Angriffsrisikobewertungen und Angriffspfade

Auf dieser Seite werden Schlüsselkonzepte, Prinzipien und Einschränkungen erläutert, mit denen Sie die durch Angriffspfadsimulationen erzeugten Angriffsrisikobewertungen und Angriffspfade von Security Command Center kennenlernen, optimieren und verwenden können.

Angriffspfadbewertungen und Angriffspfade werden für die beiden folgenden Elemente generiert:

• Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen (Ergebnisse insgesamt), durch die Ressourceninstanzen in Ihrem effektiven Satz hochwertiger Ressourcen gefährdet sind.
• Die Ressourcen in Ihrem effektiven Satz hochwertiger Ressourcen.

Angriffspfade stellen Möglichkeiten dar

Im Angriffspfad werden keine Hinweise auf tatsächliche Angriffe angezeigt.

Angriffspfadsimulationen generieren Angriffspfade und Angriffsrisikobewertungen, indem sie simulieren, was hypothetische Angreifer tun könnten, wenn sie Zugriff auf Ihre Google Cloud-Umgebung erlangen und die Angriffspfade und Sicherheitslücken entdecken, die Security Command Center bereits entdeckt hat.

Jeder Angriffspfad zeigt Ihnen eine oder mehrere Angriffsmethoden, die ein Angreifer verwenden könnte, wenn er Zugriff auf eine bestimmte Ressource erlangt. Verwechseln Sie diese Angriffsmethoden nicht mit tatsächlichen Angriffen.

Ebenso bedeutet ein hoher Angriffsrisikowert für ein Ergebnis oder eine Ressource von Security Command Center nicht, dass ein Angriff läuft.

Überwachen Sie die von den Bedrohungserkennungsdiensten wie Event Threat Detection und Container Threat Detection generierten Ergebnisse der THREAT-Klasse, um nach tatsächlichen Angriffen zu suchen.

Weitere Informationen finden Sie in den folgenden Abschnitten auf dieser Seite:

• Angriffsrisikobewertungen
• Angriffspfade
• Angriffspfadsimulationen

Angriffsrisikobewertungen

Eine Angriffsbewertung auf ein Ergebnis oder eine Ressource von Security Command Center ist ein Maß dafür, wie gefährdet Ressourcen für einen möglichen Angriff sind, wenn sich ein böswilliger Akteur Zugriff auf Ihre Google Cloud-Umgebung verschafft hätte.

Bei einem Ergebnis ist die Punktzahl ein Maß dafür, wie stark ein erkanntes Sicherheitsproblem eine oder mehrere hochwertige Ressourcen potenziellen Cyberangriffen aussetzt. Bei einer hochwertigen Ressource gibt der Wert an, wie stark die Ressource potenziellen Cyberangriffen ausgesetzt ist.

Verwenden Sie Angriffsrisikobewertungen für gefundene Sicherheitslücken, um die Behebung der Ergebnisse zu priorisieren.

Verwenden Sie Angriffsrisikobewertungen für Ressourcen, um proaktiv die Ressourcen zu schützen, die für Ihr Unternehmen am wertvollsten sind.

Die Angriffspfadsimulationen starten immer Angriffe über das öffentliche Internet. Daher berücksichtigen die Angriffsrisikobewertungen keine möglichen Gefährdungen für böswillige oder fahrlässige interne Akteure.

Ergebnisse, die Angriffsrisikobewertungen erhalten

Angriffsrisikobewertungen werden auf aktive Vulnerability- und Misconfiguration-Klassenergebnisse angewendet, die unter Unterstützte Ergebniskategorien aufgeführt sind.

Angriffspfadsimulationen enthalten ausgeblendete Ergebnisse, sodass ausgeblendete Ergebnisse Angriffsrisikobewertungen erhalten und in die Angriffspfade aufgenommen werden.

Angriffspfadsimulationen enthalten nur aktive Ergebnisse. Ergebnisse mit dem Status INACTIVE sind nicht in den Simulationen enthalten und erhalten daher keine Angriffsrisikobewertungen und sind nicht in Angriffspfaden enthalten.

Ressourcen, die Angriffsrisikobewertungen erhalten

Angriffspfadsimulationen berechnen Angriffsrisikobewertungen für unterstützte Ressourcentypen in Ihrem Satz hochwertiger Ressourcen. Sie geben an, welche Ressourcen zum Satz hochwertiger Ressourcen gehören. Dazu erstellen Sie Konfigurationen für den Ressourcenwert.

Wenn eine Ressource in einem Satz hochwertiger Ressourcen eine Angriffsrisikobewertung von 0 hat, haben die Simulationen des Angriffspfads keine Pfade zu der Ressource identifiziert, die ein potenzieller Angreifer nutzen könnte.

Angriffspfadsimulationen unterstützen die folgenden Ressourcentypen:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Berechnung der Punktzahl

Jedes Mal, wenn die Angriffspfadsimulationen ausgeführt werden, berechnen sie die Angriffsrisikobewertungen neu. Jede Angriffspfadsimulation führt tatsächlich mehrere Simulationen aus, in denen ein simulierter Angreifer bekannte Angriffsmethoden und -techniken ausprobiert, um die geschätzten Ressourcen zu erreichen und zu manipulieren.

Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Wenn Ihr Unternehmen wächst, dauern die Simulationen länger, werden aber immer mindestens einmal täglich ausgeführt. Simulationsausführungen werden nicht durch das Erstellen, Ändern oder Löschen von Ressourcen- oder Ressourcenwertkonfigurationen ausgelöst.

In den Simulationen werden die Punktzahlen unter anderem anhand folgender Messwerte berechnet:

• Der Prioritätswert, der den bereitgestellten hochwertigen Ressourcen zugewiesen ist. Die Prioritätswerte, die Sie zuweisen können, haben die folgenden Werte:
  • HOCH = 10
  • MED = 5
  • NIEDRIG = 1
• Die Anzahl der möglichen Pfade, über die ein Angreifer eine bestimmte Ressource erreichen könnte.
• Die Häufigkeit, mit der ein simulierter Angreifer am Ende eines bestimmten Angriffspfads eine hochwertige Ressource erreichen und manipulieren kann, ausgedrückt als Prozentsatz der Gesamtzahl der Simulationen.
• Nur für Ergebnisse die Anzahl der hochwertigen Ressourcen, die durch die erkannte Sicherheitslücke oder Fehlkonfiguration gefährdet sind.

Bei Ressourcen können Angriffsrisikobewertungen im Bereich von 0 bis 10 liegen.

Im Allgemeinen berechnen die Simulationen die Ressourcenbewertungen, indem der Prozentsatz erfolgreicher Angriffe mit dem numerischen Prioritätswert der Ressourcen multipliziert wird.

Bei Ergebnissen haben Angriffsrisikobewertungen keinen festen oberen Grenzwert. Je häufiger ein Ergebnis bei Angriffspfaden zu exponierten Ressourcen im Satz hochwertiger Ressourcen auftritt und je höher die Prioritätswerte dieser Ressourcen sind, desto höher ist die Punktzahl.

Im Allgemeinen berechnen die Simulationen Ergebnispunktzahlen mit derselben Berechnung wie für Ressourcenbewertungen. Zum Ermitteln von Punktzahlen wird jedoch in den Simulationen das Ergebnis der Berechnung mit der Anzahl der hochwertigen Ressourcen, die das Ergebnis ermittelt, multipliziert.

Ändern der Punktzahlen

Die Punktzahlen können sich bei jeder Ausführung einer Angriffspfadsimulation ändern. Ein Ergebnis oder eine Ressource, die heute einen Wert von null hat, kann morgen einen Wert ungleich null haben.

Bewertung kann sich unter anderem aus folgenden Gründen ändern:

• Erkennung oder Behebung einer Sicherheitslücke, die eine hochwertige Ressource direkt oder indirekt preisgibt.
• Das Hinzufügen oder Entfernen von Ressourcen in Ihrer Umgebung.

Änderungen an Ergebnissen oder Ressourcen nach der Ausführung einer Simulation werden erst dann in den Angriffsbewertungen berücksichtigt, wenn die nächste Simulation ausgeführt wird.

Angriffsrisikobewertungen verwenden, um Abhilfemaßnahmen zu priorisieren

Berücksichtigen Sie die folgenden Punkte, um die Behebung von Ergebnissen anhand ihrer Angriffsrisikobewertungen effektiv zu priorisieren:

• Jedes Ergebnis mit einer Angriffsbewertung, die größer als null ist, stellt eine hochwertige Ressource in irgendeiner Weise einem möglichen Angriff aus. Daher sollte die Abhilfe vor Ergebnissen mit einem Wert von null priorisiert werden.
• Je höher die Punktzahl eines Ergebnisses ist, desto mehr sind Ihre hochwertigen Ressourcen durch das Ergebnis gefährdet und desto höher sollten Sie die Abhilfe priorisieren.

Im Allgemeinen sollten Sie der Behebung der Ergebnisse, die die höchsten Bewertungen haben und die Angriffspfade zu Ihren hochwertigen Ressourcen am effektivsten blockieren, die höchste Priorität einräumen.

In der Google Cloud Console auf der Seite Ergebnisse von Security Command Center können Sie die Ergebnisse im Bereich Ergebnisse der Ergebnisabfrage nach Angriffsbewertung sortieren. Klicken Sie dazu auf die Spaltenüberschrift Angriffsrisikobewertung.

Sie können die Ergebnisse mit den höchsten Punktzahlen auch anzeigen lassen, indem Sie der Ergebnisabfrage einen Filter hinzufügen, der nur Ergebnisse mit einem Angriffsrisikowert zurückgibt, der größer als eine von Ihnen angegebene Zahl ist.

Ergebnisse, die nicht korrigiert werden können.

In einigen Fällen können Sie ein Ergebnis mit einer hohen Angriffsrisikobewertung möglicherweise nicht beheben, entweder weil es ein bekanntes und akzeptiertes Risiko darstellt oder weil das Ergebnis nicht einfach behoben werden kann. In diesen Fällen müssen Sie das Risiko möglicherweise auf andere Weise mindern. Die Überprüfung des zugehörigen Angriffspfads kann Ihnen Ideen für andere mögliche Minderungsversuche geben.

Ressourcen mit Angriffsrisikobewertungen sichern

Eine Angriffsbewertung ungleich null für eine Ressource bedeutet, dass die Angriffspfadsimulationen einen oder mehrere Angriffspfade vom öffentlichen Internet zur Ressource identifiziert haben.

So rufen Sie die Angriffsrisikobewertungen für Ihre hochwertigen Ressourcen auf:

1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf:

   Zu Assets

2. Wählen Sie den Tab Satz hochwertiger Ressourcen aus. Die Ressourcen in Ihrem Satz hochwertiger Ressourcen werden in absteigender Reihenfolge nach Angriffsbewertung angezeigt.

3. Rufen Sie die Angriffspfade für eine Ressource auf, indem Sie auf die Zahl in der entsprechenden Zeile in der Spalte Angriffsbewertung klicken. Die Angriffspfade vom öffentlichen Internet zur Ressource werden angezeigt.

4. Sehen Sie sich die Angriffspfade an. Achten Sie dabei auf rote Kreise auf den Knoten, die Ergebnisse anzeigen.

5. Klicken Sie auf einen Knoten mit einem roten Kreis, um die Ergebnisse anzuzeigen.

6. Maßnahmen zur Korrektur der Ergebnisse initiieren

Sie können die Angriffsrisikobewertungen Ihrer hochwertigen Ressourcen auch in den Einstellungen auf dem Tab Angriffspfadsimulationen ansehen. Klicken Sie dazu auf Wertvolle Ressourcen in der letzten Simulation ansehen.

Angriffsrisikobewertungen von 0

Ein Angriffsrisikowert von 0 für eine Ressource bedeutet, dass Security Command Center in den neuesten Simulationen des Angriffspfads keine potenziellen Wege identifiziert hat, über die ein Angreifer die Ressource erreichen könnte.

Ein Angriffsrisikowert von 0 für ein Ergebnis bedeutet, dass der simulierte Angreifer in der letzten Angriffssimulation keine hochwertigen Ressourcen über das Ergebnis erreichen konnte.

Ein Angriffsrisikowert von 0 bedeutet jedoch nicht, dass kein Risiko besteht. Eine Angriffsbewertung spiegelt die Gefährdung der unterstützten Google Cloud-Dienste, -Ressourcen und Security Command Center-Ergebnisse für potenzielle Bedrohungen aus dem öffentlichen Internet wider. Beispielsweise werden in den Bewertungen keine Bedrohungen durch interne Akteure, Zero-Day-Sicherheitslücken oder die Infrastruktur von Drittanbietern berücksichtigt.

Keine Angriffsbewertung

Wenn ein Ergebnis oder eine Ressource keinen Wert hat, kann das folgende Gründe haben:

• Das Ergebnis wurde nach der letzten Angriffspfadsimulation ausgegeben.
• Die Ressource wurde nach der letzten Angriffspfadsimulation Ihrem Satz hochwertiger Ressourcen hinzugefügt.
• Die Angriffsrisikofunktion unterstützt derzeit nicht die Ergebniskategorie oder den Ressourcentyp.

Eine Liste der unterstützten Ergebniskategorien finden Sie unter Unterstützung für Angriffsrisiko-Features.

Eine Liste der unterstützten Ressourcentypen finden Sie unter Ressourcen, die Angriffsrisikobewertungen erhalten.

Ressourcenwerte

Auch wenn alle Ihre Ressourcen in Google Cloud einen Wert haben, identifiziert Security Command Center Angriffspfade und berechnet Angriffsrisikobewertungen nur für die Ressourcen, die Sie als hochwertige Ressourcen (manchmal auch als wertvolle Ressourcen bezeichnet) festlegen.

Hochwertige Ressourcen

Eine hochwertige Ressource in Google Cloud ist für Ihr Unternehmen zum Schutz vor potenziellen Angriffen besonders wichtig. Bei Ihren hochwertigen Ressourcen kann es sich beispielsweise um die Ressourcen handeln, auf denen Ihre wertvollen oder sensiblen Daten gespeichert oder Ihre geschäftskritischen Arbeitslasten gehostet werden.

Wenn Sie eine Ressource als hochwertige Ressource festlegen möchten, definieren Sie die Attribute der Ressource in einer Konfiguration für den Ressourcenwert. Security Command Center behandelt alle Ressourceninstanzen, die den in der Konfiguration angegebenen Attributen entsprechen, als hochwertige Ressource.

Prioritätswerte

Unter den Ressourcen, die Sie als hochwertig einstufen, müssen Sie wahrscheinlich die Sicherheit einiger mehr als anderen priorisieren. Beispielsweise kann ein Satz von Datenressourcen Daten von hohem Wert enthalten, aber einige dieser Datenressourcen können Daten enthalten, die empfindlicher sind als der Rest.

Damit Ihre Angriffsrisikobewertungen Ihrer Notwendigkeit entsprechen, die Sicherheit der Ressourcen in Ihrem Satz hochwertiger Ressourcen zu priorisieren, weisen Sie in den Ressourcenwertkonfigurationen einen Prioritätswert zu, der Ressourcen als hochwertig kennzeichnet.

Wenn Sie den Schutz sensibler Daten verwenden, können Sie Ressourcen auch automatisch anhand der Vertraulichkeit der Daten priorisieren, die die Ressourcen enthalten.

Werte für Ressourcenpriorität manuell festlegen

In einer Konfiguration für einen Ressourcenwert weisen Sie den entsprechenden hochwertigen Ressourcen eine Priorität zu, indem Sie einen der folgenden Prioritätswerte angeben:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Wenn Sie in einer Ressourcenwertkonfiguration den Prioritätswert LOW angeben, sind die übereinstimmenden Ressourcen dennoch hochwertige Ressourcen. Die Simulationen des Angriffspfads behandeln sie nur mit einer niedrigeren Priorität und weisen ihnen eine niedrigere Angriffsbewertung zu als Ressourcen mit hohem Wert mit einem Prioritätswert von MEDIUM oder HIGH.

Wenn mehrere Konfigurationen für dieselbe Ressource unterschiedliche Werte zuweisen, gilt der höchste Wert, sofern keine Konfiguration den Wert NONE zuweist.

Ein Ressourcenwert von NONE verhindert, dass die übereinstimmenden Ressourcen als hochwertige Ressource betrachtet werden, und überschreibt alle anderen Ressourcenwertkonfigurationen für dieselbe Ressource. Achten Sie daher darauf, dass jede Konfiguration, die NONE angibt, nur für eine begrenzte Anzahl von Ressourcen gilt.

Werte für Ressourcenprioritäten automatisch anhand der Datenvertraulichkeit festlegen

Wenn Sie die Erkennung des Schutzes sensibler Daten verwenden, können Sie Security Command Center so konfigurieren, dass der Prioritätswert bestimmter hochwertiger Ressourcen automatisch anhand der Vertraulichkeit der in den Ressourcen enthaltenen Daten festgelegt wird.

Sie aktivieren die Priorisierung von Datenvertraulichkeit, wenn Sie die Ressourcen in einer Konfiguration von Ressourcenwerten angeben.

Wenn die Erkennung des Schutzes sensibler Daten aktiviert ist und die Daten in einer Ressource entweder als MEDIUM- oder HIGH-Vertraulichkeit klassifiziert werden, wird bei den Simulationen des Angriffspfads standardmäßig der Prioritätswert der Ressource auf denselben Wert festgelegt.

Die Ebenen der Datenvertraulichkeit werden vom Schutz sensibler Daten definiert, können aber so interpretiert werden:

Daten mit hoher Vertraulichkeit

Bei der Erkennung des Schutzes sensibler Daten wurde mindestens eine Instanz von Daten mit hoher Vertraulichkeit in der Ressource gefunden.

Daten mit mittlerer Vertraulichkeit

Die Erkennung des Schutzes sensibler Daten hat mindestens ein Instanzdatum mit mittlerer Vertraulichkeit in der Ressource und keine Instanzen von Daten mit hoher Vertraulichkeit gefunden.

Daten mit geringer Vertraulichkeit

Die Erkennung des Schutzes sensibler Daten hat keine sensiblen Daten, Freitext oder unstrukturierte Daten in der Ressource erkannt.

Wenn die Erkennung des Schutzes sensibler Daten nur Daten mit geringer Vertraulichkeit in einer übereinstimmenden Datenressource identifiziert, wird die Ressource nicht als hochwertige Ressource bezeichnet.

Wenn Datenressourcen, die nur Daten mit geringer Vertraulichkeit enthalten, als hochwertige Ressourcen mit niedriger Priorität gekennzeichnet werden sollen, erstellen Sie eine Konfiguration mit doppelten Ressourcenwerten und geben dabei den Prioritätswert LOW an, anstatt die Priorisierung der Datensensitivität zu aktivieren. Die Konfiguration, die den Schutz sensibler Daten verwendet, überschreibt die Konfiguration, die den Prioritätswert LOW zuweist, jedoch nur für Ressourcen, die Empfindlichkeitsdaten HIGH oder MEDIUM enthalten.

Sie können die Standardprioritätswerte ändern, die Security Command Center verwendet, wenn sensible Daten in der Konfiguration des Ressourcenwerts erkannt werden.

Weitere Informationen finden Sie in der Übersicht zum Schutz sensibler Daten.

Priorisierung der Datensensitivität und der Standardsatz hochwertiger Ressourcen

Bevor Sie einen eigenen Satz hochwertiger Ressourcen erstellen, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen, um Angriffsrisikobewertungen und Angriffspfade zu berechnen.

Wenn Sie die Erkennung zum Schutz sensibler Daten verwenden, fügt Security Command Center dem Standardsatz hochwertiger Ressourcen automatisch Instanzen unterstützter Datenressourcentypen hinzu, die HIGH- oder MEDIUM-Vertraulichkeitsdaten enthalten.

Unterstützte Ressourcentypen für automatisierte Prioritätswerte zur Datensensitivität

Angriffspfadsimulationen können basierend auf Datensensitivitätsklassifizierungen aus Schutz sensibler Daten nur für den Datenressourcentyp bigquery.googleapis.com/Dataset automatisch Prioritätswerte festlegen.

Sätze hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen ist eine definierte Sammlung der Ressourcen in Ihrer Google Cloud-Umgebung, die unbedingt geschützt und geschützt werden müssen.

Wenn Sie Ihren Satz hochwertiger Ressourcen definieren möchten, müssen Sie angeben, welche Ressourcen in Ihrer Google Cloud-Umgebung zu diesem Satz gehören sollen. Solange Sie Ihren Satz hochwertiger Ressourcen nicht definieren, spiegeln Angriffsrisikobewertungen und Angriffspfade Ihre Sicherheitsprioritäten nicht genau wider.

Sie geben die Ressourcen in Ihrem Satz hochwertiger Ressourcen an, indem Sie Ressourcenwertkonfigurationen erstellen. Die Kombination aus allen Konfigurationen für den Ressourcenwert definiert Ihren Satz hochwertiger Ressourcen. Weitere Informationen finden Sie unter Ressourcenwertkonfigurationen.

Bis Sie Ihre erste Konfiguration für den Ressourcenwert definieren, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen. Die Standardeinstellung gilt in Ihrer Organisation für alle Ressourcentypen, die von Angriffspfadsimulationen unterstützt werden. Weitere Informationen finden Sie unter Standardsatz hochwertiger Ressourcen.

Sie können den Satz hochwertiger Ressourcen, der in der letzten Angriffspfadsimulation in der Google Cloud Console verwendet wurde, auf der Seite Assets sehen. Klicken Sie dazu auf den Tab Gruppe von hochwertigen Ressourcen. Sie können sie auch auf der Einstellungsseite von Security Command Center auf dem Tab Simulation des Angriffspfads einsehen.

Konfigurationen von Ressourcenwerten

Sie verwalten die Ressourcen in Ihrem Satz hochwertiger Ressourcen mithilfe von Konfigurationen für den Wert von Ressourcen.

Ressourcenwertkonfigurationen werden in der Google Cloud Console auf der Seite Einstellungen von Security Command Center auf dem Tab Angriffspfadsimulation erstellt.

In einer Konfiguration für den Ressourcenwert geben Sie die Attribute an, die eine Ressource haben muss, damit sie von Security Command Center zu Ihrem Satz hochwertiger Ressourcen hinzugefügt werden kann.

Zu den Attributen, die Sie angeben können, gehören der Ressourcentyp, die Ressourcentags, die Ressourcenlabels sowie das übergeordnete Projekt, den übergeordneten Ordner oder die übergeordnete Organisation.

Außerdem weisen Sie den Ressourcen in einer Konfiguration einen Ressourcenwert zu. Der Ressourcenwert priorisiert die Ressourcen in einer Konfiguration im Verhältnis zu den anderen Ressourcen im Satz hochwertiger Ressourcen. Weitere Informationen finden Sie unter Ressourcenwerte.

Sie können bis zu 100 Ressourcenwertkonfigurationen in einer Google Cloud-Organisation erstellen.

Gemeinsam definieren alle von Ihnen erstellten Ressourcenwertkonfigurationen den Satz hochwertiger Ressourcen, den Security Command Center für die Angriffspfadsimulationen verwendet.

Ressourcenattribute

Damit eine Ressource in Ihren Satz hochwertiger Ressourcen aufgenommen werden kann, müssen ihre Attribute mit den Attributen übereinstimmen, die Sie in einer Konfiguration für den Ressourcenwert angeben.

Zu den Attributen, die Sie angeben können, gehören:

• Einen Ressourcentyp oder Any. Wenn Any angegeben ist, gilt die Konfiguration für alle unterstützten Ressourcentypen im angegebenen Bereich. Any ist der Standardwert.
• Ein Bereich (übergeordnete Organisation, übergeordneter Ordner oder Projekt), in dem sich die Ressourcen befinden müssen. Der Standardbereich ist Ihre Organisation. Wenn Sie eine Organisation oder einen Ordner angeben, gilt die Konfiguration auch für die Ressourcen in den untergeordneten Ordnern oder Projekten.
• Optional: ein oder mehrere Tags oder Labels, die jede Ressource enthalten muss.

Wenn Sie eine oder mehrere Ressourcenwertkonfigurationen angeben, aber keine Ressourcen in Ihrer Google Cloud-Umgebung mit den in einer der Konfigurationen angegebenen Attributen übereinstimmen, gibt Security Command Center ein SCC Error-Ergebnis aus und greift auf den Standardsatz hochwertiger Ressourcen zurück.

Standardsatz hochwertiger Ressourcen

Security Command Center verwendet einen Standardsatz hochwertiger Ressourcen, um Angriffsrisikobewertungen zu berechnen, wenn keine Ressourcenwertkonfigurationen definiert sind oder keine definierten Konfigurationen mit Ressourcen übereinstimmen.

Security Command Center weist Ressourcen in der hochwertigen Standardressource den Prioritätswert LOW zu, es sei denn, Sie verwenden die Erkennung des Schutzes sensibler Daten. In diesem Fall weist Security Command Center Ressourcen, die Daten mit hoher oder mittlerer Vertraulichkeit enthalten, einen entsprechenden Prioritätswert von HIGH oder MEDIUM zu.

Wenn mindestens eine Konfiguration für Ressourcenwerte mit mindestens einer Ressource in Ihrer Umgebung übereinstimmt, verwendet Security Command Center den Standardsatz hochwertiger Ressourcen nicht mehr.

Ersetzen Sie den Standardsatz hochwertiger Ressourcen durch Ihren eigenen Satz hochwertiger Ressourcen, um Angriffsrisikobewertungen zu erhalten, die Ihre Sicherheitsprioritäten genau widerspiegeln. Weitere Informationen finden Sie unter Gruppe hochwertiger Ressourcen definieren.

In der folgenden Liste sind die Ressourcentypen aufgeführt, die im Standardsatz hochwertiger Ressourcen enthalten sind:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limit für Ressourcen in einem Satz hochwertiger Ressourcen

Security Command Center begrenzt die Anzahl der Ressourcen in einer hochwertigen Ressource auf 1.000.

Wenn die Attributspezifikationen in einer oder mehreren Ressourcenwertkonfigurationen sehr breit gefasst sind, kann die Anzahl der Ressourcen, die den Attributspezifikationen entsprechen, 1.000 überschreiten.

Wenn die Anzahl der übereinstimmenden Ressourcen das Limit überschreitet, schließt Security Command Center Ressourcen aus dem Satz aus, bis die Anzahl der Ressourcen innerhalb des Limits liegt. Security Command Center schließt Ressourcen mit dem niedrigsten zugewiesenen Wert zuerst aus. Unter Ressourcen mit demselben zugewiesenen Wert schließt Security Command Center Ressourceninstanzen über einen Algorithmus aus, der die ausgeschlossenen Ressourcen auf Ressourcentypen verteilt.

Eine Ressource, die aus dem Satz hochwertiger Ressourcen ausgeschlossen ist, wird bei der Berechnung der Angriffsrisikobewertungen nicht berücksichtigt.

Security Command Center gibt das Ergebnis SCC error aus und zeigt eine Nachricht auf dem Tab mit den Einstellungen für die Angriffspfadsimulation der Google Cloud Console an. So werden Sie benachrichtigt, wenn das Instanzlimit für die Berechnung der Punktzahl überschritten wird. Security Command Center gibt kein SCC error-Ergebnis aus, wenn der festgelegte hohe Standardwert das Instanzlimit überschreitet.

Um eine Überschreitung des Limits zu vermeiden, müssen Sie Ihre Ressourcenwertkonfigurationen anpassen, um die Instanzen in Ihrem Satz hochwertiger Ressourcen zu optimieren.

Sie haben unter anderem folgende Möglichkeiten, Ihren Satz hochwertiger Ressourcen zu optimieren:

• Verwenden Sie Tags oder Labels, um die Anzahl der Übereinstimmungen für einen bestimmten Ressourcentyp oder innerhalb eines angegebenen Bereichs zu reduzieren.
• Erstellen Sie eine Ressourcenwertkonfiguration, die einer Teilmenge der in einer anderen Konfiguration angegebenen Ressourcen den Wert NONE zuweist. Wenn Sie den Wert NONE angeben, werden alle anderen Konfigurationen überschrieben und die Ressourceninstanzen werden aus Ihrem Satz hochwertiger Ressourcen ausgeschlossen.
• Reduzieren Sie die Bereichsspezifikation in der Konfiguration des Ressourcenwerts.
• Löschen Sie Ressourcenwertkonfigurationen, die den Wert LOW zuweisen.

Hochwertige Ressourcen auswählen

Um Ihren Satz hochwertiger Ressourcen zu füllen, müssen Sie entscheiden, welche Ressourceninstanzen in Ihrer Umgebung wirklich einen hohen Wert haben.

Im Allgemeinen sind die eigentlichen hochwertigen Ressourcen die Ressourcen, die Ihre sensiblen Daten verarbeiten und speichern. In Google Cloud können dies beispielsweise Compute Engine-Instanzen, ein BigQuery-Dataset oder ein Cloud Storage-Bucket sein.

Ressourcen, die sich neben Ihren hochwertigen Ressourcen befinden, z. B. einen Jump-Server, müssen nicht als hochwertige Ressourcen festgelegt werden. Die Simulationen des Angriffspfads berücksichtigen diese benachbarten Ressourcen bereits. Wenn Sie sie ebenfalls als hochwertig einstufen, können Ihre Angriffsrisikobewertungen weniger zuverlässig werden.

Multi-Cloud-Unterstützung

Angriffspfadsimulationen können das Risiko in Ihren Bereitstellungen auf anderen Plattformen von Cloud-Dienstanbietern bewerten.

Nachdem Sie eine Verbindung zu einer anderen Plattform hergestellt haben, können Sie Ihre hochwertigen Ressourcen beim anderen Cloud-Dienstanbieter festlegen, indem Sie Ressourcenwertkonfigurationen erstellen, wie Sie dies auch für Ressourcen in Google Cloud tun würden.

Security Command Center führt Simulationen für eine Cloud-Plattform unabhängig von Simulationen aus, die für andere Cloud-Plattformen ausgeführt werden.

Bevor Sie Ihre erste Ressourcenwertkonfiguration für einen anderen Cloud-Dienstanbieter erstellen, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen, der für den Cloud-Dienstanbieter spezifisch ist. Der Standardsatz hochwertiger Ressourcen definiert alle unterstützten Ressourcen als hochwertige Ressourcen.

Unterstützte Plattformen von Cloud-Dienstanbietern

Neben Google Cloud kann Security Command Center Angriffspfadsimulationen für Amazon Web Services (AWS) ausführen. Weitere Informationen finden Sie unter:

• Mit AWS verbinden, um Sicherheitslücken zu erkennen und Risiken zu bewerten
• Unterstützung für Angriffspfadsimulationen für AWS

Angriffspfade

Ein Angriffspfad ist eine interaktive, visuelle Darstellung eines oder mehrerer potenzieller Pfade, über die ein hypothetischer Angreifer vom öffentlichen Internet zu einer Ihrer hochwertigen Ressourceninstanzen gelangen könnte.

Angriffspfadsimulationen identifizieren potenzielle Angriffspfade. Dazu wird modelliert, was passieren würde, wenn ein Angreifer bekannte Angriffsmethoden auf die von Security Command Center in Ihrer Umgebung erkannten Sicherheitslücken und Fehlkonfigurationen anwendet, um zu versuchen, auf Ihre hochwertigen Ressourcen zuzugreifen.

Sie können Angriffspfade ansehen, indem Sie in der Google Cloud Console auf die Angriffsbewertung eines Ergebnisses oder einer Ressource klicken.

Bei der Anzeige größerer Angriffspfade können Sie die Ansicht des Angriffspfads ändern. Ziehen Sie dazu den Auswahlbereich für den Fokusbereich des roten Quadrats um die Miniaturansicht des Angriffspfads auf der rechten Seite des Bildschirms.

Wenn der Angriffspfad angezeigt wird, können Sie auf KI-Zusammenfassung^Vorschau klicken, um eine Erklärung des Angriffspfads aufzurufen. Die Erklärung wird mithilfe von künstlicher Intelligenz (KI) dynamisch generiert. Weitere Informationen findest du unter KI-generierte Zusammenfassungen.

In einem Angriffspfad werden Ressourcen in einem Angriffspfad als Felder oder Knoten dargestellt. Die Linien stellen die mögliche Barrierefreiheit zwischen Ressourcen dar. Zusammen stellen die Knoten und Linien den Angriffspfad dar.

Angriffspfadknoten

Die Knoten in einem Angriffspfad stellen die Ressourcen in einem Angriffspfad dar.

Knoteninformationen anzeigen

Sie können weitere Informationen zu jedem Knoten in einem Angriffspfad anzeigen lassen, indem Sie darauf klicken.

Wenn Sie auf den Ressourcennamen in einem Knoten klicken, werden weitere Informationen zur Ressource sowie alle Ergebnisse angezeigt, die sich auf die Ressource auswirken.

Wenn Sie auf Knoten maximieren klicken, werden mögliche Angriffsmethoden angezeigt, die verwendet werden könnten, wenn ein Angreifer Zugriff auf die Ressource erlangte.

Knotentypen

Es gibt drei verschiedene Knotentypen:

• Der Start- oder Einstiegspunkt des simulierten Angriffs, also das öffentliche Internet. Wenn Sie auf einen Einstiegspunktknoten klicken, wird eine Beschreibung des Einstiegspunkts sowie Angriffsmethoden angezeigt, mit denen sich ein Angreifer Zugriff auf Ihre Umgebung verschaffen könnte.
• Die betroffenen Ressourcen, mit denen ein Angreifer auf einem bestimmten Pfad fortfahren kann.
• Die freigegebene Ressource am Ende eines Pfads, die eine der Ressourcen in Ihrem Satz hochwertiger Ressourcen ist. Nur eine Ressource in einem definierten oder einem standardmäßigen Satz hochwertiger Ressourcen kann eine freigegebene Ressource sein. Sie definieren einen Satz hochwertiger Ressourcen, indem Sie Ressourcenwertkonfigurationen erstellen.

Upstream- und Downstream-Knoten

In einem Angriffspfad kann ein Knoten den anderen Knoten upstream oder nachgelagert sein. Ein Upstream-Knoten ist näher am Einstiegspunkt und am oberen Ende des Angriffspfads. Ein nachgelagerter Knoten ist näher an der exponierten hochwertigen Ressource am Ende des Angriffspfads.

Knoten, die mehrere Containerressourceninstanzen darstellen

Ein Knoten kann mehrere Instanzen bestimmter Containerressourcentypen darstellen, wenn die Instanzen dieselben Eigenschaften haben.

Mehrere Instanzen der folgenden Containerressourcentypen können durch einen einzelnen Knoten dargestellt werden:

• Replikatset-Controller
• Bereitstellungscontroller
• Job-Controller
• CronJob-Controller
• DaemonSet-Controller

Angriffspfadlinien

In einem Angriffspfad stellen Linien zwischen den Feldern die potenzielle Zugänglichkeit zwischen Ressourcen dar, mit denen ein Angreifer auf hochwertige Ressourcen zugreifen könnte.

Die Linien stellen keine Beziehung zwischen Ressourcen dar, die in Google Cloud definiert sind.

Wenn mehrere Pfade von mehreren vorgelagerten Knoten auf einen nachgelagerten Knoten verweisen, können die vorgelagerten Knoten entweder eine AND-Beziehung oder eine OR-Beziehung zueinander haben.

Eine AND-Beziehung bedeutet, dass ein Angreifer Zugriff auf beide vorgelagerten Knoten benötigt, um auf einen nachgelagerten Knoten im Pfad zuzugreifen.

Beispielsweise hat eine direkte Verbindung vom öffentlichen Internet zu einer hochwertigen Ressource am Ende eines Angriffspfads eine AND-Beziehung zu mindestens einer anderen Zeile im Angriffspfad. Ein Angreifer kann die hochwertige Ressource erst dann erreichen, wenn er sowohl auf Ihre Google Cloud-Umgebung als auch auf mindestens eine andere Ressource, die im Angriffspfad angezeigt wird, Zugriff erhält.

Eine OR-Beziehung bedeutet, dass ein Angreifer nur Zugriff auf einen der vorgelagerten Knoten benötigt, um auf den nachgelagerten Knoten zuzugreifen.

Angriffspfadsimulationen

Security Command Center führt erweiterte Simulationen von Angriffspfaden durch, um alle möglichen Angriffspfade zu ermitteln und Angriffsrisikobewertungen zu berechnen.

Simulationszeitplan

Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Wenn Ihr Unternehmen wächst, dauern die Simulationen länger, werden aber immer mindestens einmal täglich ausgeführt. Simulationsausführungen werden nicht durch das Erstellen, Ändern oder Löschen von Ressourcen- oder Ressourcenwertkonfigurationen ausgelöst.

Schritte zur Simulation des Angriffspfads

Die Simulationen umfassen drei Schritte:

1. Modellgenerierung: Anhand der Umgebungsdaten wird automatisch ein Modell Ihrer Google Cloud-Umgebung generiert. Das Modell ist eine grafische Darstellung Ihrer Umgebung, die auf Analysen von Angriffspfaden zugeschnitten ist.
2. Angriffspfadsimulation: Simulationen des Angriffspfads werden mit dem Grafikmodell durchgeführt. In den Simulationen versucht ein virtueller Angreifer, die Ressourcen in Ihrem Satz hochwertiger Ressourcen zu erreichen und zu kompromittieren. Die Simulationen nutzen die Erkenntnisse zu den einzelnen Ressourcen und Beziehungen, einschließlich Netzwerk, IAM, Konfigurationen, Fehlkonfigurationen und Sicherheitslücken.
3. Berichte zu Statistiken: Auf der Grundlage der Simulationen weist Security Command Center Ihren hochwertigen Ressourcen sowie den entsprechenden Ergebnissen Angriffsrisikobewertungen zu und visualisiert die potenziellen Pfade, die ein Angreifer zu diesen Ressourcen nehmen könnte.

Merkmale der Simulationsausführung

Neben der Bereitstellung von Angriffsrisikobewertungen, Statistiken zu Angriffspfaden und Angriffspfaden haben Angriffspfadsimulationen die folgenden Eigenschaften:

• Sie betreffen nicht Ihre Live-Umgebung: Alle Simulationen werden an einem virtuellen Modell durchgeführt und verwenden zum Erstellen des Modells nur Lesezugriff.
• Sie sind dynamisch: Das Modell wird ohne Agents nur über API-Lesezugriff erstellt. Dadurch können die Simulationen Änderungen an Ihrer Umgebung im Laufe der Zeit dynamisch verfolgen.
• Ein virtueller Angreifer versucht, so viele Methoden und Sicherheitslücken wie möglich auszuprobieren, um Ihre hochwertigen Ressourcen zu erreichen und zu manipulieren. Dazu gehören nicht nur „bekannte“ wie Sicherheitslücken, Konfigurationen, Fehlkonfigurationen und Netzwerkbeziehungen, sondern auch „bekannte Unbekannte“ mit geringerer Wahrscheinlichkeit – bekannte Risiken wie die Möglichkeit von Phishing oder gehackten Anmeldedaten.
• Sie sind automatisiert: Die Angriffslogik ist in das Tool integriert. Sie müssen keine umfangreichen Abfragen oder großen Datasets erstellen oder verwalten.

Angreiferszenario und -funktionen

In den Simulationen hat Security Command Center eine logische Darstellung eines Angreifers, der Ihre hochwertigen Ressourcen ausnutzen möchte, indem er sich Zugriff auf Ihre Google Cloud-Umgebung verschafft und potenziellen Zugriffspfaden durch Ihre Ressourcen und erkannte Sicherheitslücken folgt.

Der virtuelle Angreifer

Der virtuelle Angreifer, den die Simulationen verwenden, hat folgende Eigenschaften:

• Der Angreifer ist extern: Der Angreifer ist kein legitimer Nutzer Ihrer Google Cloud-Umgebung. Die Simulationen modellieren oder beinhalten keine Angriffe von böswilligen oder fahrlässigen Nutzern, die legitimen Zugriff auf Ihre Umgebung haben.
• Der Angreifer beginnt aus dem öffentlichen Internet. Um einen Angriff zu starten, muss der Angreifer zuerst über das öffentliche Internet Zugriff auf Ihre Umgebung erhalten.
• Der Angreifer ist hartnäckig. Der Angreifer wird nicht entmutigt oder verliert aufgrund der Schwierigkeit einer bestimmten Angriffsmethode das Interesse.
• Der Angreifer ist kompetent und kompetent. Der Angreifer versucht, mit bekannten Methoden und Techniken auf Ihre hochwertigen Ressourcen zuzugreifen.

Anfänglicher Zugriff

In jeder Simulation versucht ein virtueller Angreifer, die folgenden Methoden auszuprobieren, um vom öffentlichen Internet aus auf die Ressourcen in Ihrer Umgebung zuzugreifen:

• Finden Sie alle Dienste und Ressourcen, die über das öffentliche Internet zugänglich sind, und stellen Sie eine Verbindung zu ihnen her:
  • Dienste auf Compute Engine-VM-Instanzen und Google Kubernetes Engine-Knoten
  • Datenbanken
  • Container
  • Cloud Storage-Buckets
  • Cloud Functions
• Sie erhalten Zugriff auf Schlüssel und Anmeldedaten, darunter:
  • Dienstkontoschlüssel
  • Vom Nutzer bereitgestellte Verschlüsselungsschlüssel
  • SSH-Schlüssel der VM-Instanz
  • Projektweite SSH-Schlüssel
  • Externe Schlüsselverwaltungssysteme
  • Nutzerkonten, in denen die Multi-Faktor-Authentifizierung (MFA) nicht erzwungen wird
  • Abfangen virtuelle MFA-Tokens
• Zugriff auf öffentlich zugängliche Cloud-Assets durch Verwenden gestohlener Anmeldedaten oder Ausnutzung von Sicherheitslücken, die von VM Manager und Rapid Vulnerability Detection gemeldet wurden

Wenn die Simulation einen möglichen Einstiegspunkt in die Umgebung findet, versucht die Simulation, dass der virtuelle Angreifer versucht, Ihre hochwertigen Ressourcen vom Einstiegspunkt aus zu erreichen und zu kompromittieren, indem er Sicherheitskonfigurationen und Sicherheitslücken in der Umgebung untersucht und ausnutzt.

Taktiken und Techniken

Die Simulation verwendet eine Vielzahl von Taktiken und Techniken, einschließlich des Nutzens von legitimem Zugriff, lateraler Verschiebung, Rechteausweitung, Sicherheitslücken, Fehlkonfigurationen und Codeausführung.

CVE-Daten integrieren

Bei der Berechnung der Angriffsrisikobewertungen für Ergebnisse von Sicherheitslücken werden für die Simulationen des Angriffspfads Daten aus dem CVE-Eintrag der Sicherheitslücke, die CVSS-Werte sowie die von Mandiant bereitgestellten Bewertungen der Ausnutzbarkeit der Sicherheitslücke berücksichtigt.

Die folgenden CVE-Informationen werden berücksichtigt:

• Angriffsvektor: Der Angreifer benötigt die im CVSS-Angriffsvektor angegebene Zugriffsebene, um das CVE verwenden zu können. Beispielsweise kann ein CVE mit einem Netzwerkangriffsvektor, der auf einem Asset mit einer öffentlichen IP-Adresse und offenen Ports gefunden wird, von einem Angreifer mit Netzwerkzugriff ausgenutzt werden. Wenn ein Angreifer nur Netzwerkzugriff hat und das CVE physischen Zugriff erfordert, kann der Angreifer das CVE nicht ausnutzen.
• Angriffskomplexität: Im Allgemeinen erzielt eine Sicherheitslücke oder Fehlkonfiguration mit geringer Angriffskomplexität im Allgemeinen eher eine hohe Angriffsbewertung als ein Ergebnis mit hoher Angriffskomplexität.
• Ausnutzungsaktivitäten: Im Allgemeinen erzielt eine von Mandiant-Analysten festgestellte Schwachstelle, die durch umfassende Angriffsaktivitäten gefunden wurde, mit größerer Wahrscheinlichkeit eine hohe Angriffsbewertung als ein Ergebnis, bei dem es keine bekannten Ausnutzungsaktivitäten gibt.