Niveau d'exposition aux attaques et chemins d'attaque

Cette page présente les concepts, principes et restrictions clés qui vous aideront à identifier, affiner et utiliser les scores d'exposition aux attaques et les chemins d'attaque générés par les simulations de chemins d'attaque de Security Command Center.

Les scores de chemin d'attaque et les chemins d'attaque sont générés pour les deux éléments suivants:

• Résultats de failles et d'erreurs de configuration (résultats de failles, collectivement) qui exposent les instances de ressources dans votre ensemble efficace de ressources à forte valeur
• Ressources de votre ensemble effectif de ressources à forte valeur ajoutée.

Les chemins d’attaque représentent des possibilités

Vous ne verrez pas de preuves d’une attaque réelle dans une voie d’attaque.

Les simulations de chemin d'attaque génèrent des chemins d'attaque et des scores d'exposition aux attaques en simulant ce que des pirates informatiques hypothétiques pourraient faire s'ils arrivaient à accéder à votre environnement Google Cloud et découvraient les chemins d'attaque et les failles que Security Command Center a déjà détectés.

Chaque chemin d'attaque vous montre une ou plusieurs méthodes d'attaque qu'un pirate informatique pourrait utiliser s'il arrivait à accéder à une ressource particulière. Ne confondez pas ces méthodes d'attaque avec des attaques réelles.

De même, un score d'exposition aux attaques élevé pour un résultat ou une ressource Security Command Center ne signifie pas qu'une attaque est en cours.

Pour surveiller les attaques réelles, surveillez les résultats de la classe THREAT produits par les services de détection des menaces, tels que Event Threat Detection et Container Threat Detection.

Pour en savoir plus, consultez les sections suivantes de cette page:

• Scores d'exposition aux attaques
• Chemins d'attaque
• Simulations de chemin d'attaque

Niveau d'exposition au piratage

Le score d'exposition aux attaques associé à un résultat ou à une ressource Security Command Center mesure le niveau d'exposition des ressources à une attaque potentielle si un acteur malveillant venait à accéder à votre environnement Google Cloud.

Sur les résultats, le score indique dans quelle mesure un problème de sécurité détecté expose une ou plusieurs ressources de forte valeur à de potentielles cyberattaques. Sur une ressource à forte valeur, le score indique le degré d'exposition de la ressource à de potentielles cyberattaques.

Utilisez les scores d'exposition aux attaques des résultats de failles pour prioriser la correction des résultats.

Utilisez les scores d'exposition aux attaques sur les ressources afin de sécuriser de manière proactive les ressources les plus intéressantes pour votre entreprise.

Les simulations de chemin d'attaque lancent toujours des attaques depuis l'Internet public. Par conséquent, les scores d'exposition aux attaques ne tiennent pas compte de l'exposition potentielle à des acteurs internes malveillants ou négligents.

Résultats qui reçoivent des scores d'exposition aux attaques

Les scores d'exposition aux attaques sont appliqués aux résultats de classe Vulnerability et Misconfiguration actifs répertoriés dans Catégories de résultats compatibles.

Les simulations de chemin d'attaque incluent des résultats ignorés. Les résultats ignorés reçoivent donc des scores d'exposition aux attaques et sont inclus dans les chemins d'attaque.

Les simulations de chemin d'attaque n'incluent que les résultats actifs. Les résultats dont l'état est INACTIVE ne sont pas inclus dans les simulations. Par conséquent, ils ne reçoivent pas de scores d'exposition aux attaques et ne sont pas inclus dans les chemins d'attaque.

Ressources qui reçoivent des scores d'exposition aux attaques

Les simulations de chemin d'attaque calculent les scores d'exposition aux attaques pour les types de ressources compatibles dans votre ensemble de ressources à forte valeur. Pour spécifier les ressources qui appartiennent à l'ensemble de ressources à forte valeur, créez des configurations de valeurs de ressources.

Si une ressource d'un ensemble de ressources à forte valeur présente un score d'exposition aux attaques de 0, cela signifie que les simulations de chemin d'attaque n'ont identifié aucun chemin d'accès à cette ressource qu'un pirate informatique potentiel pourrait exploiter.

Les simulations de chemin d'attaque sont compatibles avec les types de ressources suivants:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Calcul du score

Chaque fois que les simulations de chemin d'attaque sont exécutées, elles recalculent les scores d'exposition à l'attaque. Chaque simulation de chemin d'attaque exécute en réalité plusieurs simulations au cours desquelles un pirate informatique simulé essaie des méthodes et techniques d'attaque connues pour accéder aux ressources de valeur et les compromettre.

Les simulations de chemin d’attaque peuvent être exécutées jusqu’à quatre fois par jour (toutes les six heures). À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.

Les simulations calculent les scores à l'aide de différentes métriques, y compris les suivantes:

• Valeur de priorité attribuée aux ressources de forte valeur exposées. Voici les valeurs de priorité que vous pouvez attribuer :
  • HIGH = 10
  • MED = 5
  • LOW = 1
• Nombre de chemins qu'un pirate informatique pourrait emprunter pour atteindre une ressource donnée.
• Nombre de fois où un pirate informatique simulé est en mesure d'atteindre et de compromettre une ressource de grande valeur à la fin d'un chemin d'attaque donné, exprimé en pourcentage du nombre total de simulations.
• Pour les résultats uniquement, nombre de ressources de forte valeur exposées par la faille ou l'erreur de configuration détectée.

Pour les ressources, les scores d'exposition aux attaques peuvent être compris entre 0 et 10.

De manière générale, les simulations calculent les scores des ressources en multipliant le pourcentage d'attaques réussies par la valeur numérique de priorité des ressources.

Pour les résultats, les scores d'exposition aux attaques n'ont pas de limite supérieure fixe. Plus un résultat se produit souvent sur les chemins d'attaque vers des ressources exposées de l'ensemble de ressources à forte valeur, et plus les valeurs de priorité de ces ressources sont élevées, plus le score est élevé.

De manière générale, les simulations calculent les scores des résultats en utilisant le même calcul que pour les scores de ressources. Toutefois, pour trouver des scores, les simulations multiplient le résultat du calcul par le nombre de ressources à forte valeur qu'il expose.

Évolution des scores

Les scores peuvent changer à chaque exécution d'une simulation de chemin d'attaque. Un résultat ou une ressource dont le score est égal à zéro aujourd'hui pourrait avoir un score différent de zéro demain.

Les scores changent pour diverses raisons, y compris les suivantes:

• Détection ou correction d'une faille qui expose directement ou indirectement une ressource de grande valeur.
• L'ajout ou la suppression de ressources dans votre environnement

Les modifications apportées aux résultats ou aux ressources après l'exécution d'une simulation ne sont pas reflétées dans les scores d'exposition aux attaques avant l'exécution de la prochaine simulation.

Utiliser les scores d'exposition aux attaques pour prioriser les corrections à apporter

Pour hiérarchiser efficacement la correction des résultats en fonction de leurs scores d'exposition aux attaques, tenez compte des points suivants:

• Tout résultat dont le score d'exposition aux attaques est supérieur à zéro expose une ressource de forte valeur à une attaque potentielle. La correction doit donc être prioritaire par rapport aux résultats affichant un score de zéro.
• Plus le score d'un résultat est élevé, plus le résultat expose vos ressources de forte valeur et plus vous devez prioriser sa correction.

En règle générale, accordez la priorité la plus haute à la correction des résultats qui obtiennent les scores les plus élevés et qui bloquent le plus efficacement les vecteurs d'attaque vers vos ressources de forte valeur.

Sur la page Résultats de Security Command Center dans la console Google Cloud, vous pouvez trier les résultats du panneau Résultats de la requête de résultats par score d'exposition aux attaques, en cliquant sur l'en-tête de colonne Score d'exposition aux attaques.

Vous pouvez également afficher les résultats avec les scores les plus élevés en ajoutant à la requête un filtre qui ne renvoie que les résultats dont le score d'exposition aux attaques est supérieur à la valeur spécifiée.

Résultats qui ne peuvent pas être corrigés.

Dans certains cas, vous ne pourrez peut-être pas corriger un résultat dont le score d'exposition aux attaques est élevé, soit parce qu'il représente un risque connu et accepté, soit parce que le résultat ne peut pas être résolu facilement. Dans ce cas, vous devrez peut-être atténuer le risque d'autres manières. L'examen du chemin d'attaque associé peut vous donner des idées de mesures d'atténuation possibles.

Utiliser des scores d'exposition aux attaques pour sécuriser des ressources

Un score d'exposition aux attaques non nul sur une ressource signifie que les simulations de chemin d'attaque ont identifié un ou plusieurs chemins d'attaque depuis l'Internet public vers la ressource.

Pour afficher les scores d'exposition aux attaques de vos ressources de forte valeur, procédez comme suit:

1. Accédez à la page Éléments de Security Command Center dans la console Google Cloud:

   Accéder

2. Sélectionnez l'onglet Ensemble de ressources à forte valeur ajoutée. Les ressources de votre ensemble de ressources à forte valeur sont affichées par ordre décroissant du score d'exposition aux attaques.

3. Pour afficher les chemins d'attaque d'une ressource, cliquez sur le nombre figurant sur la ligne correspondante dans la colonne Niveau d'exposition aux attaques. Les chemins d'attaque depuis l'Internet public vers la ressource sont affichés.

4. Examinez les chemins d'attaque à la recherche de cercles rouges sur les nœuds qui indiquent des résultats.

5. Cliquez sur un nœud présentant un cercle rouge pour afficher les résultats.

6. Lancez des actions pour corriger les résultats.

Vous pouvez également afficher les scores d'exposition aux attaques de vos ressources à forte valeur dans l'onglet Simulations de chemin d'attaque sous Paramètres. Pour ce faire, cliquez sur Afficher les ressources de valeur utilisées dans la dernière simulation.

Niveau d'exposition au piratage : 0

Un score d'exposition aux attaques de 0 sur une ressource signifie que, dans les dernières simulations de chemin d'attaque, Security Command Center n'a identifié aucun chemin potentiel qu'un pirate informatique pourrait emprunter pour atteindre la ressource.

Un score d'exposition aux attaques de 0 pour un résultat signifie que, dans la dernière simulation d'attaque, le pirate simulé n'a pu atteindre aucune ressource de grande valeur via ce résultat.

Toutefois, un score d'exposition aux attaques de 0 ne signifie pas qu'il n'y a aucun risque. Un score d'exposition aux attaques reflète l'exposition des ressources, des ressources et des services Google Cloud compatibles avec les résultats de Security Command Center à des menaces potentielles provenant de l'Internet public. Par exemple, les scores ne tiennent pas compte des menaces provenant des acteurs internes, des failles zero-day ni des infrastructures tierces.

Aucun score d'exposition au piratage

Si un résultat ou une ressource n'a pas de score, cela peut être dû aux raisons suivantes:

• Le résultat a été publié après la dernière simulation du chemin d'attaque.
• La ressource a été ajoutée à votre ensemble de ressources à forte valeur après la dernière simulation du chemin d'attaque.
• La fonctionnalité d'exposition aux attaques n'est actuellement pas compatible avec la catégorie de résultat ou le type de ressource.

Pour obtenir la liste des catégories de résultats compatibles, consultez la page Compatibilité des fonctionnalités d'exposition aux attaques.

Pour obtenir la liste des types de ressources compatibles, consultez la section Ressources qui reçoivent des scores d'exposition aux attaques.

Valeurs de ressource

Bien que toutes vos ressources sur Google Cloud aient une valeur, Security Command Center identifie les chemins d'attaque et calcule les scores d'exposition aux attaques uniquement pour les ressources que vous désignez comme des ressources à forte valeur ajoutée (parfois appelées ressources à forte valeur).

Ressources de grande valeur

Une ressource à forte valeur ajoutée sur Google Cloud est particulièrement importante pour votre entreprise afin de se protéger contre les attaques potentielles. Par exemple, vos ressources à forte valeur ajoutée peuvent être celles qui stockent vos données précieuses ou sensibles, ou qui hébergent les charges de travail critiques de votre entreprise.

Pour désigner une ressource comme ressource à forte valeur, définissez ses attributs dans une configuration de valeur de ressource. Security Command Center traite toute instance de ressource correspondant aux attributs que vous spécifiez dans la configuration comme une ressource à forte valeur.

Valeurs de priorité

Parmi les ressources que vous désignez comme étant à forte valeur, vous devrez probablement donner la priorité à la sécurité de certaines plutôt que d'autres. Par exemple, un ensemble de ressources de données peut contenir des données de grande valeur, mais certaines de ces ressources peuvent contenir des données plus sensibles que les autres.

Afin que vos scores d'exposition aux attaques reflètent votre besoin de donner la priorité à la sécurité des ressources de votre ensemble de ressources à forte valeur, vous attribuez une valeur de priorité dans les configurations de valeurs de ressources, qui désigne les ressources comme ayant une valeur élevée.

Si vous utilisez la protection des données sensibles, vous pouvez également hiérarchiser automatiquement les ressources en fonction de leur sensibilité.

Définir manuellement les valeurs de priorité des ressources

Dans une configuration de valeur de ressource, vous attribuez une priorité aux ressources de forte valeur correspondantes en spécifiant l'une des valeurs de priorité suivantes:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Si vous spécifiez une valeur de priorité LOW dans une configuration de valeur de ressource, les ressources correspondantes sont toujours des ressources de forte valeur. Les simulations de chemin d'attaque les traitent simplement avec une priorité inférieure et leur attribuent un score d'exposition aux attaques plus faible que les ressources à forte valeur ayant une valeur de priorité de MEDIUM ou HIGH.

Si plusieurs configurations attribuent des valeurs différentes à la même ressource, la valeur la plus élevée s'applique, sauf si une configuration attribue la valeur NONE.

Une valeur de ressource NONE empêche les ressources correspondantes d'être considérées comme une ressource à forte valeur et remplace toute autre configuration de valeur de ressource pour la même ressource. Pour cette raison, assurez-vous que toute configuration spécifiant NONE ne s'applique qu'à un ensemble limité de ressources.

Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données

Si vous utilisez la détection de protection des données sensibles, vous pouvez configurer Security Command Center pour définir automatiquement la valeur de priorité de certaines ressources de forte valeur en fonction de la sensibilité des données qu'elles contiennent.

Vous activez la priorisation de la sensibilité des données lorsque vous spécifiez les ressources dans une configuration de valeurs de ressource.

Lorsque cette option est activée et que la détection de protection des données sensibles classe les données d'une ressource comme étant de sensibilité MEDIUM ou HIGH, les simulations de chemin d'attaque définissent par défaut la même valeur pour la valeur de priorité de la ressource.

Les niveaux de sensibilité des données sont définis par la protection des données sensibles, mais vous pouvez les interpréter comme suit:

Données à haute sensibilité

La détection de la protection des données sensibles a détecté au moins une instance de données à haute sensibilité dans la ressource.

Données à sensibilité moyenne

La détection de la protection des données sensibles a détecté au moins une instance de date de sensibilité moyenne dans la ressource et aucune instance de données à haute sensibilité.

Données à faible sensibilité

La détection de données sensibles dans le cadre de la protection des données n'a détecté aucune donnée sensible, texte libre ou non structurée dans la ressource.

Si la détection de protection des données sensibles n'identifie que des données à faible sensibilité dans une ressource de données correspondante, la ressource n'est pas désignée comme ressource à forte valeur.

Si vous souhaitez que les ressources de données qui ne contiennent que des données à faible sensibilité soient désignées comme ressources de grande valeur avec une faible priorité, créez une configuration de valeur de ressource en double, mais spécifiez une valeur de priorité de LOW au lieu d'activer la priorisation de la sensibilité des données. La configuration qui utilise la protection des données sensibles remplace celle qui attribue la valeur de priorité LOW, mais uniquement pour les ressources contenant des données de sensibilité HIGH ou MEDIUM.

Vous pouvez modifier les valeurs de priorité par défaut utilisées par Security Command Center lorsque des données sensibles sont détectées dans la configuration des valeurs de ressource.

Pour en savoir plus sur la protection des données sensibles, consultez la page Présentation de la protection des données sensibles.

Priorisation de la sensibilité des données et ensemble de ressources à forte valeur par défaut

Avant de créer votre propre ensemble de ressources de forte valeur, Security Command Center utilise un ensemble de ressources de forte valeur par défaut pour calculer les scores d'exposition aux attaques et les chemins d'attaque.

Si vous utilisez la détection de protection des données sensibles, Security Command Center ajoute automatiquement des instances de types de ressources de données compatibles contenant des données de sensibilité HIGH ou MEDIUM à l'ensemble de ressources à forte valeur par défaut.

Types de ressources acceptés pour les valeurs de priorité de sensibilité des données automatisées

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de la sensibilité des données issues de la protection des données sensibles, uniquement pour le type de ressource de données bigquery.googleapis.com/Dataset.

Ensembles de ressources à forte valeur

Un ensemble de ressources à forte valeur est un ensemble défini des ressources de votre environnement Google Cloud qui sont les plus importantes à sécuriser et à protéger.

Pour définir un ensemble de ressources à forte valeur, vous devez spécifier quelles ressources de votre environnement Google Cloud appartiennent à votre ensemble de ressources à forte valeur. Tant que vous n'avez pas défini votre ensemble de ressources à forte valeur, les scores d'exposition aux attaques et les chemins d'attaque ne reflètent pas précisément vos priorités en termes de sécurité.

Pour spécifier les ressources de votre ensemble de ressources à forte valeur, créez des configurations de valeurs de ressources. La combinaison de toutes vos configurations de valeurs de ressources définit votre ensemble de ressources à forte valeur. Pour en savoir plus, consultez la section Configurations des valeurs de ressource.

Tant que vous n'avez pas défini votre première configuration de valeur de ressource, Security Command Center utilise un ensemble de ressources à forte valeur par défaut. L'ensemble par défaut s'applique à l'ensemble de votre organisation à tous les types de ressources compatibles avec les simulations de chemin d'attaque. Pour en savoir plus, consultez la section Ensemble de ressources à forte valeur par défaut.

Vous pouvez voir l'ensemble de ressources à forte valeur utilisé lors de la dernière simulation de chemin d'attaque dans la console Google Cloud sur la page Éléments, en cliquant sur l'onglet Ensemble de ressources à forte valeur. Vous pouvez également les consulter dans l'onglet Simulation du chemin d'attaque de la page des paramètres de Security Command Center.

Configurations des valeurs de ressources

Vous gérez les ressources de votre ensemble de ressources à forte valeur à l'aide de configurations de valeurs de ressources.

Vous pouvez créer des configurations de valeurs de ressources dans l'onglet Simulation du chemin d'attaque de la page Paramètres de Security Command Center dans la console Google Cloud.

Dans une configuration de valeur de ressource, vous spécifiez les attributs qu'une ressource doit comporter pour que Security Command Center l'ajoute à votre ensemble de ressources à forte valeur.

Les attributs que vous pouvez spécifier incluent le type de ressource, les tags de ressource, les libellés de ressource, ainsi que le projet, le dossier ou l'organisation parent.

Vous allez également attribuer une valeur de ressource aux ressources d'une configuration. La valeur de ressource donne la priorité aux ressources d'une configuration par rapport aux autres ressources de l'ensemble de ressources à forte valeur. Pour en savoir plus, consultez la section Valeurs des ressources.

Vous pouvez créer jusqu'à 100 configurations de valeurs de ressource dans une organisation Google Cloud.

Ensemble, toutes les configurations de valeurs de ressources que vous créez définissent l'ensemble de ressources à forte valeur utilisé par Security Command Center pour les simulations de chemin d'attaque.

Attributs de ressource

Pour qu'une ressource soit incluse dans votre ensemble de ressources à forte valeur, ses attributs doivent correspondre à ceux que vous spécifiez dans une configuration de valeur de ressource.

Vous pouvez spécifier les attributs suivants:

• Un type de ressource ou Any. Lorsque Any est spécifié, la configuration s'applique à tous les types de ressources compatibles dans le champ d'application spécifié. Any est la valeur par défaut.
• Un champ d'application (organisation, dossier ou projet parent) dans lequel les ressources doivent résider. Le champ d'application par défaut est votre organisation. Si vous spécifiez une organisation ou un dossier, la configuration s'applique également aux ressources que ces dossiers ou projets enfants contiennent.
• Un ou plusieurs tags ou libellés que chaque ressource doit contenir, le cas échéant.

Si vous spécifiez une ou plusieurs configurations de valeurs de ressources, mais qu'aucune ressource de votre environnement Google Cloud ne correspond aux attributs spécifiés dans l'une des configurations, Security Command Center émet un résultat SCC Error et revient à l'ensemble de ressources à forte valeur par défaut.

Ensemble de ressources à forte valeur par défaut

Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer les scores d'exposition aux attaques lorsqu'aucune configuration de valeur de ressource n'est définie ou qu'aucune configuration définie ne correspond à une ressource.

Security Command Center attribue aux ressources de la ressource à forte valeur par défaut la valeur de priorité LOW, sauf si vous utilisez la détection de protection des données sensibles. Dans ce cas, Security Command Center attribue aux ressources contenant des données à haute ou moyenne sensibilité une valeur de priorité correspondante de HIGH ou MEDIUM.

Si au moins une configuration de valeur de ressource correspond à au moins une ressource de votre environnement, Security Command Center cesse d'utiliser l'ensemble de ressources à forte valeur par défaut.

Pour recevoir des scores d'exposition aux attaques qui reflètent avec précision vos priorités de sécurité, remplacez l'ensemble de ressources à forte valeur par défaut par votre propre ensemble de ressources à forte valeur. Pour en savoir plus, consultez Définir votre ensemble de ressources à forte valeur.

La liste suivante répertorie les types de ressources inclus dans l'ensemble de ressources à forte valeur par défaut:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limite appliquée aux ressources d'un ensemble de ressources à forte valeur

Security Command Center limite à 1 000 le nombre de ressources d'un ensemble de ressources à forte valeur ajoutée.

Si les spécifications d'une ou plusieurs configurations de valeurs de ressources sont très larges, le nombre de ressources correspondant aux spécifications d'attribut peut dépasser 1 000.

Lorsque le nombre de ressources correspondantes dépasse la limite, Security Command Center exclut celles de l'ensemble jusqu'à ce que le nombre de ressources soit dans la limite. Security Command Center exclut d'abord les ressources ayant la valeur attribuée la plus faible. Parmi les ressources ayant la même valeur attribuée, Security Command Center exclut les instances de ressources par un algorithme qui répartit les ressources exclues entre les types de ressources.

Une ressource exclue de l'ensemble de ressources à forte valeur n'est pas prise en compte dans le calcul des scores d'exposition aux attaques.

Pour vous avertir lorsque la limite d'instances pour le calcul du score est dépassée, Security Command Center émet un résultat SCC error et affiche un message dans l'onglet des paramètres Simulation du chemin d'attaque de la console Google Cloud. Security Command Center n'émet pas de résultat SCC error si la valeur par défaut définie dépasse la limite d'instances.

Pour éviter de dépasser la limite, ajustez vos configurations de valeurs de ressources afin d'affiner les instances dans votre ensemble de ressources à forte valeur.

Voici quelques exemples d'actions que vous pouvez effectuer pour affiner votre ensemble de ressources à forte valeur:

• Utilisez des tags ou des libellés afin de réduire le nombre de correspondances pour un type de ressource donné ou dans un champ d'application donné.
• Créez une configuration de valeur de ressource qui attribue la valeur NONE à un sous-ensemble des ressources spécifiées dans une autre configuration. La spécification de la valeur NONE remplace toutes les autres configurations et exclut les instances de ressources de votre ensemble de ressources à forte valeur.
• Réduisez la spécification du champ d'application dans la configuration de la valeur de ressource.
• Supprimez les configurations de valeurs de ressources qui attribuent la valeur LOW.

Sélectionner vos ressources à forte valeur ajoutée

Pour renseigner votre ensemble de ressources à forte valeur, vous devez décider quelles instances de ressources de votre environnement ont une valeur réelle.

En règle générale, vos ressources de forte valeur sont celles qui traitent et stockent vos données sensibles. Par exemple, sur Google Cloud, il peut s'agir d'instances Compute Engine, d'un ensemble de données BigQuery ou d'un bucket Cloud Storage.

Vous n'avez pas besoin de désigner les ressources adjacentes à vos ressources de forte valeur, telles qu'un serveur intermédiaire, comme étant de forte valeur. Les simulations de chemin d'attaque tiennent déjà compte de ces ressources adjacentes. Si vous les désignez également comme étant à forte valeur, vos scores d'exposition aux attaques risquent d'être moins fiables.

Compatibilité multicloud

Les simulations de chemin d'attaque peuvent évaluer les risques liés à vos déploiements sur d'autres plates-formes de fournisseurs de services cloud.

Après avoir établi une connexion à une autre plate-forme, vous pouvez désigner vos ressources à forte valeur ajoutée sur l'autre fournisseur de services cloud en créant des configurations de valeurs de ressources, comme vous le feriez pour des ressources sur Google Cloud.

Security Command Center exécute des simulations pour une plate-forme cloud indépendamment des simulations exécutées pour d'autres plates-formes cloud.

Avant de créer votre première configuration de valeur de ressource pour un autre fournisseur de services cloud, Security Command Center utilise un ensemble de ressources de grande valeur par défaut spécifique au fournisseur de services cloud. L'ensemble de ressources à forte valeur par défaut désigne toutes les ressources compatibles comme ressources de forte valeur.

Plates-formes de fournisseurs de services cloud compatibles

En plus de Google Cloud, Security Command Center peut exécuter des simulations de chemin d'attaque pour Amazon Web Services (AWS). Pour en savoir plus, consultez :

• Se connecter à AWS pour détecter les failles et évaluer les risques
• Compatibilité avec la simulation du chemin d'attaque pour AWS

Chemins d'attaque

Un chemin d'attaque est une représentation visuelle interactive d'un ou de plusieurs chemins potentiels qu'un pirate informatique pourrait emprunter pour passer de l'Internet public à l'une de vos instances de ressources à forte valeur ajoutée.

Les simulations de chemin d'attaque identifient les chemins d'attaque potentiels en modélisant ce qui se passerait si un pirate informatique appliquait des méthodes d'attaque connues aux failles et erreurs de configuration détectées par Security Command Center dans votre environnement afin d'essayer d'accéder à vos ressources de forte valeur.

Vous pouvez afficher les chemins d'attaque en cliquant sur le score d'exposition aux attaques d'un résultat ou d'une ressource dans la console Google Cloud.

Lorsque vous affichez des chemins d'attaque plus larges, vous pouvez modifier votre vue du chemin d'attaque en faisant glisser le sélecteur de la zone de mise au point en carré rouge autour de la vue miniature du chemin d'attaque à droite de l'écran.

Lorsque le chemin d'attaque est affiché, vous pouvez cliquer sur Résumé de l'IA^Aperçu pour afficher une explication du chemin d'attaque. L'explication est générée de façon dynamique à l'aide de l'intelligence artificielle (IA). Pour en savoir plus, consultez Résumés générés par IA.

Dans un chemin d'attaque, les ressources d'un chemin d'attaque sont représentées par des cases ou des nœuds. Les lignes représentent l'accessibilité potentielle entre les ressources. Ensemble, les nœuds et les lignes représentent le chemin d'attaque.

Nœuds du chemin d'attaque

Les nœuds d'un chemin d'attaque représentent les ressources sur le chemin d'attaque.

Afficher des informations sur les nœuds

Vous pouvez afficher plus d'informations sur chaque nœud d'un chemin d'attaque en cliquant dessus.

Cliquez sur le nom de la ressource dans un nœud pour afficher plus d'informations sur celle-ci, ainsi que sur les résultats qui l'affectent.

Cliquez sur Développer le nœud pour afficher les méthodes d'attaque possibles si un pirate informatique parvient à accéder à la ressource.

Types de nœuds

Il existe trois types de nœuds différents:

• Point de départ ou point d'entrée de l'attaque simulée, qui est l'Internet public. Cliquez sur un nœud de point d'entrée pour afficher une description du point d'entrée ainsi que les méthodes d'attaque qu'un pirate informatique pourrait utiliser pour accéder à votre environnement.
• Les ressources affectées qu'un pirate informatique peut utiliser pour avancer sur un chemin.
• La ressource exposée à la fin d'un chemin d'accès, qui est l'une des ressources de votre ensemble de ressources à forte valeur. Seule une ressource d'un ensemble de ressources à forte valeur définie ou par défaut peut être exposée. Pour définir un ensemble de ressources à forte valeur, vous devez créer des configurations de valeurs de ressources.

Nœuds en amont et en aval

Dans un chemin d'attaque, un nœud peut être situé en amont ou en aval des autres nœuds. Un nœud en amont est plus proche du point d'entrée et du haut du chemin d'attaque. Un nœud en aval est plus proche de la ressource de forte valeur exposée au bas du chemin d'attaque.

Nœuds représentant plusieurs instances de ressources de conteneur

Un nœud peut représenter plusieurs instances de certains types de ressources de conteneur si ces instances partagent les mêmes caractéristiques.

Plusieurs instances des types de ressources de conteneur suivants peuvent être représentées par un seul nœud:

• Contrôleur ReplicaSet
• Contrôleur de déploiement
• Contrôleur de tâche
• Contrôleur de jobs Cron
• Contrôleur DaemonSet

Lignes du chemin d'attaque

Dans un chemin d'attaque, les lignes entre les cadres représentent l'accessibilité potentielle entre les ressources qu'un pirate informatique pourrait exploiter pour accéder à des ressources de grande valeur.

Ces lignes ne représentent pas une relation entre les ressources définie dans Google Cloud.

Si plusieurs chemins pointent vers un nœud en aval à partir de plusieurs nœuds en amont, les nœuds en amont peuvent avoir une relation AND les uns avec les autres ou une relation OR entre eux.

Une relation AND signifie qu'un pirate informatique a besoin d'accéder aux deux nœuds en amont pour accéder à un nœud en aval sur le chemin.

Par exemple, une ligne directe entre l'Internet public et une ressource de grande valeur à la fin d'un chemin d'attaque est liée AND à au moins une autre ligne du chemin d'attaque. Un pirate informatique ne pourrait pas accéder à la ressource à forte valeur s'il n'a pas accès à la fois à votre environnement Google Cloud et à au moins une autre ressource indiquée dans le chemin d'attaque.

Une relation OR signifie qu'un pirate informatique n'a besoin d'accéder qu'à un seul des nœuds en amont pour accéder au nœud en aval.

Simulations de chemin d'attaque

Pour déterminer tous les chemins d'attaque possibles et calculer les scores d'exposition aux attaques, Security Command Center effectue des simulations avancées du chemin d'attaque.

Calendrier de la simulation

Les simulations de chemin d’attaque peuvent être exécutées jusqu’à quatre fois par jour (toutes les six heures). À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les exécutions de simulation ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.

Étapes de simulation du chemin d'attaque

La simulation comprend trois étapes:

1. Génération de modèle: un modèle de votre environnement Google Cloud est généré automatiquement en fonction des données de l'environnement. Ce modèle est une représentation graphique de votre environnement, conçue pour analyser le chemin d'attaque.
2. Simulation du chemin d'attaque: les simulations du chemin d'attaque sont effectuées sur le modèle de graphique. Au cours des simulations, un pirate informatique tente d'accéder aux ressources de votre ensemble de ressources de forte valeur et de les compromettre. Les simulations exploitent les insights sur chaque ressource et relations spécifiques, y compris la mise en réseau, IAM, les configurations, les erreurs de configuration et les failles.
3. Rapports d'insights: en fonction des simulations, Security Command Center attribue des scores d'exposition aux attaques à vos ressources de forte valeur et aux résultats qui les exposent, et visualise les chemins potentiels qu'un pirate informatique pourrait emprunter vers ces ressources.

Caractéristiques d'exécution de la simulation

En plus de fournir les scores d'exposition aux attaques, les insights sur les chemins d'attaque et les chemins d'attaque, les simulations de chemin d'attaque présentent les caractéristiques suivantes:

• Elles ne touchent pas votre environnement en ligne: toutes les simulations sont effectuées sur un modèle virtuel et n'utilisent qu'un accès en lecture pour créer le modèle.
• Elles sont dynamiques: le modèle est créé sans agent via un accès en lecture seule à l'API, ce qui permet aux simulations de suivre de manière dynamique les modifications apportées à votre environnement au fil du temps.
• Ils disposent d'un pirate informatique virtuel qui essaie autant de méthodes et de failles que possible pour accéder à vos ressources de forte valeur et les compromettre. Cela inclut non seulement les "vulnérabilités connues", telles que les vulnérabilités, les configurations, les erreurs de configuration et les relations réseau, mais aussi les "inconnues inconnues" à faible probabilité, c'est-à-dire les risques connus, tels que la possibilité d'hameçonnage ou de fuite d'identifiants.
• Elles sont automatisées: la logique d'attaque est intégrée à l'outil. Vous n'avez pas besoin de créer ni de gérer des ensembles de requêtes ou des ensembles de données volumineux.

Scénarios et capacités de l’attaquant

Dans les simulations, Security Command Center présente une représentation logique d'une tentative de pirate informatique d'exploiter vos ressources stratégiques en accédant à votre environnement Google Cloud et en suivant les chemins d'accès potentiels à vos ressources et les failles détectées.

L’attaquant virtuel

Le pirate informatique virtuel utilisé par les simulations présente les caractéristiques suivantes:

• Le pirate informatique est externe: il n'est pas un utilisateur légitime de votre environnement Google Cloud. Les simulations ne modélisent pas et n'incluent pas les attaques d'utilisateurs malveillants ou négligents disposant d'un accès légitime à votre environnement.
• L’attaquant commence depuis l’Internet public. Pour lancer une attaque, le pirate doit d'abord accéder à votre environnement à partir de l'Internet public.
• L’attaquant est persistant. Le pirate informatique ne se découragera pas et ne perdra pas d'intérêt en raison de la difficulté d'une méthode d'attaque particulière.
• L’attaquant est compétent et compétent. Le pirate informatique essaie des méthodes et techniques connues pour accéder à vos ressources de forte valeur.

Accès initial

Dans chaque simulation, un pirate informatique virtuel essaie les méthodes suivantes pour accéder aux ressources de votre environnement à partir de l'Internet public:

• Découvrez tous les services et ressources accessibles depuis l'Internet public, et connectez-vous-y :
  • Services sur des instances de machines virtuelles (VM) Compute Engine et des nœuds Google Kubernetes Engine
  • Bases de données
  • Des conteneurs
  • Buckets Cloud Storage
  • Cloud Functions
• Accès aux clés et aux identifiants, y compris :
  • Clés de compte de service
  • Clés de chiffrement fournies par l'utilisateur
  • Clés SSH d'instance de VM
  • Clés SSH à l'échelle du projet
  • Systèmes de gestion de clés externes
  • Comptes utilisateur pour lesquels l'authentification multifacteur (MFA) n'est pas appliquée
  • Jetons MFA virtuels interceptés
• Accès à des éléments cloud accessibles publiquement en utilisant des identifiants volés ou en exploitant les failles signalées par VM Manager et Rapid Vulnerability Detection

Si la simulation trouve un point d'entrée possible dans l'environnement, elle demande au pirate virtuel d'accéder à vos ressources de forte valeur et de les compromettre dès le point d'entrée, en explorant et en exploitant successivement les configurations et les failles de sécurité de l'environnement.

Tactique et techniques

La simulation utilise un large éventail de tactiques et de techniques, y compris l'exploitation d'un accès légitime, les mouvements latéraux, l'élévation des privilèges, les failles, les erreurs de configuration et l'exécution de code.

Intégration de données CVE

Lors du calcul des scores d'exposition aux attaques pour les résultats de failles, les simulations de chemin d'attaque prennent en compte les données de l'enregistrement CVE de la faille, les scores CVSS, ainsi que les évaluations de l'exploitabilité de la faille fournies par Mandiant.

Les informations CVE suivantes sont prises en compte:

• Vecteur d'attaque: le pirate informatique doit disposer du niveau d'accès spécifié dans le vecteur d'attaque CVSS pour utiliser la faille CVE. Par exemple, une faille CVE dont le vecteur d'attaque réseau se trouve sur une ressource dotée d'une adresse IP publique et de ports ouverts peut être exploitée par un pirate informatique disposant d'un accès au réseau. Si un pirate informatique ne dispose que d'un accès réseau et que la CVE nécessite un accès physique, il ne peut pas exploiter la CVE.
• Complexité d'attaque: en règle générale, une faille ou une mauvaise configuration présentant une faible complexité d'attaque est plus susceptible d'obtenir un score d'exposition aux attaques élevé qu'un résultat présentant une complexité d'attaque élevée.
• Activité d'exploitation: en règle générale, une vulnérabilité identifiée par une activité d'exploitation massive, telle que déterminée par les analystes CTI de Mandiant, a plus de chances d'obtenir un score d'exposition aux attaques élevé qu'un résultat sans activité d'exploitation connue.