En esta página, se proporciona una descripción general del concepto de combinación tóxica y de los hallazgos y casos que tú, como analista de vulnerabilidades o cualquier otro rol responsable de proteger tu entorno de nube, puedes usar para identificar, priorizar y solucionar cualquier combinación tóxica.
Los resultados y casos de combinaciones tóxicas te ayudan a identificar los riesgos de manera más eficaz y a mejorar la seguridad en tus entornos de nube, incluidos Google Cloud y Amazon Web Services (AWS) (versión preliminar).
Definición de una combinación tóxica
Una combinación tóxica es un grupo de problemas de seguridad que, cuando ocurren juntos en un patrón determinado, crean una ruta hacia uno o más de tus recursos de alto valor que un atacante determinado podría usar para llegar a esos recursos y vulnerarlos.
Un problema de seguridad es cualquier elemento que contribuya a la exposición de tus recursos de la nube, como una configuración particular de recursos, una configuración incorrecta o una vulnerabilidad de software.
El motor de riesgos de Security Command Center Enterprise detecta combinaciones tóxicas durante las simulaciones de rutas de ataque que ejecuta. Para cada combinación tóxica que detecta el motor de riesgo, emite un hallazgo. Cada combinación tóxica incluye una puntuación de exposición a ataques única, llamada puntuación de combinación tóxica, que mide el riesgo de la combinación tóxica para el conjunto de recursos de alto valor en tu entorno de nube. Risk Engine también genera una visualización de la ruta de ataque que la combinación tóxica crea para los recursos de tu conjunto de recursos de alto valor.
Trabajas con los resultados de combinaciones tóxicas a través de casos, pero si necesitas ver los resultados en sí, puedes hacerlo en la consola de Google Cloud, en la página Resultados, donde puedes filtrar los resultados por la clase de resultado Combinación tóxica o ordenarlos por Puntuación de combinación tóxica.
Puntuaciones de exposición a ataques en combinaciones tóxicas
Risk Engine calcula una puntuación de exposición a ataques para cada combinación tóxica. Estas puntuaciones de exposición a ataques también se denominan puntuaciones de combinación tóxica en algunos contextos, como la página Resultados de la consola de Google Cloud. La puntuación es una medida de cuánto una combinación tóxica expone uno o más de los recursos de tu conjunto de recursos de alto valor a posibles ataques.
Las puntuaciones de combinación tóxica son similares a las puntuaciones de exposición a ataques en otros tipos de hallazgos, pero se aplican a un conjunto de pasos de ataque en lugar de a un hallazgo de una vulnerabilidad o una configuración incorrecta de software individuales.
De forma predeterminada, las combinaciones tóxicas se clasifican como hallazgos de gravedad crítica y casos de prioridad crítica. Compara las puntuaciones de combinaciones tóxicas para ayudarte a priorizar entre los casos de combinaciones tóxicas.
Al igual que las puntuaciones de exposición a ataques de otros resultados, las puntuaciones de combinaciones tóxicas se derivan de lo siguiente:
- La cantidad de recursos de tu conjunto de recursos de alto valor que están expuestos y los valores de prioridad y las puntuaciones de exposición a ataques de esos recursos.
- La probabilidad de que un atacante determinado pueda lograr acceder a un recurso de alto valor aprovechando la combinación tóxica
Para obtener más información, consulta Puntuaciones de exposición a ataques.
Visualizaciones de la ruta de ataque para combinaciones tóxicas
Risk Engine proporciona una representación visual de las rutas de ataque que crea una combinación tóxica en los recursos de tu conjunto de recursos de alto valor. Una ruta de ataque representa una serie de pasos de ataque y sus problemas y recursos de seguridad relacionados que un atacante potencial podría usar para llegar a tus recursos.
La ruta de ataque te ayuda a comprender las relaciones entre los problemas en una combinación tóxica y cómo, en conjunto, forman rutas a los recursos de tu conjunto de recursos de alto valor. La visualización de la ruta de acceso también te muestra cuántos recursos valiosos están expuestos y su importancia relativa para tu entorno de nube.
En la consola de Security Operations, los recursos con problemas de seguridad que conforman la combinación tóxica se destacan con un borde amarillo en negrita en forma de diamante en la ruta de ataque. En la consola de Google Cloud, las trayectorias de ataque se ven igual que las de otros tipos de resultados.
En la consola de Security Operations, Security Command Center proporciona dos versiones de una ruta de ataque de combinación tóxica. La primera es una versión simplificada que aparece en la pestaña de descripción general del caso en un caso de combinación tóxica. La segunda versión muestra las rutas de ataque completas. Para abrir las rutas de ataque completas, haz clic en Explorar rutas de ataque completas en la ruta de ataque simplificada o en Explorar la ruta de ataque de combinación tóxica en la esquina superior derecha de la vista del caso.
En la siguiente captura de pantalla, se muestra un ejemplo de una ruta de ataque simplificada.
En la consola de Google Cloud, siempre se muestra la ruta de ataque completa.
Para obtener más información, consulta Rutas de ataque.
Casos de combinaciones tóxicas
Security Command Center Enterprise abre un caso en la consola de Security Operations para cada resultado de combinación tóxica que emite el motor de riesgos.
El caso es la forma principal de investigar y hacer un seguimiento de la corrección de una combinación tóxica. En la vista de caso, puedes encontrar la siguiente información:
- Una descripción de la combinación tóxica
- La puntuación de exposición al ataque de la combinación tóxica
- Una visualización de la ruta de ataque que crea la combinación tóxica
- Información sobre el recurso afectado
- Información sobre los pasos que puedes seguir para corregir la combinación tóxica
- Información sobre cualquier resultado relacionado de otros servicios de detección de Security Command Center, incluidos vínculos a sus casos asociados
- Cualquier guía aplicable
- Cualquier ticket asociado
En la consola de Security Operations, la página Resumen de la postura de Security Command Center proporciona una descripción general de todos los casos de combinación tóxica de tu entorno. La página Resumen de postura contiene widgets que muestran casos de combinaciones tóxicas por prioridad, puntuación de exposición a ataques y por el tiempo restante en su acuerdo de nivel de servicio (ANS).
En la página Casos de la consola de Operaciones de seguridad, puedes consultar ofiltrar casos de combinaciones tóxicas con la etiqueta TOXIC_COMBINATION que incluyen. También puedes identificar visualmente los casos de combinación tóxica con el siguiente ícono:
En la consola de Google Cloud, la página Descripción general de riesgos de Security Command Center también muestra la tabla Casos de riesgo alto, que puede incluir una combinación de casos de combinaciones tóxicas con la puntuación de exposición a ataques más alta y casos individuales con la prioridad más alta. Los resultados enumerados incluyen un vínculo al caso correspondiente en la consola de Security Operations.
Para obtener más información sobre cómo ver casos de combinaciones tóxicas, consulta Cómo ver casos de combinaciones tóxicas.
Prioridad del caso
De forma predeterminada, los casos de combinaciones tóxicas tienen una prioridad de Critical para coincidir con la gravedad del hallazgo de la combinación tóxica y su alerta asociada en el caso.
Después de abrir un caso, puedes cambiar la prioridad del caso o de la alerta.
Cambiar la prioridad de un caso o una alerta no cambia la gravedad del hallazgo.
Cierra casos
La disposición de los casos de combinaciones tóxicas se determina según el estado del hallazgo subyacente. Cuando se emite un hallazgo por primera vez, su estado es Active.
Si corriges la combinación tóxica, el motor de riesgo detectará automáticamente la solución durante la siguiente simulación de ruta de ataque y cerrará el caso. Las simulaciones se ejecutan aproximadamente cada seis horas.
Como alternativa, si determinas que el riesgo que representa la combinación tóxica es aceptable o inevitable, puedes silenciar el hallazgo de combinación tóxica para cerrar un caso.
Cuando silencias un resultado de combinación tóxica, este permanece activo, pero Security Command Center cierra el caso y lo omite de las consultas y vistas predeterminadas.
Para obtener más información, consulta lo siguiente:
- Cómo cerrar casos de combinaciones tóxicas
- Descripción general de los casos
- Silenciar resultados en Security Command Center
Resultados relacionados
Muchos de los problemas de seguridad individuales que conforman una combinación tóxica que detecta Risk Engine también son detectados por otros servicios de detección de Security Command Center. Estos otros servicios de detección emiten resultados independientes para estos problemas. Estos hallazgos se enumeran en un caso de combinación tóxica como hallazgos relacionados.
Debido a que los resultados relacionados se emiten por separado de los resultados de combinación tóxica, se abren casos independientes para ellos, se ejecutan diferentes manuales de procedimientos para ellos y es posible que otros miembros de tu equipo estén trabajando en su solución de forma independiente de la solución del resultado de combinación tóxica.
Verifica el estado de los casos en busca de estos hallazgos relacionados y, si es necesario, pide a los propietarios de los casos que prioricen su solución para ayudar a resolver la combinación tóxica.
En un caso de combinación tóxica, los resultados relacionados se enumeran en el widget Resultados de la pestaña Descripción general. Para cada hallazgo relacionado, el widget incluye un vínculo al caso correspondiente.
Los hallazgos relacionados también se identifican en la ruta de ataque de combinación tóxica.
Cómo detecta el motor de riesgo las combinaciones tóxicas
Risk Engine ejecuta simulaciones de rutas de ataque en todos tus recursos de la nube aproximadamente cada seis horas.
Durante las simulaciones, Risk Engine identifica posibles rutas de ataque al conjunto de recursos de alto valor en tu entorno de nube y calcula las puntuaciones de exposición a ataques de los resultados y tus recursos valiosos. Si el motor de riesgo detecta una combinación tóxica durante las simulaciones, emite un resultado.
Para obtener más información sobre las simulaciones de rutas de ataque, consulta Simulación de rutas de ataque.