Questa pagina fornisce una panoramica del concetto di combinazione tossica e dei risultati e dei casi che tu, un analista delle vulnerabilità o un altro ruolo responsabili della sicurezza del tuo ambiente cloud, puoi utilizzare identificare, assegnare le priorità e correggere le combinazioni tossiche.
I risultati e i casi relativi alle combinazioni tossiche ti aiutano a identificare in modo più efficace i rischi e migliorare la sicurezza nei tuoi ambienti cloud.
Definizione di una combinazione tossica
Una combinazione tossica è un gruppo di problemi di sicurezza. che, quando si verificano insieme in un particolare pattern, creano un percorso una o più delle tue risorse di alto valore che un determinato utente malintenzionato potrebbe utilizzare per raggiungere e compromettere tali risorse.
Un problema di sicurezza è qualsiasi cosa che contribuisca all'esposizione del tuo di risorse cloud, come una particolare configurazione delle risorse, un errore di configurazione o una vulnerabilità del software.
Il motore dei rischi di Security Command Center Enterprise consente di rilevare le combinazioni tossiche durante le simulazioni dei percorsi di attacco eseguite. Per ogni combinazione tossica rilevata da Risk Engine, genera un risultato. Ogni risultato include un punteggio di esposizione agli attacchi che misura il rischio della combinazione tossica per le risorse di alto valore nel tuo nell'ambiente cloud. Il motore dei rischi genera anche una visualizzazione del percorso di attacco creato dalla combinazione tossica per le risorse di alto valore.
Si lavora con i risultati relativi alle combinazioni tossiche attraverso i casi, ma se per vedere i risultati stessi, potete vederli nel nella console Google Cloud Risultati in cui puoi filtrare risultati in base alla classe di risultati Combinazione tossica oppure ordinali per Punteggio di combinazione tossica.
Punteggi di esposizione agli attacchi su combinazioni tossiche
Risk Engine calcola un punteggio di esposizione agli attacchi per ogni combinazione tossica. Il punteggio è una stima del livello di rischio rappresentato dalla combinazione dannosa per le tue risorse di alto valore.
Un punteggio per il risultato di una combinazione tossica è simile ai punteggi di esposizione agli attacchi su altri tipi di risultati, ma può essere considerato come applicato a un percorso piuttosto che l'individuazione di una singola vulnerabilità software e non è corretta.
In genere, una combinazione tossica rappresenta un rischio maggiore per il tuo deployment cloud rispetto a un singolo problema di sicurezza. Tuttavia, confronta il punteggio di un risultato relativo a una combinazione tossica con i risultati di altre combinazioni dannose e di altre posture per determinare su quale intervenire prima.
Se il punteggio di un risultato relativo a un singolo problema di sicurezza è significativamente più alto rispetto al punteggio di una combinazione tossica. ricerca, devi dare la priorità al risultato con il punteggio più alto.
Analogamente ai punteggi dell'esposizione agli attacchi per altri risultati, ai punteggi dell'esposizione agli attacchi sulle combinazioni tossiche derivano da:
- Il numero di risorse di alto valore esposte, i valori di priorità e i punteggi di esposizione agli attacchi di queste risorse
- La probabilità che un malintenzionato determinato possa riuscire a raggiungere una risorsa di alto valore sfruttando la combinazione tossica
Per ulteriori informazioni, vedi Punteggi di esposizione agli attacchi.
Visualizzazioni del percorso di attacco per le combinazioni dannose
Il motore Risk fornisce una rappresentazione visiva dei percorsi di attacco che una combinazione tossica crea per le tue risorse di alto valore. Un attacco rappresenta una serie di problemi e risorse di sicurezza che un malintenzionato potrebbe usare per raggiungere una risorsa di alto valore.
Il percorso di attacco aiuta a comprendere le relazioni tra il problemi in una combinazione tossica e come insieme creino un percorso le risorse di alto valore. La visualizzazione del percorso mostra anche quante risorse di alto valore sono esposte e le relative priorità.
Nella Security Operations Console, i problemi di sicurezza che combinazione tossica è evidenziata da un bordo giallo a forma di diamante lungo il percorso di attacco. Nella console Google Cloud, i percorsi di attacco sono considerati i percorsi di attacco di altri tipi di risultati.
Nella console Security Operations, Security Command Center fornisce due versioni di un percorso di attacco con combinazione tossica. La prima è una versione semplificata che viene visualizzata nella scheda Panoramica della richiesta in una richiesta di combinazione tossica. La seconda versione mostra il percorso di attacco completo. Puoi aprire il percorso di attacco completo facendo clic su Esplora percorsi di attacco completi nel percorso di attacco semplificato o su Esplora il percorso di attacco della combinazione tossica nell'angolo in alto a destra della visualizzazione della richiesta.
Lo screenshot seguente è un esempio di percorso di attacco semplificato.
Nella console Google Cloud viene sempre visualizzato il percorso di attacco completo.
Per ulteriori informazioni, vedi Percorsi di attacco.
Casi di combinazione tossica
Security Command Center Enterprise apre una richiesta nella console Security Operations per ogni combinazione tossica rilevata dal motore dei rischi.
Il caso è il modo principale per indagare e monitorare la correzione di un combinazione tossica. Nella visualizzazione della richiesta, puoi trovare le seguenti informazioni:
- Una descrizione della combinazione tossica
- Il punteggio di esposizione agli attacchi della combinazione tossica
- Una visualizzazione del percorso di attacco creato dalla combinazione tossica
- Informazioni sulla risorsa interessata
- Informazioni sui passaggi da seguire per risolvere la combinazione tossica
- Informazioni su eventuali risultati correlati di altri Security Command Center di rilevamento, con i link ai casi associati
- Eventuali playbook applicabili
- Eventuali biglietti associati
Una richiesta di combinazione tossica non contiene mai più di un avviso o un rilevamento di combinazione tossica.
In Security Operations Console, la panoramica della postura di Security Command Center fornisce una panoramica di tutti i casi di combinazioni tossiche per la completamente gestito di Google Cloud. La pagina Panoramica della posizione contiene widget che mostrano le richieste relative a combinazioni tossiche in base alla priorità, al punteggio di esposizione agli attacchi e al tempo rimanente dell'accordo sul livello del servizio (SLA).
Nella pagina Richieste di Security Operations Console, puoi eseguire query
filtra i casi di combinazione tossica utilizzando il tag TOXIC_COMBINATION
che
che includono. Puoi anche identificare visivamente le richieste relative alla combinazione tossica tramite la seguente icona:
Nella console Google Cloud, Security Command Center Panoramica dei rischi mostra anche le combinazioni tossiche rilevate con l'attacco più elevato i punteggi di esposizione. I risultati elencati includono un link alla richiesta corrispondente nella console Security Operations.
Per ulteriori informazioni sulla visualizzazione di casi di combinazione tossica, consulta Visualizza i casi di combinazione tossica.
Priorità della richiesta
Per impostazione predefinita, i casi di combinazione tossica hanno la priorità Critical
, corrispondente
gravità del risultato della combinazione tossica e dell'avviso associato
nel caso di combinazione tossica.
Dopo aver aperto una richiesta, puoi modificare la relativa priorità o quella dell'alert.
La modifica della priorità di una richiesta o di un avviso non influisce sulla gravità del risultato.
Chiusura delle richieste
La gestione delle richieste di combinazione tossica è determinata dallo stato della violazione di base. Quando un rilevamento viene emesso per la prima volta, il relativo stato è Active
.
Se risolvi la combinazione tossica, il Motore di rischio rileva automaticamente la correzione durante la successiva simulazione del percorso di attacco e chiude il caso. Simulazioni eseguite circa ogni sei ore.
In alternativa, se stabilisci che il rischio rappresentato dall'agente tossico è accettabile o inevitabile, puoi chiudere una richiesta disattivare il risultato della combinazione tossica.
Quando disattivi un risultato relativo a una combinazione tossica, questo rimane attivo, ma Security Command Center chiude la richiesta e omette il risultato per impostazione predefinita query e viste.
Per ulteriori informazioni, consulta le seguenti informazioni:
- Come chiudere le richieste relative alla combinazione tossica
- Panoramica delle richieste
- Disattivazione dei risultati in Security Command Center
Risultati correlati
Molti dei singoli problemi di sicurezza che compongono una combinazione dannosa rilevata da Risk Engine vengono rilevati anche da altri servizi di rilevamento di Security Command Center. Questi altri servizi di rilevamento emettono risultati separati per questi problemi. Questi risultati sono elencati in un caso di combinazione tossica come risultati correlati.
Poiché i risultati correlati vengono emessi separatamente dal risultato della combinazione tossica, vengono aperte richieste separate, vengono eseguiti diversi playbook e altri membri del team potrebbero lavorare alla loro correzione indipendentemente dalla correzione del risultato della combinazione tossica.
Controllare lo stato delle richieste per i risultati correlati e, se necessario, chiedi ai proprietari delle richieste di dare la priorità alle loro misure per aiutare risolvere la combinazione tossica.
In un caso di combinazione tossica, tutti i risultati correlati sono elencati nella Widget Risultati nella scheda Panoramica. Per ogni risultato correlato, il widget include un link al suo per verificare se è così.
I risultati correlati vengono identificati anche nel percorso di attacco della combinazione tossica.
In che modo Risk Engine rileva le combinazioni tossiche
Risk Engine esegue simulazioni dei percorsi di attacco su tutte le tue risorse cloud circa ogni sei ore.
Durante le simulazioni, Risk Engine identifica i potenziali i percorsi di attacco alle risorse di alto valore nel tuo ambiente cloud calcola i punteggi dell'esposizione agli attacchi per risultati e risorse di alto valore. Se Risk Engine rileva una combinazione tossica durante il simulazioni, genera un risultato.
Per saperne di più sulle simulazioni del percorso di attacco, consulta Simulazioni del percorso di attacco.