Nesta página, você encontra uma visão geral do conceito de combinação tóxica e das descobertas e casos que os analistas de vulnerabilidades podem usar para identificar, priorizar e corrigir as combinações tóxicas no Security Command Center Enterprise.
Descobertas e casos de combinação tóxica ajudam você a identificar riscos com mais eficácia e melhorar a segurança nos seus ambientes de nuvem.
Definição de uma combinação tóxica
Uma combinação tóxica é um grupo de problemas de segurança que, quando ocorrem juntos em um padrão específico, criam um caminho para um ou mais recursos de alto valor que um invasor pode usar para alcançar e comprometer esses recursos.
Um problema de segurança é qualquer coisa que contribui para a exposição dos seus recursos da nuvem, como uma configuração específica de recursos, uma configuração ou uma vulnerabilidade de software.
O Risk Engine do Security Command Center Enterprise detecta combinações tóxicas durante as simulações de caminho de ataque que executa. Para cada combinação tóxica que o Risk Engine detecta, ele emite uma descoberta. Cada descoberta inclui uma pontuação de exposição a ataques que mede o risco da combinação tóxica para os recursos de alto valor no ambiente de nuvem. O Risk Engine também gera uma visualização do caminho de ataque que a combinação tóxica cria para os recursos de alto valor.
Pontuações de exposição a ataques em combinações tóxicas
O Risk Engine calcula uma pontuação de exposição a ataques para cada descoberta de combinação tóxica. A pontuação é uma estimativa do risco que a combinação tóxica representa para seus recursos de alto valor.
Uma pontuação em uma descoberta de combinação tóxica é semelhante às pontuações de exposição a ataques em outros tipos de descobertas, mas pode ser considerada como uma aplicação a um caminho, em vez de uma descoberta de uma vulnerabilidade ou configuração de software individual.
Geralmente, uma combinação tóxica representa um risco maior para a implantação da nuvem do que um problema de segurança individual. No entanto, compare a pontuação de uma descoberta de combinação tóxica com as pontuações de outras descobertas de combinação tóxica e de postura para determinar em qual delas agir primeiro.
Se a pontuação de uma descoberta de um problema de segurança individual for significativamente maior do que a pontuação de uma descoberta de combinação tóxica, priorize a descoberta com a pontuação mais alta.
Assim como as pontuações de exposição a ataques para outras descobertas, as pontuações de exposição a ataques em combinações tóxicas são derivadas:
- O número de recursos de alto valor expostos e os valores de prioridade e pontuações de exposição a ataques desses recursos
- A probabilidade de um invasor atingir um recurso de alto valor aproveitando a combinação tóxica
Para mais informações, consulte Pontuações de exposição a ataques.
Visualizações de caminho de ataque para combinações tóxicas
O Risk Engine oferece uma representação visual dos caminhos de ataque que uma combinação tóxica cria para seus recursos de alto valor. Um caminho de ataque representa uma série de problemas e recursos de segurança que um invasor em potencial pode usar para alcançar um recurso de alto valor.
O caminho de ataque ajuda a entender as relações entre os problemas em uma combinação tóxica e como, juntos, eles formam um caminho para os recursos de alto valor. A visualização do caminho também mostra quantos recursos de alto valor estão expostos e quais são as prioridades relativas deles.
No console de Operações de Segurança, os problemas de segurança que compõem a combinação tóxica são destacados por uma borda amarela em forma de diamante escura no caminho de ataque.
No console de Operações de segurança, o Security Command Center oferece duas versões de um caminho de ataque de combinação tóxica. A primeira é uma versão simplificada que aparece na guia de visão geral do caso em um caso de combinação tóxica. A segunda versão mostra o caminho completo do ataque. Para abrir o caminho de ataque completo, clique em Explorar caminhos de ataque completos no caminho de ataque simplificado ou em Explorar caminho de ataque de combinação tóxica no canto superior direito da visualização do caso.
A captura de tela a seguir mostra um exemplo de caminho de ataque simplificado.
Para mais informações, consulte Caminhos de ataque.
Casos de combinação tóxica
O Security Command Center Enterprise abre um caso no console de operações de segurança
para cada combinação tóxica que o Risk Engine emite.
É possível consultar ou filtrar casos de combinações tóxicas usando a
tag TOXIC_COMBINATION que elas incluem. Também é possível identificar visualmente casos
de combinações tóxicas no console de Operações de Segurança pelo seguinte ícone:
Um caso de combinação tóxica nunca contém mais de uma descoberta ou alerta de combinação tóxica.
O caso é a principal maneira de investigar e rastrear a correção de uma combinação tóxica. Na visualização do caso, você pode encontrar as seguintes informações:
- Uma descrição da combinação tóxica
- A pontuação de exposição a ataques da combinação tóxica
- uma visualização do caminho de ataque criado pela combinação tóxica.
- Informações sobre o recurso afetado
- Informações sobre as etapas que podem ser seguidas para remediar a combinação tóxica
- Informações sobre descobertas relacionadas de outros serviços de detecção do Security Command Center, incluindo links para os casos associados
- Quaisquer playbooks aplicáveis
- Ingressos associados
É possível visualizar rapidamente os casos de combinação tóxica no seu ambiente na página Visão geral da postura do Security Command Center no console de operações de segurança. A página Visão geral da postura contém widgets que mostram casos de combinações tóxicas por prioridade, pontuação de exposição a ataques e tempo restante no contrato de nível de serviço (SLA).
Para mais informações sobre a visualização de casos de combinação tóxica, consulte Conferir casos de combinação tóxica.
Prioridade do caso
Por padrão, os casos de combinação tóxica têm uma prioridade de Critical para corresponder
à gravidade da descoberta da combinação tóxica e ao alerta associado
no caso de combinação tóxica.
Depois que um caso é aberto, é possível alterar a prioridade dele ou do alerta.
Mudar a prioridade de um caso ou alerta não altera a gravidade da descoberta.
Encerramento de casos
A disposição de casos de combinação tóxica é determinada pelo estado da
descoberta em questão. Quando uma descoberta é emitida pela primeira vez, o estado dela é Active.
Se você corrigir a combinação tóxica, o Risk Engine detectará automaticamente a correção durante a próxima simulação de caminho de ataque e encerrará o caso. As simulações são executadas aproximadamente a cada seis horas.
Como alternativa, se você determinar que o risco representado pela combinação tóxica é aceitável ou inevitável, encerre o caso silenciando a descoberta da combinação tóxica.
Quando você silencia uma descoberta de combinação tóxica, ela permanece ativa, mas o Security Command Center fecha o caso e a omite das consultas e visualizações padrão.
Para mais informações, consulte as seguintes informações:
- Como fechar casos de combinação tóxica
- Visão geral de casos
- Ignorar descobertas no Security Command Center
Descobertas relacionadas
Muitos dos problemas de segurança individuais que compõem uma combinação tóxica detectada pelo Risk Engine também são detectados por outros serviços de detecção do Security Command Center. Esses outros serviços de detecção emitem descobertas separadas para esses problemas. Essas descobertas são listadas em um caso de combinação tóxica como descobertas relacionadas.
Como as descobertas relacionadas são emitidas separadamente da descoberta da combinação tóxica, são abertos casos separados para elas, playbooks diferentes são executados para elas, e outros membros da equipe podem trabalhar na correção independentemente da correção da descoberta da combinação tóxica.
Verifique o status dos casos para essas descobertas relacionadas e, se necessário, peça aos proprietários dos casos para priorizar a correção para ajudar a resolver a combinação tóxica.
Em um caso de combinação tóxica, todas as descobertas relacionadas são listadas no widget Descobertas, na guia de visão geral de um caso de combinação tóxica. Para cada descoberta relacionada, o widget inclui um link para o caso correspondente.
Descobertas relacionadas também são identificadas no caminho do ataque de combinação tóxica.
Como o Risk Engine detecta combinações tóxicas
O Risk Engine executa simulações de caminho de ataque em todos os recursos da nuvem aproximadamente a cada seis horas.
Durante as simulações, o Risk Engine identifica possíveis caminhos de ataque aos recursos de alto valor no ambiente de nuvem e calcula as pontuações de exposição a ataques para descobertas e recursos de alto valor. Se o mecanismo de risco detectar uma combinação tóxica durante as simulações, ele emite uma descoberta.
Para mais informações sobre simulações de caminho de ataque, consulte Simulações de caminho de ataque.