Security Command Center ha già rilevato.

Ogni percorso di attacco mostra uno o più metodi di attacco che un aggressore potrebbe se hanno ottenuto l'accesso a una particolare risorsa. Azioni sconsigliate confondere questi metodi di attacco con attacchi reali.

Allo stesso modo, un punteggio elevato di esposizione agli attacchi in un Security Command Center non significa che sia in corso un attacco.

Per verificare la presenza di attacchi effettivi, monitora i risultati della classe THREAT generate dai servizi di rilevamento delle minacce, come Event Threat Detection e Container Threat Detection.

Per ulteriori informazioni, consulta le seguenti sezioni di questa pagina:

• Punteggi di esposizione agli attacchi
• Percorsi di attacco
• Simulazioni del percorso di attacco

Punteggi di esposizione agli attacchi

Un punteggio di esposizione agli attacchi su un risultato o una risorsa di Security Command Center è un misura del livello di esposizione delle risorse ai potenziali attacchi in caso di di accedere al tuo ambiente Google Cloud.

Un punteggio di esposizione agli attacchi per una combinazione tossica viene chiamato punteggio di combinazione tossica in alcuni contesti, come la pagina Risultati della console Google Cloud.

Nelle descrizioni di come vengono calcolati i punteggi, nelle linee guida generali dare la priorità ai risultati e, in alcuni altri contesti, il termine punteggio di esposizione agli attacchi si applica anche ai punteggi delle combinazioni tossiche.

Su un risultato, il punteggio è una misura di quanto è stato rilevato un problema di sicurezza espone una o più risorse di alto valore a potenziali attacchi informatici. Su una risorsa di alto valore, il punteggio è una misura quanto è esposta la risorsa a potenziali attacchi informatici.

Usa i punteggi relativi a vulnerabilità del software, configurazione errata e contenuti dannosi per dare priorità alla correzione di questi risultati.

Usa i punteggi di esposizione agli attacchi sulle risorse per proteggere in modo proattivo le risorse più preziose per la tua attività.

Nelle simulazioni del percorso di attacco, Risk Engine si avvia sempre e gli attacchi simulati dalla rete internet pubblica. Di conseguenza, i punteggi di esposizione agli attacchi non tengono conto di qualsiasi possibile esposizione di aggressori interni agli utenti malintenzionati o negligenti.

Risultati che ricevono punteggi di esposizione agli attacchi

I punteggi di esposizione agli attacchi vengono applicati alle classi di risultati attivi elencate in Categorie di risultati supportate.

Le simulazioni del percorso di attacco includono risultati disattivati, quindi Risk Engine calcola anche i punteggi e i percorsi di attacco per risultati non disponibili.

Le simulazioni del percorso di attacco includono solo risultati attivi. Risultati con uno stato INACTIVE, non sono inclusi nelle simulazioni, quindi non ricevono punteggi e non sono inclusi nei percorsi di attacco.

Risorse che ricevono punteggi di esposizione agli attacchi

Le simulazioni del percorso di attacco calcolano i punteggi di esposizione agli attacchi per supportati nel set di risorse di alto valore. Devi specificare quali che appartengono a un set di risorse di alto valore creando configurazioni dei valori delle risorse.

Se una risorsa in un set di risorse di alto valore ha un punteggio di esposizione agli attacchi pari a 0, le simulazioni del percorso di attacco non hanno identificato nessun percorso verso la risorsa che un potenziale aggressore potrebbe sfruttare.

Le simulazioni del percorso di attacco supportano i seguenti tipi di risorse:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Calcolo del punteggio

Le simulazioni del percorso di attacco ricalcolano ogni volta che vengono eseguite le simulazioni i punteggi di esposizione. Ogni simulazione del percorso di attacco esegue diverse simulazioni in cui un aggressore simulato prova metodi e tecniche di attacco noti raggiungere e compromettere le risorse più preziose.

Le simulazioni del percorso di attacco possono essere eseguite fino a quattro volte al giorno (ogni sei ore). Come tuo cresce, le simulazioni richiedono più tempo, ma verranno eseguite una volta al giorno. Le esecuzioni delle simulazioni non vengono attivate dalla creazione, dalla modifica o l'eliminazione delle risorse o delle loro configurazioni.

Le simulazioni calcolano i punteggi utilizzando una serie di metriche, tra cui le seguenti:

• Il valore di priorità assegnate alle risorse di alto valore sono esposte. I valori di priorità che puoi assegnare hanno i seguenti valori:
  • ALTO = 10
  • MED = 5
  • BASSO = 1
• Il numero di possibili percorsi che un utente malintenzionato potrebbe seguire per raggiungere un determinato risorsa.
• Il numero di volte in cui un aggressore simulato è in grado di raggiungere e compromettere una risorsa di alto valore alla fine di un determinato percorso di attacco, espressa come percentuale del numero totale di simulazioni.
• Solo per i risultati, il numero di risorse di alto valore esposte dall'oggetto rilevata una vulnerabilità o un'errata configurazione.

Per le risorse, i punteggi di esposizione agli attacchi possono essere compresi tra 0 e 10.

A livello generale, le simulazioni calcolano i punteggi delle risorse moltiplicando la percentuale di attacchi andati a buon fine per valore numerico di priorità delle risorse.

Per i risultati, i punteggi non hanno un limite superiore fisso. Più spesso si verifica un risultato nei percorsi di attacco a risorse esposte nel set di risorse di valore elevato e più alta è la priorità, di queste risorse, più alto è il punteggio.

A livello generale, le simulazioni calcolano i punteggi dei risultati utilizzando lo stesso calcolo dei punteggi delle risorse, ma per trovare i punteggi, simulazioni, quindi moltiplica il risultato del calcolo per il numero di risorse di alto valore esposte dal risultato.

Modificare i punteggi

I punteggi possono cambiare ogni volta che viene eseguita una simulazione del percorso di attacco. Un risultato o una risorsa che oggi ha un punteggio pari a zero potrebbe avere un valore diverso da zero punteggio domani.

I punteggi cambiano per diversi motivi, tra cui:

• Il rilevamento o la correzione di una vulnerabilità che, direttamente o indirettamente, espone una risorsa di alto valore.
• L'aggiunta o la rimozione di risorse nel tuo ambiente.

Le modifiche ai risultati o alle risorse dopo l'esecuzione di una simulazione non sono nei punteggi fino all'esecuzione della simulazione successiva.

Usare i punteggi per dare priorità alle correzioni dei risultati

Per dare priorità in modo efficace alla correzione dei risultati in base ai i punteggi di esposizione agli attacchi o di combinazioni tossiche, considera i seguenti punti:

• Qualsiasi risultato con un punteggio maggiore di zero espone in qualche modo una risorsa di alto valore a un potenziale attacco, la correzione deve essere prioritaria rispetto ai risultati con punteggio pari a zero.
• Più alto è il punteggio di un risultato, più quest'ultimo espone la tua ad alto valore e più in alto dovresti dare priorità alla correzione.

In generale, dare la massima priorità alla correzione dei risultati che hanno i punteggi più alti e che bloccano nel modo più efficace l'attacco alle risorse di alto valore.

Se i punteggi di una combinazione tossica e quelli di un altro sono più o meno uguali, assegna priorità alla correzione risultato della combinazione tossica, perché rappresenta un percorso completo a una o più risorse di alto valore che un l'autore dell'attacco può potenzialmente seguire se ha ottenuto l'accesso al tuo cloud completamente gestito di Google Cloud.

In Risultati di Security Command Center nella console Google Cloud o la Security Operations Console, puoi ordinare i risultati nel riquadro della pagina per punteggio facendo clic sull'intestazione della colonna.

Nella console Google Cloud, puoi anche visualizzare i risultati con i punteggi più alti aggiungendo un filtro alla query dei risultati che restituisce solo i risultati con un'esposizione agli attacchi maggiore di un numero da te specificato.

Nella pagina Richieste di Security Operations Console, puoi anche i casi di combinazioni tossiche in base al punteggio di esposizione agli attacchi.

Risultati che non possono essere corretti.

In alcuni casi, potresti non essere in grado di correggere un risultato con un di esposizione agli attacchi, perché rappresenta un punteggio rischio accettato o perché il risultato non può essere risolto facilmente. Nel potrebbe essere necessario ridurre il rischio in altri modi. In fase di revisione il percorso di attacco associato potrebbe darti idee per altri possibili mitigazioni dell'impatto ambientale.

Usa i punteggi di esposizione agli attacchi per proteggere le risorse

Un punteggio di esposizione agli attacchi diverso da zero su una risorsa significa che hanno identificato uno o più percorsi di attacco la rete internet pubblica alla risorsa.

Per vedere i punteggi di esposizione agli attacchi delle tue risorse di alto valore, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Asset di Security Command Center.

   Vai ad Asset

2. Seleziona la scheda Set di risorse di alto valore. Le risorse presenti nella tua azienda il set di risorse viene visualizzato in ordine decrescente in base al punteggio di esposizione agli attacchi.

3. Visualizza i percorsi di attacco per una risorsa facendo clic sul numero nella relativa riga nella colonna Punteggio di esposizione agli attacchi. Percorsi di attacco della rete internet pubblica.

4. Esaminare i percorsi di attacco alla ricerca di cerchi rossi sui nodi che per indicare i risultati.

5. Fai clic su un nodo con un cerchio rosso per vedere i risultati.

6. Avvia l'azione per correggere i risultati.

Puoi anche visualizzare i punteggi di esposizione agli attacchi delle tue risorse di alto valore nella scheda Simulazioni del percorso di attacco in Impostazioni facendo clic su Visualizza le risorse con valori utilizzate nell'ultima simulazione.

La scheda Set di risorse di valore elevato è disponibile anche nel Risorse pagina della Security Operations Console. Questa funzionalità è in Anteprima ed è disponibile per Solo per clienti di Security Command Center Enterprise.

Punteggi di esposizione agli attacchi pari a 0

Un punteggio di esposizione agli attacchi pari a 0 su una risorsa significa che, nell'ultimo di percorsi di attacco, Security Command Center non ha identificato i potenziali percorsi che un utente malintenzionato potrebbe seguire per raggiungere la risorsa.

Un punteggio di esposizione agli attacchi pari a 0 su un risultato indica che, nell'ultimo una simulazione di attacco, l’aggressore simulato non ha potuto raggiungere risorse tramite il risultato.

Tuttavia, un punteggio di esposizione agli attacchi pari a 0 non significa che non siano ai rischi. Il punteggio di esposizione agli attacchi riflette dell'esposizione di servizi, risorse e Risultati di Security Command Center alle potenziali minacce provenienti da nella rete internet pubblica. Ad esempio, i punteggi non tengono conto minacce da autori interni, vulnerabilità zero-day o dell'infrastruttura.

Nessun punteggio di esposizione agli attacchi

Se un risultato o una risorsa non ha un punteggio, possono riguardare i seguenti motivi:

• Il risultato è stato emesso dopo l'ultima simulazione del percorso di attacco.
• La risorsa è stata aggiunta al set di risorse di alto valore dopo l'ultima simulazione del percorso di attacco.
• La funzionalità di esposizione agli attacchi al momento non supporta il risultato categoria o il tipo di risorsa.

Per un elenco delle categorie di risultati supportate, consulta: Supporto delle funzionalità di esposizione agli attacchi.

Per un elenco dei tipi di risorse supportati, consulta Risorse che ricevono punteggi di esposizione agli attacchi.

Valori delle risorse

Sebbene tutte le tue risorse su Google Cloud abbiano un valore, Security Command Center identifica i percorsi di attacco e calcola gli attacchi dei punteggi di esposizione solo per le risorse che definisci come risorse di alto valore (a volte definite risorse di valore).

Risorse di alto valore

Una risorsa di alto valore su Google Cloud è una risorsa è particolarmente importante che la tua azienda protegga da potenziali attacchi informatici. Ad esempio, di alto valore Le risorse potrebbero essere quelle in cui vengono archiviati i tuoi dati importanti o sensibili o che ospitano carichi di lavoro critici per l'azienda.

Puoi designare una risorsa come risorsa di alto valore definendo gli attributi della risorsa configurazione dei valori delle risorse. Fino a un limite di 1000 istanze di risorse, Security Command Center gestisce qualsiasi di un'istanza di risorsa che corrisponda agli attributi specificati configurazione come risorsa di alto valore.

Valori di priorità

Tra le risorse che definisci come di valore elevato, probabilmente dovrai di dare la priorità alla sicurezza di alcune rispetto ad altre. Ad esempio, un di risorse dati potrebbe contenere dati di alto valore, ma alcuni e le risorse dati potrebbero contenere dati più sensibili degli altri.

In modo che i punteggi riflettano la necessità di dare priorità la sicurezza delle risorse all'interno di un set di risorse di alto valore assegni un valore di priorità nelle configurazioni dei valori delle risorse che designa le risorse come di alto valore.

Se utilizzi Sensitive Data Protection, puoi assegnano automaticamente la priorità alle risorse in base alla sensibilità dei dati contenuti dalle risorse.

Imposta manualmente i valori di priorità delle risorse

In una configurazione dei valori delle risorse, assegni una priorità la corrispondenza delle risorse di alto valore specificando una delle seguenti opzioni: valori di priorità:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Se specifichi un valore di priorità pari a LOW in una configurazione del valore delle risorse, le risorse corrispondenti sono comunque risorse di alto valore; il percorso di attacco le simulazioni le considerano solo con una priorità più bassa e di esposizione agli attacchi rispetto alle risorse di alto valore con valore di priorità di MEDIUM o HIGH.

Se più configurazioni assegnano valori diversi per la stessa risorsa, viene applicato il valore più alto, a meno che una configurazione non assegni il valore NONE.

Il valore NONE della risorsa esclude le risorse corrispondenti considerata una risorsa di alto valore e sostituisce qualsiasi altro valore della risorsa configurazioni per la stessa risorsa. Per questo motivo, assicurati che qualsiasi configurazione che specifica NONE si applica solo a un insieme limitato di Google Cloud.

Imposta automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati

Se utilizzi Sensitive Data Protection scoperta e pubblica i profili di dati su Security Command Center, puoi configurare Security Command Center in modo che imposti automaticamente la priorità alcune risorse di alto valore in base alla sensibilità dei dati che che contengono.

Puoi abilitare l'assegnazione della priorità alla sensibilità dei dati quando specifichi le risorse in un configurazione dei valori delle risorse.

Quando questa opzione è abilitata, se il rilevamento di Sensitive Data Protection classifica i i dati in una risorsa con sensibilità MEDIUM o HIGH, del percorso di attacco, impostano per impostazione predefinita il valore di risorsa allo stesso valore.

I livelli di sensibilità dei dati sono definiti da Sensitive Data Protection, ma puoi interpretarli come segue:

Dati ad alta sensibilità

È stata rilevata almeno una scoperta di Sensitive Data Protection di dati ad alta sensibilità nella risorsa.

Dati di sensibilità media

Il rilevamento di Sensitive Data Protection ha trovato almeno un'istanza di dati a sensibilità media nella risorsa e nessuna istanza di sensibilità elevata dati.

Dati a bassa sensibilità

Il rilevamento di Sensitive Data Protection non ha rilevato elementi sensibili o qualsiasi testo in formato libero o dati non strutturati nella risorsa.

Se il rilevamento di Sensitive Data Protection identifica solo i dati a bassa sensibilità in una risorsa di dati corrispondente, la risorsa non è designata come risorsa di alto valore.

Se hai bisogno di risorse di dati che contengano solo dati a bassa sensibilità designate come risorse di alto valore con bassa priorità, crea una configurazione duplicata dei valori delle risorse, ma specifica una priorità valore di LOW anziché abilitare l'assegnazione della priorità per la sensibilità dei dati. La configurazione che utilizza Sensitive Data Protection sostituisce la configurazione che assegna il valore di priorità LOW, ma solo per le risorse che contengono HIGH o MEDIUM sensibili.

Puoi modificare i valori di priorità predefiniti utilizzati da Security Command Center Vengono rilevati dati sensibili nella configurazione dei valori delle risorse.

Per saperne di più su Sensitive Data Protection, consulta Panoramica di Sensitive Data Protection.

Priorità della sensibilità ai dati e set di risorse predefinito di alto valore

Prima di creare un tuo set di risorse di alto valore, Security Command Center usa un set di risorse di alto valore predefinito per calcolare i punteggi di esposizione agli attacchi e sui percorsi di attacco.

Se utilizzi il rilevamento di Sensitive Data Protection, Security Command Center aggiunge automaticamente istanze di dati supportati tipi di risorse che contengono dati di sensibilità HIGH o MEDIUM per di risorse di alto valore predefinito.

Tipi di risorse supportati per i valori di priorità automatizzati della sensibilità dei dati

Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità ai dati Protezione dei dati sensibili solo per i seguenti tipi di risorse di dati:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Set di risorse di alto valore

Un set di risorse di alto valore è una raccolta definita di risorse nel tuo ambiente Google Cloud le più importanti per proteggere e proteggere.

Per definire un set di risorse di alto valore, devi specificare quale di risorse nel tuo ambiente Google Cloud appartengono a un set di risorse di alto valore. Fino a quando non definisci i tuoi obiettivi set di risorse, punteggi di esposizione agli attacchi, percorsi di attacco e combinazione tossica i risultati non riflettono accuratamente le priorità della sicurezza.

Puoi specificare le risorse nel set di risorse di alto valore creando configurazioni dei valori delle risorse. La combinazione di tutti i valori delle risorse configurazioni definiscono un set di risorse di alto valore. Per ulteriori informazioni, consulta Configurazioni dei valori delle risorse.

Fino a quando non definisci la configurazione del primo valore delle risorse, Security Command Center utilizza un set di risorse predefinito di alto valore. Si applica l'insieme predefinito all'interno dell'organizzazione a tutti i tipi di risorse che per le simulazioni di percorsi. Per ulteriori informazioni, vedi Set di risorse di alto valore predefinito.

Puoi vedere il set di risorse di alto valore utilizzato nell'ultimo percorso di attacco nella console Google Cloud Pagina Asset facendo clic sulla scheda Set di risorse di alto valore. Puoi anche vederle Nella scheda Simulazione del percorso di attacco della pagina delle impostazioni di Security Command Center.

Configurazioni dei valori delle risorse

Puoi gestire le risorse nel set di risorse di alto valore con configurazioni dei valori delle risorse.

Puoi creare configurazioni dei valori delle risorse nella simulazione del percorso di attacco della pagina Impostazioni di Security Command Center nella console Google Cloud.

In una configurazione di valori di risorse, specifichi gli attributi che risorsa necessaria affinché Security Command Center possa aggiungerla un set di risorse di alto valore.

Gli attributi che puoi specificare includono il tipo di risorsa, i tag delle risorse, le etichette delle risorse e il progetto padre, cartella o organizzazione.

Puoi anche assegnare un valore alle risorse in una configurazione. Il valore della risorsa assegna la priorità alle risorse in una configurazione relativa alle altre risorse del set di risorse di alto valore. Per ulteriori informazioni vedi Valori delle risorse.

Puoi creare fino a 100 configurazioni di valori delle risorse in un dell'organizzazione Google Cloud.

Insieme, tutte le configurazioni dei valori delle risorse create definiscono il set di risorse di alto valore utilizzato da Security Command Center le simulazioni del percorso di attacco.

Attributi risorsa

Affinché una risorsa venga inclusa nel set di risorse di alto valore, i suoi attributi devono corrispondere a quelli specificati in un valore di risorsa configurazione.

Gli attributi che puoi specificare includono:

• Un tipo di risorsa o Any. Quando Any è specificato, la configurazione si applica a tutti i tipi di risorse supportati all'interno l'ambito di attività. Any è il valore predefinito.
• Un ambito (l'organizzazione, la cartella o il progetto padre) all'interno del quale le risorse devono trovarsi. L'ambito predefinito è dell'organizzazione. Se specifichi un'organizzazione o una cartella, si applica anche alle risorse nelle cartelle o nei progetti figlio.
• (Facoltativo) Uno o più tag o etichette contenuti da ciascuna risorsa.

Se specifichi una o più configurazioni dei valori delle risorse, ma non delle risorse nel tuo ambiente Google Cloud gli attributi specificati in una qualsiasi delle configurazioni, Security Command Center emette un risultato SCC Error e ricorre a di risorse di alto valore predefinito.

Set di risorse di alto valore predefinito

Security Command Center utilizza un set di risorse predefinito di alto valore per calcolare i punteggi di esposizione agli attacchi quando non sono definite configurazioni dei valori delle risorse se nessuna configurazione definita corrisponde a una risorsa.

Security Command Center assegna risorse nella risorsa predefinita di alto valore valore di priorità LOW, a meno che non utilizzi Sensitive Data Protection rilevamento, nel qual caso Security Command Center assegna risorse che contengono dati a sensibilità alta o media, un corrispondente valore di priorità di HIGH o MEDIUM.

Se hai almeno una configurazione del valore delle risorse che corrisponde almeno una risorsa nel tuo ambiente: Security Command Center smette di utilizzare il set di risorse di alto valore predefinito.

Per ricevere punteggi di combinazione tossica e di esposizione agli attacchi che riflettono le priorità di sicurezza, sostituisci la risorsa predefinita di alto valore con il tuo set di risorse di alto valore. Per ulteriori informazioni, vedi Definisci il set di risorse di alto valore.

Il seguente elenco mostra i tipi di risorse inclusi nell'elenco set di risorse di alto valore predefinito:

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limite alle risorse in un set di risorse di alto valore

Security Command Center limita il numero di risorse in un di alto valore impostata su 1000.

Se le specifiche degli attributi in una o più configurazioni dei valori delle risorse sono molto generiche, ovvero il numero di risorse che corrispondono le specifiche possono superare i 1000.

Quando il numero di risorse corrispondenti supera il limite, Security Command Center esclude le risorse dal set fino al numero di che rientrano nel limite. Security Command Center esclude a quelle con il valore assegnato più basso. Tra le risorse con lo stesso valore assegnato, Security Command Center esclude la risorsa da parte di un algoritmo che distribuisce le risorse escluse tipi di risorse.

Una risorsa esclusa dal set di risorse di alto valore non è considerati nel calcolo dei punteggi di esposizione agli attacchi.

Per avvisarti quando viene superato il limite di istanze per il calcolo del punteggio, Security Command Center emette un risultato di SCC error e visualizza un messaggio Nella scheda delle impostazioni della simulazione del percorso di attacco della console Google Cloud. Security Command Center non emette un risultato di SCC error se l'insieme predefinito di valori elevati supera i di istanze gestite.

Per evitare di superare il limite, modifica le configurazioni dei valori delle risorse in e perfezionare le istanze del set di risorse di alto valore.

Ecco alcune delle cose che puoi fare per perfezionare il tuo set di risorse di alto valore: le seguenti opzioni:

• Utilizzare i tag o etichette per ridurre il numero di corrispondenze per un determinato tipo di risorsa o all'interno di un ambito specificato.
• Crea una configurazione dei valori delle risorse che assegni il valore NONE a un sottoinsieme delle risorse specificate in un'altra configurazione. L'indicazione del valore NONE sostituisce qualsiasi altra configurazione e esclude le istanze di risorse dal set di risorse di alto valore.
• Riduci la specifica dell'ambito nella configurazione del valore delle risorse.
• Elimina le configurazioni dei valori delle risorse che assegnano un valore LOW.

Selezione delle risorse di alto valore

Per completare il set di risorse di alto valore, devi decidere quale risorsa nel tuo ambiente hanno un valore davvero elevato.

In genere, le vere risorse di alto valore sono le risorse che elaborano e archiviare i dati sensibili. Ad esempio, su Google Cloud, potrebbero essere istanze di Compute Engine, un BigQuery o un bucket Cloud Storage.

Non è necessario designare risorse adiacenti alle risorse di alto valore, ad esempio un jump server, come ad alto valore. Le simulazioni del percorso di attacco tengono conto già di queste risorse adiacenti, Inoltre, se definisci un valore elevato, i tuoi i punteggi di esposizione agli attacchi meno affidabili.

Supporto multi-cloud

Le simulazioni del percorso di attacco possono valutare il rischio nei tuoi deployment le piattaforme dei provider di servizi cloud.

Dopo aver stabilito una connessione a un'altra piattaforma, puoi specificare per le risorse di alto valore sull'altro servizio cloud del provider creando configurazioni dei valori delle risorse, come faresti per le risorse su Google Cloud.

Security Command Center esegue simulazioni per una piattaforma cloud in modo indipendente di simulazioni eseguite per altre piattaforme cloud.

Prima di creare la configurazione della prima configurazione dei valori delle risorse per un'altra cloud provider, Security Command Center utilizza un'architettura predefinita di risorse specifiche del provider di servizi cloud. Il valore predefinito un set di risorse di alto valore indica tutte le risorse supportate risorse di alto valore.

Piattaforme supportate dai provider di servizi cloud

Oltre a Google Cloud, Security Command Center può eseguire simulazioni di percorsi di attacco per Amazon Web Services (AWS). Per ulteriori informazioni, vedi:

• Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio
• Supporto per la simulazione del percorso di attacco per AWS

Percorsi di attacco

Un percorso di attacco è una rappresentazione visiva interattiva di una o più i potenziali percorsi che un ipotetico aggressore potrebbe seguire per arrivare a una delle tue istanze di risorse di alto valore.

Le simulazioni del percorso di attacco identificano i potenziali percorsi di attacco attraverso la modellazione cosa succederebbe se un aggressore applicasse metodi di attacco noti vulnerabilità e configurazioni errate di Security Command Center rilevate nel tuo ambiente per provare a raggiungere le risorse di alto valore.

Puoi visualizzare i percorsi di attacco facendo clic sul punteggio di esposizione agli attacchi su di un risultato o di una risorsa nella console Google Cloud.

Quando visualizzi un caso di combinazione tossica nella Security Operations Console, puoi visualizzare un percorso di attacco semplificato per la combinazione tossica su la scheda Panoramica della richiesta. Il percorso di attacco semplificato include un link dell'intero percorso di attacco. Per ulteriori informazioni sui percorsi di attacco per contenuti dannosi combinazione di risultati, vedi Percorsi di attacco combinati tossici.

Quando si visualizzano percorsi di attacco più ampi, è possibile modificare la visualizzazione di questi percorsi trascinando il selettore dell'area di messa a fuoco con il quadrato rosso intorno alla miniatura del percorso di attacco sul lato destro del display.

Quando il percorso di attacco viene visualizzato nella console Google Cloud, puoi fare clic Riepilogo basato sull'IA^Anteprima per visualizzare una spiegazione del percorso di attacco. Viene generata la spiegazione in modo dinamico usando l'intelligenza artificiale (AI). Per ulteriori informazioni, vedi Riepiloghi creati con l'IA.

In un percorso di attacco, le risorse su un percorso di attacco sono rappresentati come caselle o nodi. Le linee rappresentano il potenziale accessibilità tra le risorse. Insieme, i nodi e le linee rappresentano lungo il percorso di attacco.

Nodi del percorso di attacco

I nodi in un percorso di attacco rappresentano le risorse su lungo il percorso di attacco.

Visualizzazione delle informazioni sui nodi

Puoi visualizzare maggiori informazioni su ciascun nodo in un percorso di attacco facendoci clic sopra.

Facendo clic sul nome della risorsa in un nodo, vengono visualizzate ulteriori informazioni della risorsa, oltre a qualsiasi risultato che la risponda.

Facendo clic su Espandi nodo vengono visualizzati i possibili metodi di attacco che potrebbero essere utilizzati se un utente malintenzionato ha ottenuto l’accesso alla risorsa.

Tipi di nodi

Esistono tre diversi tipi di nodi:

• Il punto di partenza o punto di ingresso dell'attacco simulato, che è nella rete internet pubblica. Facendo clic su un nodo del punto di ingresso, viene visualizzata descrizione del punto di ingresso e dei metodi di attacco utilizzati da un aggressore per ottenere l'accesso al tuo ambiente.
• Le risorse interessate che un utente malintenzionato può utilizzare per avanzare lungo un percorso.
• La risorsa esposta alla fine di un percorso, che è uno dei di un set di risorse di alto valore. Solo una risorsa in un ambiente definito o predefinito un set di risorse di alto valore può essere una risorsa esposta. Tu definisci di risorse di alto valore mediante la creazione delle configurazioni dei valori delle risorse.

Nodi upstream e downstream

In un percorso di attacco, un nodo può trovarsi upstream o downstream rispetto alla ad altri nodi. Un nodo a monte è più vicino al punto di ingresso e alla del percorso di attacco. Un nodo downstream è più vicino al valore esposto di alto valore in fondo al percorso di attacco.

Nodi che rappresentano più istanze di risorse container

Un nodo può rappresentare più istanze di determinati tipi di risorse container se le istanze condividono le stesse caratteristiche.

È possibile eseguire più istanze dei seguenti tipi di risorse container rappresentato da un singolo nodo:

• Controller ReplicaSet
• Controller deployment
• Controller job
• Controller CronJob
• Controller DaemonSet

Linee del percorso di attacco

In un percorso di attacco, le linee tra i riquadri rappresentano il potenziale accessibilità tra le risorse che un utente malintenzionato potrebbe sfruttare per raggiungere risorse di alto valore.

Le linee non rappresentano una relazione tra risorse definita in Google Cloud.

Se sono presenti più percorsi che puntano a un nodo downstream da più nodi upstream, i nodi upstream possono avere un AND o una relazione OR tra loro.

Una relazione AND significa che un utente malintenzionato ha bisogno di accedere sia a upstream che nodi per accedere a un nodo downstream sul percorso.

Ad esempio, una linea diretta dalla rete internet pubblica a un la risorsa alla fine di un percorso di attacco ha una relazione AND con almeno un'altra linea nel percorso di attacco. Un aggressore non è riuscito a raggiungere risorsa di alto valore, a meno che non abbiano accesso sia ai tuoi ambiente Google Cloud e almeno un'altra risorsa come mostrato nel percorso di attacco.

Una relazione OR significa che un utente malintenzionato ha bisogno di accedere solo a uno dei seguenti elementi: ai nodi upstream di accedere al nodo downstream.

Simulazioni del percorso di attacco

Per determinare tutti i possibili percorsi di attacco e calcolare l’esposizione agli attacchi di sicurezza, Security Command Center esegue simulazioni avanzate del percorso di attacco.

Pianificazione della simulazione

Le simulazioni del percorso di attacco possono essere eseguite fino a quattro volte al giorno (ogni sei ore). Come tuo cresce, le simulazioni richiedono più tempo, ma verranno eseguite una volta al giorno. Le esecuzioni delle simulazioni non vengono attivate dalla creazione, dalla modifica o l'eliminazione delle risorse o delle loro configurazioni.

Passaggi della simulazione del percorso di attacco

Le simulazioni prevedono tre passaggi:

1. Generazione del modello: un modello del tuo ambiente Google Cloud generati automaticamente in base ai dati dell'ambiente. Il modello è un grafico rappresentazione del tuo ambiente, personalizzata per le analisi dei percorsi di attacco.
2. Simulazione del percorso di attacco: le simulazioni del percorso di attacco vengono condotte sul un modello di grafico. Le simulazioni prevedono che un aggressore virtuale prova a raggiungere o compromettere le risorse del set di risorse di alto valore. La sfruttano gli insight su ogni risorse e relazioni specifiche, tra cui networking, IAM, configurazioni errate e vulnerabilità.
3. Report di insight: basati sulle simulazioni, Security Command Center assegna punteggi di esposizione agli attacchi alle risorse di alto valore e dai risultati che li espongono e mostrano i percorsi potenziali a quelle risorse.

Caratteristiche dell'esecuzione della simulazione

Oltre a fornire i punteggi di esposizione agli attacchi, insight e percorsi di attacco, le simulazioni di percorsi di attacco le seguenti caratteristiche:

• Non toccano l'ambiente live: tutte le simulazioni vengono condotte su una un modello virtuale e usare solo l'accesso in lettura per la creazione del modello.
• Sono dinamici: il modello viene creato senza agenti tramite la lettura API. il solo accesso, il che consente alle simulazioni di seguire modifiche al tuo ambiente nel tempo.
• Hanno un tentativo virtuale di attacco quanti più metodi e vulnerabilità possibili per raggiungere e compromettere le risorse di alto valore. Ciò include non solo i "noti", come vulnerabilità, configurazioni, configurazioni errate relazioni, ma anche "incognite note" con minore probabilità: rischi che che esistono, come la possibilità di phishing o la divulgazione di credenziali.
• Sono automatizzati: la logica di attacco è integrata nello strumento. Non devi creare o gestire set di query o set di dati di grandi dimensioni.

Scenario e capacità dell’aggressore

Nelle simulazioni, Security Command Center ha una rappresentazione logica di un malintenzionato tenta di sfruttare le tue risorse di alto valore ottenendo l'accesso al tuo ambiente Google Cloud e seguendo percorsi potenziali di accesso attraverso le risorse e rilevate le vulnerabilità.

L’aggressore virtuale

L'aggressore virtuale utilizzato dalle simulazioni ha: caratteristiche:

• L'utente malintenzionato è esterno: l'utente malintenzionato non è un utente legittimo del tuo nell'ambiente Google Cloud. Le simulazioni non modellano né includono attacchi da parte di utenti malintenzionati o negligenti che hanno accesso legittimo a del tuo ambiente.
• L’aggressore parte dalla rete internet pubblica. Per avviare un attacco, l’autore di un attacco deve prima ottenere l’accesso al tuo ambiente dal pubblico internet.
• L’aggressore è persistente. L'aggressore non sarà scoraggiato o perdere interesse a causa della difficoltà di un particolare metodo di attacco.
• L’aggressore è esperto e competente. L’aggressore prova a conoscere metodi e tecniche per accedere alle tue risorse di alto valore.

Accesso iniziale

Ogni simulazione prevede che un utente malintenzionato virtuale prova i seguenti metodi per accedere alla rete internet pubblica per le risorse nel tuo ambiente:

• Scopri e connettiti a qualsiasi servizio e risorsa accessibile dalla rete internet pubblica:
  • Servizi sulle istanze di macchine virtuali (VM) Compute Engine e i nodi di Google Kubernetes Engine
  • Database
  • Container
  • Bucket Cloud Storage
  • Cloud Functions
• Ottenere l'accesso a chiavi e credenziali, tra cui:
  • Chiavi account di servizio
  • Chiavi di crittografia fornite dall'utente
  • Chiavi SSH di istanze VM
  • Chiavi SSH a livello di progetto
  • Sistemi di gestione delle chiavi esterni
  • Account utente in cui non viene applicata l’autenticazione a più fattori (MFA)
  • Token MFA virtuali intercettati
• Ottenere accesso ad asset cloud raggiungibili pubblicamente mediante l’uso o sfruttando le vulnerabilità segnalate Mandiant Attack Surface Management e VM Manager

Se la simulazione trova un possibile punto di ingresso nell'ambiente, la simulazione poi chiede all’aggressore virtuale di raggiungere e compromettere le risorse di alto valore dal punto di ingresso esplorando consecutivamente e sfruttare le configurazioni e le vulnerabilità di sicurezza all'interno dell'ambiente.

Tattiche e tecniche

La simulazione utilizza un’ampia varietà di tattiche e tecniche, tra cui sfruttando accesso legittimo, spostamento laterale, escalation dei privilegi, vulnerabilità, configurazioni errate ed esecuzione di codice.

Incorporazione dei dati CVE

Nel calcolare i punteggi di esposizione agli attacchi per i risultati di vulnerabilità, le simulazioni del percorso di attacco considerano i dati provenienti record CVE, i punteggi CVSS, nonché le valutazioni della sfruttabilità della vulnerabilità che sono forniti da Mandiant.

Vengono prese in considerazione le seguenti informazioni CVE:

• Vettore d'attacco: l'aggressore deve disporre del livello di accesso. specificato nel vettore di attacco CVSS per utilizzare la CVE. Per Ad esempio, una CVE con un vettore di attacco di rete trovato su un asset con un indirizzo IP pubblico e le porte aperte possono essere sfruttata da un aggressore con accesso alla rete. Se un utente malintenzionato ha solo accesso alla rete e la CVE richiede l'accesso fisico, l'aggressore non può sfruttare la CVE.
• Complessità dell'attacco: in genere, si tratta di una vulnerabilità o di una configurazione errata un risultato con una bassa complessità di attacco ha maggiori probabilità di ottenere un di esposizione agli attacchi piuttosto che a un risultato con una complessità elevata.
• Attività di exploit: in genere, un risultato di vulnerabilità con un’ampia attività di sfruttamento, come determinata dall’intelligence sulle minacce informatiche analisti di Mandiant, ha maggiori probabilità di subire un attacco forte di esposizione maggiore rispetto a un risultato senza attività di sfruttamento nota.