Auf dieser Seite werden wichtige Konzepte, Prinzipien und Einschränkungen erläutert, damit Sie die von der Risiko-Engine von Security Command Center generierten Bewertungen der Angriffsfläche und Angriffspfade kennenlernen, optimieren und verwenden können.
Bewertungen und Pfade für Angriffspfade werden für beides generiert:
- Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen (zusammenfassend als Sicherheitslücken bezeichnet), die die Ressourceninstanzen in Ihrer Gruppe mit wertvollen Ressourcen gefährden.
- Die Ressourcen in Ihrem effektiven Satz hochwertiger Ressourcen.
Wenn Sie Angriffsrisikobewertungen und Angriffspfade verwenden möchten, müssen Sie die Security Command Center Premium- oder Enterprise-Stufe auf Organisationsebene. Die Angriffsrisikobewertung und Angriffspfade können nicht für Aktivierungen auf Projektebene verwendet werden.
Angriffspfade stellen Möglichkeiten dar
In einem Angriffspfad sind keine Hinweise auf einen tatsächlichen Angriff zu sehen.
Die Risiko-Engine generiert Angriffspfade und Angriffsrisikobewertungen, indem sie simuliert, was hypothetische Angreifer tun könnten, wenn sie Zugriff auf Ihre Google Cloud-Umgebung erhalten und die Angriffspfade und Sicherheitslücken entdeckt haben, die bereits im Security Command Center gefunden wurden.
Jeder Angriffspfad zeigt eine oder mehrere Angriffsmethoden, die ein Angreifer verwenden könnte, wenn er Zugriff auf eine bestimmte Ressource erhält. Verwechseln Sie diese Angriffsmethoden nicht mit tatsächlichen Angriffen.
Ebenso bedeutet eine hohe Angriffsbewertung für ein Security Command Center-Ergebnis oder eine Ressource nicht, dass ein Angriff im Gange ist.
Wenn Sie auf tatsächliche Angriffe achten möchten, beobachten Sie die Ergebnisse der Klasse THREAT
, die von den Bedrohungserkennungsdiensten wie Event Threat Detection und Container Threat Detection generiert werden.
Weitere Informationen finden Sie in den folgenden Abschnitten auf dieser Seite:
Angriffsrisikobewertungen
Eine Angriffsbewertung für ein Security Command Center-Ergebnis oder eine Security Command Center-Ressource ist ein wie Ressourcen einem potenziellen Angriff ausgesetzt sind, wenn ein Zugriff auf Ihre Google Cloud-Umgebung erlangen.
Eine Angriffsbewertung auf einem toxische Kombination ist, wird in einigen Kontexten auch als Wert der unangemessenen Kombinationen bezeichnet, z. B. Seite Ergebnisse in der Google Cloud Console.
In der Beschreibung der Berechnung von Bewertungen finden Sie im Allgemeinen Hinweise zu und in bestimmten anderen Kontexten den Begriff Der Angriffsbewertungswert gilt auch für die Bewertung von schädlichen Kombinationen.
Bei einem Ergebnis gibt der Wert an, inwiefern ein erkanntes Sicherheitsproblem eine oder mehrere hochwertige Ressourcen potenziellen Cyberangriffen aussetzt. Für eine hochwertige Ressource ist der Wert ein Maß für die Ressource potenziellen Cyberangriffen ausgesetzt ist.
Nutzen Sie die Werte zu Software-Sicherheitslücken, Fehlkonfigurationen und unangemessenen Äußerungen. kombinieren, um die Korrektur dieser Ergebnisse zu priorisieren.
Nutzen Sie Angriffsrisikobewertungen für Ressourcen, um das die für Ihr Unternehmen am wertvollsten sind.
Bei den Simulationen von Angriffspfaden startet die Risk Engine die simulierten Angriffe immer über das öffentliche Internet. Folglich enthält der Angriffsrisikobewertungen berücksichtigen keine bösartige oder fahrlässige interne Akteure.
Ergebnisse mit Angriffsrisikobewertungen
Angriffsrisikobewertungen werden auf aktive Ergebnisklassen angewendet, die in Unterstützte Ergebniskategorien.
Da Angriffspfadsimulationen auch ausgeblendete Ergebnisse enthalten, berechnet die Risiko-Engine auch Bewertungen und Angriffspfade für ausgeblendete Ergebnisse.
Simulationen des Angriffspfads enthalten nur aktive Ergebnisse. Ergebnisse mit dem Status INACTIVE
werden nicht in die Simulationen einbezogen. Sie erhalten daher keine Bewertung und sind nicht in Angriffspfade aufgenommen.
Ressourcen, für die Angriffsrisikobewertungen vergeben werden
Bei Angriffspfadsimulationen werden Angriffsrisikobewertungen für unterstützte Ressourcentypen in der Gruppe Ihrer hochwertigen Ressourcen berechnet. Sie geben an, welche Ressourcen zum Satz hochwertiger Ressourcen gehören, indem Sie Konfigurationen für den Wert von Ressourcen erstellen.
Wenn eine Ressource in einem Satz hochwertiger Ressourcen eine Angriffsrisikobewertung hat 0 wurden bei den Angriffspfadsimulationen keine Pfade zur Ressource identifiziert. die ein potenzieller Angreifer nutzen könnte.
Bei Simulationen von Angriffspfaden werden die folgenden Ressourcentypen unterstützt:
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Berechnung der Punktzahl
Bei jeder Ausführung der Angriffspfadsimulationen wird der Angriff neu berechnet Kontaktbewertungen Bei jeder Angriffspfadsimulation werden mehrere Simulationen ausgeführt Ein simulierter Angreifer probiert bekannte Angriffsmethoden und -techniken aus. die wertvollen Ressourcen zu erreichen und zu kompromittieren.
Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Je größer Ihre Organisation wird, desto länger dauern die Simulationen. Sie werden jedoch immer mindestens einmal täglich ausgeführt. Simulationsausführungen werden nicht durch Erstellen, Ändern oder Ressourcen oder Ressourcenwertkonfigurationen zu löschen.
Bei den Simulationen werden die Bewertungen anhand einer Vielzahl von Messwerten berechnet, darunter Folgendes:
- Den Prioritätswert
die den hochwertigen Ressourcen zugewiesen ist,
die exponiert sind.
Die Prioritätswerte, die Sie zuweisen können, haben folgende Werte:
- HOCH = 10
- MED = 5
- LOW = 1
- Die Anzahl der möglichen Wege, die ein Angreifer nehmen könnte, um eine bestimmte Ressource zu erreichen.
- Die Häufigkeit, mit der ein simulierter Angreifer am Ende eines bestimmten Angriffspfads eine wertvolle Ressource erreichen und manipulieren kann, ausgedrückt als Prozentsatz der Gesamtzahl der Simulationen.
- Nur für Ergebnisse die Anzahl der hochwertigen Ressourcen, die von der Sicherheitslücken oder Fehlkonfigurationen erkannt wurden.
Für Ressourcen können Angriffsrisikobewertungen zwischen 0 und 10 liegen.
Die Simulationen berechnen Ressourcen-Scores grob anhand den Prozentsatz erfolgreicher Angriffe mit dem numerischer Prioritätswert der Ressourcen.
Für Ergebnisse gibt es keine feste Obergrenze. Je häufiger ein Ergebnis auf Angriffspfaden zu gefährdeten Ressourcen im Set mit hochwertigen Ressourcen auftritt und je höher die Prioritätswerte dieser Ressourcen sind, desto höher ist die Bewertung.
Im Großen und Ganzen werden die Bewertungen für Ergebnisse mit derselben Berechnung wie für Ressourcenbewertungen berechnet. Bei den Bewertungen für Ergebnisse wird das Ergebnis der Berechnung jedoch mit der Anzahl der hochwertigen Ressourcen multipliziert, die durch das Ergebnis gefährdet sind.
Werte ändern
Die Bewertungen können sich jedes Mal ändern, wenn eine Simulation von Angriffspfaden ausgeführt wird. Ein Ergebnis oder eine Ressource, die heute eine Punktzahl von null hat, kann morgen einen Wert ungleich null haben.
Die Bewertungen ändern sich aus verschiedenen Gründen, z. B.:
- Die Erkennung oder Beseitigung einer Schwachstelle, die direkt oder indirekt eine hochwertige Ressource verfügbar macht.
- Das Hinzufügen oder Entfernen von Ressourcen in Ihrer Umgebung.
Änderungen an den Ergebnissen oder Ressourcen nach einer Simulation werden erst in den Bewertungen der nächsten Simulation berücksichtigt.
Bewertungen verwenden, um Abhilfemaßnahmen für Ergebnisse zu priorisieren
Beachten Sie die folgenden Punkte, um die Behebung von Ergebnissen basierend auf dem Angriffsrisiko oder dem Wert für schädliche Kombinationen effektiv zu priorisieren:
- Alle Ergebnisse mit einem Wert, der größer als null ist eine wertvolle Ressource einem potenziellen Angriff aussetzt, Abhilfemaßnahmen sollten gegenüber Ergebnissen priorisiert werden, die einen Wert von null haben.
- Je höher die Bewertung eines Ergebnisses ist, desto stärker sind Ihre wertvollen Ressourcen gefährdet und desto höher sollten Sie die Behebung priorisieren.
Im Allgemeinen sollten Sie der Behebung der Ergebnisse höchste Priorität einräumen. die die höchsten Punktzahlen haben und den Angriff zu Ihren hochwertigen Ressourcen.
Wenn die Werte einer toxischen Kombination eines Ergebnisses und eines Ergebnisses in einem anderen der Ergebnisklasse ungefähr gleich sind, priorisieren Sie die toxischen Kombination gefunden, da es einen vollständigen Pfad vom dem öffentlichen Internet zu einer oder mehreren hochwertigen Ressourcen Angreifern möglicherweise folgen, wenn sie sich Zugriff auf Ihre Cloud verschaffen. zu verbessern.
Auf der Seite Ergebnisse des Security Command Center in der Google Cloud Console oder in der Security Operations Console können Sie die Ergebnisse im Seitenbereich nach Bewertung sortieren, indem Sie auf die Spaltenüberschrift klicken.
In der Google Cloud Console können Sie sich auch die Ergebnisse mit den höchsten Bewertungen ansehen. Fügen Sie dazu der Abfrage für die Ergebnisse einen Filter hinzu, der nur Ergebnisse mit einer Bewertung der Angriffsbedrohung zurückgibt, die über einer von Ihnen angegebenen Zahl liegt.
Auf der Seite Fälle in der Security Operations Console können Sie die Fälle mit schädlichen Kombinationen auch nach dem Wert für die Angriffsgefährdung sortieren.
Ergebnisse, die nicht korrigiert werden können.
In einigen Fällen können Sie einen Befund mit einem hohen Risikowert für Angriffe möglicherweise nicht beheben, entweder weil er ein bekanntes und akzeptiertes Risiko darstellt oder weil der Befund nicht einfach behoben werden kann. In In diesen Fällen müssen Sie das Risiko möglicherweise auf andere Weise mindern. Wird geprüft Der zugehörige Angriffspfad könnte Ihnen Ideen für andere mögliche und Abhilfemaßnahmen zu ergreifen.
Ressourcen mit Angriffsrisikobewertungen schützen
Eine Angriffsrisikobewertung ungleich null für eine Ressource bedeutet, dass die Angriffspfadsimulationen identifizierten mindestens einen Angriffspfad von aus dem öffentlichen Internet an die Ressource übertragen.
Um die Angriffsrisikobewertungen für Ihre hochwertigen Ressourcen zu sehen, führen Sie folgende Schritte aus:
Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
Wählen Sie den Tab Satz hochwertiger Ressourcen aus. Die Ressourcen in Ihren hochwertigen Ressourcensatz werden in absteigender Reihenfolge der Angriffsbewertung angezeigt.
Klicken Sie auf die Zahl in der Zeile in der Spalte Angriffsrisikobewertung, um die Angriffspfade für eine Ressource aufzurufen. Die Angriffspfade vom öffentlichen Internet zur Ressource werden angezeigt.
Überprüfen Sie die Angriffspfade und suchen Sie nach roten Kreisen auf den Knoten, auf Ergebnisse hin. Informationen zum Interpretieren der Angriffspfade finden Sie unter Angriffspfade.
Klicken Sie auf einen Knoten mit einem roten Kreis, um die Ergebnisse zu sehen.
Ergreifen Sie Maßnahmen, um die Ergebnisse zu beheben.
Sie können sich auch die Angriffsrisikobewertungen Ihrer hochwertigen Ressourcen ansehen auf dem Tab Simulationen des Angriffspfads in Einstellungen Klicken Sie dazu auf In der letzten Simulation verwendete wertvolle Ressourcen ansehen.
Angriffsbewertung von 0
Eine Angriffsrisikobewertung von 0
für eine Ressource bedeutet, dass in den letzten
Simulationen des Angriffspfads, konnte Security Command Center keine
Mögliche Pfade, über die Angreifer die Ressource erreichen könnten.
Eine Angriffsrisikobewertung von 0
für ein Ergebnis bedeutet, dass in den letzten
konnte der simulierte Angreifer keine hochwertigen
durch das Ergebnis zu schaffen.
Eine Angriffsbewertung von 0
bedeutet jedoch nicht, dass kein Risiko besteht. Ein Wert für die Angriffsgefährdung gibt Aufschluss über die potenziellen Bedrohungen für unterstützte Google Cloud-Dienste, ‑Ressourcen und ‑Ergebnisse aus dem öffentlichen Internet. Bei den Bewertungen werden beispielsweise
Bedrohungen durch interne Akteure, Zero-Day-Sicherheitslücken oder
und Infrastruktur.
Keine Angriffsbewertung
Wenn ein Ergebnis oder eine Ressource keine Bewertung hat, kann dies folgende Gründe haben: Gründe:
- Das Ergebnis wurde nach der letzten Angriffspfadsimulation ausgegeben.
- Die Ressource wurde Ihrem Satz hochwertiger Ressourcen nach der letzten Simulation des Angriffspfads hinzugefügt.
- Die Funktion „Angriffsrisiko“ unterstützt das Ergebnis derzeit nicht Kategorie oder den Ressourcentyp.
Eine Liste der unterstützten Ergebniskategorien finden Sie unter Unterstützung für die Risikoengine-Funktionen.
Eine Liste der unterstützten Ressourcentypen finden Sie unter Ressourcen, die Angriffsrisikobewertungen erhalten
Ressourcenwerte
Auch wenn alle Ihre Ressourcen in Google Cloud wertvoll sind, identifiziert Security Command Center nur Angriffspfade und berechnet nur Angriffsrisikobewertungen für die Ressourcen, die Sie als hochwertige Ressourcen (manchmal auch wertvolle Ressourcen) kennzeichnen.
Hochwertige Ressourcen
Eine hochwertige Ressource in Google Cloud ist für Ihr Unternehmen besonders wichtig, um sich vor potenziellen . Zu den Ressourcen mit hohem Wert können beispielsweise die Ressourcen gehören, in denen Ihre wertvollen oder sensiblen Daten gespeichert oder auf denen Ihre geschäftskritischen Arbeitslasten gehostet werden.
Sie legen eine Ressource als hochwertige Ressource fest, indem Sie die Attribute definieren der Ressource in einer Konfiguration der Ressourcenwerte Bis zu einem Limit von 1.000 Ressourceninstanzen behandelt Security Command Center alle Ressourceninstanz, die den Attributen entspricht, die Sie in den Konfiguration als hochwertige Ressource zu nutzen.
Prioritätswerte
Unter den Ressourcen, die Sie als hochwertig einstufen, ist es wahrscheinlich, dass Sie die Sicherheit einiger wichtiger als andere. Ein Datensatz kann beispielsweise wertvolle Daten enthalten, aber einige dieser Daten sind möglicherweise sensibler als die anderen.
Damit Ihre Bewertungen Ihren Priorisierungsanforderungen entsprechen, die Sicherheit der Ressourcen in Ihrem Satz hochwertiger Ressourcen, Sie weisen in den Konfigurationen für den Ressourcenwert einen Prioritätswert zu. der Ressourcen als hochwertig einstuft.
Wenn Sie Sensitive Data Protection verwenden, können Sie Außerdem werden Ressourcen automatisch nach der Vertraulichkeit der Daten priorisiert. die die Ressourcen enthalten.
Ressourcenprioritätswerte manuell festlegen
In einer Konfiguration für den Ressourcenwert weisen Sie dem hochwertige Ressourcen abzugleichen, indem Sie eine der folgenden Optionen angeben: Prioritätswerte:
LOW
= 1MEDIUM
= 5HIGH
= 10NONE
= 0
Wenn Sie in einer Ressourcenwertkonfiguration den Prioritätswert LOW
angeben,
dass die übereinstimmenden Ressourcen immer noch hochwertige Ressourcen sind. Angriffspfad
werden sie in den Simulationen
einfach mit einer niedrigeren Priorität behandelt
als hochwertige Ressourcen mit einer
Prioritätswert von MEDIUM
oder HIGH
.
Wenn für dieselbe Ressource in mehreren Konfigurationen unterschiedliche Werte zugewiesen sind, gilt der höchste Wert, es sei denn, einer der Konfigurationen ist der Wert NONE
zugewiesen.
Der Ressourcenwert NONE
schließt die übereinstimmenden Ressourcen aus.
werden als hochwertige Ressource betrachtet und überschreiben jeden anderen Ressourcenwert
Konfigurationen für dieselbe Ressource. Achten Sie daher darauf, dass jede Konfiguration, in der NONE
angegeben ist, nur auf eine begrenzte Anzahl von Ressourcen angewendet wird.
Werte für die Ressourcenpriorität automatisch je nach Datensensibilität festlegen
Wenn Sie Erkennung sensibler Daten und Datenprofile in Security Command Center veröffentlichen, können Sie Security Command Center so konfigurieren, bestimmter hochwertiger Ressourcen durch die Vertraulichkeit der Daten, Ressourcen enthalten.
Sie aktivieren datensensible Priorisierung, wenn Sie die Ressourcen in einem Konfiguration des Ressourcenwerts
Wenn die Erkennung sensibler Daten aktiviert ist und die Daten in einer Ressource als MEDIUM
oder HIGH
klassifiziert werden, wird in den Simulationen von Angriffspfaden standardmäßig derselbe Wert als Prioritätswert der Ressource festgelegt.
Die Datensensibilitätsstufen Sensitive Data Protection, Sie können sie jedoch so interpretieren:
- Hochsensible Daten
- Bei der Suche nach sensiblen Daten wurde in der Ressource mindestens eine Instanz mit sensiblen Daten gefunden.
- Daten mit mittlerer Vertraulichkeit
- Bei der Erkennung sensibler Daten wurde mindestens eine Instanz von gefunden Daten mit mittlerer Vertraulichkeit in der Ressource und keine Instanzen mit hoher Vertraulichkeit Daten.
- Daten mit geringer Vertraulichkeit
- Bei der Suche nach sensiblen Daten wurden keine sensiblen Daten, kein Freitext und keine unstrukturierten Daten in der Ressource gefunden.
Wenn bei der Suche nach sensiblen Daten nur Daten mit geringer Vertraulichkeit in einer übereinstimmenden Datenressource gefunden werden, wird die Ressource nicht als Ressource mit hohem Wert gekennzeichnet.
Wenn Sie Datenressourcen benötigen, die nur Daten mit geringer Vertraulichkeit enthalten,
als hochwertige Ressourcen
mit niedriger Priorität bezeichnet,
eine duplizierte Ressourcenwertkonfiguration erstellen, aber eine Priorität angeben
LOW
, anstatt die Priorisierung für sensible Daten zu aktivieren.
Die Konfiguration, die den Schutz sensibler Daten verwendet, überschreibt die Konfiguration, die den Prioritätswert LOW
zuweist, jedoch nur für Ressourcen, die Daten mit HIGH
- oder MEDIUM
-Vertraulichkeitsgrad enthalten.
Sie können die von Security Command Center verwendeten Standardprioritätswerte ändern wenn sensible Daten in der Konfiguration des Ressourcenwerts erkannt werden.
Weitere Informationen zu Sensitive Data Protection finden Sie unter Schutz sensibler Daten
Priorisierung von Datensensibilität und der Standardsatz hochwertiger Ressourcen
Bevor Sie Ihren eigenen Satz hochwertiger Ressourcen erstellen, verwendet einen Standardsatz hochwertiger Ressourcen, um Angriffsrisikobewertungen zu berechnen und Angriffspfade.
Wenn Sie die Erkennung sensibler Daten verwenden,
Security Command Center fügt Instanzen mit unterstützten Daten automatisch hinzu
Ressourcentypen, die Vertraulichkeitsdaten vom Typ HIGH
oder MEDIUM
enthalten,
Standardsatz hochwertiger Ressourcen.
Unterstützte Google Cloud-Ressourcentypen für automatische Prioritätswerte für die Vertraulichkeit von Daten
Angriffspfadsimulationen können automatisch Prioritätswerte festlegen basierend auf den Datensensitivitätsklassifizierungen Erkennung sensibler Daten nur für die folgenden Datenressourcentypen:
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Unterstützte AWS-Ressourcentypen für automatisierte Prioritätswerte für sensible Daten
Angriffspfadsimulationen können automatisch Prioritätswerte festlegen basierend auf den Datensensitivitätsklassifizierungen Erkennung sensibler Daten nur für die folgenden AWS-Datenressourcentypen:
- Amazon S3-Bucket
Sätze hochwertiger Ressourcen
Ein Ressourcensatz mit hohem Wert ist eine definierte Sammlung der Ressourcen in Ihrer Google Cloud-Umgebung, die am wichtigsten zu schützen sind.
Um den Ressourcensatz mit hohem Wert zu definieren, müssen Sie angeben, welche Ressourcen in Ihrer Google Cloud-Umgebung zu diesem Satz gehören. Solange Sie keinen Satz hochwertiger Ressourcen definiert haben, spiegeln die Angriffsrisikobewertungen, Angriffspfade und Ergebnisse zu schädlichen Kombinationen nicht genau Ihre Sicherheitsprioritäten wider.
Sie geben die Ressourcen in Ihrem Satz hochwertiger Ressourcen an, indem Sie Konfigurationen für den Wert von Ressourcen erstellen. Die Kombination all Ihrer Ressourcenwerte Konfigurationen Ihren Satz hochwertiger Ressourcen definieren. Weitere Informationen finden Sie unter Konfigurationen für Ressourcenwerte.
Bis Sie Ihre erste Konfiguration für den Ressourcenwert definiert haben, Security Command Center verwendet einen Standardsatz hochwertiger Ressourcen. Die Standardeinstellungen gelten für alle Ressourcentypen in Ihrer Organisation, die von Simulationen von Angriffspfaden unterstützt werden. Weitere Informationen finden Sie unter Standardsatz hochwertiger Ressourcen:
Informationen zum Satz hochwertiger Ressourcen, der in der letzten Simulation des Angriffspfads verwendet wurde, finden Sie unter Satz hochwertiger Ressourcen ansehen.
Konfigurationen von Ressourcenwerten
Sie verwalten die Ressourcen in Ihrem Satz hochwertiger Ressourcen mit Konfigurationen für den Wert von Ressourcen.
Sie erstellen Konfigurationen für Ressourcenwerte in der Simulation des Angriffspfads Tab der Security Command Center-Seite Einstellungen in der Google Cloud Console.
In einer Konfiguration für den Ressourcenwert geben Sie die Attribute an, die eine Ressource haben muss, damit sie von Security Command Center Ihrem Set mit wertvollen Ressourcen hinzugefügt wird.
Zu den Attributen, die Sie angeben können, gehören der Ressourcentyp, Ressourcen-Tags, Ressourcenlabels und das übergeordnete Projekt, der übergeordnete Ordner oder die übergeordnete Organisation.
Außerdem weisen Sie den Ressourcen in einer Konfiguration einen Ressourcenwert zu. Der Ressourcenwert priorisiert die Ressourcen in einer Konfiguration relativ mit den anderen Ressourcen in der Gruppe hochwertiger Ressourcen. Weitere Informationen Weitere Informationen finden Sie unter Ressourcenwerte.
Sie können bis zu 100 Konfigurationen für Ressourcenwerte in einer Google Cloud-Organisation.
Alle von Ihnen erstellten Konfigurationen für den Wert von Ressourcen definieren zusammen den Satz hochwertiger Ressourcen, der in Security Command Center für die Angriffspfadsimulationen verwendet wird.
Ressourcenattribute
Damit eine Ressource in Ihren Satz hochwertiger Ressourcen aufgenommen werden kann, müssen ihre Attribute mit den Attributen übereinstimmen, die Sie in einer Konfiguration für den Wert von Ressourcen angeben.
Sie können unter anderem folgende Attribute angeben:
- Einen Ressourcentyp oder
Any
WennAny
angegeben ist, gilt die Konfiguration für alle unterstützten Ressourcentypen im angegebenen Umfang.Any
ist der Standardwert. - Ein Bereich (die übergeordnete Organisation, der übergeordnete Ordner oder das übergeordnete Projekt), in dem sich die Ressourcen befinden müssen. Der Standardumfang ist Ihre Organisation. Wenn Sie eine Organisation oder einen Ordner angeben, gilt die Konfiguration auch für die Ressourcen in den untergeordneten Ordnern oder Projekten.
- Optional ein oder mehrere Tags oder Labels die jede Ressource enthalten muss.
Wenn Sie eine oder mehrere Konfigurationen für Ressourcenwerte, aber keine
Ressourcen in Ihrer Google Cloud-Umgebung übereinstimmen
die in einer der Konfigurationen angegebenen Attribute,
Security Command Center gibt ein SCC Error
-Ergebnis aus und greift auf
Standardsatz hochwertiger Ressourcen.
Standardsatz hochwertiger Ressourcen
Security Command Center verwendet für die Berechnung Angriffsrisikobewertungen, wenn keine Konfigurationen für Ressourcenwerte definiert sind oder wenn keine definierten Konfigurationen mit Ressourcen übereinstimmen.
In Security Command Center wird Ressourcen in der Standardressource mit hohem Wert der Prioritätswert LOW
zugewiesen, es sei denn, Sie verwenden die Erkennung für den Schutz sensibler Daten. In diesem Fall wird Ressourcen mit Daten mit hoher oder mittlerer Vertraulichkeit der entsprechende Prioritätswert HIGH
oder MEDIUM
zugewiesen.
Wenn Sie mindestens eine Ressourcenwertkonfiguration haben, die mit mindestens eine Ressource in Ihrer Umgebung, Security Command Center wird der Standardsatz hochwertiger Ressourcen nicht mehr verwendet.
Um Angriffsrisiko und Werte für toxische Kombinationen zu erhalten, die genau Ihre Sicherheitsprioritäten widerspiegeln und somit die standardmäßige hochwertige Ressource ersetzen mit Ihrem eigenen Satz hochwertiger Ressourcen. Weitere Informationen finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.
In der folgenden Liste sind die Ressourcentypen aufgeführt, die in der Standardsatz hochwertiger Ressourcen:
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Limit für Ressourcen in einem Satz hochwertiger Ressourcen
Im Security Command Center ist die Anzahl der Ressourcen in einem Set mit wertvollen Ressourcen auf 1.000 begrenzt.
Wenn die Attributspezifikationen in einer oder mehreren Konfigurationen für den Wert von Ressourcen sehr weit gefasst sind, kann die Anzahl der Ressourcen, die mit den Attributspezifikationen übereinstimmen, 1.000 überschreiten.
Wenn die Anzahl der übereinstimmenden Ressourcen das Limit überschreitet, schließt Security Command Center Ressourcen aus dem Set aus, bis die Anzahl der Ressourcen unter dem Limit liegt. Security Command Center-Ausschluss mit dem niedrigsten zugewiesenen Wert zuerst. Unter den Ressourcen mit demselben zugewiesenen Wert hat, schließt Security Command Center die Ressource aus Instanzen durch einen Algorithmus, der die ausgeschlossenen Ressourcen Ressourcentypen.
Eine Ressource, die aus dem Satz hochwertiger Ressourcen ausgeschlossen ist, bei der Berechnung der Angriffsrisikobewertungen berücksichtigt werden.
Um Sie zu benachrichtigen, wenn das Instanzlimit für die Berechnung des Werts überschritten wird,
Security Command Center gibt ein SCC error
-Ergebnis aus und zeigt eine Nachricht an
auf dem Tab mit den Einstellungen für die Simulation des Angriffspfads in der Google Cloud Console.
In Security Command Center wird kein SCC error
-Ergebnis ausgegeben, wenn der festgelegte Standardwert für den Höchstwert das Instanzlimit überschreitet.
Passen Sie Ihre Konfigurationen für den Ressourcenwert so an, dass das Limit nicht überschritten wird. damit Sie die Instanzen in Ihrem Satz hochwertiger Ressourcen optimieren können.
So können Sie Ihren Satz hochwertiger Ressourcen optimieren: die folgenden Optionen:
- Tags verwenden oder Labels um die Anzahl der Übereinstimmungen für einen bestimmten Ressourcentyp zu reduzieren oder innerhalb eines bestimmten Umfangs liegen.
- Erstellen Sie eine Konfiguration für den Ressourcenwert, die diesem den Wert
NONE
zuweist. Eine Teilmenge der in einer anderen Konfiguration angegebenen Ressourcen. Wenn Sie den WertNONE
angeben, werden alle anderen Konfigurationen und die Ressourceninstanzen aus Ihrem Satz hochwertiger Ressourcen ausschließt. - Reduzieren Sie die Gültigkeitsspezifikation in der Konfiguration des Ressourcenwerts.
- Löschen Sie Konfigurationen für den Ressourcenwert, die den Wert
LOW
zuweisen.
Hochwertige Ressourcen auswählen
Um Ihren Satz hochwertiger Ressourcen zu füllen, müssen Sie entscheiden, welche Ressource in Ihrer Umgebung einen wirklich hohen Wert haben.
Im Allgemeinen sind dies die Ressourcen, in denen Ihre sensiblen Daten verarbeitet und gespeichert werden. In Google Cloud sind diese Compute Engine-Instanzen, ein BigQuery- Dataset oder Cloud Storage-Bucket.
Ressourcen, die sich in der Nähe Ihrer wertvollen Ressourcen befinden, z. B. ein Jumpserver, müssen nicht als wertvoll gekennzeichnet werden. Die Angriffspfadsimulationen berücksichtigen diese benachbarten Ressourcen bereits, Und wenn Sie sie als hochwertig kennzeichnen, sind Angriffsrisikobewertungen weniger zuverlässig.
Multi-Cloud-Unterstützung
Mit Angriffspfadsimulationen können Sie Risiken in Ihren Bereitstellungen auf anderen Plattformen von Cloud-Dienstanbietern.
Nachdem Sie eine Verbindung zu einer anderen Plattform hergestellt haben, können Sie Ihre wertvollen Ressourcen beim anderen Cloud-Dienstanbieter angeben, indem Sie Konfigurationen für Ressourcenwerte erstellen, wie Sie es für Ressourcen in Google Cloud tun würden.
Security Command Center führt unabhängig Simulationen für eine Cloud-Plattform aus von Simulationen, die für andere Cloud-Plattformen ausgeführt werden.
Bevor Sie Ihre erste Ressourcenwertkonfiguration für eine andere erstellen Cloud-Dienstanbieter ist Security Command Center Ressourcensatz, der für den Cloud-Dienstanbieter spezifisch ist. Im standardmäßigen Satz hochwertiger Ressourcen werden alle unterstützten Ressourcen als solche gekennzeichnet.
Unterstützte Plattformen von Cloud-Dienstanbietern
Neben Google Cloud kann Security Command Center Simulationen von Angriffspfaden für Amazon Web Services (AWS). Weitere Informationen finden Sie unter:
- Verbindung zu AWS für die Erkennung von Sicherheitslücken und die Risikobewertung herstellen
- Risk Engine-Unterstützung für AWS
Angriffspfade
Ein Angriffspfad ist eine interaktive, visuelle Darstellung eines oder mehrerer potenzieller Pfade, die ein hypothetischer Angreifer vom öffentlichen Internet zu einer Ihrer wertvollen Ressourceninstanzen nehmen könnte.
Angriffspfadsimulationen identifizieren potenzielle Angriffspfade durch Modellierung was passieren würde, wenn ein Angreifer bekannte Angriffsmethoden Sicherheitslücken und Fehlkonfigurationen in Security Command Center in Ihrer Umgebung erkannt werden, um Ihre hochwertigen Ressourcen zu erreichen.
Sie können Angriffspfade ansehen, indem Sie auf die Angriffsbewertung für ein Ergebnis oder eine Ressource in der Google Cloud Console erstellen.
Wenn Sie sich in der Security Operations Console einen Fall zu schädlichen Kombinationen ansehen, können Sie auf dem Tab „Fallübersicht“ einen vereinfachten Angriffspfad für die schädliche Kombination aufrufen. Der vereinfachte Angriffspfad enthält einen Link zum vollständigen Angriffspfad. Weitere Informationen zu Angriffspfaden für Ergebnisse zu schädlichen Kombinationen finden Sie unter Angriffspfade zu schädlichen Kombinationen.
Wenn Sie sich größere Angriffspfade ansehen, können Sie Ihre Ansicht des Angriffspfads ändern, indem Sie Ziehen Sie den Auswahlbereich für den Fokusbereich aus dem roten Quadrat um die Miniatur Ansicht des Angriffspfads auf der rechten Seite des Bildschirms.
Wenn der Angriffspfad in der Google Cloud Console angezeigt wird, können Sie auf KI-ZusammenfassungVorschau klicken, um eine Erklärung des Angriffspfads aufzurufen. Die Erläuterung wird generiert mithilfe von künstlicher Intelligenz (KI) dynamisch erstellen. Weitere Informationen finden Sie unter KI-generierte Zusammenfassungen.
In einem Angriffspfad werden Ressourcen als Kästchen oder Knoten dargestellt. Die Linien stehen für die potenzielle Erreichbarkeit zwischen den Ressourcen. Zusammen stellen die Knoten und Linien den Angriffspfad dar.
Knoten des Angriffspfads
Die Knoten in einem Angriffspfad stellen die Ressourcen auf einem Angriffspfad dar.
Knoteninformationen anzeigen
Wenn Sie auf einen Knoten in einem Angriffspfad klicken, werden weitere Informationen zu diesem Knoten angezeigt.
Wenn Sie auf den Ressourcennamen in einem Knoten klicken, werden weitere Informationen zu die Ressource sowie alle Ergebnisse, die sich auf die Ressource auswirken.
Durch Klicken auf Knoten maximieren werden mögliche Angriffsmethoden angezeigt, die wenn ein Angreifer Zugriff auf die Ressource erlangt hat.
Knotentypen
Es gibt drei verschiedene Arten von Knoten:
- Der Start- oder Einstiegspunkt des simulierten Angriffs. das öffentliche Internet. Wenn Sie auf einen Einstiegspunktknoten klicken, wird eine Beschreibung des Einstiegspunkts zusammen mit Angriffsmethoden angezeigt, mit denen ein Angreifer auf Ihre Umgebung zugreifen könnte.
- Die betroffenen Ressourcen, die ein Angreifer verwenden kann, um sich auf einem Pfad fortzubewegen.
- Die offengelegte Ressource am Ende eines Pfads, die zu den Ressourcen in Ihrem Satz hochwertiger Ressourcen gehört. Nur eine Ressource in einem definierten oder Standard-Satz hochwertiger Ressourcen kann eine freigegebene Ressource sein. Sie definieren einen Satz hochwertiger Ressourcen, indem Sie Konfigurationen für den Wert von Ressourcen erstellen.
Upstream- und Downstream-Knoten
In einem Angriffspfad kann ein Knoten vor oder nach den anderen Knoten liegen. Ein Upstream-Knoten befindet sich näher am Einstiegspunkt und oben des Angriffspfads. Ein nachgelagerter Knoten befindet sich näher am exponierten hochwertigen Knoten Ressource am Ende des Angriffspfads.
Knoten, die mehrere Containerressourceninstanzen darstellen
Ein Knoten kann mehrere Instanzen bestimmter Containerressourcentypen darstellen, wenn die Instanzen dieselben Eigenschaften haben.
Mehrere Instanzen der folgenden Containerressourcentypen können durch einen einzelnen Knoten dargestellt:
- ReplicaSet Controller
- Deployment Controller
- Jobcontroller
- CronJob-Controller
- DaemonSet-Controller
Linien für Angriffspfade
In einem Angriffspfad stellen Linien zwischen den Rechtecken potenzielle Zugänglichkeit zwischen Ressourcen, die ein Angreifer nutzen könnte, um eine hochwertige Ressource sind.
Die Linien stellen keine Beziehung zwischen Ressourcen dar, die in Google Cloud definiert ist.
Wenn mehrere Pfade von mehreren Upstream-Knoten auf einen Downstream-Knoten verweisen, können die Upstream-Knoten entweder eine AND
- oder eine OR
-Beziehung zueinander haben.
Eine AND
-Beziehung bedeutet, dass ein Angreifer Zugriff auf beide Upstream-Knoten benötigt, um auf einen Downstream-Knoten auf dem Pfad zuzugreifen.
Zum Beispiel eine direkte Verbindung vom öffentlichen Internet zu einem umsatzstarken
Ressource am Ende eines Angriffspfads hat eine AND
-Beziehung zu
mindestens eine weitere Zeile
im Angriffspfad enthält. Ein Angreifer konnte nicht erreichen
wertvolle Ressource, es sei denn, sie erhalten Zugriff auf Ihre
Google Cloud-Umgebung und mindestens eine weitere Ressource
die im Angriffspfad angezeigt werden.
Eine OR
-Beziehung bedeutet, dass ein Angreifer nur auf einen der Upstream-Knoten zugreifen muss, um auf den Downstream-Knoten zuzugreifen.
Angriffspfadsimulationen
Um alle möglichen Angriffspfade zu ermitteln und Angriffsrisikobewertungen zu berechnen, führt Security Command Center erweiterte Simulationen von Angriffspfaden durch.
Simulationszeitplan
Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Je größer Ihre Organisation wird, desto länger dauern die Simulationen. Sie werden jedoch immer mindestens einmal täglich ausgeführt. Simulationsausführungen werden nicht durch Erstellen, Ändern oder Ressourcen oder Ressourcenwertkonfigurationen zu löschen.
Schritte der Angriffspfadsimulation
Die Simulationen bestehen aus drei Schritten:
- Modellgenerierung: Ein Modell Ihrer Google Cloud-Umgebung basierend auf den Umgebungsdaten automatisch generiert wird. Das Modell ist ein Graph Darstellung Ihrer Umgebung, die auf Analysen von Angriffspfaden zugeschnitten ist.
- Angriffspfadsimulation: Angriffspfadsimulationen werden auf der Graph-Modells zeichnen. Bei den Simulationen versucht ein virtueller Angreifer, die Ressourcen in Ihrem Satz hochwertiger Ressourcen kompromittieren. Die nutzen Simulationen die Erkenntnisse bestimmte Ressourcen und Beziehungen, einschließlich Netzwerken, IAM, Fehlkonfigurationen und Sicherheitslücken.
- Statistikberichte: Auf Grundlage der Simulationen weist Security Command Center Ihren wertvollen Ressourcen und den Ergebnissen, die sie offenlegen, Angriffsrisikobewertungen zu und visualisiert die potenziellen Pfade, die ein Angreifer zu diesen Ressourcen nehmen könnte.
Merkmale der Simulationsausführung
Zusätzlich zu den Risikobewertungen für Angriffsrisiken, den Statistiken zu Angriffspfaden und den Angriffspfaden haben Simulationen des Angriffspfads die folgenden Eigenschaften:
- Sie haben keine Auswirkungen auf Ihre Live-Umgebung: Alle Simulationen werden in einem virtuellen Modell durchgeführt und es wird nur Lesezugriff für die Modellerstellung verwendet.
- Sie sind dynamisch: Das Modell wird ohne Agents über API-Lesevorgänge erstellt. -Zugriff, sodass die Simulationen im Laufe der Zeit an Ihrer Umgebung.
- Dabei wird ein virtueller Angreifer so viele Methoden und Sicherheitslücken wie möglich ausprobieren, um auf Ihre wertvollen Ressourcen zuzugreifen und diese zu manipulieren. Dazu gehören nicht nur „die bekannten“, wie Sicherheitslücken, Konfigurationen, Fehlkonfigurationen Gemeinsamkeiten, sondern auch von „bekannten Unbekannten“ mit geringerer Wahrscheinlichkeit – Risiken, zum Beispiel Phishing oder gehackte Anmeldedaten.
- Sie sind automatisiert: Die Angriffslogik ist in das Tool integriert. Du nicht umfangreiche Abfragen oder große Datasets erstellen oder verwalten müssen.
Angriffsszenario und -funktionen
In den Simulationen zeigt Security Command Center eine logische Darstellung eines Angriffsversuchs, bei dem ein Angreifer versucht, Ihre wertvollen Ressourcen auszunutzen, indem er Zugriff auf Ihre Google Cloud-Umgebung erlangt und potenzielle Zugriffspfade durch Ihre Ressourcen und erkannte Sicherheitslücken verfolgt.
Der virtuelle Angreifer
Der virtuelle Angreifer, den die Simulationen nutzen, hat Folgendes: Eigenschaften:
- Der Angreifer ist extern: Der Angreifer ist kein rechtmäßiger Nutzer Ihres Google Cloud-Umgebung In den Simulationen werden keine Modelle von böswilligen oder fahrlässigen Nutzern, die legitimen Zugriff auf für Ihre Umgebung.
- Der Angreifer beginnt im öffentlichen Internet. Um einen Angriff zu starten, muss der Angreifer zuerst über das öffentliche Internet Zugriff auf Ihre Umgebung erhalten.
- Der Angreifer ist hartnäckig. Der Angreifer wird nicht entmutigt oder verliert das Interesse, weil eine bestimmte Angriffsmethode schwierig ist.
- Der Angreifer ist kompetent und sachkundig. Der Angreifer versucht, Methoden und Techniken für den Zugriff auf Ihre hochwertigen Ressourcen nutzen können.
Anfänglicher Zugriff
Bei jeder Simulation versucht ein virtueller Angreifer, über die folgenden Methoden Zugriff auf die Ressourcen in Ihrer Umgebung zu erhalten:
- Finden Sie alle Dienste und Ressourcen, die
über das öffentliche Internet zugänglich sind:
- Dienste auf Compute Engine-VM-Instanzen und Google Kubernetes Engine-Knoten
- Datenbanken
- Container
- Cloud Storage-Buckets
- Cloud Run-Funktionen
- Zugriff auf Schlüssel und Anmeldedaten erhalten, einschließlich:
- Dienstkontoschlüssel
- Vom Nutzer bereitgestellte Verschlüsselungsschlüssel
- SSH-Schlüssel der VM-Instanz
- Projektweite SSH-Schlüssel
- Externe Schlüsselverwaltungssysteme
- Nutzerkonten, bei denen die Multi-Faktor-Authentifizierung (MFA) nicht erzwungen wird
- Abgefangene virtuelle MFA-Tokens
- Zugriff auf öffentlich zugängliche Cloud-Assets durch Verwendung gestohlener Anmeldedaten oder Ausnutzung von Sicherheitslücken, die von Mandiant Attack Surface Management und VM Manager gemeldet wurden
Wenn die Simulation einen möglichen Einstiegspunkt in die Umgebung findet, versucht der virtuelle Angreifer, von diesem Einstiegspunkt aus Ihre wertvollen Ressourcen zu erreichen und zu manipulieren, indem er nacheinander Sicherheitskonfigurationen und Sicherheitslücken in der Umgebung untersucht und ausnutzt.
Taktiken und Techniken
Die Simulation nutzt eine Vielzahl von Taktiken und Techniken, Nutzung legitimer Zugriffsrechte, seitlicher Bewegung, Rechteausweitung Sicherheitslücken, Fehlkonfigurationen und Codeausführungen zu erkennen.
Einbindung von CVE-Daten
Bei der Berechnung von Angriffsrisikobewertungen für Sicherheitslücken werden bei den Angriffspfadsimulationen Daten aus dem CVE-Eintrag der Sicherheitslücke, die CVSS-Werte sowie Bewertungen der Ausnutzbarkeit der Sicherheitslücke berücksichtigt, die von Mandiant bereitgestellt werden.
Die folgenden CVE-Informationen werden berücksichtigt:
- Angriffsvektor: Der Angreifer muss über die entsprechende Zugriffsebene verfügen. der im CVSS-Angriffsvektor angegeben ist, um das CVE zu verwenden. Beispielsweise kann ein CVE mit einem Netzwerkangriffsvektor, der auf einem Asset mit einer öffentlichen IP-Adresse und offenen Ports gefunden wird, von einem Angreifer mit Netzwerkzugriff ausgenutzt werden. Wenn ein Angreifer nur Netzwerkzugriff hat und die CVE physischen Zugriff erfordert, dann das CVE ausnutzen kann.
- Angriffskomplexität: Im Allgemeinen ist die Wahrscheinlichkeit höher, dass eine Sicherheitslücke oder Fehlkonfiguration mit geringer Angriffskomplexität eine hohe Angriffsbewertung erhält, als bei einer Sicherheitslücke oder Fehlkonfiguration mit hoher Angriffskomplexität.
- Ausnutzungsaktivitäten: Generell ist die Wahrscheinlichkeit höher, dass eine Sicherheitslücke mit weit verbreiteten Ausnutzungsaktivitäten, die von den Cyber Threat Intelligence-Analysten von Mandiant ermittelt wurden, einen hohen Angriffsexpositionswert erhält als eine Lücke ohne bekannte Ausnutzungsaktivitäten.