Puntuaciones de exposición a ataques y rutas de ataque

En esta página, se explican los conceptos, los principios y las restricciones clave para ayudarte a conocer, definir y usar las puntuaciones de exposición al ataque y las rutas de ataque que genera el motor de riesgos de Security Command Center.

Las puntuaciones y las rutas de ataque se generan para los siguientes elementos:

• Son los descubrimientos de vulnerabilidades y errores de configuración (descubrimientos de vulnerabilidades, en conjunto) que exponen las instancias de recursos en tu conjunto de recursos efectivos de alto valor.
• Son los recursos de tu conjunto de recursos de alto valor efectivo.
• Problemas en Security Command Center Enterprise, que contienen combinaciones tóxicas y puntos de estrangulamiento.

Para usar las puntuaciones de exposición a ataques y las rutas de ataque, debes activar el nivel Premium o Enterprise de Security Command Center a nivel de la organización. No puedes usar las puntuaciones de exposición a ataques ni las rutas de ataque con las activaciones a nivel del proyecto.

Las rutas de ataque representan posibilidades

No verás evidencia de un ataque real en una ruta de ataque.

El motor de riesgos genera rutas de ataque y puntuaciones de exposición a ataques simulando lo que podrían hacer los atacantes hipotéticos si obtuvieran acceso a tu entorno Google Cloud y descubrieran las rutas de ataque y las vulnerabilidades que Security Command Center ya encontró.

Cada ruta de ataque te muestra uno o más métodos de ataque que un atacante podría usar si obtuviera acceso a un recurso en particular. No confundas estos métodos de ataque con ataques reales.

Del mismo modo, una puntuación alta de exposición a ataques en cualquiera de los siguientes elementos no significa que haya un ataque en curso:

• Un hallazgo o recurso de Security Command Center
• Un problema de Security Command Center Enterprise

Para detectar ataques reales, supervisa los resultados de la clase THREAT que producen los servicios de detección de amenazas, como Event Threat Detection y Container Threat Detection.

Para obtener más información, consulta las siguientes secciones de esta página:

• Puntuaciones de exposición al ataque
• Rutas de ataque
• Simulaciones de rutas de ataque

Puntuaciones de exposición al ataque

Aparece una puntuación de exposición al ataque para lo siguiente:

• Un hallazgo o recurso de Security Command Center
• Un problema de Security Command Center Enterprise

La puntuación de exposición a ataques es una medida de la exposición de los recursos a posibles ataques si un agente malicioso obtuviera acceso a tu entorno de Google Cloud.

En algunos contextos, como la página Hallazgos de la consola de Google Cloud , la puntuación de exposición al ataque en un hallazgo de combinación tóxica o punto crítico se denomina puntuación de combinación tóxica.

En las descripciones de cómo se calculan las puntuaciones, en la orientación general sobre la priorización de la corrección de hallazgos y en otros contextos, el término puntuación de exposición a ataques también se aplica a las puntuaciones de combinación tóxica.

En un hallazgo, la puntuación es una medida de la exposición de uno o más recursos de alto valor a posibles ciberataques debido a un problema de seguridad detectado. En un recurso de alto valor, la puntuación es una medida de la exposición del recurso a posibles ciberataques.

Usa las puntuaciones de vulnerabilidad del software, configuración incorrecta y combinación tóxica o punto crítico^{Vista previa} para priorizar la corrección de esos hallazgos.

Usa las puntuaciones de exposición a ataques en los recursos para proteger de forma proactiva los recursos más valiosos para tu empresa.

En las simulaciones de rutas de ataque, el motor de riesgos siempre inicia los ataques simulados desde Internet pública. Por lo tanto, las puntuaciones de exposición a ataques no tienen en cuenta ninguna posible exposición a agentes internos maliciosos o negligentes.

Hallazgos que reciben puntuaciones de exposición al ataque

Las puntuaciones de exposición al ataque se aplican a las clases de resultados activos que se enumeran en Categorías de resultados admitidas.

Las simulaciones de rutas de ataque solo incluyen los resultados activos y no silenciados en sus cálculos. Los hallazgos con el estado INACTIVE o MUTED no se incluyen en las simulaciones, no reciben puntuaciones y no se incluyen en las rutas de ataque.

Recursos que reciben puntuaciones de exposición a ataques

Las simulaciones de rutas de ataque calculan las puntuaciones de exposición a ataques para los tipos de recursos admitidos en tu conjunto de recursos de alto valor. Para especificar qué recursos pertenecen al conjunto de recursos de alto valor, crea configuraciones de valor de recursos.

Si un recurso de un conjunto de recursos de alto valor tiene una puntuación de exposición a ataques de 0, las simulaciones de rutas de ataque no identificaron ninguna ruta al recurso que un atacante potencial podría aprovechar.

Las simulaciones de rutas de ataque admiten los siguientes tipos de recursos:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/TrainingPipeline

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• container.googleapis.com/Cluster

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Cálculo de la puntuación

Cada vez que se ejecutan las simulaciones de rutas de ataque, se vuelven a calcular las puntuaciones de exposición a ataques. Cada simulación de ruta de ataque ejecuta varias simulaciones en las que un atacante simulado prueba métodos y técnicas de ataque conocidos para alcanzar y comprometer los recursos valiosos.

Las simulaciones de rutas de ataque se ejecutan aproximadamente cada seis horas. A medida que tu organización crezca, las simulaciones tardarán más, pero siempre se ejecutarán al menos una vez al día. Las ejecuciones de simulación no se activan con la creación, modificación o eliminación de recursos o configuraciones de valor de recursos.

Las simulaciones calculan las puntuaciones con una variedad de métricas, incluidas las siguientes:

• Es el valor de prioridad que se asigna a los recursos de alto valor que se exponen. Los valores de prioridad que puedes asignar tienen los siguientes valores:
  • HIGH = 10
  • MED = 5
  • LOW = 1
• Es la cantidad de rutas posibles que puede tomar un atacante para llegar a un recurso determinado.
• Es la cantidad de veces que un atacante simulado puede alcanzar y comprometer un recurso de alto valor al final de una ruta de ataque determinada, expresada como un porcentaje de la cantidad total de simulaciones.
• Solo para los hallazgos, es la cantidad de recursos de alto valor que están expuestos por la vulnerabilidad o el error de configuración detectados.

En el caso de los recursos, las puntuaciones de exposición a ataques pueden variar de 0 a 10.

En términos generales, las simulaciones calculan las puntuaciones de los recursos multiplicando el porcentaje de ataques exitosos por el valor de prioridad numérica de los recursos.

En el caso de los hallazgos, las puntuaciones no tienen un límite superior fijo. Cuanto más a menudo se produzca un hallazgo en las rutas de ataque a los recursos expuestos en el conjunto de recursos de alto valor y cuanto más altos sean los valores de prioridad de esos recursos, mayor será la puntuación.

En términos generales, las simulaciones calculan las puntuaciones de los resultados con el mismo cálculo que utilizan para las puntuaciones de los recursos, pero, para las puntuaciones de los resultados, las simulaciones multiplican el resultado del cálculo por la cantidad de recursos de alto valor que expone el resultado.

Cómo cambiar las puntuaciones

Las puntuaciones pueden cambiar cada vez que se ejecuta una simulación de ruta de ataque. Un recurso o un hallazgo que hoy tiene una puntuación de cero podría tener una puntuación distinta de cero mañana.

Las puntuaciones cambian por varios motivos, incluidos los siguientes:

• Es la detección o corrección de una vulnerabilidad que expone, de forma directa o indirecta, un recurso valioso.
• La adición o eliminación de recursos en tu entorno

Los cambios en los hallazgos o recursos después de que se ejecuta una simulación no se reflejan en las puntuaciones hasta que se ejecuta la siguiente simulación.

Cómo usar las puntuaciones para priorizar la búsqueda de correcciones

Para priorizar de manera eficaz la corrección de los hallazgos en función de su exposición a ataques o sus puntuaciones de combinaciones tóxicas, ten en cuenta los siguientes puntos:

• Cualquier hallazgo que tenga una puntuación mayor que cero expone un recurso valioso a un posible ataque de alguna manera, por lo que la corrección debe priorizarse por sobre los hallazgos que tienen una puntuación de cero.
• Cuanto más alta sea la puntuación de un hallazgo, más expondrá tus recursos de alto valor y más alta será la prioridad que deberías darle a su corrección.

En general, prioriza la corrección de los hallazgos que tienen las puntuaciones más altas y que bloquean de manera más eficaz las rutas de ataque a tus recursos de alto valor.

Si las puntuaciones de una combinación tóxica y un punto crítico, y de un hallazgo en otra clase de hallazgos son aproximadamente iguales, prioriza la corrección de la combinación tóxica y el punto crítico, ya que representan una ruta completa desde Internet pública hasta uno o más recursos de alto valor que un atacante podría seguir si obtiene acceso a tu entorno de nube.

En la página Resultados de Security Command Center en la Google Cloud consola, puedes ordenar los resultados del panel de la página por puntuación haciendo clic en el encabezado de la columna.

En la consola de Google Cloud , también puedes ver los hallazgos con las puntuaciones más altas. Para ello, agrega un filtro a la consulta de hallazgos que muestre solo los hallazgos con una puntuación de exposición al ataque superior a un número que especifiques.

En la página Casos de Security Command Center Enterprise, también puedes ordenar los casos de combinaciones tóxicas y de cuello de botella según la puntuación de exposición a ataques.

Son los hallazgos que no se pueden corregir.

En algunos casos, es posible que no puedas corregir un hallazgo con una puntuación de exposición al ataque alta, ya sea porque representa un riesgo conocido y aceptado, o porque el hallazgo no se puede corregir de inmediato. En estos casos, es posible que debas mitigar el riesgo de otras maneras. Revisar la ruta de ataque asociada puede darte ideas para otras posibles mitigaciones.

Protege recursos con las puntuaciones de exposición a ataques

Una puntuación de exposición a ataques distinta de cero en un recurso significa que las simulaciones de rutas de ataque identificaron una o más rutas de ataque desde Internet pública hasta el recurso.

Para ver las puntuaciones de exposición a los ataques de tus recursos de alto valor, sigue estos pasos:

1. En la consola de Google Cloud , ve a la página Activos de Security Command Center.

   Ir a recursos

2. Selecciona la organización en la que activaste Security Command Center.

3. Selecciona la pestaña Conjunto de recursos de alto valor. Los recursos de tu conjunto de recursos de alto valor se muestran en orden descendente según la puntuación de exposición a ataques.

4. Para mostrar las rutas de ataque de un recurso, haz clic en el número de su fila en la columna Puntuación de exposición a ataques. Se muestran las rutas de ataque desde Internet pública hasta el recurso.

5. Revisa las rutas de ataque. Para obtener información sobre cómo interpretar las rutas de ataque, consulta Rutas de ataque.

6. Para mostrar una ventana de detalles con vínculos para ver los resultados relacionados, haz clic en un nodo.

7. Haz clic en un vínculo de resultados relacionados. Se abrirá la ventana Hallazgo con detalles sobre el hallazgo y cómo corregirlo.

También puedes ver las puntuaciones de exposición a los ataques de tus recursos de alto valor en la pestaña Simulaciones de rutas de ataque en Configuración > pestaña Simulación de ruta de ataque. Haz clic en Ver los recursos de valor que se usaron en la última simulación.

La pestaña Conjunto de recursos de alto valor también está disponible en la página Recursos de la consola de Operaciones de seguridad.

Puntuaciones de exposición al ataque de 0

Una puntuación de exposición a ataques de 0 en un recurso significa que, en las simulaciones de rutas de ataque más recientes, Security Command Center no identificó ninguna ruta potencial que un atacante podría tomar para llegar al recurso.

Una puntuación de exposición a ataques de 0 en un hallazgo significa que, en la simulación de ataque más reciente, el atacante simulado no pudo acceder a ningún recurso de alto valor a través del hallazgo.

Sin embargo, una puntuación de exposición al ataque de 0 no significa que no haya riesgo. La puntuación de exposición a ataques refleja la exposición de los servicios, los recursos y los hallazgos de Security Command Center compatibles a las posibles amenazas que se originan en Internet pública. Google Cloud Por ejemplo, las puntuaciones no tienen en cuenta las amenazas de actores internos, las vulnerabilidades de día cero ni la infraestructura de terceros.

No hay puntuación de exposición al ataque

Si un recurso o un hallazgo no tiene una puntuación, puede deberse a los siguientes motivos:

• El hallazgo se generó después de la simulación de ruta de ataque más reciente.
• El recurso se agregó a tu conjunto de recursos de alto valor después de la simulación de ruta de ataque más reciente.
• La función de exposición a ataques no admite la categoría de hallazgo ni el tipo de recurso.

Para obtener una lista de las categorías de hallazgos admitidas, consulta Compatibilidad con las funciones del motor de riesgos.

Para obtener una lista de los tipos de recursos admitidos, consulta Recursos que reciben puntuaciones de exposición al ataque.

Valores de recursos

Si bien todos tus recursos en Google Cloud tienen valor, Security Command Center identifica las rutas de ataque y calcula las puntuaciones de exposición a ataques solo para los recursos que designas como recursos de alto valor (a veces denominados recursos valiosos).

Recursos de alto valor

Un recurso valioso en Google Cloud es un recurso que es especialmente importante para tu empresa y que debes proteger de posibles ataques. Por ejemplo, tus recursos de alto valor pueden ser los que almacenan tus datos valiosos o sensibles, o los que alojan tus cargas de trabajo esenciales para la empresa.

Para designar un recurso como de alto valor, define sus atributos en una configuración de valor de recurso. Hasta un límite de 1,000 instancias de recursos, Security Command Center trata cualquier instancia de recurso que coincida con los atributos que especifiques en la configuración como un recurso de alto valor.

Valores de prioridad

Entre los recursos que designes como de alto valor, es probable que debas priorizar la seguridad de algunos más que de otros. Por ejemplo, un conjunto de recursos de datos puede contener datos valiosos, pero algunos de esos recursos pueden contener datos más sensibles que el resto.

Para que tus puntuaciones reflejen tu necesidad de priorizar la seguridad de los recursos dentro de tu conjunto de recursos de alto valor, asigna un valor de prioridad en las configuraciones de valor de recursos que designa los recursos como de alto valor.

Si usas Sensitive Data Protection, también puedes priorizar los recursos automáticamente según la sensibilidad de los datos que contienen.

Cómo establecer valores de prioridad de recursos de forma manual

En una configuración de valor de recurso, asigna una prioridad a los recursos de alto valor coincidentes especificando uno de los siguientes valores de prioridad:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Si especificas un valor de prioridad de LOW en un parámetro de configuración de valor de recurso, los recursos coincidentes seguirán siendo recursos de alto valor. Las simulaciones de rutas de ataque solo los tratarán con una prioridad más baja y les asignarán una puntuación de exposición a ataques más baja que a los recursos de alto valor que tienen un valor de prioridad de MEDIUM o HIGH.

Si varios parámetros de configuración asignan valores diferentes para el mismo recurso, se aplica el valor más alto, a menos que un parámetro de configuración asigne un valor de NONE.

Un valor de recurso de NONE excluye los recursos coincidentes para que no se consideren recursos de alto valor y anula cualquier otra configuración de valor de recurso para el mismo recurso. Por este motivo, asegúrate de que cualquier configuración que especifique NONE se aplique solo a un conjunto limitado de recursos.

Establece valores de prioridad de recursos automáticamente según la sensibilidad de los datos

Si usas el descubrimiento de Sensitive Data Protection y publicas los perfiles de datos en Security Command Center, puedes configurar Security Command Center para que establezca automáticamente el valor de prioridad de ciertos recursos valiosos según la sensibilidad de los datos que contienen los recursos.

Habilitas la priorización de la sensibilidad de los datos cuando especificas los recursos en una configuración de valores de recursos.

Cuando está habilitada, si el descubrimiento de Sensitive Data Protection clasifica los datos de un recurso como de sensibilidad MEDIUM o HIGH, las simulaciones de rutas de ataque establecen de forma predeterminada el valor de prioridad del recurso en ese mismo valor.

Los niveles de sensibilidad de los datos los define la Protección de datos sensibles, pero puedes interpretarlos de la siguiente manera:

Datos de alta sensibilidad

El descubrimiento de Sensitive Data Protection encontró al menos una instancia de datos de alta sensibilidad en el recurso.

Datos de sensibilidad media

El descubrimiento de la Protección de datos sensibles encontró al menos una instancia de datos de sensibilidad media en el recurso y ninguna instancia de datos de sensibilidad alta.

Datos de sensibilidad baja

El descubrimiento de la Protección de datos sensibles no detectó datos sensibles ni texto de formato libre o datos no estructurados en el recurso.

Si el descubrimiento de Sensitive Data Protection identifica solo datos de baja sensibilidad en un recurso de datos coincidente, el recurso no se designa como un recurso valioso.

Si necesitas que los recursos de datos que solo contienen datos de baja sensibilidad se designen como recursos de alto valor con baja prioridad, crea una configuración de valores de recursos duplicada, pero especifica un valor de prioridad de LOW en lugar de habilitar la priorización de la sensibilidad de los datos. La configuración que usa la Protección de datos sensibles anula la configuración que asigna el valor de prioridad LOW, pero solo para los recursos que contienen datos de sensibilidad HIGH o MEDIUM.

Puedes cambiar los valores de prioridad predeterminados que usa Security Command Center cuando se detectan datos sensibles en la configuración de valores de recursos.

Para obtener más información sobre Sensitive Data Protection, consulta la descripción general de Sensitive Data Protection.

Priorización de la sensibilidad de los datos y el conjunto predeterminado de recursos de alto valor

Antes de que crees tu propio conjunto de recursos de alto valor, Security Command Center usa un conjunto predeterminado para calcular las puntuaciones de exposición a ataques y las rutas de ataque.

Si usas el descubrimiento de Sensitive Data Protection, Security Command Center agrega automáticamente instancias de tipos de recursos de datos admitidos que contienen datos de sensibilidad HIGH o MEDIUM al conjunto predeterminado de recursos de alto valor.

Tipos de recursos Google Cloud admitidos para los valores de prioridad automatizados de sensibilidad de los datos

Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad según las clasificaciones de sensibilidad de los datos del descubrimiento de Sensitive Data Protection solo para los siguientes tipos de recursos de datos:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Tipos de recursos de AWS admitidos para valores de prioridad de sensibilidad de datos automatizados

Las simulaciones de rutas de ataque pueden establecer automáticamente valores de prioridad según las clasificaciones de sensibilidad de los datos del descubrimiento de Sensitive Data Protection solo para los siguientes tipos de recursos de datos de AWS:

• Bucket de Amazon S3

Conjuntos de recursos de alto valor

Un conjunto de recursos de alto valor es una colección definida de los recursos de tu entorno de Google Cloud que son los más importantes para proteger y asegurar.

Para definir tu conjunto de recursos de alto valor, debes especificar qué recursos de tu entorno Google Cloud pertenecen a tu conjunto de recursos de alto valor. Hasta que no definas tu conjunto de recursos de alto valor, las puntuaciones de exposición a ataques, las rutas de ataque y los hallazgos de combinaciones tóxicas no reflejarán con precisión tus prioridades de seguridad.

Para especificar los recursos en tu conjunto de recursos de alto valor, crea configuraciones de valor de recursos. La combinación de todas tus configuraciones de valor de recursos define tu conjunto de recursos de alto valor. Para obtener más información, consulta Configuraciones de valores de recursos.

Hasta que definas tu primera configuración de valor de recursos, Security Command Center usará un conjunto predeterminado de recursos de alto valor. El conjunto predeterminado se aplica en toda tu organización a todos los tipos de recursos que admiten las simulaciones de rutas de ataque. Para obtener más información, consulta Conjunto de recursos predeterminado de alto valor.

Para ver el conjunto de recursos de alto valor que se usó en la última simulación de ruta de ataque, incluidas las puntuaciones de exposición a ataques y las configuraciones coincidentes, consulta Cómo ver el conjunto de recursos de alto valor.

Parámetros de configuración de valores de recursos

Administras los recursos de tu conjunto de recursos de alto valor con la configuración de valor de recursos.

Crea parámetros de configuración de valor de recursos en la pestaña Simulación de ruta de ataque de la página Configuración de Security Command Center en la consola de Google Cloud .

En una configuración de valor de recurso, especificas los atributos que debe tener un recurso para que Security Command Center lo agregue a tu conjunto de recursos valiosos.

Entre los atributos que puedes especificar, se incluyen el tipo de recurso, las etiquetas de recursos, las etiquetas y el proyecto, la carpeta o la organización principal.

También asignas un valor de recurso a los recursos de una configuración. El valor del recurso prioriza los recursos en una configuración en relación con los demás recursos del conjunto de recursos de alto valor. Para obtener más información, consulta Valores de recursos.

Puedes crear hasta 100 configuraciones de valores de recursos en una organización deGoogle Cloud .

En conjunto, todos los parámetros de configuración de valores de recursos que creas definen el conjunto de recursos de alto valor que Security Command Center usa para las simulaciones de rutas de ataque.

Atributos de recursos

Para que un recurso se incluya en tu conjunto de recursos de alto valor, sus atributos deben coincidir con los atributos que especificas en una configuración de valor de recursos.

Entre los atributos que puedes especificar, se incluyen los siguientes:

• Es un tipo de recurso o Any. Cuando se especifica Any, la configuración se aplica a todos los tipos de recursos admitidos dentro del alcance especificado. Any es el valor predeterminado.
• Es un alcance (la organización, la carpeta o el proyecto principal) dentro del cual deben residir los recursos. El alcance predeterminado es tu organización. Si especificas una organización o una carpeta, la configuración también se aplica a los recursos de las carpetas o los proyectos secundarios.
• De manera opcional, una o más etiquetas o rótulos que debe contener cada recurso.

Si especificas una o más configuraciones de valor de recursos, pero ningún recurso en tu entorno de Google Cloud coincide con los atributos especificados en alguna de las configuraciones, Security Command Center genera un hallazgo de SCC Error y recurre al conjunto predeterminado de recursos de alto valor.

Conjunto de recursos de alto valor predeterminado

Security Command Center usa un conjunto predeterminado de recursos de alto valor para calcular las puntuaciones de exposición a ataques cuando no se definen parámetros de configuración de valores de recursos o cuando ningún parámetro de configuración definido coincide con algún recurso.

Security Command Center asigna a los recursos del conjunto predeterminado de recursos de alto valor un valor de prioridad de LOW, a menos que uses el descubrimiento de la Protección de datos sensibles, en cuyo caso Security Command Center asigna a los recursos que contienen datos de sensibilidad alta o media un valor de prioridad correspondiente de HIGH o MEDIUM.

Si tienes al menos una configuración de valor de recurso que coincide con al menos un recurso de tu entorno, Security Command Center dejará de usar el conjunto predeterminado de recursos de alto valor.

Para recibir puntuaciones de exposición a ataques y combinaciones tóxicas que reflejen con precisión tus prioridades de seguridad, reemplaza el conjunto de recursos de alto valor predeterminado por uno propio. Para obtener más información, consulta Cómo definir y administrar tu conjunto de recursos de alto valor.

En la siguiente lista, se muestran los tipos de recursos que se incluyen en el conjunto predeterminado de recursos de alto valor:

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Límite de recursos en un conjunto de recursos de alto valor

Security Command Center limita la cantidad de recursos en un conjunto de recursos valiosos a 1,000 por proveedor de servicios en la nube.

Si las especificaciones de atributos en uno o más parámetros de configuración de valor de recursos son muy amplias, la cantidad de recursos que coinciden con las especificaciones de atributos puede superar los 1,000.

Cuando la cantidad de recursos coincidentes supera el límite, Security Command Center excluye recursos del conjunto hasta que la cantidad de recursos esté dentro del límite. Security Command Center excluye primero los recursos con el valor asignado más bajo. Entre los recursos con el mismo valor asignado, Security Command Center excluye las instancias de recursos según un algoritmo que distribuye los recursos excluidos entre los tipos de recursos.

Un recurso que se excluye del conjunto de recursos de alto valor no se considera en el cálculo de las puntuaciones de exposición a ataques.

Para alertarte cuando se supera el límite de instancias para el cálculo de la puntuación, Security Command Center genera un hallazgo de SCC error y muestra un mensaje en la pestaña de configuración Simulación de ruta de ataque en la consola de Google Cloud . Security Command Center no genera un hallazgo de SCC error si el conjunto predeterminado de alto valor supera el límite de instancias.

Para no superar el límite, ajusta las configuraciones de valor de recursos para definir mejor las instancias en tu conjunto de recursos de alto valor.

Estas son algunas de las acciones que puedes realizar para definir mejor tu conjunto de recursos de alto valor:

• Usa etiquetas o rótulos para reducir la cantidad de coincidencias de un tipo de recurso determinado o dentro de un alcance especificado.
• Crea una configuración del valor de recurso que asigne un valor de NONE a un subconjunto de los recursos especificados en otra configuración. Si especificas un valor de NONE, se anulará cualquier otra configuración y se excluirán las instancias de recursos de tu conjunto de recursos de alto valor.
• Reduce la especificación del alcance en la configuración del valor del recurso.
• Borra las configuraciones de valor de recurso que asignan un valor de LOW.

Recursos de alto valor

Para completar tu conjunto de recursos de alto valor, debes decidir qué instancias de recursos en tu entorno son realmente de alto valor.

Por lo general, tus recursos valiosos reales son los que procesan y almacenan tus datos sensibles. Por ejemplo, en Google Cloud, estos pueden ser instancias de Compute Engine, un conjunto de datos de BigQuery o un bucket de Cloud Storage.

No es necesario que designes como de alto valor los recursos que se encuentran junto a tus recursos de alto valor, como un servidor de salto. Las simulaciones de rutas de ataque ya tienen en cuenta estos recursos adyacentes, y si también los designas como de alto valor, tus puntuaciones de exposición a ataques pueden ser menos confiables.

Rutas de ataque

Una ruta de ataque es una representación visual interactiva de una o más rutas potenciales que un atacante hipotético podría tomar para llegar desde Internet pública a una de tus instancias de recursos de alto valor.

Las simulaciones de rutas de ataque identifican posibles rutas de ataque modelando lo que sucedería si un atacante aplicara métodos de ataque conocidos a las vulnerabilidades y los parámetros de configuración incorrectos que Security Command Center detectó en tu entorno para intentar llegar a tus recursos de alto valor.

Para ver las rutas de ataque, haz clic en la puntuación de exposición a ataques de un hallazgo o recurso en la consola de Google Cloud .

En el nivel Enterprise, cuando ves un caso de combinación tóxica, puedes ver una ruta de ataque simplificada para la combinación tóxica en la pestaña Overview del caso. La ruta de ataque simplificada incluye un vínculo a la ruta de ataque completa. Para obtener más información sobre las rutas de ataque de los hallazgos de combinación tóxica, consulta Rutas de ataque de combinación tóxica.

Cuando visualices rutas de ataque más grandes, puedes cambiar la vista de la ruta de ataque arrastrando el selector de área de enfoque cuadrado rojo alrededor de la vista en miniatura de la ruta de ataque en el lado derecho de la pantalla.

En una ruta de ataque, los recursos se representan como cuadros o nodos. Las líneas representan la posible accesibilidad entre los recursos. En conjunto, los nodos y las líneas representan la ruta de ataque.

Nodos de ruta de ataque

Los nodos de una ruta de ataque representan los recursos de esa ruta.

Cómo mostrar la información del nodo

Puedes hacer clic en cada nodo de una ruta de ataque para mostrar más información sobre él.

Si haces clic en el nombre del recurso en un nodo, se muestra más información sobre el recurso, así como los hallazgos que lo afectan.

Si haces clic en Expand node, se muestran los posibles métodos de ataque que se podrían usar si un atacante obtuviera acceso al recurso.

Tipos de nodos

Existen tres tipos diferentes de nodos:

• El punto de partida o punto de entrada del ataque simulado, que es Internet público. Si haces clic en un nodo de punto de entrada, se muestra una descripción del punto de entrada junto con los métodos de ataque que un atacante podría usar para acceder a tu entorno.
• Los recursos afectados que un atacante puede usar para avanzar en una ruta.
• El recurso expuesto al final de una ruta, que es uno de los recursos de tu conjunto de recursos de alto valor. Solo un recurso en un conjunto de recursos de alto valor definido o predeterminado puede ser un recurso expuesto. Para definir un conjunto de recursos de alto valor, crea configuraciones de valor de recursos.

Nodos upstream y downstream

En una ruta de ataque, un nodo puede ser ascendente o descendente con respecto a los demás nodos. Un nodo ascendente está más cerca del punto de entrada y de la parte superior de la ruta de ataque. Un nodo posterior está más cerca del recurso expuesto de alto valor en la parte inferior de la ruta de ataque.

Nodos que representan varias instancias de recursos de contenedores

Un nodo puede representar varias instancias de ciertos tipos de recursos de contenedor si las instancias comparten las mismas características.

Un solo nodo puede representar varias instancias de los siguientes tipos de recursos de contenedor:

• Controlador de ReplicaSet
• Controlador de objeto Deployment
• Controlador de trabajo
• Controlador de CronJob
• Controlador de DaemonSet

Líneas de ruta de ataque

En una ruta de ataque, las líneas entre los cuadros representan la posible accesibilidad entre los recursos que un atacante podría aprovechar para llegar a los recursos de alto valor.

Las líneas no representan una relación entre recursos que se define enGoogle Cloud.

Si hay varias rutas que apuntan a un nodo de nivel inferior desde varios nodos de nivel superior, los nodos de nivel superior pueden tener una relación AND o OR entre sí.

Una relación AND significa que un atacante necesita acceso a ambos nodos ascendentes para acceder a un nodo descendente en la ruta.

Por ejemplo, una línea directa desde Internet pública hasta un recurso valioso al final de una ruta de ataque tiene una relación AND con al menos otra línea en la ruta de ataque. Un atacante no podría llegar al recurso de alto valor a menos que obtenga acceso a tu entorno deGoogle Cloud y a al menos otro recurso que se muestre en la ruta de ataque.

Una relación OR significa que un atacante solo necesita acceso a uno de los nodos upstream para acceder al nodo downstream.

Simulaciones de rutas de ataque

Para determinar todas las rutas de ataque posibles y calcular las puntuaciones de exposición a ataques, Security Command Center realiza simulaciones avanzadas de rutas de ataque.

Programación de la simulación

Las simulaciones de rutas de ataque se ejecutan aproximadamente cada seis horas. A medida que tu organización crezca, las simulaciones tardarán más, pero siempre se ejecutarán al menos una vez al día. Las ejecuciones de simulación no se activan con la creación, modificación o eliminación de recursos o configuraciones de valor de recursos.

Pasos de la simulación de ruta de ataque

Las simulaciones constan de tres pasos:

1. Generación del modelo: Se genera automáticamente un modelo de tu Google Cloud entorno en función de los datos del entorno. El modelo es una representación gráfica de tu entorno, diseñada para los análisis de rutas de ataque.
2. Simulación de ruta de ataque: Las simulaciones de ruta de ataque se realizan en el modelo de gráfico. En las simulaciones, un atacante virtual intenta alcanzar y comprometer los recursos de tu conjunto de recursos de alto valor. Las simulaciones aprovechan las estadísticas sobre cada recurso y relación específicos, incluidas las redes, IAM, las configuraciones, los parámetros de configuración incorrectos y las vulnerabilidades.
3. Informes de estadísticas: Según las simulaciones, Security Command Center asigna puntuaciones de exposición a ataques a tus recursos de alto valor y a los hallazgos que los exponen, y visualiza las posibles rutas que un atacante podría tomar para llegar a esos recursos.

Características de ejecución de la simulación

Además de proporcionar las puntuaciones de exposición a ataques, las estadísticas de rutas de ataque y las rutas de ataque, las simulaciones de rutas de ataque tienen las siguientes características:

• No afectan tu entorno de producción: Todas las simulaciones se realizan en un modelo virtual y solo usan acceso de lectura para la creación del modelo.
• Son dinámicos: El modelo se crea sin agentes solo a través del acceso de lectura de la API, lo que permite que las simulaciones sigan de forma dinámica los cambios en tu entorno a lo largo del tiempo.
• Un atacante virtual prueba tantos métodos y vulnerabilidades como sea posible para alcanzar y comprometer tus recursos de alto valor. Esto incluye no solo "lo conocido", como las vulnerabilidades, las configuraciones, los errores de configuración y las relaciones de red, sino también los "desconocidos conocidos" de menor probabilidad, es decir, los riesgos que sabemos que existen, como la posibilidad de phishing o de filtración de credenciales.
• Son automatizadas: La lógica de ataque está integrada en la herramienta. No es necesario que compiles ni mantengas conjuntos extensos de consultas o grandes conjuntos de datos.

Situación y capacidades del atacante

En las simulaciones, Security Command Center tiene una representación lógica de un intento de atacante de aprovechar tus recursos de alto valor obteniendo acceso a tu entorno Google Cloud y siguiendo posibles rutas de acceso a través de tus recursos y vulnerabilidades detectadas.

El atacante virtual

El atacante virtual que usan las simulaciones tiene las siguientes características:

• El atacante es externo: El atacante no es un usuario legítimo de tu entorno deGoogle Cloud . Las simulaciones no modelan ni incluyen ataques de usuarios maliciosos o negligentes que tienen acceso legítimo a tu entorno.
• El atacante comienza desde la Internet pública. Para iniciar un ataque, el atacante primero debe obtener acceso a tu entorno desde Internet público.
• El atacante es persistente. El atacante no se desanimará ni perderá interés debido a la dificultad de un método de ataque en particular.
• El atacante es hábil y tiene conocimientos. El atacante intenta acceder a tus recursos de alto valor con métodos y técnicas conocidos.

Acceso inicial

En cada simulación, un atacante virtual intenta los siguientes métodos para obtener acceso desde Internet público a los recursos de tu entorno de Google Cloud :

• Descubre y conéctate a servicios y recursos a los que se puede acceder desde la Internet pública. En un entorno de Google Cloud , esto podría incluir lo siguiente:
  • Servicios en instancias de máquina virtual (VM) de Compute Engine y nodos de Google Kubernetes Engine
  • Bases de datos
  • Contenedores
  • Depósitos de Cloud Storage
  • Funciones de Cloud Run
• Obtener acceso a claves y credenciales En un entorno de Google Cloud , esto podría incluir lo siguiente:
  • Claves de cuenta de servicio
  • Claves de encriptación proporcionadas por el usuario
  • Claves SSH de la instancia de VM
  • Claves SSH para todo el proyecto
  • Sistemas de administración de claves externas
  • Cuentas de usuario en las que no se aplica la autenticación de varios factores (MFA)
  • Tokens de MFA virtuales interceptados
• Obtener acceso a recursos de la nube accesibles públicamente a través del uso de credenciales robadas o la explotación de vulnerabilidades

Si la simulación encuentra un posible punto de entrada en el entorno, el atacante virtual intentará alcanzar y comprometer tus recursos valiosos desde ese punto explorando y explotando de forma consecutiva las configuraciones y vulnerabilidades de seguridad dentro del entorno.

Tácticas y técnicas

La simulación utiliza una amplia variedad de tácticas y técnicas, como el aprovechamiento del acceso legítimo, el movimiento lateral, la elevación de privilegios, las vulnerabilidades, los errores de configuración y la ejecución de código.

Incorporación de datos de CVE

Cuando se calculan las puntuaciones de exposición a ataques para los resultados de vulnerabilidades, las simulaciones de rutas de ataque consideran los datos del registro de CVE de la vulnerabilidad, las puntuaciones de CVSS y las evaluaciones de la explotabilidad de la vulnerabilidad que proporciona Mandiant.

Se considera la siguiente información de CVE:

• Vector de ataque: El atacante debe tener el nivel de acceso que se especifica en el vector de ataque de CVSS para usar el CVE. Por ejemplo, un CVE con un vector de ataque de red que se encuentra en un activo con una dirección IP pública y puertos abiertos puede ser explotado por un atacante con acceso a la red. Si un atacante solo tiene acceso a la red y la CVE requiere acceso físico, el atacante no puede aprovechar la CVE.
• Complejidad del ataque: En general, es más probable que un hallazgo de vulnerabilidad o configuración incorrecta con una complejidad de ataque baja obtenga una puntuación de exposición al ataque alta que un hallazgo con una complejidad de ataque alta.
• Actividad de explotación: En general, es más probable que un hallazgo de vulnerabilidad con una amplia actividad de explotación, según lo determinan los analistas de inteligencia de amenazas cibernéticas de Mandiant, obtenga una puntuación alta de exposición a ataques que un hallazgo con solo actividad de explotación prevista. En las simulaciones de rutas de ataque, no se considera una vulnerabilidad sin actividad de explotación conocida.

Evaluaciones de riesgos de múltiples nubes

Además de Google Cloud, Security Command Center puede ejecutar simulaciones de rutas de ataque para evaluar el riesgo en tus implementaciones en varias plataformas de proveedores de servicios en la nube.

Después de establecer una conexión con otra plataforma, puedes designar tus recursos de alto valor en el otro proveedor de servicios en la nube creando configuraciones de valor de recursos, como lo harías para los recursos en Google Cloud.

Security Command Center ejecuta simulaciones para una plataforma en la nube de forma independiente de las simulaciones que se ejecutan para otras plataformas en la nube.

Antes de que crees la primera configuración de valor de recurso para otro proveedor de servicios en la nube, Security Command Center usa un conjunto predeterminado de recursos de alto valor que es específico para cada proveedor de servicios en la nube.

Para obtener más información, consulta lo siguiente: