Angriffsrisikobewertungen und Angriffspfade

Auf dieser Seite werden wichtige Konzepte, Prinzipien und Einschränkungen erläutert, damit Sie die von der Risk Engine von Security Command Center generierten Werte für die Angriffsgefährdung und die Angriffspfade besser verstehen, optimieren und verwenden können.

Sowohl für die folgenden Elemente werden Angriffspfad-Scores und Angriffspfade generiert:

  • Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen (zusammenfassend als „Ergebnisse zu Sicherheitslücken“ bezeichnet), die die Ressourceninstanzen in Ihrem effektiven Satz hochwertiger Ressourcen gefährden.
  • Die Ressourcen in Ihrem effektiven Satz hochwertiger Ressourcen.
  • Probleme in Security Command Center Enterprise, die toxische Kombinationen und Engstellen enthalten.

Wenn Sie die Werte für die Gefährdung durch Angriffe und die Angriffspfade verwenden möchten, müssen Sie die Premium- oder Enterprise-Stufe von Security Command Center auf Organisationsebene aktivieren. Sie können die Angriffsrisikobewertung und Angriffspfade nicht mit Aktivierungen auf Projektebene verwenden.

Angriffspfade stellen Möglichkeiten dar

In einem Angriffspfad sind keine Anzeichen für einen tatsächlichen Angriff zu sehen.

Die Risk Engine generiert Angriffspfade und Risikowerte für Angriffe, indem sie simuliert, was hypothetische Angreifer tun könnten, wenn sie Zugriff auf Ihre Google Cloud Umgebung erhalten und die Angriffspfade und Sicherheitslücken entdecken, die Security Command Center bereits gefunden hat.

Jeder Angriffspfad zeigt eine oder mehrere Angriffsmethoden, die ein Angreifer verwenden könnte, wenn er Zugriff auf eine bestimmte Ressource erhält. Verwechseln Sie diese Angriffsmethoden nicht mit tatsächlichen Angriffen.

Ebenso bedeutet ein hoher Wert für die Angriffsgefährdung bei einem der folgenden Punkte nicht, dass ein Angriff läuft:

  • Ein Security Command Center-Ergebnis oder eine Security Command Center-Ressource
  • Ein Problem in Security Command Center Enterprise

Um nach tatsächlichen Angriffen zu suchen, sollten Sie die Ergebnisse der Klasse THREAT im Blick behalten, die von den Diensten zur Bedrohungserkennung wie Event Threat Detection und Container Threat Detection generiert werden.

Weitere Informationen finden Sie in den folgenden Abschnitten auf dieser Seite:

Angriffsbewertungen

Eine Angriffsbewertung wird für Folgendes angezeigt:

  • Ein Security Command Center-Ergebnis oder eine Security Command Center-Ressource
  • Ein Problem in Security Command Center Enterprise

Ein Angriffsrisikowert gibt an, wie stark Ressourcen potenziellen Angriffen ausgesetzt sind, wenn ein böswilliger Akteur Zugriff auf Ihre Google Cloud-Umgebung erhält.

Ein Wert für die Anfälligkeit für Angriffe in einem Ergebnis zu einer schädlichen Kombination oder einem Engpass wird in einigen Kontexten, z. B. auf der Seite Ergebnisse in der Google Cloud -Konsole, als Wert für schädliche Kombination bezeichnet.

In Beschreibungen der Berechnung von Bewertungen, in allgemeinen Anleitungen zur Priorisierung der Behebung von Ergebnissen und in bestimmten anderen Kontexten gilt der Begriff Angriffsrisikobewertung auch für Bewertungen von schädlichen Kombinationen.

Die Bewertung eines Ergebnisses gibt an, wie stark ein erkanntes Sicherheitsproblem eine oder mehrere hochwertige Ressourcen potenziellen Cyberangriffen aussetzt. Bei einer hochwertigen Ressource gibt der Wert an, wie stark die Ressource potenziellen Cyberangriffen ausgesetzt ist.

Anhand der Ergebnisse zu Software-Sicherheitslücken, Fehlkonfigurationen und toxischen Kombinationen oder ChokepointsVorschau können Sie die Behebung dieser Ergebnisse priorisieren.

Mithilfe von Angriffsrisikobewertungen für Ressourcen können Sie die für Ihr Unternehmen wertvollsten Ressourcen proaktiv schützen.

Bei den Angriffspfadsimulationen startet die Risk Engine die simulierten Angriffe immer über das öffentliche Internet. Folglich werden bei den Angriffsexpositionswerten keine möglichen Risiken durch böswillige oder fahrlässige interne Akteure berücksichtigt.

Ergebnisse mit Angriffsrisikobewertungen

Die Werte für die Gefährdung durch Angriffe werden auf aktive Ergebnisklassen angewendet, die unter Unterstützte Ergebniskategorien aufgeführt sind.

Bei Angriffspfadsimulationen werden nur aktive und nicht stummgeschaltete Ergebnisse in die Berechnungen einbezogen. Ergebnisse mit dem Status INACTIVE oder MUTED werden nicht in die Simulationen einbezogen, erhalten keine Punktzahl und sind nicht in Angriffspfaden enthalten.

Ressourcen, für die Angriffsrisikobewertungen erstellt werden

Bei Angriffspfadsimulationen werden Angriffsrisikobewertungen für unterstützte Ressourcentypen in der Gruppe Ihrer hochwertigen Ressourcen berechnet. Sie geben an, welche Ressourcen zum Satz hochwertiger Ressourcen gehören, indem Sie Konfigurationen für den Wert von Ressourcen erstellen.

Wenn eine Ressource in einer Gruppe wertvoller Ressourcen eine Angriffsrisikobewertung von 0 hat, wurden bei den Angriffspfadsimulationen keine Pfade zur Ressource identifiziert, die ein potenzieller Angreifer nutzen könnte.

Für die Simulation von Angriffspfaden werden die folgenden Ressourcentypen unterstützt:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/TrainingPipeline
  • aiplatform.googleapis.com/Model
  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • spanner.googleapis.com/Instance
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Berechnung der Punktzahl

Bei jeder Ausführung der Angriffspfadsimulationen werden die Angriffsrisikobewertungen neu berechnet. Bei jeder Angriffspfadsimulation werden tatsächlich mehrere Simulationen ausgeführt, in denen ein simulierter Angreifer bekannte Angriffsmethoden und ‑techniken verwendet, um die wertvollen Ressourcen zu erreichen und zu kompromittieren.

Angriffspfadsimulationen werden etwa alle sechs Stunden ausgeführt. Wenn Ihre Organisation wächst, dauern Simulationen länger, sie werden aber immer mindestens einmal täglich ausgeführt. Simulationsläufe werden nicht durch das Erstellen, Ändern oder Löschen von Ressourcen oder Konfigurationen für den Wert von Ressourcen ausgelöst.

Bei den Simulationen werden die Werte anhand verschiedener Messwerte berechnet, darunter:

  • Der Prioritätswert, der den gefährdeten hochwertigen Ressourcen zugewiesen ist. Die Prioritätswerte, die Sie zuweisen können, haben die folgenden Werte:
    • HOCH = 10
    • MED = 5
    • LOW = 1
  • Die Anzahl der möglichen Wege, die ein Angreifer nehmen könnte, um eine bestimmte Ressource zu erreichen.
  • Die Anzahl der Male, in denen ein simulierter Angreifer eine hochwertige Ressource am Ende eines bestimmten Angriffspfads erreichen und kompromittieren kann, ausgedrückt als Prozentsatz der Gesamtzahl der Simulationen.
  • Nur für Ergebnisse: Die Anzahl der hochwertigen Ressourcen, die durch die erkannte Sicherheitslücke oder Fehlkonfiguration gefährdet sind.

Für Ressourcen können die Werte für die Angriffsrisikobewertung zwischen 0 und 10 liegen.

Ganz allgemein werden die Ressourcenbewertungen in den Simulationen berechnet, indem der Prozentsatz der erfolgreichen Angriffe mit dem numerischen Prioritätswert der Ressourcen multipliziert wird.

Für Ergebnisse gibt es keine feste Obergrenze für die Punktzahl. Je häufiger ein Ergebnis auf Angriffspfaden zu gefährdeten Ressourcen in der Gruppe hochwertiger Ressourcen auftritt und je höher die Prioritätswerte dieser Ressourcen sind, desto höher ist die Punktzahl.

Im Wesentlichen wird bei den Simulationen die Bewertung von Ergebnissen mit derselben Berechnung wie bei Ressourcenbewertungen ermittelt. Bei der Bewertung von Ergebnissen wird das Ergebnis der Berechnung jedoch mit der Anzahl der hochwertigen Ressourcen multipliziert, die durch das Ergebnis gefährdet sind.

Ergebnisse ändern

Die Werte können sich bei jeder Ausführung einer Angriffspfadsimulation ändern. Ein Ergebnis oder eine Ressource mit einem Score von null kann morgen einen Score ungleich null haben.

Die Punktzahl kann aus verschiedenen Gründen geändert werden, z. B. aus den folgenden:

  • Die Erkennung oder Behebung einer Sicherheitslücke, die direkt oder indirekt eine wertvolle Ressource offenbart.
  • Das Hinzufügen oder Entfernen von Ressourcen in Ihrer Umgebung.

Änderungen an Ergebnissen oder Ressourcen nach einer Simulation werden erst bei der nächsten Simulation in den Ergebnissen berücksichtigt.

Anhand von Werten die Suche nach Abhilfemaßnahmen priorisieren

Berücksichtigen Sie die folgenden Punkte, um die Behebung von Ergebnissen anhand ihrer Werte für die Angriffsexposition oder schädliche Kombination effektiv zu priorisieren:

  • Jedes Ergebnis mit einem Wert über null weist darauf hin, dass eine wertvolle Ressource auf irgendeine Weise potenziellen Angriffen ausgesetzt ist. Die Behebung sollte daher gegenüber Ergebnissen mit einem Wert von null priorisiert werden.
  • Je höher der Wert eines Ergebnisses ist, desto stärker sind Ihre hochwertigen Ressourcen gefährdet und desto höher sollten Sie die Behebung priorisieren.

Im Allgemeinen sollten Sie die Behebung der Ergebnisse mit den höchsten Werten priorisieren, da sie die Angriffspfade zu Ihren hochwertigen Ressourcen am effektivsten blockieren.

Wenn die Werte einer toxischen Kombination und eines Engpasses sowie eines Ergebnisses in einer anderen Ergebnisklasse ungefähr gleich sind, priorisieren Sie die Behebung der toxischen Kombination und des Engpasses. Diese stellen einen vollständigen Pfad vom öffentlichen Internet zu einer oder mehreren hochwertigen Ressourcen dar, den ein Angreifer potenziell nutzen kann, wenn er Zugriff auf Ihre Cloud-Umgebung erhält.

Auf der Seite Ergebnisse des Security Command Center in der Google Cloud Console können Sie die Ergebnisse im Seitenbereich sortieren, indem Sie auf die Spaltenüberschrift klicken.

In der Google Cloud Console können Sie auch die Ergebnisse mit den höchsten Werten aufrufen. Fügen Sie dazu der Abfrage für Ergebnisse einen Filter hinzu, der nur Ergebnisse mit einem Wert für die Anfälligkeit für Angriffe zurückgibt, der größer als eine von Ihnen angegebene Zahl ist.

Auf der Seite Fälle in Security Command Center Enterprise können Sie die Fälle für toxische Kombinationen und Engstellen auch nach dem Wert für die Angriffsgefährdung sortieren.

Ergebnisse, die nicht behoben werden können.

In einigen Fällen können Sie ein Ergebnis mit einem hohen Wert für die Angriffsexposition möglicherweise nicht beheben, weil es ein bekanntes und akzeptiertes Risiko darstellt oder weil das Ergebnis nicht sofort behoben werden kann. In diesen Fällen müssen Sie das Risiko möglicherweise auf andere Weise minimieren. Wenn Sie sich den zugehörigen Angriffspfad ansehen, erhalten Sie möglicherweise Ideen für andere mögliche Gegenmaßnahmen.

Ressourcen mit Angriffsrisikowerten schützen

Ein Angriffspfad-Risikowert ungleich null für eine Ressource bedeutet, dass bei den Angriffspfadsimulationen ein oder mehrere Angriffspfade vom öffentlichen Internet zur Ressource ermittelt wurden.

So rufen Sie die Angriffsbewertungen für Ihre hochwertigen Ressourcen auf:

  1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

    Zu Assets

  2. Wählen Sie die Organisation aus, in der Sie Security Command Center aktiviert haben.

  3. Wählen Sie den Tab Ressourcenset mit hohem Wert aus. Die Ressourcen in Ihrer Gruppe hochwertiger Ressourcen werden in absteigender Reihenfolge nach Angriffsbewertung angezeigt.

  4. Klicken Sie auf die Zahl in der Zeile einer Ressource in der Spalte Angriffsrisikobewertung, um die Angriffspfade für diese Ressource aufzurufen. Die Angriffspfade vom öffentlichen Internet zur Ressource werden angezeigt.

  5. Sehen Sie sich die Angriffspfade an. Informationen zum Interpretieren der Angriffspfade finden Sie unter Angriffspfade.

  6. Wenn Sie ein Detailfenster mit Links zu zugehörigen Ergebnissen aufrufen möchten, klicken Sie auf einen Knoten.

  7. Klicken Sie auf einen Link zu ähnlichen Ergebnissen. Das Fenster Ergebnis wird geöffnet und enthält Details zum Ergebnis und zur Behebung des Problems.

Sie können die Angriffsrisikobewertungen Ihrer hochwertigen Ressourcen auch auf dem Tab Angriffspfadsimulationen unter Einstellungen > Angriffspfadsimulation einsehen. Klicken Sie auf Wertvolle Ressourcen in der letzten Simulation ansehen.

Der Tab High value resource set ist auch auf der Seite Assets der Security Operations-Konsole verfügbar.

Angriffsbewertungen von 0

Eine Angriffsrisikobewertung von 0 für eine Ressource bedeutet, dass Security Command Center in den letzten Angriffspfadsimulationen keine potenziellen Pfade identifiziert hat, über die ein Angreifer die Ressource erreichen könnte.

Eine Angriffsrisikobewertung von 0 für ein Ergebnis bedeutet, dass der simulierte Angreifer in der letzten Angriffssimulation über das Ergebnis keine hochwertigen Ressourcen erreichen konnte.

Eine Angriffsbewertung von 0 bedeutet jedoch nicht, dass kein Risiko besteht. Eine Angriffsbewertung gibt an, wie stark die unterstützten Google Cloud Dienste, Ressourcen und Security Command Center-Ergebnisse potenziellen Bedrohungen aus dem öffentlichen Internet ausgesetzt sind. Beispielsweise werden Bedrohungen durch interne Akteure, Zero-Day-Schwachstellen oder Infrastruktur von Drittanbietern nicht berücksichtigt.

Keine Angriffsbewertung

Wenn eine Empfehlung oder Ressource keine Punktzahl hat, kann das folgende Gründe haben:

  • Das Ergebnis wurde nach der letzten Angriffspfadsimulation generiert.
  • Die Ressource wurde Ihrer Gruppe hochwertiger Ressourcen nach der letzten Angriffspfadsimulation hinzugefügt.
  • Die Funktion „Angriffsexposition“ unterstützt die Ergebniskategorie oder den Ressourcentyp nicht.

Eine Liste der unterstützten Ergebniskategorien finden Sie unter Unterstützung von Risk Engine-Funktionen.

Eine Liste der unterstützten Ressourcentypen finden Sie unter Ressourcen, die Werte für die Gefährdung durch Angriffe erhalten.

Ressourcenwerte

Obwohl alle Ihre Ressourcen in Google Cloud einen Wert haben, identifiziert Security Command Center Angriffspfade und berechnet Angriffsrisikobewertungen nur für die Ressourcen, die Sie als hochwertige Ressourcen (manchmal auch als wertvolle Ressourcen bezeichnet) festlegen.

Hochwertige Ressourcen

Eine wertvolle Ressource auf Google Cloud ist eine Ressource, die für Ihr Unternehmen besonders wichtig ist und vor potenziellen Angriffen geschützt werden muss. Beispielsweise können Ihre wertvollen Ressourcen die Ressourcen sein, in denen Ihre wertvollen oder vertraulichen Daten gespeichert sind oder auf denen Ihre geschäftskritischen Arbeitslasten gehostet werden.

Sie weisen einer Ressource den Status „hochwertig“ zu, indem Sie die Attribute der Ressource in einer Konfiguration für den Wert von Ressourcen definieren. Bis zu einem Limit von 1.000 Ressourceninstanzen behandelt Security Command Center jede Ressourceninstanz,die den in der Konfiguration angegebenen Attributen entspricht, als hochwertige Ressource.

Prioritätswerte

Unter den Ressourcen, die Sie als wertvoll einstufen, müssen Sie die Sicherheit einiger wahrscheinlich stärker priorisieren als die anderer. Eine Gruppe von Datenressourcen kann beispielsweise hochwertige Daten enthalten, aber bestimmte dieser Datenressourcen enthalten möglicherweise sensiblere Daten als die anderen.

Damit Ihre Bewertungen widerspiegeln, dass Sie die Sicherheit der Ressourcen in Ihrer Gruppe hochwertiger Ressourcen priorisieren müssen, weisen Sie in den Konfigurationen für Ressourcenwerte einen Prioritätswert zu, der Ressourcen als hochwertig kennzeichnet.

Wenn Sie Sensitive Data Protection verwenden, können Sie Ressourcen auch automatisch nach der Sensibilität der Daten priorisieren, die sie enthalten.

Prioritätswerte für Ressourcen manuell festlegen

In einer Konfiguration für den Wert von Ressourcen weisen Sie den übereinstimmenden hochwertigen Ressourcen eine Priorität zu, indem Sie einen der folgenden Prioritätswerte angeben:

  • LOW = 1
  • MEDIUM = 5
  • HIGH = 10
  • NONE = 0

Wenn Sie in einer Ressourcenwertkonfiguration den Prioritätswert LOW angeben, sind die entsprechenden Ressourcen weiterhin hochwertige Ressourcen. Bei den Angriffspfadsimulationen werden sie jedoch mit einer niedrigeren Priorität behandelt und ihnen wird eine niedrigere Angriffsrisikobewertung zugewiesen als hochwertigen Ressourcen mit dem Prioritätswert MEDIUM oder HIGH.

Wenn in mehreren Konfigurationen unterschiedliche Werte für dieselbe Ressource zugewiesen werden, gilt der höchste Wert, sofern in einer Konfiguration nicht der Wert NONE zugewiesen wird.

Bei einem Ressourcenwert von NONE werden die entsprechenden Ressourcen nicht als hochwertige Ressource betrachtet. Außerdem werden alle anderen Konfigurationen für Ressourcenwerte für dieselbe Ressource überschrieben. Achten Sie daher darauf, dass jede Konfiguration, in der NONE angegeben ist, nur für eine begrenzte Anzahl von Ressourcen gilt.

Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen

Wenn Sie die Erkennung sensibler Daten verwenden und die Datenprofile in Security Command Center veröffentlichen, können Sie Security Command Center so konfigurieren, dass der Prioritätswert bestimmter hochwertiger Ressourcen automatisch anhand der Sensibilität der Daten festgelegt wird, die die Ressourcen enthalten.

Sie aktivieren die Priorisierung der Datenvertraulichkeit, wenn Sie die Ressourcen in einer Konfiguration für Ressourcenwerte angeben.

Wenn diese Option aktiviert ist und die Erkennung im Rahmen des Schutzes sensibler Daten die Daten in einer Ressource als MEDIUM oder HIGH klassifiziert, wird der Prioritätswert der Ressource in den Angriffspfadsimulationen standardmäßig auf denselben Wert festgelegt.

Die Vertraulichkeitsstufen für Daten werden durch Sensitive Data Protection definiert, können aber so interpretiert werden:

Daten mit hoher Vertraulichkeit
Bei der Erkennung durch Sensitive Data Protection wurde mindestens eine Instanz von Daten mit hoher Sensibilität in der Ressource gefunden.
Daten mit mittlerer Vertraulichkeit
Bei der Erkennung in Sensitive Data Protection wurde mindestens eine Instanz von Daten mit mittlerer Sensibilität in der Ressource gefunden, aber keine Instanzen von Daten mit hoher Sensibilität.
Daten mit niedriger Vertraulichkeit
Bei der Erkennung durch Sensitive Data Protection wurden in der Ressource keine sensiblen Daten, kein Freitext und keine unstrukturierten Daten erkannt.

Wenn bei der Erkennung durch Sensitive Data Protection nur Daten mit geringer Vertraulichkeit in einer entsprechenden Datenressource erkannt werden, wird die Ressource nicht als Ressource mit hohem Wert gekennzeichnet.

Wenn Sie möchten, dass Datenressourcen, die nur Daten mit geringer Vertraulichkeit enthalten, als Ressourcen mit hohem Wert und niedriger Priorität gekennzeichnet werden, erstellen Sie eine doppelte Ressourcenwertkonfiguration, geben Sie aber den Prioritätswert LOW an, anstatt die Priorisierung nach Datenvertraulichkeit zu aktivieren. Die Konfiguration, die Schutz sensibler Daten verwendet, überschreibt die Konfiguration, die den Prioritätswert LOW zuweist, jedoch nur für Ressourcen, die Daten mit der Vertraulichkeit HIGH oder MEDIUM enthalten.

Sie können die Standardprioritätswerte ändern, die Security Command Center verwendet, wenn sensible Daten in der Ressourcenwertkonfiguration erkannt werden.

Weitere Informationen zum Schutz sensibler Daten finden Sie unter Schutz sensibler Daten – Übersicht.

Priorisierung der Vertraulichkeit von Daten und der standardmäßige Satz hochwertiger Ressourcen

Bevor Sie Ihren eigenen Satz hochwertiger Ressourcen erstellen, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen, um Angriffsrisikobewertungen und Angriffspfade zu berechnen.

Wenn Sie die Sensitive Data Protection-Erkennung verwenden, fügt Security Command Center automatisch Instanzen unterstützter Datentypen von Ressourcen, die HIGH- oder MEDIUM-Vertraulichkeitsdaten enthalten, der Standardgruppe mit wertvollen Ressourcen hinzu.

Unterstützte Google Cloud Ressourcentypen für automatische Prioritätswerte für die Vertraulichkeit von Daten

Bei Simulationen von Angriffspfaden können Prioritätswerte automatisch auf Grundlage von Klassifizierungen der Datenvertraulichkeit aus der Erkennung durch den Schutz sensibler Daten für die folgenden Datenressourcentypen festgelegt werden:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Unterstützte AWS-Ressourcentypen für automatische Prioritätswerte für die Vertraulichkeit von Daten

Bei Simulationen von Angriffspfaden können Prioritätswerte automatisch auf Grundlage von Klassifizierungen der Datenvertraulichkeit aus Sensitive Data Protection Discovery für die folgenden AWS-Datenressourcentypen festgelegt werden:

  • Amazon S3-Bucket

Sätze hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen ist eine definierte Sammlung der Ressourcen in Ihrer Google Cloud Umgebung, die am wichtigsten zu sichern und zu schützen sind.

Um Ihren Satz hochwertiger Ressourcen zu definieren, müssen Sie angeben, welche Ressourcen in Ihrer Google Cloud -Umgebung zu Ihrem Satz hochwertiger Ressourcen gehören. Bis Sie Ihren Satz hochwertiger Ressourcen definiert haben, spiegeln die Angriffsrisikobewertungen, Angriffspfade und Ergebnisse zu schädlichen Kombinationen Ihre Sicherheitsprioritäten nicht genau wider.

Sie geben die Ressourcen in Ihrem Satz hochwertiger Ressourcen an, indem Sie Konfigurationen für den Wert von Ressourcen erstellen. Die Kombination aller Konfigurationen für den Wert von Ressourcen definiert Ihren Satz hochwertiger Ressourcen. Weitere Informationen finden Sie unter Konfigurationen für Ressourcenwerte.

Bis Sie Ihre erste Konfiguration für den Wert von Ressourcen definieren, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen. Der Standardsatz gilt in Ihrer gesamten Organisation für alle Ressourcentypen, die von Simulationen von Angriffspfaden unterstützt werden. Weitere Informationen finden Sie unter Standardmäßiger Satz hochwertiger Ressourcen.

Wenn Sie den Satz hochwertiger Ressourcen ansehen möchten, der in der letzten Angriffspfadsimulation verwendet wurde, einschließlich der Angriffsrisikobewertungen und übereinstimmenden Konfigurationen, lesen Sie den Abschnitt Satz hochwertiger Ressourcen ansehen.

Konfigurationen von Ressourcenwerten

Sie verwalten die Ressourcen in Ihrem Satz hochwertiger Ressourcen mit Konfigurationen für den Wert von Ressourcen.

Sie erstellen Ressourcenwertkonfigurationen auf dem Tab Angriffspfadsimulation der Seite Einstellungen des Security Command Center in der Google Cloud Console.

In einer Konfiguration für Ressourcenwerte geben Sie die Attribute an, die eine Ressource haben muss, damit Security Command Center sie Ihrem Set mit Ressourcen mit hohem Wert hinzufügt.

Zu den Attributen, die Sie angeben können, gehören der Ressourcentyp, Ressourcen-Tags, Ressourcenlabels und das übergeordnete Projekt, der übergeordnete Ordner oder die übergeordnete Organisation.

Sie weisen den Ressourcen in einer Konfiguration auch einen Ressourcenwert zu. Mit dem Ressourcenwert werden die Ressourcen in einer Konfiguration im Verhältnis zu den anderen Ressourcen in der Gruppe der hochwertigen Ressourcen priorisiert. Weitere Informationen finden Sie unter Ressourcenwerte.

Sie können in einerGoogle Cloud -Organisation bis zu 100 Konfigurationen für den Wert von Ressourcen erstellen.

Zusammen definieren alle von Ihnen erstellten Ressourcenwertkonfigurationen den Satz hochwertiger Ressourcen, den Security Command Center für die Angriffspfadsimulationen verwendet.

Ressourcenattribute

Damit eine Ressource in Ihren Satz hochwertiger Ressourcen aufgenommen wird, müssen ihre Attribute mit den Attributen übereinstimmen, die Sie in einer Konfiguration für den Wert von Ressourcen angeben.

Folgende Attribute können angegeben werden:

  • Ein Ressourcentyp oder Any. Wenn Any angegeben ist, gilt die Konfiguration für alle unterstützten Ressourcentypen im angegebenen Bereich. Any ist der Standardwert.
  • Ein Bereich (die übergeordnete Organisation, der übergeordnete Ordner oder das übergeordnete Projekt), in dem sich die Ressourcen befinden müssen. Der Standardbereich ist Ihre Organisation. Wenn Sie eine Organisation oder einen Ordner angeben, gilt die Konfiguration auch für die Ressourcen in den untergeordneten Ordnern oder Projekten.
  • Optional: Ein oder mehrere Tags oder Labels, die jede Ressource enthalten muss.

Wenn Sie eine oder mehrere Konfigurationen für den Wert von Ressourcen angeben, aber keine Ressourcen in Ihrer Google Cloud -Umgebung mit den in einer der Konfigurationen angegebenen Attributen übereinstimmen, generiert Security Command Center ein SCC Error-Ergebnis und greift auf die Standardgruppe von Ressourcen mit hohem Wert zurück.

Standardsatz hochwertiger Ressourcen

Security Command Center verwendet einen Standardsatz hochwertiger Ressourcen, um Angriffsrisikobewertungen zu berechnen, wenn keine Konfigurationen für den Wert von Ressourcen definiert sind oder wenn keine der definierten Konfigurationen mit Ressourcen übereinstimmt.

Security Command Center weist Ressourcen in der Standardressource mit hohem Wert den Prioritätswert LOW zu, sofern Sie nicht die Sensitive Data Protection-Erkennung verwenden. In diesem Fall weist Security Command Center Ressourcen, die Daten mit hoher oder mittlerer Vertraulichkeit enthalten, den entsprechenden Prioritätswert HIGH oder MEDIUM zu.

Wenn Sie mindestens eine Konfiguration für Ressourcenwerte haben, die mit mindestens einer Ressource in Ihrer Umgebung übereinstimmt, verwendet Security Command Center nicht mehr den standardmäßigen Satz von Ressourcen mit hohem Wert.

Wenn Sie Angriffsrisiko- und toxische Kombinationsbewertungen erhalten möchten, die Ihre Sicherheitsprioritäten genau widerspiegeln, ersetzen Sie den Standardsatz hochwertiger Ressourcen durch Ihren eigenen Satz hochwertiger Ressourcen. Weitere Informationen finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.

In der folgenden Liste sind die Ressourcentypen aufgeführt, die im Standardressourcenset mit hohem Wert enthalten sind:

  • aiplatform.googleapis.com/Model
  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • spanner.googleapis.com/Instance
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

Beschränkung für Ressourcen in einem Satz hochwertiger Ressourcen

Security Command Center beschränkt die Anzahl der Ressourcen in einem Satz von Ressourcen mit hohem Wert auf 1.000 pro Cloud-Dienstanbieter.

Wenn die Attributspezifikationen in einer oder mehreren Ressourcenwertkonfigurationen sehr breit gefasst sind, kann die Anzahl der Ressourcen, die den Attributspezifikationen entsprechen, 1.000 überschreiten.

Wenn die Anzahl der übereinstimmenden Ressourcen das Limit überschreitet, schließt Security Command Center Ressourcen aus dem Set aus, bis die Anzahl der Ressourcen innerhalb des Limits liegt. Security Command Center schließt zuerst Ressourcen mit dem niedrigsten zugewiesenen Wert aus. Unter Ressourcen mit demselben zugewiesenen Wert schließt Security Command Center Ressourceninstanzen durch einen Algorithmus aus, der die ausgeschlossenen Ressourcen auf Ressourcentypen verteilt.

Eine Ressource, die aus der Gruppe wertvoller Ressourcen ausgeschlossen ist, wird bei der Berechnung der Angriffsbewertungen nicht berücksichtigt.

Wenn das Instanzlimit für die Berechnung des Scores überschritten wird, generiert Security Command Center ein SCC error-Ergebnis und zeigt eine Meldung auf dem Tab Einstellungen für die Simulation von Angriffspfaden in der Google Cloud Console an. Security Command Center generiert kein SCC error-Ergebnis, wenn die Standardgruppe mit hohem Wert das Instanzlimit überschreitet.

Um das Limit nicht zu überschreiten, passen Sie Ihre Konfigurationen für den Wert von Ressourcen an, um die Instanzen in Ihrem Satz hochwertiger Ressourcen zu optimieren.

Sie haben unter anderem folgende Möglichkeiten, um Ihren Satz hochwertiger Ressourcen zu optimieren:

  • Verwenden Sie Tags oder Labels, um die Anzahl der Übereinstimmungen für einen bestimmten Ressourcentyp oder innerhalb eines bestimmten Bereichs zu reduzieren.
  • Erstellen Sie eine Konfiguration für den Wert von Ressourcen, in der einem Teil der Ressourcen, die in einer anderen Konfiguration angegeben sind, der Wert NONE zugewiesen wird. Wenn Sie den Wert NONE angeben, werden alle anderen Konfigurationen überschrieben und die Ressourceninstanzen werden aus Ihrer Gruppe hochwertiger Ressourcen ausgeschlossen.
  • Reduzieren Sie die Bereichsspezifikation in der Konfiguration für Ressourcenwerte.
  • Löschen Sie Konfigurationen für den Wert von Ressourcen, denen der Wert LOW zugewiesen ist.

Hochwertige Ressourcen

Um Ihren Satz hochwertiger Ressourcen zu füllen, müssen Sie entscheiden, welche Ressourceninstanzen in Ihrer Umgebung wirklich hochwertig sind.

Im Allgemeinen sind Ihre wirklich wertvollen Ressourcen diejenigen, die Ihre sensiblen Daten verarbeiten und speichern. Auf Google Cloudkönnen das beispielsweise Compute Engine-Instanzen, ein BigQuery-Dataset oder ein Cloud Storage-Bucket sein.

Sie müssen Ressourcen, die sich in der Nähe Ihrer hochwertigen Ressourcen befinden, z. B. einen Jump-Server, nicht als hochwertig kennzeichnen. Diese angrenzenden Ressourcen werden bereits in den Angriffspfadsimulationen berücksichtigt. Wenn Sie sie auch als hochwertig einstufen, kann dies die Zuverlässigkeit Ihrer Angriffsrisikobewertungen beeinträchtigen.

Angriffspfade

Ein Angriffspfad ist eine interaktive, visuelle Darstellung eines oder mehrerer potenzieller Pfade, die ein hypothetischer Angreifer nutzen könnte, um vom öffentlichen Internet zu einer Ihrer hochwertigen Ressourceninstanzen zu gelangen.

Bei Angriffspfadsimulationen werden potenzielle Angriffspfade ermittelt, indem modelliert wird, was passieren würde, wenn ein Angreifer bekannte Angriffsmethoden auf die Sicherheitslücken und Fehlkonfigurationen anwendet, die Security Command Center in Ihrer Umgebung erkannt hat, um auf Ihre hochwertigen Ressourcen zuzugreifen.

Sie können Angriffspfade aufrufen, indem Sie in der Google Cloud -Konsole auf ein Ergebnis oder eine Ressource klicken.

Wenn Sie sich einen Fall zu schädlichen Kombinationen in der Enterprise-Stufe ansehen, können Sie auf dem Tab Übersicht des Falls einen vereinfachten Angriffspfad für die schädliche Kombination aufrufen. Der vereinfachte Angriffspfad enthält einen Link zum vollständigen Angriffspfad. Weitere Informationen zu Angriffspfaden für Ergebnisse zu schädlichen Kombinationen finden Sie unter Angriffspfade zu schädlichen Kombinationen.

Wenn Sie sich größere Angriffspfade ansehen, können Sie die Ansicht des Angriffspfads ändern, indem Sie den roten Fokusbereichs-Selektor im Miniaturbild des Angriffspfads auf der rechten Seite des Displays verschieben.

In einem Angriffspfad werden Ressourcen auf einem Angriffspfad als Kästen oder Knoten dargestellt. Die Linien stellen die potenzielle Erreichbarkeit zwischen Ressourcen dar. Zusammen stellen die Knoten und Linien den Angriffspfad dar.

Angriffspfadknoten

Die Knoten in einem Angriffspfad stellen die Ressourcen auf einem Angriffspfad dar.

Knoteninformationen anzeigen

Sie können weitere Informationen zu den einzelnen Knoten in einem Angriffspfad aufrufen, indem Sie darauf klicken.

Wenn Sie in einem Knoten auf den Ressourcennamen klicken, werden weitere Informationen zur Ressource sowie alle Ergebnisse angezeigt, die sich auf die Ressource auswirken.

Wenn Sie auf Knoten maximieren klicken, werden mögliche Angriffsmethoden angezeigt, die verwendet werden könnten, wenn ein Angreifer Zugriff auf die Ressource erhält.

Knotentypen

Es gibt drei verschiedene Arten von Knoten:

  • Der Startpunkt oder Einstiegspunkt des simulierten Angriffs, also das öffentliche Internet. Wenn Sie auf einen Einstiegspunktknoten klicken, wird eine Beschreibung des Einstiegspunkts zusammen mit Angriffsmethoden angezeigt, die ein Angreifer verwenden könnte, um Zugriff auf Ihre Umgebung zu erhalten.
  • Die betroffenen Ressourcen, die ein Angreifer verwenden kann, um auf einem Pfad voranzukommen.
  • Die gefährdete Ressource am Ende eines Pfads, die eine der Ressourcen in Ihrem Satz hochwertiger Ressourcen ist. Nur eine Ressource in einem definierten oder Standard-Satz hochwertiger Ressourcen kann eine gefährdete Ressource sein. Sie definieren einen Satz hochwertiger Ressourcen, indem Sie Konfigurationen für den Wert von Ressourcen erstellen.

Upstream- und Downstream-Knoten

In einem Angriffspfad kann ein Knoten vorgelagert oder nachgelagert von den anderen Knoten sein. Ein vorgelagerter Knoten befindet sich näher am Einstiegspunkt und am Anfang des Angriffspfads. Ein Downstream-Knoten befindet sich näher an der gefährdeten wertvollen Ressource am Ende des Angriffspfads.

Knoten, die mehrere Containerressourceninstanzen darstellen

Ein Knoten kann mehrere Instanzen bestimmter Containerressourcentypen darstellen, wenn die Instanzen dieselben Merkmale haben.

Mehrere Instanzen der folgenden Containerressourcentypen können durch einen einzelnen Knoten dargestellt werden:

  • ReplicaSet-Controller
  • Deployment Controller
  • Job-Controller
  • CronJob-Controller
  • DaemonSet-Controller

Linien für Angriffspfade

In einem Angriffspfad stellen Linien zwischen den Kästen die potenzielle Zugänglichkeit zwischen Ressourcen dar, die ein Angreifer nutzen könnte, um auf hochwertige Ressourcen zuzugreifen.

Die Linien stellen keine Beziehung zwischen Ressourcen dar, die inGoogle Clouddefiniert ist.

Wenn es mehrere Pfade gibt, die von mehreren Upstream-Knoten auf einen Downstream-Knoten verweisen, können die Upstream-Knoten entweder eine AND- oder eine OR-Beziehung zueinander haben.

Bei einer AND-Beziehung muss ein Angreifer auf beide Upstream-Knoten zugreifen, um auf einen Downstream-Knoten auf dem Pfad zuzugreifen.

Eine direkte Verbindung vom öffentlichen Internet zu einer wertvollen Ressource am Ende eines Angriffspfads hat beispielsweise eine AND-Beziehung zu mindestens einer anderen Verbindung im Angriffspfad. Ein Angreifer kann die hochwertige Ressource nur erreichen, wenn er Zugriff auf IhreGoogle Cloud -Umgebung und mindestens eine andere Ressource erhält, die im Angriffspfad dargestellt ist.

Bei einer OR-Beziehung benötigt ein Angreifer nur Zugriff auf einen der Upstream-Knoten, um auf den Downstream-Knoten zuzugreifen.

Angriffspfadsimulationen

Um alle möglichen Angriffspfade zu ermitteln und Angriffsrisikobewertungen zu berechnen, führt Security Command Center erweiterte Angriffspfadsimulationen durch.

Simulationsplan

Angriffspfadsimulationen werden etwa alle sechs Stunden ausgeführt. Wenn Ihre Organisation wächst, dauern Simulationen länger, sie werden aber immer mindestens einmal täglich ausgeführt. Simulationsläufe werden nicht durch das Erstellen, Ändern oder Löschen von Ressourcen oder Konfigurationen für den Wert von Ressourcen ausgelöst.

Schritte der Angriffspfadsimulation

Die Simulationen bestehen aus drei Schritten:

  1. Modellgenerierung: Auf Grundlage der Umgebungsdaten wird automatisch ein Modell Ihrer Google Cloud Umgebung generiert. Das Modell ist eine grafische Darstellung Ihrer Umgebung, die auf die Analyse von Angriffspfaden zugeschnitten ist.
  2. Simulation des Angriffspfads: Angriffspfadsimulationen werden für das Graphmodell durchgeführt. Bei den Simulationen versucht ein virtueller Angreifer, die Ressourcen in Ihrer Gruppe hochwertiger Ressourcen zu erreichen und zu hacken. Die Simulationen nutzen die Informationen zu jeder einzelnen Ressource und den Beziehungen, einschließlich Netzwerk, IAM, Konfigurationen, Fehlkonfigurationen und Sicherheitslücken.
  3. Berichterstellung zu Erkenntnissen: Basierend auf den Simulationen weist Security Command Center Ihren hochwertigen Ressourcen und den Ergebnissen, die sie gefährden, Angriffsrisikobewertungen zu und visualisiert die potenziellen Pfade, die ein Angreifer zu diesen Ressourcen nehmen könnte.

Merkmale der Simulationsausführung

Zusätzlich zu den Angriffsrisikobewertungen, Statistiken zu Angriffspfaden und Angriffspfaden haben Simulationen von Angriffspfaden die folgenden Merkmale:

  • Ihre Live-Umgebung wird nicht beeinträchtigt: Alle Simulationen werden in einem virtuellen Modell durchgeführt und es wird nur Lesezugriff für die Modellerstellung verwendet.
  • Sie sind dynamisch: Das Modell wird ohne Agents nur über den API-Lesezugriff erstellt. So können die Simulationen Änderungen in Ihrer Umgebung im Laufe der Zeit dynamisch nachvollziehen.
  • Dabei wird ein virtueller Angreifer eingesetzt, der so viele Methoden und Sicherheitslücken wie möglich ausprobiert, um auf Ihre hochwertigen Ressourcen zuzugreifen und sie zu kompromittieren. Dazu gehören nicht nur die bekannten Risiken wie Sicherheitslücken, Konfigurationen, Fehlkonfigurationen und Netzwerkbeziehungen, sondern auch „bekannte Unbekannte“ mit geringerer Wahrscheinlichkeit – Risiken, von denen wir wissen, dass sie bestehen, z. B. die Möglichkeit von Phishing oder durchgesickerten Anmeldedaten.
  • Sie sind automatisiert: Die Angriffslogik ist in das Tool integriert. Sie müssen keine umfangreichen Anfragesätze oder große Datasets erstellen oder verwalten.

Angreiferszenario und ‑funktionen

Bei den Simulationen stellt Security Command Center einen logischen Versuch eines Angreifers dar, Ihre hochwertigen Ressourcen auszunutzen, indem er sich Zugriff auf Ihre Google Cloud Umgebung verschafft und potenziellen Zugriffspfaden durch Ihre Ressourcen und erkannten Sicherheitslücken folgt.

Der virtuelle Angreifer

Der virtuelle Angreifer, der in den Simulationen verwendet wird, hat die folgenden Eigenschaften:

  • Der Angreifer ist extern: Der Angreifer ist kein legitimer Nutzer IhrerGoogle Cloud -Umgebung. Die Simulationen berücksichtigen keine Angriffe von böswilligen oder fahrlässigen Nutzern, die legitimen Zugriff auf Ihre Umgebung haben.
  • Der Angreifer startet über das öffentliche Internet. Um einen Angriff zu starten, muss sich der Angreifer zuerst über das öffentliche Internet Zugriff auf Ihre Umgebung verschaffen.
  • Der Angreifer ist hartnäckig. Der Angreifer wird nicht durch die Schwierigkeit einer bestimmten Angriffsmethode abgeschreckt oder verliert das Interesse.
  • Der Angreifer ist erfahren und kompetent. Der Angreifer versucht, mit bekannten Methoden und Techniken auf Ihre hochwertigen Ressourcen zuzugreifen.

Anfänglicher Zugriff

Bei jeder Simulation versucht ein virtueller Angreifer, mit den folgenden Methoden über das öffentliche Internet auf die Ressourcen in Ihrer Google Cloud -Umgebung zuzugreifen:

  • Dienste und Ressourcen, auf die über das öffentliche Internet zugegriffen werden kann, erkennen und eine Verbindung zu ihnen herstellen. In einer Google Cloud Umgebung kann dies Folgendes umfassen:
    • Dienste auf Compute Engine-VM-Instanzen und Google Kubernetes Engine-Knoten
    • Datenbanken
    • Container
    • Cloud Storage-Buckets
    • Cloud Run-Funktionen
  • Zugriff auf Schlüssel und Anmeldedaten erhalten. In einer Google Cloud Umgebung kann dies Folgendes umfassen:
    • Dienstkontoschlüssel
    • Vom Nutzer bereitgestellte Verschlüsselungsschlüssel
    • SSH-Schlüssel für VM-Instanzen
    • Projektweite SSH-Schlüssel
    • Externe Schlüsselverwaltungssysteme
    • Nutzerkonten, für die die Multi-Faktor-Authentifizierung (MFA) nicht erzwungen wird
    • Abgefangene virtuelle MFA-Tokens
  • Zugriff auf öffentlich erreichbare Cloud-Assets durch Verwendung gestohlener Anmeldedaten oder Ausnutzung von Sicherheitslücken.

Wenn bei der Simulation ein möglicher Einstiegspunkt in die Umgebung gefunden wird, versucht der virtuelle Angreifer, von diesem Einstiegspunkt aus auf Ihre wichtigen Ressourcen zuzugreifen und sie zu kompromittieren. Dazu werden Sicherheitskonfigurationen und Sicherheitslücken in der Umgebung nacheinander untersucht und ausgenutzt.

Taktiken und Techniken

Bei der Simulation werden eine Vielzahl von Taktiken und Techniken eingesetzt, darunter die Nutzung von legitimem Zugriff, laterale Bewegung, Rechteausweitung, Sicherheitslücken, Fehlkonfigurationen und Codeausführung.

Einbeziehung von CVE-Daten

Bei der Berechnung von Angriffsrisikobewertungen für Ergebnisse zu Sicherheitslücken werden in den Angriffspfadsimulationen Daten aus dem CVE-Eintrag der Sicherheitslücke, den CVSS-Werten sowie Bewertungen der Ausnutzbarkeit der Sicherheitslücke berücksichtigt, die von Mandiant bereitgestellt werden.

Die folgenden CVE-Informationen werden berücksichtigt:

  • Angriffsvektor: Der Angreifer muss die in der CVSS-Angriffsvektor-Spezifikation angegebene Zugriffsebene haben, um die CVE zu nutzen. Ein CVE mit einem Netzwerkangriffsvektor, der auf einem Asset mit einer öffentlichen IP-Adresse und offenen Ports gefunden wird, kann beispielsweise von einem Angreifer mit Netzwerkzugriff ausgenutzt werden. Wenn ein Angreifer nur Netzwerkzugriff hat und für das CVE physischer Zugriff erforderlich ist, kann der Angreifer das CVE nicht ausnutzen.
  • Angriffskomplexität: Im Allgemeinen ist es wahrscheinlicher, dass eine Sicherheitslücke oder Fehlkonfiguration mit geringer Angriffskomplexität eine hohe Bewertung für das Angriffsrisiko erhält als eine mit hoher Angriffskomplexität.
  • Ausnutzungsaktivität: Im Allgemeinen erhält ein Schwachstellenbefund mit einer breiten Ausnutzungsaktivität, die von Cyber-Threat-Intelligence-Analysten bei Mandiant ermittelt wurde, eher einen hohen Wert für die Angriffsgefährdung als ein Befund mit nur erwarteter Ausnutzungsaktivität. Eine Sicherheitslücke ohne bekannte Ausnutzungsaktivitäten wird bei den Simulationen von Angriffspfaden nicht berücksichtigt.

Risikobewertungen für Multi-Cloud-Umgebungen

Zusätzlich zu Google Cloudkann Security Command Center Angriffspfadsimulationen ausführen, um das Risiko in Ihren Bereitstellungen auf mehreren Cloud-Dienstanbieterplattformen zu bewerten.

Nachdem Sie eine Verbindung zu einer anderen Plattform hergestellt haben, können Sie Ihre hochwertigen Ressourcen beim anderen Cloud-Dienstanbieter festlegen, indem Sie Konfigurationen für den Ressourcenwert erstellen, wie Sie es für Ressourcen auf Google Cloudtun würden.

Security Command Center führt Simulationen für eine Cloud-Plattform unabhängig von Simulationen aus, die für andere Cloud-Plattformen ausgeführt werden.

Bevor Sie die erste Ressourcenwertkonfiguration für einen anderen Cloud-Dienstanbieter erstellen, verwendet Security Command Center einen standardmäßigen Satz von Ressourcen mit hohem Wert, der für jeden Cloud-Dienstanbieter spezifisch ist.

Hier finden Sie weitere Informationen:

AWS

Microsoft Azure