Questa pagina fornisce una panoramica del concetto di combinazione tossica e dei risultati e dei casi che gli analisti di vulnerabilità possono utilizzare per identificare, assegnare la priorità e correggere le combinazioni tossiche in Security Command Center Enterprise.
I risultati e i casi relativi alle combinazioni dannose ti aiutano a identificare in modo più efficace i rischi e a migliorare la sicurezza nei tuoi ambienti cloud.
Definizione di combinazione tossica
Una combinazione tossica è un gruppo di problemi di sicurezza che, quando si verificano insieme in un determinato pattern, creano un percorso verso una o più delle tue risorse di alto valore che un determinato utente malintenzionato potrebbe potenzialmente utilizzare per raggiungere e compromettere queste risorse.
Un problema di sicurezza è qualsiasi cosa che contribuisca all'esposizione delle tue risorse cloud, come una particolare configurazione delle risorse, una configurazione o una vulnerabilità del software.
Il motore di rischio di Security Command Center Enterprise rileva le combinazioni tossiche durante le simulazioni dei percorsi di attacco che esegue. Per ogni combinazione tossica rilevata da Risk Engine, genera un risultato. Ogni risultato include un punteggio di esposizione agli attacchi che misura il rischio della combinazione tossica per le risorse di alto valore nel tuo ambiente cloud. Risk Engine genera anche una visualizzazione del percorso di attacco che la combinazione tossica crea alle risorse di alto valore.
Punteggi di esposizione agli attacchi su combinazioni tossiche
Risk Engine calcola un punteggio di esposizione agli attacchi per ogni risultato di combinazione tossica. Il punteggio è una stima del rischio che la combinazione tossica rappresenta per le risorse di alto valore.
Un punteggio per il risultato di una combinazione tossica è simile a quello di esposizione agli attacchi su altri tipi di risultati, ma può essere considerato come applicato a un percorso piuttosto che al rilevamento di una singola vulnerabilità o configurazione del software.
In genere, una combinazione tossica rappresenta un rischio maggiore per il deployment cloud rispetto a un singolo problema di sicurezza. Tuttavia, confronta il punteggio di una combinazione tossica con i punteggi di altri risultati relativi a combinazioni tossiche e postura per determinare su quali devi agire per primo.
Se il punteggio di un risultato di un singolo problema di sicurezza è notevolmente più alto di quello di una combinazione tossica, dovresti dare la priorità al risultato con il punteggio più alto.
Analogamente ai punteggi di esposizione agli attacchi per altri risultati, i punteggi di esposizione agli attacchi per le combinazioni tossiche derivano da quanto segue:
- Il numero di risorse di alto valore esposte e i valori di priorità e punteggi di esposizione agli attacchi di queste risorse
- la probabilità che un determinato utente malintenzionato riusci a raggiungere una risorsa di alto valore
Per maggiori informazioni, vedi Punteggi di esposizione agli attacchi.
Visualizzazioni del percorso di attacco per combinazioni dannose
Risk Engine fornisce una rappresentazione visiva dei percorsi di attacco che una combinazione tossica crea per le tue risorse di alto valore. Un percorso di attacco rappresenta una serie di problemi e risorse di sicurezza che un potenziale utente malintenzionato potrebbe utilizzare per raggiungere una risorsa di alto valore.
Il percorso di attacco ti aiuta a comprendere le relazioni tra i problemi di una combinazione tossica e il modo in cui insieme formano un percorso verso le tue risorse di alto valore. La visualizzazione del percorso mostra anche quante risorse di alto valore sono esposte e quali sono le relative priorità delle risorse esposte.
Nella Security Operations Console, i problemi di sicurezza che costituiscono la combinazione tossica sono evidenziati da un bordo giallo a forma di rombo in grassetto sul percorso di attacco.
Nella Security Operations Console, Security Command Center fornisce due versioni di un percorso di attacco basato su combinazione tossica. La prima è una versione semplificata che compare nella scheda Panoramica della richiesta in un caso di combinazione tossica. La seconda versione mostra l'intero percorso di attacco. Puoi aprire il percorso di attacco completo facendo clic su Esplora percorsi di attacco completi nel percorso di attacco semplificato oppure su Esplora percorso di attacco combinato tossico nell'angolo in alto a destra della visualizzazione delle richieste.
Il seguente screenshot è un esempio di percorso di attacco semplificato.
Per maggiori informazioni, vedi Percorsi di attacco.
Casi di combinazione tossica
Security Command Center Enterprise apre una richiesta nella console Security Operations
per ogni combinazione tossica che rileva il problema di Risk Engine.
Puoi eseguire query o filtrare i casi di combinazione tossica utilizzando il
tag TOXIC_COMBINATION che includono. Puoi anche identificare visivamente i casi di combinazioni tossiche in Security Operations Console grazie alla seguente icona: 
Un caso di combinazione tossica non contiene mai più di un risultato o avviso di combinazione tossica.
Il caso è il modo principale per indagare e monitorare la correzione di una combinazione tossica. Nella visualizzazione della richiesta puoi trovare le seguenti informazioni:
- Una descrizione della combinazione tossica
- Il punteggio di esposizione agli attacchi della combinazione tossica
- Una visualizzazione del percorso di attacco creato dalla combinazione tossica
- Informazioni sulla risorsa interessata
- Informazioni sui passaggi da seguire per risolvere la combinazione tossica
- Informazioni su eventuali risultati correlati di altri servizi di rilevamento di Security Command Center,
- Eventuali playbook applicabili
- Eventuali biglietti associati
Puoi visualizzare un riepilogo dei casi di combinazione tossica nel tuo ambiente nella pagina Panoramica della postura di Security Command Center nella console Security Operations. La pagina Panoramica della postura contiene widget che mostrano i casi di combinazioni dannose in base alla priorità, al punteggio di esposizione agli attacchi e al tempo rimasto nell'accordo sul livello del servizio (SLA).
Per maggiori informazioni sulla visualizzazione di casi di combinazione tossica, consulta Visualizzare i casi di combinazione tossica.
Priorità della richiesta
Per impostazione predefinita, i casi di combinazione tossica hanno una priorità pari a Critical, in modo da corrispondere
alla gravità del risultato della combinazione tossica e dell'avviso associato
nel caso di combinazione tossica.
Dopo aver aperto una richiesta, puoi modificare la priorità della richiesta o dell'avviso.
La modifica della priorità di una richiesta o di un avviso non cambia la gravità del rilevamento.
Chiusura delle richieste
La disposizione dei casi di combinazione tossica è determinata dallo stato del risultato sottostante. Quando viene emesso per la prima volta un risultato, il suo stato è Active.
Se correggi la combinazione tossica, Risk Engine rileva automaticamente la correzione durante la successiva simulazione del percorso di attacco e chiude la richiesta. Le simulazioni vengono eseguite circa ogni sei ore.
In alternativa, se ritieni che il rischio rappresentato dalla combinazione tossica sia accettabile o inevitabile, puoi chiudere una richiesta disattivando il risultato della combinazione tossica.
Quando disattivi un risultato di combinazione tossica, il risultato rimane attivo, ma Security Command Center chiude la richiesta e lo omette dalle query e dalle visualizzazioni predefinite.
Per saperne di più, consulta le seguenti informazioni:
- Come chiudere i casi di combinazione tossica
- Panoramica delle richieste
- Disattivazione dei risultati in Security Command Center
Risultati correlati
Molti dei singoli problemi di sicurezza che costituiscono una combinazione tossica rilevata da Risk Engine vengono rilevati anche da altri servizi di rilevamento di Security Command Center. Questi altri servizi di rilevamento emettono risultati separati per questi problemi. Questi risultati sono elencati in un caso di combinazione tossica come risultati correlati.
Poiché i risultati correlati vengono emessi separatamente dall'individuazione della combinazione tossica, vengono aperti casi separati per loro, vengono eseguiti playbook diversi e altri membri del tuo team potrebbero lavorare alla loro correzione indipendentemente dalla correzione del risultato della combinazione tossica.
Controlla lo stato delle richieste per questi risultati correlati e, se necessario, chiedi ai proprietari delle richieste di dare priorità alla loro correzione per aiutare a risolvere la combinazione tossica.
In un caso di combinazione tossica, tutti i risultati correlati sono elencati nel widget Risultati della scheda Panoramica di un caso di combinazione tossica. Per ogni risultato correlato, il widget include un link al caso corrispondente.
Risultati correlati sono identificati anche nel percorso di attacco di combinazione tossica.
In che modo Risk Engine rileva le combinazioni tossiche
Risk Engine esegue simulazioni dei percorsi di attacco su tutte le tue risorse cloud circa ogni sei ore.
Durante le simulazioni, Risk Engine identifica i potenziali percorsi di attacco alle risorse di alto valore nel tuo ambiente cloud e calcola i punteggi di esposizione agli attacchi per risultati e risorse di alto valore. Se Risk Engine rileva una combinazione tossica durante le simulazioni, genera un risultato.
Per ulteriori informazioni sulle simulazioni del percorso di attacco, consulta Simulazioni del percorso di attacco.