此页面由 Cloud Translation API 翻译。

攻击风险得分和攻击路径

本页面介绍关键概念、原则和限制，以帮助您了解、优化和使用由 Security Command Center 的 Risk Engine 生成的攻击风险得分和攻击路径。

系统会针对以下两个方面生成攻击路径得分和攻击路径：

漏洞和配置错误发现结果（漏洞发现结果统称为漏洞发现结果），导致有效高价值资源集中的资源实例遭到泄露。
有效高价值资源集中的资源。

攻击路径代表可能性

您不会在攻击路径中看到实际攻击的证据。

Risk Engine 会模拟假设攻击者能够访问您的 Google Cloud 环境并发现 Security Command Center 已发现的攻击路径和漏洞，从而生成攻击路径和攻击风险得分。

每个攻击路径都会显示攻击者在获得特定资源的访问权限后可能使用的一种或多种攻击方法。请勿将这些攻击方法与实际攻击混淆。

同样，Security Command Center 发现结果或资源攻击风险得分较高并不意味着攻击正在进行中。

如需监控实际攻击，请监控 Event Threat Detection 和 Container Threat Detection 等威胁检测服务产生的 THREAT 类发现结果。

如需了解详情，请参阅本页面的以下部分：

攻击风险得分
攻击路径
攻击路径模拟

攻击风险得分

Security Command Center 发现结果或资源的攻击风险得分用于衡量当恶意操作者访问您的 Google Cloud 环境时，暴露的资源对潜在攻击的程度。

恶意组合发现结果的恶意组合得分是一种攻击风险得分。有害组合发现结果表示一系列安全问题，其中可能包含也可能不包含个别软件漏洞或错误配置的其他发现结果。

在分数计算方式的说明（关于优先查找修复措施的一般指南）中，在某些其他上下文中，“攻击风险得分”一词也适用于恶意组合得分。

对于发现结果，得分衡量的是检测到的安全问题将一个或多个高价值资源暴露在潜在网络攻击中的程度。对于高价值资源，得分衡量的是资源面临的潜在网络攻击程度。

根据软件漏洞、错误配置和恶意组合发现结果的分数，优先修复这些发现结果。

根据资源的攻击风险得分，主动保护对您的业务最有价值的资源。

在攻击路径模拟中，Risk Engine 始终会从公共互联网启动模拟攻击。因此，攻击风险得分并没有考虑任何可能接触到恶意或过失内部操作者的情况。

获得攻击风险得分的发现结果

攻击风险得分会应用于支持的发现结果类别中列出的活跃发现结果类别。

恶意组合得分仅适用于 Toxic combination 类别的发现结果。

攻击路径模拟包含已忽略的结果，因此 Risk Engine 也会计算已忽略的结果的得分和攻击路径。

攻击路径模拟仅包含活跃的发现结果。状态为 INACTIVE 的发现结果不包含在模拟中，因此不接收得分，也不会包含在攻击路径中。

接收攻击风险得分的资源

攻击路径模拟会计算高价值资源集中受支持资源类型的攻击风险得分。您可以通过创建资源值配置来指定哪些资源属于高价值资源集。

如果高价值资源集中某资源的攻击风险得分为 0，则攻击路径模拟不会识别潜在攻击者可以利用的任何资源路径。

攻击路径模拟支持以下资源类型：

aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/TrainingPipeline

bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket

分数计算

每次运行攻击路径模拟时，它们都会重新计算攻击风险得分。每个攻击路径模拟实际上会运行多次模拟，在这种模拟中，模拟的攻击者会尝试已知的攻击方法和技术来访问和破坏重要资源。

攻击路径模拟每天最多可运行四次（每六小时一次）。随着组织的发展，模拟需要更长的时间，但每天始终至少运行一次。创建、修改或删除资源或资源值配置不会触发模拟运行。

模拟使用各种指标计算得分，包括：

分配给公开的高价值资源的优先级值。您可分配的优先级值包含以下值：
- 高 = 10
- 中 = 5
- 低 = 1
攻击者到达给定资源的可能途径的数量。
模拟攻击者在给定攻击路径结束时能够到达和破坏高价值资源的次数，以占模拟总数的百分比表示。
检测到的漏洞或配置错误所暴露的高价值资源的数量（仅限发现结果）。

对于资源，攻击风险得分介于 0 到 10 之间。

概括来讲，模拟通过将成功攻击的百分比乘以资源的数字优先级值来计算资源得分。

对于发现结果，得分没有固定的上限。攻击路径中发现针对高价值资源集中公开资源的频率越高，这些资源的优先级值越高，得分就越高。

概括来讲，模拟使用与资源分数相同的计算方法来计算发现结果分数，但对于发现结果分数，模拟然后将计算结果乘以发现结果公开的高价值资源数量。

更改分数

每次运行攻击路径模拟时，得分都可能发生变化。今天的得分为零的发现结果或资源明天的得分可能会为非零。

得分发生变化的原因有很多，包括以下各项：

检测到或修复了直接或间接暴露高价值资源的漏洞。
添加或移除环境中的资源。

模拟运行后对发现结果或资源所做的更改在下一次模拟运行之前不会反映在得分中。

根据评分确定修复措施的优先顺序

为了根据攻击风险或恶意组合得分有效优先修复发现结果，请考虑以下几点：

任何得分大于零的发现结果都会以某种方式将高价值资源暴露给潜在攻击，因此应优先修复得分为零的发现结果。
发现结果的得分越高，它将高价值资源暴露的程度就越高，您就越应该优先对其进行修复。

通常，应最先修复得分最高且最能有效阻止高价值资源的攻击路径的发现结果。

在 Google Cloud 控制台或 Security Operations 控制台中的 Security Command Center 发现结果页面上，您可以点击列标题，按得分对页面面板上的发现结果进行排序。

在 Google Cloud 控制台中，您还可以查看得分最高的发现结果，方法是向发现结果查询添加过滤条件，以便仅返回攻击风险得分高于您指定的数字的发现结果。

在 Security Operations 控制台的案例页面上，您还可以按攻击风险得分对恶意组合案例进行排序。

无法修复的发现结果。

在某些情况下，您可能无法修复攻击风险得分较高的发现结果，因为它表示可接受的已知风险，或者表示发现结果无法轻易修复。在这些情况下，您可能需要通过其他方式降低风险。查看相关攻击路径也许有助于您了解其他可能的缓解措施。

利用攻击风险得分来保护资源

资源的非零攻击风险得分表示攻击路径模拟识别出了从公共互联网到资源的一个或多个攻击路径。

如需查看高价值资源的攻击风险得分，请按以下步骤操作：

在 Google Cloud 控制台中，前往 Security Command Center 的资产页面。
前往“资产”
选择高价值资源集标签页。高价值资源集中的资源按攻击风险得分的降序显示。
点击攻击风险得分列中某项资源所在行上的数字，显示该资源的攻击路径。此时将显示从公共互联网到资源的攻击路径。
查看攻击路径，看看节点上是否有表示发现结果的红色圆圈。
点击带红色圆圈的节点即可查看发现结果。
开始采取措施，对发现结果进行补救。

您还可以在设置的攻击路径模拟标签页中点击查看上次模拟使用的重要资源，查看您的高价值资源的攻击风险得分。

Security Operations 控制台的资源页面中也提供了高价值资源集标签页。此功能目前为预览版，仅供 Security Command Center Enterprise 客户使用。

攻击风险得分为 `0`

如果某项资源的攻击风险得分为 0，则意味着在最新的攻击路径模拟中，Security Command Center 未发现攻击者到达资源所采取的任何潜在路径。

发现结果的攻击风险得分为 0 意味着在最新的攻击模拟中，模拟攻击者无法通过发现结果访问任何高价值资源。

但是，攻击风险得分为 0 并不意味着没有风险。攻击风险得分反映了支持的 Google Cloud 服务、资源和 Security Command Center 发现结果对源自公共互联网的潜在威胁的暴露情况。例如，得分未考虑内部参与者、零日漏洞或第三方基础架构的威胁。

无攻击风险得分

如果发现结果或资源没有得分，可能是以下原因造成的：

发现结果是在最新的攻击路径模拟之后发出的。
在最近一次攻击路径模拟后，该资源被添加到您的高价值资源集中。
攻击风险功能目前不支持发现结果类别或资源类型。

如需查看受支持的发现结果类别列表，请参阅攻击风险功能支持。

如需查看支持的资源类型的列表，请参阅收到攻击风险得分的资源。

资源值

虽然您在 Google Cloud 上的所有资源都有价值，但 Security Command Center 会识别攻击路径并仅计算您指定为高价值资源的资源（有时称为重要资源）的攻击风险得分。

高价值资源

Google Cloud 上的高价值资源是企业防范潜在攻击的重要资源。例如，高价值资源可能是存储有价值或敏感数据的资源，也可能是托管业务关键型工作负载的资源。

您可以通过在资源值配置中定义资源的特性，将资源指定为高价值资源。Security Command Center 会将与您在配置中指定的属性匹配的任何资源实例视为高价值资源（最多不超过 1000 个资源实例）。

优先级值

在您指定为高价值的资源中，您可能需要优先考虑某些资源的安全性，而不是其他资源。例如，一组数据资源可能包含高价值数据，但其中某些数据资源可能包含比其余数据更敏感的数据。

为了让您的分数能够反映出您需要优先考虑高价值资源集中的资源安全性，请在资源值配置中分配优先级值，以便将资源指定为高价值资源。

如果您使用 Sensitive Data Protection，则还可以根据资源所含数据的敏感度自动确定资源的优先级。

手动设置资源优先级值

在资源值配置中，您可以通过指定以下优先级值之一，为匹配的高价值资源分配优先级：

LOW = 1
MEDIUM = 5
HIGH = 10
NONE = 0

如果您在资源值配置中将优先级值指定为 LOW，则匹配的资源仍然是高价值资源；攻击路径模拟只会为它们分配较低的优先级，并为它们分配较低的攻击风险得分，而不是为优先级值为 MEDIUM 或 HIGH 的高价值资源分配较低的攻击风险得分。

如果多个配置为同一资源分配不同的值，则以最大值为准，除非配置分配的值为 NONE。

资源值 NONE 会将匹配的资源视为高价值资源，并替换同一资源的任何其他资源值配置。因此，请确保指定 NONE 的任何配置仅应用于一组有限的资源。

根据数据敏感度自动设置资源优先级值

如果您使用敏感数据保护发现并将数据分析文件发布到 Security Command Center，则可以将 Security Command Center 配置为根据资源所含数据的敏感度自动设置某些高价值资源的优先级值。

在资源值配置中指定资源时，您可以启用数据敏感度优先级。

启用后，如果 Sensitive Data Protection 发现功能将资源中的数据分类为 MEDIUM 或 HIGH 敏感度，默认情况下，攻击路径模拟会将资源的优先级值设置为相同的值。

数据敏感度级别由 Sensitive Data Protection 定义，但您可以将其解读如下：

高敏感度数据: 敏感数据保护发现在资源中发现了至少一个高敏感度数据实例。
中敏感度数据: 敏感数据保护发现在资源中发现至少一个中敏感性数据实例，但没有高敏感度数据实例。
低敏感度数据: 敏感数据保护发现未检测到资源中的敏感数据或任何自由格式文本或非结构化数据。

如果 Sensitive Data Protection 发现功能仅识别匹配数据资源中的低敏感度数据，则该资源不会被指定为高价值资源。

如果您需要将包含低敏感度数据的数据资源指定为优先级较低的高价值资源，请创建重复的资源值配置，但将优先级值指定为 LOW，而不是启用数据敏感度优先级。使用敏感数据保护的配置会覆盖分配了 LOW 优先级值的配置，但仅限于包含 HIGH 或 MEDIUM 敏感度数据的资源。

您可以更改在资源值配置中检测到敏感数据时 Security Command Center 使用的默认优先级值。

如需详细了解 Sensitive Data Protection，请参阅 Sensitive Data Protection 概览。

数据敏感性优先级和默认的高价值资源集

在您创建自己的高价值资源集之前，Security Command Center 会使用默认的高价值资源集来计算攻击风险得分和攻击路径。

如果您使用敏感数据保护发现功能，Security Command Center 会自动将包含 HIGH 或 MEDIUM 敏感度数据的受支持数据资源类型的实例添加到默认的高价值资源集中。

自动数据敏感度优先级值支持的资源类型

攻击路径模拟可以根据敏感数据保护中的数据敏感度分类，自动为以下数据资源类型设置优先级值：

bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance

高价值资源集

高价值资源集是 Google Cloud 环境中定义的最需要保护的重要资源集合。

若要定义高价值资源集，您需要指定 Google Cloud 环境中哪些资源属于高价值资源集。在您定义高价值资源集之前，攻击风险得分、攻击路径和恶意组合发现结果无法准确反映您的安全优先级。

您可以通过创建资源值配置，来指定高价值资源集中的资源。所有资源值配置的组合定义了高价值资源集。如需了解详情，请参阅资源值配置。

在您定义第一个资源值配置之前，Security Command Center 将使用默认的高价值资源集。默认集将在整个组织中应用于攻击路径模拟支持的所有资源类型。如需了解详情，请参阅默认的高价值资源集。

您可以在 Google Cloud 控制台的资产页面上，点击高价值资源集标签页，查看上次攻击路径模拟中使用的高价值资源集。您还可以在 Security Command Center 设置页面的攻击路径模拟标签页中查看它们。

资源值配置

您可以使用资源值配置管理高价值资源集中的资源。

您可以在 Google Cloud 控制台 Security Command Center 设置页面的攻击路径模拟标签页中创建资源值配置。

在资源值配置中，您可以指定资源必须具有的属性，以便 Security Command Center 将其添加到高价值资源集中。

您可以指定的属性包括资源类型、资源标记、资源标签以及父级项目、文件夹或组织。

您还需要在配置中为资源分配资源值。资源值会相对于高价值资源集中的其他资源确定配置中资源的优先级。如需了解详情，请参阅资源值。

您最多可以在一个 Google Cloud 组织中创建 100 个资源值配置。

您创建的所有资源值配置共同定义了 Security Command Center 用于攻击路径模拟的高价值资源集。

资源属性

对于要纳入高价值资源集的资源，其属性必须与您在资源值配置中指定的属性一致。

您可以指定的属性包括：

一个资源类型，或 Any。指定 Any 时，配置将应用于指定范围内所有受支持的资源类型。Any 为默认值。
资源必须所在的范围（父级组织、文件夹或项目）。默认范围是您的组织。如果您指定了组织或文件夹，则配置也会应用于子文件夹或项目中的资源。
（可选）每个资源必须包含的一个或多个标记或标签。

如果指定了一个或多个资源值配置，但 Google Cloud 环境中没有资源与任何配置中指定的属性匹配，则 Security Command Center 会发出 SCC Error 发现结果并回退到默认的高价值资源集。

默认的高价值资源集

当未定义资源值配置或未定义的配置与任何资源匹配时，Security Command Center 会使用默认的高价值资源集来计算攻击风险得分。

Security Command Center 会为默认高价值资源中的资源分配优先级值 LOW，除非您使用 Sensitive Data Protection 发现，在这种情况下，Security Command Center 会为包含高敏感度或中敏感度数据的资源分配相应的优先级值 HIGH 或 MEDIUM。

如果至少一个资源值配置与环境中至少一个资源匹配，则 Security Command Center 将停止使用默认的高价值资源集。

如需接收攻击风险和恶意组合得分以准确反映您的安全优先级，请将默认的高价值资源集替换为您自己的高价值资源集。如需了解详情，请参阅定义高价值资源集。

以下列表显示了默认高价值资源集中包含的资源类型：

bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket

高价值资源集中的资源限制

Security Command Center 将高价值资源中的资源数量限制为 1000。

如果一个或多个资源值配置中的属性规范非常广泛，则与属性规范匹配的资源数量可能会超过 1,000。

如果匹配资源的数量超过限制，Security Command Center 会从资源集中排除资源，直到资源数量在限制范围内。Security Command Center 首先排除分配值最低的资源。在具有相同分配值的资源中，Security Command Center 通过一种算法来排除资源实例，该算法可跨各个资源类型分配排除的资源。

计算攻击风险得分时不考虑从高价值资源集中排除的资源。

为了在超过得分计算的实例限制时提醒您，Security Command Center 会发出 SCC error 发现结果，并在 Google Cloud 控制台中的攻击路径模拟设置标签页上显示消息。如果默认的最大值集超过实例限制，则 Security Command Center 不会发出 SCC error 发现结果。

为避免超出限制，请调整资源值配置，以优化高价值资源集中的实例。

您可以采取以下措施来优化高价值资源集，包括：

使用标记或标签减少给定资源类型或指定范围内的匹配项数量。
创建资源值配置，以将值 NONE 分配给在另一配置中指定的部分资源。指定 NONE 值时会替换任何其他配置，并排除高价值资源集中的资源实例。
缩小资源值配置中的范围规范。
删除分配了 LOW 值的资源值配置。

选择高价值资源

如需填充高价值资源集，您需要确定环境中哪些资源实例确实具有高价值。

通常，真正的高价值资源是处理和存储敏感数据的资源。例如，在 Google Cloud 上，可能是 Compute Engine 实例、BigQuery 数据集或 Cloud Storage 存储桶。

您无需将高价值资源（例如跳转服务器）附近的资源指定为高价值资源。攻击路径模拟会考虑这些相邻的资源，如果您也将其指定为高价值资源，可能会使得攻击风险得分不那么可靠。

多云支持

攻击路径模拟可以评估您在其他云服务提供商平台上的部署的风险。

与其他平台建立连接后，您可以通过创建资源值配置来指定您在其他云服务提供商上的高价值资源，就像在 Google Cloud 上创建资源一样。

Security Command Center 针对云平台运行模拟，独立于针对其他云平台运行的模拟。

在您为其他云服务提供商创建您的第一个资源值配置之前，Security Command Center 会使用特定于该云服务提供商的默认高价值资源集。默认高价值资源集将所有受支持的资源指定为高价值资源。

支持的云服务提供商平台

除了 Google Cloud 之外，Security Command Center 还可以为 Amazon Web Services (AWS) 运行攻击路径模拟。如需了解详情，请参阅以下主题：

攻击路径

攻击路径以可视化的交互方式描述了假想的攻击者可能会采取的一条或多条潜在路径，他们通过此类潜在路径从公共互联网到达您的某个高价值资源实例。

攻击路径模拟可模仿攻击者将已知的攻击方法应用于 Security Command Center 已在您的环境中检测到的漏洞和配置错误以尝试访问您的高价值目标时发生的情况，从而识别潜在的攻击路径。

您可以在 Google Cloud 控制台中点击发现结果或资源的攻击风险得分，来查看攻击路径。

在 Security Operations 控制台中查看恶意组合案例时，您可以在案例概览标签页上查看恶意组合的简化攻击路径。简化的攻击路径包含指向完整攻击路径的链接。如需详细了解恶意组合发现结果的攻击路径，请参阅恶意组合攻击路径。

查看较大的攻击路径时，您可以在屏幕右侧的攻击路径微型视图周围拖动红色方形焦点区域选择器，从而更改攻击路径的视图。

当 Google Cloud 控制台中显示攻击路径时，您可以点击 AI 摘要^预览以显示攻击路径的说明。该说明是使用人工智能 (AI) 动态生成的。如需了解详情，请参阅 AI 生成的摘要。

在攻击路径中，攻击路径上的资源表示为方框或节点。线条表示资源之间的潜在可访问性。节点和线条共同表示攻击路径。

攻击路径节点

攻击路径中的节点代表攻击路径上的资源。

显示节点信息

点击攻击路径中的每个节点，即可显示有关它的更多信息。

点击节点中的资源名称后，系统会显示有关该资源的详细信息以及影响该资源的任何发现结果。

点击展开节点可显示在攻击者获得资源访问权限时可能使用的攻击方法。

节点类型

节点有三种不同的类型：

模拟攻击的起点或入口点，即公共互联网。点击某个入口点节点后，系统会显示入口点的说明以及攻击者可用来访问您的环境的攻击方法。
攻击者可用于在路径上前进的受影响的资源。
路径末尾存在攻击风险的资源，即高价值资源集中的资源之一。只有已定义或默认高价值资源集中的资源才能成为公开资源。您可以通过创建资源值配置来定义高价值资源集。

上游和下游节点

在攻击路径中，节点可以是其他节点的上游或下游。上游节点更接近入口点和攻击路径的顶部。下游节点更靠近攻击路径底部存在攻击风险的高价值资源。

表示多个容器资源实例的节点

节点可以表示某些容器资源类型的多个实例，前提是这些实例具有相同的特征。

以下容器资源类型的多个实例可以由单个节点表示：

ReplicaSet 控制器
Deployment 控制器
Job 控制器
CronJob 控制器
DaemonSet 控制器

攻击路径线

在攻击路径中，方框之间的线条表示资源之间的潜在可访问性，攻击者可以加以利用以访问高价值资源。

这些线条并不表示 Google Cloud 中定义的资源之间的关系。

如果有多个路径从多个上游节点指向一个下游节点，则上游节点之间可以是 AND 关系，也可以是 OR 关系。

AND 关系表示攻击者需要这两个上游节点的访问权限，才能访问路径上的下游节点。

例如，从公共互联网到攻击路径末尾的高价值资源的直接行与攻击路径中的另一行具有 AND 关系。除非攻击者同时访问您的 Google Cloud 环境和攻击路径中显示的至少一个其他资源，否则他们无法访问高价值资源。

OR 关系表示攻击者只需要其中一个上游节点的访问权限即可访问下游节点。

攻击路径模拟

为了确定所有可能的攻击路径并计算攻击风险得分，Security Command Center 会进行高级攻击路径模拟。

模拟时间表

攻击路径模拟步骤

模拟包含三个步骤：

模型生成：Google Cloud 环境的模型会根据环境数据自动生成。该模型是环境的图表表示形式，专为攻击路径分析量身定制。
攻击路径模拟：在图表模型上进行攻击路径模拟。这些模拟会让虚拟攻击者尝试访问并入侵高价值资源集中的资源。模拟利用针对每个特定资源和关系（包括网络、IAM、配置、配置错误和漏洞）的分析洞见。
数据分析报告：Security Command Center 会根据模拟，为您的高价值资源及其暴露的发现结果分配攻击风险得分，并直观呈现攻击者访问这些资源的潜在路径。

模拟执行特征

攻击路径模拟除了提供攻击风险得分、攻击路径分析洞见和攻击路径之外，还具有以下特征：

它们不会影响您的实际环境：所有模拟都是在虚拟模型上进行的，并且仅使用读取权限来创建模型。
它们是动态的：模型是在不使用代理的情况下仅通过 API 读取权限创建的，这使得模拟能够随着时间的推移动态地跟随环境的变化。
它们会让虚拟攻击者尝试尽可能多的方法和漏洞来访问和入侵您的高价值资源。这不仅包括“已知内容”（例如漏洞、配置、配置错误和网络关系），还包括低概率的“已知的未知内容”，即我们已知存在的风险，例如可能的钓鱼式攻击或凭据泄露。
它们是自动的：攻击逻辑内置于工具中。您无需构建或维护大量查询或大型数据集。

攻击者的情况和能力

在模拟中，Security Command Center 以逻辑方式表示攻击者尝试通过访问您的 Google Cloud 环境并通过您的资源和检测到的漏洞按照潜在访问路径来利用您的高价值资源。

虚拟攻击者

模拟使用的虚拟攻击者具有以下特征：

攻击者来自外部：攻击者不是 Google Cloud 环境的合法用户。模拟不会模拟或包含来自对您的环境有合法访问权限的恶意或过失用户的攻击。
攻击者从公共互联网开始攻击。若要发起攻击，攻击者必须先从公共互联网访问您的环境。
攻击者会坚持不懈。攻击者不会因为特定攻击方法太难而气馁或失去兴趣。
攻击者很熟练，并且知识渊博。攻击者会尝试使用已知的方法和技术来访问高价值资源。

初始访问

每个模拟都会让一名虚拟攻击者尝试使用以下方法从公共互联网访问环境中的资源：

发现并连接可通过公共互联网访问的任何服务和资源：
- Compute Engine 虚拟机实例和 Google Kubernetes Engine 节点上的服务
- 数据库
- 容器
- Cloud Storage 存储桶
- Cloud Functions
获取密钥和凭据的访问权限，包括：
- 服务账号密钥
- 用户提供的加密密钥
- 虚拟机实例 SSH 密钥
- 项目范围的 SSH 密钥
- 外部密钥管理系统
- 未强制执行多重身份验证 (MFA) 的用户账号
- 拦截的虚拟 MFA 令牌
通过使用被盗凭据或利用 Mandiant Attack Surface Management、虚拟机管理器和快速漏洞检测所报告的漏洞，获取可公开访问的云资产

如果模拟找到环境的可能入口点，则会让虚拟攻击者不断探索和利用环境中的安全配置和漏洞，以尝试从入口点访问和入侵高价值资源。

战术和方法

该模拟使用各种策略和技术，包括利用合法访问、横向移动、提升权限、漏洞、配置错误和代码执行。

合并 CVE 数据

在计算漏洞发现结果的攻击风险得分时，攻击路径模拟会考虑漏洞的 CVE 记录、CVSS 得分中的数据，以及 Mandiant 提供的漏洞被利用率评估结果。

我们会考虑以下 CVE 信息：

攻击途径：攻击者需要具有 CVSS 攻击途径中指定的访问权限级别才能使用 CVE。例如，在具有公共 IP 地址和开放端口的资产上发现具有网络攻击途径的 CVE 可能会被具有网络访问权限的攻击者利用。如果攻击者仅具有网络访问权限，并且 CVE 需要物理访问权限，攻击者就无法利用 CVE。
攻击复杂性：通常，相较于复杂度高的发现结果，攻击复杂度低的漏洞或配置错误发现结果更有可能获得较高的攻击风险得分。
利用活动：通常，与没有已知利用活动的发现结果相比，由 Mandiant 网络威胁情报分析师确定的具有广泛利用活动的漏洞发现结果更有可能获得较高的攻击风险得分。