Scores d'exposition au piratage et chemins d'attaque

Cette page décrit les concepts, principes et restrictions clés pour vous aider à mieux comprendre, affiner et utiliser l'exposition aux attaques et les chemins d'attaque générés par le moteur de Security Command Center.

Les scores et les chemins d'attaque sont générés pour les deux éléments suivants:

• Les résultats de failles et d'erreurs de configuration (résultats de failles, collectivement) qui exposent les instances ressources dans votre environnement ensemble de ressources.
• Les ressources de votre ensemble de ressources à forte valeur ajoutée.

Les chemins d'attaque représentent des possibilités

Vous ne verrez pas de preuves d'une attaque réelle dans un chemin d'attaque.

Le moteur de gestion des risques génère des chemins d'attaque et des scores d'exposition aux attaques en simulant ce que des attaquants hypothétiques feraient s’ils obtenaient un accès à votre environnement Google Cloud et découvert les vecteurs d'attaque et les failles déjà détectées par Security Command Center.

Chaque chemin d'attaque vous montre une ou plusieurs méthodes d'attaque qu'un attaquant pourrait utiliser s'ils ont obtenu l'accès à une ressource particulière. À ne pas faire confondre ces méthodes d'attaque avec des attaques réelles.

De même, un score élevé d'exposition aux attaques sur Security Command Center trouver ou une ressource ne signifie pas qu’une attaque est en cours.

Pour surveiller les attaques réelles, surveillez les résultats de la classe THREAT. produits par les services de détection des menaces, comme Event Threat Detection et Container Threat Detection.

Pour en savoir plus, consultez les sections suivantes de cette page:

• Scores d'exposition au piratage
• Chemins d'attaque
• Simulations de chemin d'attaque

Scores d'exposition au piratage

Le score d'exposition aux attaques d'un résultat ou d'une ressource Security Command Center est du degré d’exposition des ressources à une attaque potentielle à accéder à votre environnement Google Cloud.

Un score d'exposition au piratage pour une combinaison toxique est appelé score de combinaison toxique dans certains contextes, comme la page Résultats de la console Google Cloud.

Dans les descriptions du mode de calcul des scores, des conseils généraux sur prioriser la recherche de mesures correctives et, dans certains autres contextes, le terme Le score d'exposition aux attaques s'applique également aux scores de combinaison toxique.

Sur un résultat, le score mesure le degré de détection d'un problème de sécurité expose une ou plusieurs ressources de forte valeur ; aux cyberattaques potentielles. Sur une ressource de forte valeur, le score est une mesure le degré d’exposition de la ressource aux cyberattaques potentielles.

Utilisez les scores sur les failles logicielles, les erreurs de configuration des combinaisons de résultats pour hiérarchiser la résolution de ces résultats.

Utilisez les scores d'exposition aux attaques sur les ressources pour sécuriser proactivement les plus intéressantes pour votre entreprise.

Dans les simulations de chemin d'attaque, le moteur de risque démarre toujours les attaques simulées à partir de l'Internet public. Par conséquent, Les niveaux d'exposition au piratage ne tiennent pas compte de l'exposition potentielle aux par des acteurs internes malveillants ou négligents.

Résultats recevant des scores d'exposition au piratage

Les scores d'exposition au piratage sont appliqués aux classes de résultats actifs listés dans Catégories de résultats compatibles

Les simulations de chemin d'attaque incluent des résultats ignorés, ce qui signifie que le moteur de risque calcule également les scores et les chemins d'attaque pour les résultats ignorés.

Les simulations de chemin d'attaque n'incluent que les résultats actifs. Les résultats qui ont dont l'état est INACTIVE, ne sont pas incluses dans les simulations. Par conséquent, reçoivent des scores et ne sont pas incluses dans les chemins d'attaque.

Ressources recevant des scores d'exposition aux attaques

Les simulations de chemin d'attaque calculent les scores d'exposition aux attaques pour compatibles avec votre ensemble de ressources à forte valeur. Vous spécifiez les ressources à un ensemble de ressources à forte valeur configurations de valeurs de ressources.

Si une ressource d'un ensemble de ressources à forte valeur présente un score d'exposition aux attaques 0, les simulations de chemin d'attaque n'ont identifié aucun chemin vers la ressource qu'un attaquant potentiel pourrait exploiter.

Les simulations de chemin d'attaque sont compatibles avec les types de ressources suivants:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Calcul de la note

Chaque fois que les simulations de chemin d'attaque s'exécutent, elles recalculent le niveau d'attaque les scores d'exposition. Chaque simulation de chemin d'attaque exécute en fait plusieurs simulations dans lequel un attaquant simulé essaie des méthodes et techniques d’attaque connues pour atteindre et compromettre les ressources de valeur.

Les simulations de chemin d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). En tant que l'entreprise se développe, les simulations prennent plus de temps, mais elles sont exécutées une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification des ressources ou des configurations de valeurs de ressources.

Les simulations calculent les scores à l'aide de diverses métriques, y compris les éléments suivants:

• La valeur de priorité attribuée aux ressources à forte valeur ajoutée sont exposées. Les valeurs de priorité que vous pouvez attribuer ont les valeurs suivantes: <ph type="x-smartling-placeholder">
  </ph>
  • HIGH = 10
  • MED = 5
  • LOW = 1
• Le nombre de chemins qu’un pirate informatique pourrait emprunter pour atteindre un ressource.
• Nombre de fois où un pirate simulé est en mesure d’atteindre et compromettre une ressource de forte valeur à la fin d'un chemin d'attaque donné, exprimé en pourcentage du nombre total de simulations.
• Pour les résultats uniquement, nombre de ressources de forte valeur exposées par détecté une faille ou une mauvaise configuration.

Pour les ressources, les scores d'exposition aux attaques peuvent être compris entre 0 et 10.

De manière générale, les simulations calculent les scores des ressources en multipliant le pourcentage d'attaques réussies par de priorité numérique des ressources.

Pour les résultats, les scores n'ont pas de limite supérieure fixe. Plus un constat se produit souvent sur des chemins d'attaque vers des ressources exposées dans l'ensemble de ressources à forte valeur, et plus le niveau de priorité de ces ressources, plus le score est élevé.

De manière générale, les simulations calculent les scores des résultats en utilisant le le même calcul que pour les scores de ressources, mais pour trouver des scores, les simulations multiplient ensuite le résultat du calcul par le nombre de ressources de forte valeur exposées par le résultat.

Modification des scores

Les scores peuvent changer chaque fois qu'une simulation de chemin d'attaque s'exécute. Un résultat ou une ressource dont le score est égal à zéro aujourd'hui peut avoir une valeur différente de zéro votre score demain.

Les scores peuvent varier pour diverses raisons, y compris les suivantes:

• La détection ou la correction d’une vulnérabilité qui, directement ou indirectement, expose une ressource de forte valeur.
• Ajout ou suppression de ressources dans votre environnement

Les modifications apportées aux résultats ou aux ressources après l'exécution d'une simulation ne sont pas dans les scores jusqu'à l'exécution de la prochaine simulation.

Utiliser des scores pour hiérarchiser les mesures correctives

Pour hiérarchiser efficacement la résolution des problèmes en fonction de leurs d'exposition au piratage ou de combinaisons toxiques, tenez compte des points suivants:

• Tout résultat dont le score est supérieur à zéro expose une ressource de grande valeur à une attaque potentielle d'une manière ou d'une autre. de correction doit être prioritaire sur les résultats qui ont un score de zéro.
• Plus le score d'un résultat est élevé, plus celui-ci expose votre ressources de grande valeur, et plus vous devez prioriser sa correction.

En règle générale, accordez la plus grande priorité à la correction des résultats ayant les scores les plus élevés et qui bloquent le plus efficacement l'attaque les chemins d'accès à vos ressources de forte valeur.

Si les scores d'un résultat de combinaison toxique et d'un résultat dans une autre classe de résultat sont à peu près égales, priorisez la correction du de combinaison toxique, car elle représente le chemin complet l'Internet public à une ou plusieurs ressources de forte valeur le pirate informatique peut potentiellement suivre s'il parvient à accéder à votre cloud environnement.

Dans les résultats de Security Command Center de la console Google Cloud ou la console Opérations de sécurité, vous pouvez trier les résultats dans le panneau des pages par score en cliquant sur l'en-tête de la colonne.

Dans la console Google Cloud, vous pouvez également afficher les résultats les notes les plus élevées en ajoutant un filtre à la requête de résultats qui renvoie uniquement les résultats présentant une exposition au piratage supérieur au nombre spécifié.

Sur la page Demandes de la console Opérations de sécurité, vous pouvez également trier les cas de combinaison toxique selon le score d'exposition au piratage.

Résultats qui ne peuvent pas être corrigés.

Dans certains cas, il est possible que vous ne puissiez pas corriger un résultat d'exposition au piratage, soit parce qu'il représente une valeur le risque accepté, ou parce que le résultat ne peut pas être corrigé facilement. Dans ces cas, vous devrez peut-être atténuer le risque d'autres manières. Examen le chemin d'attaque associé peut vous donner des idées pour d'autres des mesures correctives d'atténuation.

Sécuriser les ressources à l'aide des scores d'exposition aux attaques

Un score d'exposition aux attaques différent de zéro sur une ressource signifie que des simulations de chemin d'attaque ont identifié un ou plusieurs chemins d'attaque l'Internet public à la ressource.

Pour afficher les scores d'exposition aux attaques de vos ressources de forte valeur, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page Éléments de Security Command Center.

   <ph type="x-smartling-placeholder"></ph> Accéder à "Composants"

2. Sélectionnez l'onglet Ensemble de ressources de forte valeur. Les ressources de votre sont affichés dans l'ordre décroissant du score d'exposition au piratage.

3. Affichez les chemins d'attaque d'une ressource en cliquant sur le nombre figurant sur la ligne correspondante de la colonne Attack expose Score (Score d'exposition au piratage). Chemins d'attaque depuis l'Internet public vers la ressource sont affichées.

4. Examinez les chemins d'attaque en recherchant des cercles rouges sur les nœuds concernés indiquer les résultats.

5. Cliquez sur un nœud avec un cercle rouge pour afficher les résultats.

6. Prendre des mesures pour corriger les résultats.

Vous pouvez aussi afficher les scores d'exposition au piratage de vos ressources les plus importantes dans l'onglet Attack path simulations (Simulations de chemin d'attaque) Paramètres en cliquant sur Afficher les ressources de valeur utilisées dans la dernière simulation.

L'onglet Ensemble de ressources à forte valeur est également disponible dans le Ressources de la console Opérations de sécurité. Cette fonctionnalité est en version preview et est disponible pour Réservé aux clients Security Command Center Enterprise.

Niveau d'exposition au piratage : 0

Un score d'exposition au piratage de 0 sur une ressource signifie que, dans les derniers de simulation de chemin d'attaque, Security Command Center n'a identifié chemins potentiels qu’un attaquant pourrait emprunter pour atteindre la ressource.

Un score d'exposition au piratage de 0 sur un résultat signifie que, dans les derniers d’attaque, l’attaquant simulé n’a pu atteindre aucun des ressources par le biais du résultat.

Toutefois, un score d'exposition au piratage de 0 ne signifie pas le risque. Le score d'exposition au piratage reflète l'exposition des services, ressources et services Google Cloud compatibles les résultats de Security Command Center aux menaces potentielles émanant de l'Internet public. Par exemple, les scores ne tiennent pas compte les menaces internes, les vulnérabilités zero-day ou les attaques de l'infrastructure.

Aucun score d'exposition au piratage

Si un résultat ou une ressource n'a pas de score, cela peut être pour raisons:

• Le résultat a été publié après la dernière simulation du chemin d’attaque.
• La ressource a été ajoutée à votre ensemble de ressources à forte valeur après la dernière simulation du chemin d'attaque.
• La fonctionnalité d'exposition au piratage ne permet actuellement pas de trouver une catégorie ou un type de ressource.

Pour obtenir la liste des catégories de résultats acceptées, consultez Compatibilité avec la fonctionnalité d'exposition au piratage.

Pour obtenir la liste des types de ressources pris en charge, consultez Ressources recevant des scores d'exposition aux attaques.

Valeurs de ressource

Bien que toutes vos ressources sur Google Cloud aient de la valeur, Security Command Center identifie les chemins d'attaque et calcule les des niveaux d'exposition uniquement pour les ressources que vous désignez comme Les ressources de grande valeur (parfois appelées ressources de valeur).

Ressources de forte valeur

Une ressource de grande valeur sur Google Cloud est une ressource il est particulièrement important pour votre entreprise de se prémunir contre contre les attaques. Par exemple, votre à fort potentiel les ressources peuvent être celles qui stockent vos données sensibles ou sensibles ou qui hébergent vos charges de travail critiques.

Pour désigner une ressource comme ressource de forte valeur, définissez les attributs de la ressource dans un configuration des valeurs de ressource. Dans la limite de 1 000 instances de ressources, Security Command Center traite instance de ressource correspondant aux attributs que vous avez spécifiés dans en tant que ressource de forte valeur.

Valeurs de priorité

Parmi les ressources que vous désignez comme étant de forte valeur, vous aurez probablement besoin de donner la priorité à la sécurité de certains plus que d’autres. Par exemple, un de ressources de données peut contenir des données de grande valeur, mais certaines d'entre elles ressources de données peuvent contenir des données plus sensibles que les autres.

Pour que vos scores reflètent votre besoin de prioriser la sécurité des ressources de votre ensemble de ressources à forte valeur Vous attribuez une valeur de priorité dans les configurations de valeur de ressource. qui désigne les ressources comme étant à forte valeur.

Si vous utilisez la protection des données sensibles, vous pouvez et prioriser automatiquement les ressources en fonction de la sensibilité des données que contiennent les ressources.

Définir manuellement les valeurs de priorité des ressources

Dans la configuration d'une valeur de ressource, vous attribuez une priorité les ressources de forte valeur correspondantes en spécifiant l'une des valeurs valeurs de priorité:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Si vous spécifiez une valeur de priorité de LOW dans une configuration de valeur de ressource, les ressources correspondantes restent de forte valeur ; le chemin d'attaque dans le cadre d'une simulation, attribuez-leur une priorité inférieure d'exposition au piratage que les ressources de forte valeur valeur de priorité de MEDIUM ou HIGH.

Si plusieurs configurations attribuent différentes valeurs à la même ressource, la valeur la plus élevée s'applique, sauf si une configuration attribue la valeur NONE.

Une valeur de ressource de NONE empêche les ressources correspondantes d'être est considérée comme une ressource à forte valeur et remplace toute autre valeur de ressource pour la même ressource. Par conséquent, assurez-vous que toute configuration spécifiant NONE ne s'applique qu'à un ensemble limité ressources.

Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données

Si vous utilisez Sensitive Data Protection découverte et publier les profils de données Security Command Center, vous pouvez configurer Security Command Center pour définir automatiquement la priorité de certaines ressources de forte valeur en fonction de la sensibilité des données que les ressources contiennent.

Vous activez la hiérarchisation en fonction de la sensibilité des données lorsque vous spécifiez les ressources dans un configuration des valeurs des ressources.

Lorsque cette option est activée, si la détection Sensitive Data Protection classe d'une ressource avec une sensibilité MEDIUM ou HIGH, le paramètre par défaut, les simulations de chemin d'attaque définissent la valeur de priorité à la même valeur.

Les niveaux de sensibilité des données sont définis par Sensitive Data Protection, mais vous pouvez les interpréter comme suit:

Données à haute sensibilité

La détection de la protection des données sensibles a détecté au moins un instance de données à sensibilité élevée dans la ressource.

Données à sensibilité moyenne

La détection de la protection des données sensibles a détecté au moins une instance de données de sensibilité moyenne dans la ressource (aucune instance de sensibilité élevée) données.

Données à faible sensibilité

La détection des données sensibles par la protection des données n'a pas détecté de données sensibles du texte libre ou des données non structurées de la ressource.

Si la détection Sensitive Data Protection identifie uniquement des données de faible sensibilité dans une ressource de données correspondante, la ressource n'est pas désignée comme ressource à forte valeur.

Si vous avez besoin de ressources de données ne contenant que des données de faible sensibilité désignées comme des ressources à forte valeur avec une faible priorité, créer une configuration de valeur de ressource en double, mais spécifier une priorité la valeur LOW au lieu d'activer une hiérarchisation en fonction de la sensibilité des données. La configuration qui utilise la protection des données sensibles remplace la configuration qui attribue la valeur de priorité LOW, mais uniquement pour les ressources contenant HIGH ou MEDIUM les données sensibles.

Vous pouvez modifier les valeurs de priorité par défaut utilisées par Security Command Center lorsque des données sensibles sont détectées dans la configuration des valeurs de ressource.

Pour en savoir plus sur la protection des données sensibles, consultez Présentation de la protection des données sensibles

Priorisation de la sensibilité des données et ensemble de ressources à forte valeur par défaut

Avant de créer votre propre ensemble de ressources à forte valeur ajoutée, Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer les scores d'exposition aux attaques et chemins d'attaque.

Si vous utilisez la détection de la protection des données sensibles, Security Command Center ajoute automatiquement les instances de données compatibles les types de ressources contenant des données de sensibilité HIGH ou MEDIUM pour l'ensemble de ressources à forte valeur par défaut.

Types de ressources compatibles pour les valeurs de priorité de sensibilité des données automatisées

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité sur la base des classifications de la sensibilité des données issues Protection des données sensibles uniquement pour les types de ressources de données suivants:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance

Ensembles de ressources à forte valeur

Un ensemble de ressources à forte valeur est une collection définie des ressources. dans votre environnement Google Cloud sont les plus importantes pour sécuriser et protéger.

Pour définir votre ensemble de ressources à forte valeur, vous devez spécifier aux ressources Google Cloud à votre ensemble de ressources à forte valeur. Tant que vous n'avez pas défini ensemble de ressources, scores d'exposition aux attaques, chemins d'attaque et combinaison toxique ne reflètent pas précisément vos priorités en termes de sécurité.

Vous spécifiez les ressources de votre ensemble de ressources à forte valeur en créant configurations de valeurs de ressources. La combinaison de toutes les valeurs de votre ressource "configurations" définissent votre ensemble de ressources à forte valeur. Pour plus d'informations, consultez la page Configurations de valeurs de ressources.

Tant que vous n'aurez pas défini votre première configuration des valeurs de ressource, utilise un ensemble de ressources à forte valeur par défaut. L'ensemble par défaut s'applique dans votre organisation à tous les types de ressources pour les simulations de chemin. Pour en savoir plus, consultez Ensemble de ressources à forte valeur par défaut

Vous pouvez voir l'ensemble de ressources à forte valeur utilisé dans le dernier chemin d'attaque dans la console Google Cloud Page Composants en cliquant sur l'onglet Ensemble de ressources à forte valeur. Vous pouvez également les consulter dans l'onglet Simulation du chemin d'attaque. de la page des paramètres de Security Command Center.

Configurations des valeurs de ressources

Vous gérez les ressources de votre ensemble de ressources à forte valeur avec des configurations de valeurs de ressources.

Vous créez des configurations de valeurs de ressources dans la simulation du chemin d'attaque. de la page Paramètres de Security Command Center dans la console Google Cloud.

Dans une configuration de valeur de ressource, vous spécifiez les attributs qu'une ressource requise pour que Security Command Center l'ajoute à votre ensemble de ressources à forte valeur ajoutée.

Les attributs que vous pouvez spécifier incluent le type de ressource, les tags de ressource, les libellés de ressources et le projet parent, un dossier ou une organisation.

Vous attribuez également une valeur de ressource aux ressources d'une configuration. La valeur de la ressource donne la priorité aux ressources d'une configuration relative aux autres ressources de l'ensemble de ressources à forte valeur. Pour plus d'informations, consultez la section Valeurs de ressource.

Vous pouvez créer jusqu'à 100 configurations de valeurs de ressources dans un organisation Google Cloud.

Ensemble, toutes les configurations de valeurs de ressources que vous créez définir l'ensemble de ressources à forte valeur utilisé par Security Command Center les simulations de chemin d'attaque.

Attributs de ressource

Pour qu'une ressource soit incluse dans votre ensemble de ressources à forte valeur, ses attributs doivent correspondre à ceux que vous spécifiez dans une valeur de ressource configuration.

Vous pouvez spécifier les attributs suivants:

• Un type de ressource ou Any. Lorsque Any est spécifié, la configuration s'applique à tous les types de ressources pris en charge dans le le champ d'application. Any est la valeur par défaut.
• Un champ d'application (organisation, dossier ou projet parent) dans lequel où les ressources doivent résider. Le champ d'application par défaut est organisation. Si vous spécifiez une organisation ou un dossier, la configuration s'applique également aux ressources des dossiers ou projets enfants.
• (Facultatif) Une ou plusieurs balises ou libellés que chaque ressource doit contenir.

Si vous spécifiez une ou plusieurs configurations de valeur de ressource, mais qu'aucune que les ressources de votre environnement Google Cloud les attributs spécifiés dans les configurations, Security Command Center émet un résultat SCC Error et revient à l'ensemble de ressources à forte valeur par défaut.

Ensemble de ressources à forte valeur par défaut

Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer des scores d'exposition aux attaques lorsqu'aucune configuration de valeur de ressource n'est définie ; lorsqu'aucune configuration définie ne correspond à aucune ressource.

Security Command Center attribue des ressources à la ressource à forte valeur par défaut : valeur de priorité de LOW, sauf si vous utilisez la protection des données sensibles dans ce cas, Security Command Center attribue les ressources qui contiennent des données de sensibilité élevée ou moyenne valeur de priorité de HIGH ou MEDIUM.

Si au moins une configuration de valeur de ressource correspond au moins une ressource dans votre environnement, Security Command Center cesse d'utiliser l'ensemble de ressources à forte valeur par défaut.

Pour recevoir des scores d'exposition aux attaques et de combinaisons de toxiques avec précision vos priorités en termes de sécurité, remplacez la ressource par défaut à forte valeur ajoutée avec votre propre ensemble de ressources à forte valeur. Pour en savoir plus, consultez Définissez votre ensemble de ressources à forte valeur.

La liste suivante répertorie les types de ressources inclus dans le Ensemble de ressources à forte valeur par défaut:

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limite sur les ressources d'un ensemble de ressources à forte valeur

Security Command Center limite le nombre de ressources dans un ressource à forte valeur définie sur 1 000.

Si les spécifications d'attribut dans une ou plusieurs configurations de valeur de ressource sont très larges, le nombre de ressources correspondant à l'attribut les spécifications peuvent dépasser 1 000.

Lorsque le nombre de ressources correspondantes dépasse la limite, Security Command Center exclut les ressources de l'ensemble jusqu'au nombre ne dépasse pas la limite. Security Command Center exclut les ressources avec la valeur attribuée la plus basse en premier. Parmi les ressources avec la même valeur attribuée, Security Command Center exclut la ressource par un algorithme qui répartit les ressources exclues types de ressources.

Une ressource exclue de l'ensemble de ressources à forte valeur dans le calcul des scores d'exposition au piratage.

Pour vous avertir lorsque la limite d'instances pour le calcul du score est dépassée, Security Command Center émet un résultat SCC error et affiche un message dans l'onglet des paramètres Simulation du chemin d'attaque de la console Google Cloud. Security Command Center n'émet un résultat SCC error si l'ensemble de valeurs élevées par défaut dépasse la valeur limite d'instances.

Pour éviter de dépasser la limite, définissez les configurations des valeurs de ressources pour d'affiner les instances de votre ensemble de ressources à forte valeur.

Pour affiner votre ensemble de ressources à forte valeur, vous pouvez par exemple : les options suivantes:

• Utiliser des tags ou libellés afin de réduire le nombre de correspondances pour un type de ressource donné ou dans un champ d'application donné.
• Créez une configuration de valeur de ressource qui attribue la valeur NONE à un sous-ensemble des ressources spécifiées dans une autre configuration. La spécification d'une valeur NONE remplace toutes les autres configurations et exclut les instances ressources de votre ensemble de ressources à forte valeur.
• Réduisez la spécification du champ d'application dans la configuration des valeurs de ressource.
• Supprimez les configurations de valeur de ressource qui attribuent la valeur LOW.

Sélectionner vos ressources les plus importantes

Pour renseigner votre ensemble de ressources à forte valeur, vous devez choisir les ressources et les instances de votre environnement sont à forte valeur ajoutée.

En général, vos vraies ressources à forte valeur sont les ressources qui traitent et stocker vos données sensibles. Par exemple, sur Google Cloud, ces il peut s'agir d'instances Compute Engine, un ensemble de données ou un bucket Cloud Storage.

Il n'est pas nécessaire de désigner des ressources adjacentes à vos ressources les plus importantes, comme un serveur intermédiaire, Les simulations de chemin d'attaque prennent déjà en compte ces ressources adjacentes, Si vous les désignez comme étant à forte valeur, les scores d'exposition au piratage sont moins fiables.

Compatibilité multicloud

Les simulations de chemin d'attaque peuvent évaluer les risques dans vos déploiements sur d'autres plates-formes de fournisseurs de services cloud.

Après avoir établi une connexion à une autre plate-forme, vous pouvez indiquer vos ressources de forte valeur sur l'autre service cloud, en créant des configurations de valeurs de ressources, comme vous le feriez pour sur Google Cloud.

Security Command Center exécute des simulations pour une plate-forme cloud de manière indépendante de simulations exécutées pour d'autres plates-formes cloud.

Avant de créer votre première configuration de valeur de ressource pour un autre fournisseur de services cloud, Security Command Center utilise par défaut de ressources spécifique au fournisseur de services cloud. La valeur par défaut L'ensemble de ressources à forte valeur désigne toutes les ressources compatibles en tant que ressources de forte valeur.

Plates-formes de fournisseurs de services cloud compatibles

Outre Google Cloud, Security Command Center peut exécuter Simulations de chemin d'attaque pour Amazon Web Services (AWS). Pour en savoir plus, consultez les pages suivantes :

• Se connecter à AWS pour détecter les failles et évaluer les risques
• Compatibilité avec la simulation du chemin d'attaque pour AWS

Chemins d'attaque

Une voie d'attaque est une représentation visuelle interactive d'un ou de plusieurs les chemins potentiels qu’un attaquant hypothétique pourrait emprunter pour passer du l'Internet public vers l'une de vos instances de ressources à forte valeur ajoutée.

Les simulations de chemin d'attaque identifient les chemins d'attaque potentiels grâce à la modélisation que se passerait-il si un attaquant appliquait des méthodes d’attaque connues à les failles et erreurs de configuration de Security Command Center détectées dans votre environnement pour tenter d'accéder à vos ressources les plus importantes.

Vous pouvez afficher les chemins d'attaque en cliquant sur le score d'exposition au piratage un résultat ou une ressource dans la console Google Cloud.

Lorsque vous consultez un cas de combinaison toxique dans la console Opérations de sécurité, vous pouvez voir un chemin d'attaque simplifié pour la combinaison toxique sur l'onglet "Présentation de la demande". Le chemin d'attaque simplifié inclut un lien vers le chemin d'attaque complet. Pour en savoir plus sur les chemins d'attaque de combinaison, consultez Chemins d'attaque par combinaison toxique.

Lorsque vous affichez des chemins d'attaque plus vastes, vous pouvez modifier votre vue du chemin d'attaque en en faisant glisser le sélecteur de zone de mise au point au carré rouge autour de la miniature une vue du chemin d'attaque sur le côté droit de l'écran.

Lorsque le chemin d'attaque est affiché dans la console Google Cloud, vous pouvez cliquer sur Résumé de l'IA^Preview pour afficher une explication du chemin d'attaque. L'explication est générée de manière dynamique à l'aide de l'intelligence artificielle (IA). Pour en savoir plus, consultez Résumés générés par IA :

Dans un chemin d'attaque, les ressources situées dans un chemin d'attaque sont représentés par des cases ou des nœuds. Les lignes représentent le potentiel l'accessibilité entre les ressources. Ensemble, les nœuds et les lignes représentent le chemin d'attaque.

Nœuds du chemin d'attaque

Les nœuds d'un chemin d'attaque représentent les ressources le chemin d'attaque.

Afficher les informations sur le nœud

Vous pouvez afficher plus d'informations sur chaque nœud d'un chemin d'attaque en cliquant dessus.

Cliquez sur le nom de ressource d'un nœud pour afficher plus d'informations la ressource, ainsi que tous les résultats qui l'affectent.

Cliquez sur Développer le nœud pour afficher les méthodes d'attaque possibles qui pourrait être utilisée si un attaquant avait accès à la ressource.

Types de nœuds

Il existe trois types de nœuds différents:

• Le point de départ ou point d'entrée de l'attaque simulée, l'Internet public. Cliquez sur un nœud de point d'entrée pour afficher description du point d’entrée ainsi que les méthodes d’attaque qu’un attaquant que vous pourriez utiliser pour accéder à votre environnement.
• Ressources concernées qu'un pirate informatique peut utiliser pour poursuivre sa transition.
• La ressource exposée à la fin d'un chemin, qui est l'une des ressources de votre ensemble de ressources à forte valeur. Uniquement une ressource dans un champ défini ou par défaut l'ensemble de ressources à forte valeur peut être une ressource exposée. Vous définissez ensemble de ressources à forte valeur ajoutée en créant des configurations de valeurs de ressources.

Nœuds en amont et en aval

Dans un chemin d'attaque, un nœud peut se trouver en amont ou en aval d'autres nœuds. Un nœud en amont est plus proche du point d'entrée et la partie supérieure du chemin d'attaque. Un nœud en aval est plus proche du nœud à forte valeur exposé ressource en bas du chemin d'attaque.

Nœuds représentant plusieurs instances de ressources de conteneur

Un nœud peut représenter plusieurs instances de certains types de ressources de conteneur si les instances partagent les mêmes caractéristiques.

Plusieurs instances des types de ressources de conteneur suivants peuvent être représenté par un seul nœud:

• Contrôleur ReplicaSet
• Contrôleur de déploiement
• Contrôleur de tâches
• Contrôleur de tâches cron
• Contrôleur DaemonSet

Lignes du chemin d'attaque

Dans un chemin d'attaque, les lignes entre les cadres représentent le potentiel l’accessibilité entre les ressources qu’un attaquant pourrait exploiter pour atteindre une ressource de grande valeur.

Les lignes ne représentent pas une relation entre les ressources définie Google Cloud.

S'il existe plusieurs chemins d'accès pointant vers un nœud en aval à partir de plusieurs nœuds en amont, les nœuds en amont peuvent avoir un AND entre elles ou des relations OR.

Une relation AND signifie qu'un pirate informatique a besoin d'accéder aux deux en amont les nœuds pour accéder à un nœud en aval sur le chemin.

Par exemple, une ligne directe reliant l'Internet public à un réseau ressource au bout d'un chemin d'attaque possède une relation AND avec au moins une autre ligne dans le chemin d'attaque. Un attaquant n’a pas pu atteindre la ressource à forte valeur ajoutée, sauf s'ils peuvent accéder à la fois l'environnement Google Cloud et au moins une autre ressource ; indiqués dans le chemin d'attaque.

Une relation OR signifie qu'un pirate informatique n'a besoin d'accéder qu'à l'un des les nœuds en amont pour accéder au nœud en aval.

Simulations de chemin d'attaque

Déterminer tous les chemins d'attaque possibles et calculer l'exposition au piratage , Security Command Center réalise des simulations avancées des chemins d'attaque.

Calendrier de simulation

Les simulations de chemin d'attaque peuvent s'exécuter jusqu'à quatre fois par jour (toutes les six heures). En tant que l'entreprise se développe, les simulations prennent plus de temps, mais elles sont exécutées une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification des ressources ou des configurations de valeurs de ressources.

Étapes de simulation du chemin d'attaque

Les simulations comportent trois étapes:

1. Génération de modèle: un modèle de votre environnement Google Cloud généré automatiquement en fonction des données d'environnement. Le modèle est un graphe de votre environnement, adaptée pour analyser les chemins d'attaque.
2. Simulation du chemin d'attaque: les simulations de chemin d'attaque sont effectuées sur le graphique. Dans les simulations, un attaquant virtuel tente d’atteindre et compromettre les ressources de votre ensemble de ressources à forte valeur. La les simulations tirent parti des informations de chaque des ressources et des relations spécifiques, y compris le réseautage, l'IAM, les erreurs de configuration et les failles.
3. Rapports d'insights: basés sur les simulations, Security Command Center attribue des scores d'exposition aux attaques aux ressources de forte valeur les résultats qui les exposent et permet de visualiser les chemins potentiels le pirate pourrait accéder à ces ressources.

Caractéristiques d'exécution de la simulation

En plus de fournir les scores d'exposition au piratage, les insights et les chemins d'attaque, les simulations de chemin d'attaque les caractéristiques suivantes:

• Elles ne touchent pas votre environnement réel: toutes les simulations sont réalisées un modèle virtuel et n'utilisez l'accès en lecture que pour créer le modèle.
• Ils sont dynamiques: le modèle est créé sans agent via la lecture des API ce qui permet aux simulations de suivre dynamiquement de votre environnement au fil du temps.
• L’attaquant virtuel essaie autant de méthodes et de vulnérabilités que possible pour atteindre et compromettre vos ressources de forte valeur. Cela inclut non seulement les « connus », comme les failles, les configurations, les erreurs de configuration mais aussi des "inconnues connues" de probabilité plus faible, qui risquent existent, comme la possibilité d’hameçonnage ou la fuite d’identifiants.
• Ils sont automatisés: la logique d'attaque est intégrée à l'outil. Vous ne devez pas vous devez créer ou gérer des ensembles de requêtes volumineux ou des ensembles de données volumineux.

Scénarios et capacités de l’attaquant

Dans les simulations, Security Command Center dispose d'une représentation logique le pirate informatique tente d'exploiter vos ressources de forte valeur à votre environnement Google Cloud et à suivre des chemins potentiels d'accès via vos ressources et les failles détectées.

Le pirate informatique virtuel

Le pirate informatique virtuel utilisé par les simulations présente les caractéristiques suivantes : caractéristiques:

• Le pirate est externe: il n'est pas un utilisateur légitime de votre environnement Google Cloud. Les simulations ne modélisent pas ni n'incluent les attaques d'utilisateurs malveillants ou négligents qui ont un accès légitime à votre environnement.
• Le pirate commence par l'Internet public. Pour lancer une attaque, le pirate informatique doit d'abord accéder à votre environnement à Internet.
• L’attaquant est persistant. L’attaquant ne sera pas découragé ou perdre tout intérêt en raison de la difficulté d'une méthode d'attaque particulière.
• L’attaquant est compétent et compétent. L'attaquant essaie des informations méthodes et techniques pour accéder à vos ressources de forte valeur.

Accès initial

Dans chaque simulation, un attaquant virtuel essaie les méthodes suivantes pour accédez aux ressources de votre environnement depuis l'Internet public:

• Découvrez et connectez-vous à tous les services et ressources accessibles à partir de l'Internet public: <ph type="x-smartling-placeholder">
  </ph>
  • Services sur des instances de machines virtuelles (VM) Compute Engine et les nœuds Google Kubernetes Engine
  • Bases de données
  • Conteneurs
  • Buckets Cloud Storage
  • Cloud Functions
• Accédez aux clés et identifiants, y compris aux éléments suivants: <ph type="x-smartling-placeholder">
  </ph>
  • Clés de compte de service
  • Clés de chiffrement fournies par l'utilisateur
  • Clés SSH des instances de VM
  • Clés SSH à l'échelle du projet
  • Systèmes externes de gestion des clés
  • Comptes utilisateur pour lesquels l'authentification multifacteur (MFA) n'est pas appliquée
  • Jetons MFA virtuels interceptés
• Accès à des ressources cloud accessibles publiquement au moyen d'un vol ou en exploitant les failles signalées par Mandiant Attack Surface Management et VM Manager

Si la simulation trouve un point d'entrée possible dans l'environnement, la simulation a ensuite l’attaquant virtuel d’essayer d’atteindre et de compromettre vos ressources de forte valeur dès le point d'entrée en explorant consécutivement et exploiter les configurations de sécurité et les failles dans l'environnement.

Tactiques et techniques

La simulation fait appel à un large éventail de tactiques et de techniques, dont les suivantes : l’exploitation d’accès légitimes, de mouvements latéraux, d’élévation des privilèges, les failles, les erreurs de configuration et l'exécution du code.

Intégration des données CVE

Lors du calcul des scores d'exposition aux attaques pour les résultats de failles, les simulations de chemin d'attaque prennent en compte les données Enregistrement CVE les scores CVSS, ainsi que des évaluations de l'exploitabilité de la vulnérabilité sont fournies par Mandiant.

Les informations CVE suivantes sont prises en compte:

• Vecteur d'attaque: le pirate informatique doit disposer du niveau d'accès spécifié dans le vecteur d'attaque CVSS pour utiliser la CVE. Pour une CVE avec un vecteur d'attaque réseau détecté sur un élément avec une adresse IP publique et des ports ouverts, être exploitées par un attaquant ayant accès au réseau. Si un attaquant a uniquement accès au réseau et la CVE nécessite un accès physique, alors le pirate ne peut pas exploiter la CVE.
• Complexité de l'attaque: généralement, une faille ou une mauvaise configuration avec une complexité d'attaque faible a plus de chances d'obtenir d’exposition au piratage qu’un résultat avec une complexité d’attaque élevée.
• Activité d'exploitation: généralement, la détection de failles les activités d’exploitation de grande envergure, selon les données de renseignement sur les cybermenaces. chez Mandiant, est plus susceptible de subir un score d'exposition plus élevé qu'un résultat sans activité d'exploitation connue.