유해한 조합 개요

이 페이지에서는 유해한 조합의 개념과 발견 항목 및 케이스에 대한 개요를 제공합니다. 이를 통해 취약성 분석가 또는 클라우드 환경 보안을 담당하는 기타 역할이 유해한 조합을 식별하고, 우선순위를 지정하고 조치를 취할 수 있습니다.

유해한 조합 발견 항목과 케이스는 Google Cloud 및 Amazon Web Services(AWS)(미리보기)를 비롯한 클라우드 환경에서 더욱 효과적으로 위험을 식별하고 보안을 개선하는 데 도움이 됩니다.

유해한 조합 정의

유해성 조합은 특정 패턴에서 함께 발생할 경우 완강한 공격자가 가치가 높은 리소스에 접근하여 침해할 수 있는 가치가 높은 리소스 하나 이상에 대한 경로를 만드는 보안 문제 그룹입니다.

보안 문제는 특정 리소스 구성, 잘못된 구성 또는 소프트웨어 취약점과 같은 클라우드 리소스 노출에 기여합니다.

Security Command Center Enterprise의 위험 엔진은 공격 경로 시뮬레이션 실행 중에 유해한 조합을 감지합니다. 위험 엔진에서 감지하는 유해한 조합마다 발견 항목이 생성됩니다. 각 유해한 조합에는 클라우드 환경의 가치가 높은 리소스 세트에 대한 유해한 조합의 위험을 측정하는 고유한 공격 노출 점수(유해한 조합 점수)가 포함됩니다. 또한 위험 엔진은 유해한 조합에서 가치가 높은 리소스 세트의 리소스에 대해 만드는 공격 경로를 시각화합니다.

케이스를 통해 유해한 조합 발견 항목을 사용하지만 발견 항목을 직접 확인해야 하는 경우 Google Cloud 콘솔의 발견 항목 페이지에서 이를 확인할 수 있습니다. 여기에서 유해한 조합 발견 항목 클래스로 발견 항목을 필터링하거나 유해한 조합 점수에 따라 발견 항목을 정렬할 수 있습니다.

유해한 조합에 대한 공격 노출 점수

위험 엔진은 유해한 조합마다 공격 노출 점수를 계산합니다. 이러한 공격 노출 점수는 Google Cloud 콘솔의 발견 항목 페이지와 같은 일부 맥락에서는 유해한 조합 점수라고도 합니다. 이 점수는 유해한 조합이 가치가 높은 리소스 세트의 하나 이상의 리소스를 잠재적 공격에 얼마나 노출하는지를 측정합니다.

유해한 조합 점수는 다른 유형의 발견 항목에 대한 공격 노출 점수와 비슷하지만 개별 소프트웨어 취약점 또는 잘못된 구성에 대한 발견 항목이 아닌 일련의 공격 단계에 적용됩니다.

기본적으로 유해한 조합은 심각도가 매우 높은 발견 항목 및 우선순위가 '중요'인 케이스로 분류됩니다. 유해한 조합 점수를 비교하여 유해한 조합 케이스 간에 우선순위를 지정합니다.

다른 발견 항목의 공격 노출 점수와 마찬가지로 유해한 조합 점수는 다음에서 파생됩니다.

  • 노출된 가치가 높은 리소스 세트의 리소스 수 및 해당 리소스의 우선순위 값과 공격 노출 점수
  • 완강한 공격자가 유해한 조합을 활용하여 가치가 높은 리소스에 도달하는 데 성공할 가능성

자세한 내용은 공격 노출 점수를 참조하세요.

유해한 조합에 대한 공격 경로 시각화

위험 엔진은 유해한 조합이 가치가 높은 리소스 세트의 리소스에 대해 만드는 공격 경로를 시각적으로 표시합니다. 공격 경로는 잠재적 공격자가 리소스에 도달하는 데 사용할 수 있는 일련의 공격 단계와 관련 보안 문제 및 리소스를 나타냅니다.

공격 경로를 통해 유해한 조합의 문제 간의 관계와 이러한 문제가 가치가 높은 리소스 세트의 리소스에 대한 경로를 형성하는 방식을 이해할 수 있습니다. 또한 경로 시각화에서는 여러 가치가 높은 리소스가 노출되는 방식과 노출된 리소스의 클라우드 환경에 대한 상대적 중요도를 보여줍니다.

보안 운영 콘솔에서 유해한 조합을 일으키는 보안 문제가 있는 리소스는 공격 경로에서 굵은 노란색 다이아몬드 모양의 테두리로 강조 표시됩니다. Google Cloud 콘솔에서 공격 경로는 다른 발견 항목 유형의 공격 경로와 동일하게 표시됩니다.

보안 운영 콘솔에서 Security Command Center는 유해한 조합 공격 경로의 버전 2개를 제공합니다. 첫 번째는 간소화된 버전으로, 유해한 조합 케이스의 케이스 개요 탭에 표시됩니다. 두 번째 버전에서는 전체 공격 경로를 보여줍니다. 간소화된 공격 경로에서 전체 공격 경로 살펴보기를 클릭하거나 케이스 뷰 오른쪽 상단에 있는 유해한 조합 공격 경로 살펴보기를 클릭하여 전체 공격 경로를 열 수 있습니다.

다음 스크린샷은 간소화된 공격 경로의 예시입니다.

보안 운영 콘솔에 표시되는 간소화된 공격 경로

Google Cloud 콘솔에는 항상 전체 공격 경로가 표시됩니다.

자세한 내용은 공격 경로를 참조하세요.

유해한 조합 케이스

Security Command Center Enterprise는 Risk Engine에서 발행하는 각 유해한 조합 발견 항목에 대한 케이스를 보안 운영 콘솔에서 엽니다.

케이스는 유해한 조합의 해결책을 조사하고 추적하는 기본 방법입니다. 케이스 뷰에서 다음 정보를 확인할 수 있습니다.

  • 유해한 조합에 대한 설명
  • 유해한 조합의 공격 노출 점수
  • 유해한 조합에서 만드는 공격 경로 시각화
  • 영향을 받는 리소스에 대한 정보
  • 유해한 조합을 해결하는 데 취할 수 있는 단계에 대한 정보
  • 관련 케이스에 대한 링크를 포함하여 다른 Security Command Center 감지 서비스에서 발견된 관련 발견 항목에 대한 정보
  • 적용 가능한 플레이북
  • 연결된 티켓

보안 운영 콘솔의 Security Command Center 상황 개요 페이지에서는 환경의 모든 유해한 조합 케이스에 대한 개요를 제공합니다. 상황 개요 페이지에는 우선순위, 공격 노출 점수, 서비스수준계약(SLA)에서 남은 시간을 기준으로 유해한 조합 케이스를 보여주는 위젯이 포함됩니다.

보안 운영 콘솔의 케이스 페이지에서 포함된 TOXIC_COMBINATION 태그를 사용하여 유해한 조합 케이스를 쿼리하거나 필터링할 수 있습니다. 다음 아이콘으로 유해한 조합 케이스를 시각적으로 식별할 수도 있습니다.

Google Cloud 콘솔의 Security Command Center 위험 개요 페이지에는 상위 위험 케이스 표도 표시됩니다. 이 표에는 공격 노출 점수가 가장 높은 유해한 조합 케이스와 우선순위가 가장 높은 개별 케이스가 혼합되어 포함될 수 있습니다. 나열된 발견 항목에는 보안 운영 콘솔의 해당 케이스에 대한 링크가 포함됩니다.

유해한 조합 케이스를 보는 방법에 대한 자세한 내용은 유해한 조합 케이스 보기를 참조하세요.

케이스 우선순위

기본적으로 유해한 조합 발견 항목 심각도와 유해한 조합 케이스의 관련 알림이 일치하도록 유해한 조합 케이스에는 Critical 우선순위가 적용됩니다.

케이스를 연 후, 케이스나 알림의 우선순위를 변경할 수 있습니다.

케이스 또는 알림의 우선순위를 변경해도 발견 항목 심각도는 변경되지 않습니다.

케이스 종료

유해한 조합 케이스는 기본 발견 항목 상태에 처리됩니다. 발견 항목이 처음 발행되면 상태는 Active입니다.

유해한 조합을 해결하면 위험 엔진은 다음 공격 경로 시뮬레이션 중에 자동으로 해결책을 감지하고 케이스를 종료합니다. 시뮬레이션은 약 6시간마다 실행됩니다.

또는 유해한 조합으로 인해 발생한 위험이 허용 가능하거나 방지 가능하다고 결정하면 유해한 조합 발견 항목을 숨겨 케이스를 종료할 수 있습니다.

유해한 조합 발견 항목을 숨기면 발견 항목은 활성 상태로 유지되지만 Security Command Center에서 케이스를 종료하고 기본 쿼리와 뷰에서 발견 항목을 생략합니다.

자세한 내용은 다음 정보를 참조하세요.

위험 엔진에서 감지한 유해한 조합을 일으키는 여러 개별 보안 위험도 다른 Security Command Center 감지 서비스에서 감지됩니다. 이러한 다른 탐지 서비스는 이러한 문제에 대한 별도의 발견 항목을 발행할 수 있습니다 이러한 발견 항목은 관련 발견 항목으로 유해한 조합 케이스에 나열됩니다.

관련 발견 항목은 유해한 조합 발견 항목에서 별도로 발행되므로 별도의 케이스가 열리고 서로 다른 플레이북이 실행되며 다른 팀원은 유해한 조합 발견 항목 해결책과 다른 별도의 해결책을 사용할 수 있습니다.

이러한 관련 발견 항목 케이스 상태를 확인하고 필요한 경우 케이스 소유자에게 유해한 조합을 해결하는 데 도움이 되도록 해결 우선순위를 지정해 달라고 요청합니다.

유해한 조합 케이스의 경우 모든 관련 발견 항목이 개요 탭의 발견 항목 위젯에 나열됩니다. 관련 발견 항목마다 위젯은 해당 케이스에 대한 링크를 포함합니다.

관련 발견 항목은 유해한 조합 공격 경로에서도 식별됩니다.

위험 엔진에서 유해한 조합을 감지하는 방법

위험 엔진은 약 6시간마다 모든 클라우드 리소스에서 공격 경로 시뮬레이션을 실행합니다.

시뮬레이션 중에 위험 엔진은 클라우드 환경에서 가치가 높은 리소스 세트에 대한 잠재적 공격 경로를 식별하고 발견 항목과 가치가 높은 리소스에 대한 공격 노출 점수를 계산합니다. 위험 엔진이 시뮬레이션 중에 유해한 조합을 감지하면 발견 항목을 발행합니다.

공격 경로 시뮬레이션에 대한 자세한 내용은 공격 경로 시뮬레이션을 참조하세요.