Cette page présente le concept de combinaison toxique, ainsi que les résultats et les cas que vous, en tant qu'analyste de la vulnérabilité ou autre rôle chargé de sécuriser votre environnement cloud, pouvez utiliser pour identifier, hiérarchiser et corriger les combinaisons toxiques.
Les résultats et les cas de combinaisons toxiques vous aident à identifier plus efficacement les risques et d'améliorer la sécurité dans vos environnements cloud.
Définition d'une combinaison toxique
Une combinaison toxique désigne un groupe de problèmes de sécurité qui, lorsqu'ils se produisent ensemble selon un modèle particulier, créent un chemin vers une ou plusieurs de vos ressources de forte valeur qu’un attaquant déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources.
Un problème de sécurité désigne tout élément qui contribue à l'exposition de votre des ressources cloud, comme une configuration particulière des ressources, ou une faille logicielle.
Le moteur de gestion des risques de Security Command Center Enterprise détecte les combinaisons toxiques lors des simulations de chemins d'attaque qu'il exécute. Pour chaque combinaison toxique détectée par le moteur de risque, il émet un résultat. Chaque résultat inclut un score d'exposition aux attaques qui mesure le risque de la combinaison toxique pour les ressources à forte valeur de votre environnement cloud. Le moteur de gestion des risques génère également une visualisation du chemin d'attaque que la combinaison toxique crée vers les ressources à forte valeur.
Vous travaillez avec des résultats de combinaisons toxiques à travers des cas, mais si vous avez besoin les résultats eux-mêmes, vous pouvez les consulter dans la la console Google Cloud Résultats sur laquelle vous pouvez filtrer résultats selon la classe de résultat Combinaison toxique ou triez les résultats par Score de combinaison toxique.
Scores d'exposition au piratage pour des combinaisons toxiques
Le moteur de risque calcule un score d'exposition aux attaques pour chaque résultat de combinaison toxique. Ce score est une estimation du niveau de risque que la combinaison toxique représente pour vos ressources à forte valeur.
Un score sur une combinaison toxique est semblable aux scores d'exposition au piratage sur d'autres types de résultats, mais peut être considéré comme s'appliquant à un chemin plutôt que la découverte d'une vulnérabilité logicielle individuelle ou lors d'une mauvaise configuration.
En règle générale, une combinaison toxique représente un risque plus élevé pour votre déploiement cloud qu'un problème de sécurité individuel. Toutefois, comparez d'une combinaison toxique par rapport aux scores d'autres de combinaison et de stratégie pour déterminer sur lesquels agir en premier.
Si le score d'un résultat lié à un problème de sécurité individuel est nettement plus élevé que celui d'un résultat lié à une combinaison toxique, vous devez donner la priorité au résultat ayant le score le plus élevé.
Comme les scores d'exposition au piratage pour d'autres résultats, les scores d'exposition aux attaques sur les combinaisons toxiques proviennent des éléments suivants:
- Le nombre de ressources de forte valeur exposées et leur priorité et les scores d'exposition aux attaques de ces ressources
- La probabilité qu’un attaquant déterminé puisse réussir à atteindre une ressource de grande valeur en exploitant la combinaison toxique
Pour en savoir plus, consultez la section Scores d'exposition aux attaques.
Visualisations des chemins d'attaque pour des combinaisons toxiques
Risk Engine fournit une représentation visuelle des chemins d'attaque qu'une combinaison toxique crée vers vos ressources à forte valeur. Un chemin d'attaque correspond à une série de problèmes de sécurité et à des ressources qu'un éventuel pirate informatique pourrait exploiter pour atteindre une ressource à forte valeur.
Le chemin d'attaque vous aide à comprendre les relations entre les problèmes d'une combinaison toxique et comment, ensemble, ils forment un chemin vers vos ressources à forte valeur. La visualisation du chemin d'accès vous indique également le nombre de ressources à forte valeur exposées et leurs priorités relatives.
Dans la console Security Operations, les problèmes de sécurité qui constituent la combinaison toxique sont mis en évidence par une bordure en forme de losange jaune en gras sur le chemin d'attaque. Dans la console Google Cloud, les chemins d'attaque sont identiques à ceux des autres types de résultats.
Dans la console Opérations de sécurité, Security Command Center propose d'un chemin d'attaque par combinaison toxique. La première est une version simplifiée qui s'affiche dans l'onglet "Vue d'ensemble de la demande" d'un cas de combinaison toxique. La deuxième version montre le chemin d'attaque complet. Vous pouvez ouvrir l'ensemble d'attaque en cliquant sur Explorer les chemins d'attaque complets dans le chemin d'attaque simplifié ou en cliquant sur Explorer le chemin d'attaque par combinaison toxique en haut à droite dans la vue de la demande.
La capture d'écran suivante est un exemple de chemin d'attaque simplifié.
Dans la console Google Cloud, le chemin d'attaque complet est toujours affiché.
Pour en savoir plus, consultez la section Chemins d'attaque.
Cas de combinaison toxique
Security Command Center Enterprise ouvre une demande dans la console Security Operations pour chaque résultat de combinaison toxique émis par le moteur de gestion des risques.
L'étude de cas est le principal moyen d'enquêter et de suivre la résolution d'une combinaison toxique. Dans la vue "Demande", vous trouverez les informations suivantes :
- Description de la combinaison toxique
- Le niveau d'exposition aux attaques de la combinaison toxique
- Une visualisation du chemin d'attaque que la combinaison toxique crée
- Informations sur la ressource concernée
- Informations sur les mesures que vous pouvez prendre pour corriger la combinaison toxique
- Informations sur tous les résultats associés provenant d'autres services Security Command Center services de détection, y compris des liens vers les demandes associées
- Tous les playbooks applicables
- Toutes les demandes associées
Un cas de combinaison toxique ne contient jamais plus d'une seule observation ou alerte de combinaison toxique.
Dans la console Security Operations, la page Vue d'ensemble de la posture de Security Command Center fournit un aperçu de tous les cas de combinaison toxique pour votre environnement. La page Vue d’ensemble de la stratégie contient des widgets qui affichent de combinaisons toxiques par priorité, par score d'exposition au piratage et par le temps restant dans leur contrat de niveau de service.
Sur la page Demandes de la console Opérations de sécurité, vous pouvez interroger ou
filtrer les cas de combinaison toxique à l'aide du tag TOXIC_COMBINATION qui
qu'ils incluent. Vous pouvez aussi identifier visuellement
de chaque cas par l'icône suivante:
Dans la console Google Cloud, la page Vue d'ensemble des risques de Security Command Center affiche également les résultats de combinaisons toxiques avec les scores d'exposition aux attaques les plus élevés. Les résultats répertoriés incluent un lien vers les dans la console Opérations de sécurité.
Pour en savoir plus sur l'affichage des cas de combinaison toxique, consultez Afficher les cas de combinaison toxique
Priorité des demandes
Par défaut, les cas de combinaison toxique ont une priorité de Critical à mettre en correspondance
La gravité du résultat de la combinaison toxique et l'alerte associée
dans le cas des combinaisons toxiques.
Une fois une demande ouverte, vous pouvez modifier sa priorité ou celle de l'alerte.
Modifier la priorité d'un ticket ou d'une alerte ne modifie pas la gravité de la non-conformité.
Clôturer les demandes
La disposition des cas de combinaison toxique est déterminée par l'état
le résultat sous-jacent. Lorsqu'un résultat est émis pour la première fois, son état est Active.
Si vous corrigez la combinaison toxique, détecte automatiquement la correction la prochaine simulation de chemin d'attaque et clôture le cas. Exécution des simulations approximativement toutes les six heures.
Sinon, si vous déterminez que le risque posé par la est acceptable ou inévitable, vous pouvez clôturer un dossier en ignorant la recherche de combinaison toxique.
Lorsque vous ignorez le résultat d'une combinaison toxique, celui-ci reste actif, mais Security Command Center ferme la demande et omet le résultat par défaut des requêtes et des vues.
Pour en savoir plus, consultez les informations suivantes:
- Comment boucler les cas de combinaison toxique
- Présentation des demandes
- Ignorer les résultats dans Security Command Center
Résultats associés
De nombreux problèmes de sécurité individuels qui constituent une combinaison toxique détectée par l'outil Risk Engine sont également détectés par d'autres services de détection de Security Command Center. Ces autres services de détection des conclusions distinctes pour ces problèmes. Ces résultats sont répertoriés dans un cas de combinaison toxique comme résultats connexes.
Comme les résultats associés sont publiés séparément de la combinaison toxique des demandes distinctes leur sont ouvertes, différents playbooks exécuter pour eux, et d’autres membres de votre équipe peuvent travailler sur leurs indépendamment de la correction de la combinaison toxique trouver.
Vérifiez l'état des demandes pour ces résultats associés et, si nécessaire, demandez aux propriétaires des demandes de donner la priorité à leur résolution pour résoudre la combinaison toxique.
Dans un cas de combinaison toxique, tous les résultats associés sont répertoriés dans le Widget Résultats de l'onglet "Vue d'ensemble" Pour chaque résultat associé, le widget inclut un lien vers la demande correspondante.
Les résultats associés sont également identifiés dans le chemin d'attaque de la combinaison toxique.
Comment Risk Engine détecte-t-il les combinaisons toxiques ?
Le moteur de gestion des risques exécute des simulations de chemin d'attaque sur l'ensemble de aux ressources cloud toutes les six heures.
Lors des simulations, le moteur de gestion des risques identifie les chemins d'attaque potentiels vers les ressources à forte valeur de votre environnement cloud et calcule les scores d'exposition aux attaques pour les résultats et les ressources à forte valeur. Si Risk Engine détecte une combinaison toxique lors des simulations, il génère un résultat.
Pour en savoir plus sur les simulations de chemin d'attaque, consultez la section Simulations de chemin d'attaque.