Esta página ofrece una descripción general del concepto de combinación tóxica y de los hallazgos y casos en los que tú, un analista de vulnerabilidades u otro puesto responsable de proteger tu entorno de nube, se pueden usar para identificar, priorizar y corregir cualquier combinación tóxica.
Los hallazgos y casos de combinaciones tóxicas ayudan a identificar de manera más eficaz y mejorar la seguridad en tus entornos de nube.
Definición de combinación tóxica
Una combinación tóxica es un grupo de problemas de seguridad que, cuando se producen juntas en un patrón particular, crean una ruta hacia uno o más de tus recursos de alto valor que un atacante determinado podría usar para alcanzar y comprometer esos recursos.
Un problema de seguridad es todo lo que contribuye a la exposición de tu recursos en la nube, como una configuración particular de recursos, un una configuración incorrecta o una vulnerabilidad de software.
El motor de riesgos de Security Command Center Enterprise detecta combinaciones tóxicas durante las simulaciones de rutas de ataque que ejecuta. Por cada combinación tóxica que detecta Risk Engine, genera un hallazgo. Cada hallazgo incluye una puntuación de exposición a ataques que mide el riesgo de la combinación tóxica para los recursos de alto valor en tu de tu entorno en la nube. Risk Engine también genera un Visualización de la ruta de ataque que la combinación tóxica crea para los recursos de alto valor.
Trabajas con hallazgos de combinaciones tóxicas a través de casos, pero si necesitas para ver los resultados, puedes verlos en la la consola de Google Cloud en Hallazgos donde puedes filtrar las resultados por la clase de hallazgos de Combinación tóxica, o bien ordénalos por Puntuación de combinaciones tóxicas.
Puntuaciones de exposición a ataques en combinaciones tóxicas
Risk Engine calcula una puntuación de exposición a ataques para cada de combinaciones tóxicas. La puntuación es una estimación de la cantidad de y que la combinación tóxica representa el alto valor de tus recursos.
Una puntuación en un hallazgo de combinación tóxica es similar a las puntuaciones de exposición a ataques de otros tipos de hallazgos, pero puede considerarse que aplican a una ruta en lugar de un hallazgo de una vulnerabilidad de software individual o una mala configuración.
Generalmente, una combinación tóxica representa un mayor riesgo para su que un problema de seguridad individual. Sin embargo, puedes comparar puntaje de un hallazgo de combinación tóxica hasta los puntajes de otros de detección y postura para determinar cuál debe actuar primero.
Si la puntuación de un hallazgo de un problema de seguridad individual es significativamente más alto que el puntaje de una combinación tóxica hallazgo, debes priorizar el hallazgo con la puntuación más alta.
Como las puntuaciones de exposición a ataques de otros hallazgos, las puntuaciones de exposición a ataques sobre combinaciones tóxicas se derivan de lo siguiente:
- La cantidad de recursos de alto valor que se exponen y la prioridad y las puntuaciones de exposición a ataques de esos recursos
- La probabilidad de que un atacante determinado pueda alcanzar un recurso de alto valor aprovechando la combinación tóxica
Para obtener más información, consulta Puntuaciones de exposición a ataques.
Visualizaciones de rutas de ataque para combinaciones tóxicas
Risk Engine proporciona una representación visual de las rutas de ataque que una combinación tóxica crea para tus recursos de alto valor. Un ataque path representa una serie de problemas y recursos de seguridad que el atacante podría usar para alcanzar un recurso de alto valor.
La ruta de ataque te ayuda a comprender las relaciones entre los una combinación tóxica y qué tan juntos forman el camino tus recursos de alto valor. La visualización de la ruta también te muestra cuántos se exponen los recursos de alto valor y cuáles son las prioridades relativas de los recursos expuestos.
En la consola de Operaciones de seguridad, los problemas de seguridad que componen la combinación tóxica se destacan con un borde amarillo intenso en forma de diamante en la ruta de ataque. En la consola de Google Cloud, las rutas de ataque buscan que las rutas de ataque para otros tipos de hallazgos.
En la consola de operaciones de seguridad, Security Command Center proporciona dos de ataque de combinación tóxica. La primera es una guía que aparece en la pestaña de descripción general del caso en un caso tóxico combinado. La segunda muestra la ruta de ataque completa. Puedes abrir todo el ataque de la ruta de ataque haciendo clic en Explorar todas las rutas de ataque en la ruta de ataque simplificada. o haciendo clic en Explorar la ruta de ataque de combinaciones tóxicas en la parte superior derecha de la vista del caso.
La siguiente captura de pantalla es un ejemplo de una ruta de ataque simplificada.
En la consola de Google Cloud, siempre se muestra la ruta de ataque completa.
Para obtener más información, consulta Rutas de ataque.
Casos de combinación tóxicos
Security Command Center Enterprise abre un caso en la consola de operaciones de seguridad para cada hallazgo de combinación tóxica que el motor de riesgos falla.
El caso es la forma principal de investigar y rastrear la corrección de una combinación tóxica. En la vista de casos, puedes encontrar la siguiente información:
- Una descripción de la combinación tóxica
- La puntuación de exposición a ataques de la combinación tóxica
- Una visualización de la ruta de ataque que la combinación tóxica crea
- Información sobre el recurso afectado
- Información sobre los pasos que puedes seguir para remediar la combinación tóxica
- Información sobre cualquier resultado relacionado de otro Security Command Center de detección de intrusiones (incluidos los vínculos a sus casos asociados)
- Cualquier guía aplicable
- Cualquier boleto asociado
Un caso de combinación tóxica nunca contiene más de un caso tóxico hallazgo de combinación o alerta.
En la consola de operaciones de seguridad, Descripción general de la postura de Security Command Center proporciona una descripción general de todos los casos de combinación tóxica para tu en un entorno de nube. La página Descripción general de la postura contiene widgets que muestran combinaciones tóxicas de casos por prioridad, puntuación de exposición a ataques y el tiempo restante del Acuerdo de Nivel de Servicio (ANS).
En la página Casos en la consola de Operaciones de seguridad, puedes consultar o
filtrar casos de combinaciones tóxicas usando la etiqueta TOXIC_COMBINATION que
que incluyen. También puedes identificar visualmente
elementos tóxicos
casos combinados con el siguiente icono:
En la consola de Google Cloud, el Security Command Center Descripción general de riesgos también muestra los hallazgos de combinaciones tóxicas con el mayor nivel de ataque y puntuaciones de exposición. Los hallazgos enumerados incluyen un vínculo al en la consola de operaciones de seguridad.
Para obtener más información sobre cómo ver casos combinados tóxicos, consulta Consulta casos de combinaciones tóxicas.
Prioridad del caso
De forma predeterminada, los casos de combinación tóxica tienen una prioridad de Critical para coincidir
la gravedad del hallazgo de combinación tóxica y su alerta asociada
en el caso de una combinación tóxica.
Después de abrir un caso, puedes cambiar su prioridad o la alerta.
Cambiar la prioridad de un caso o de una alerta no cambia la gravedad de la hallazgo.
Cierre de casos
La disposición de los casos combinados tóxicos
se determina por el estado de
el hallazgo subyacente. Cuando se emite un resultado por primera vez, su estado es Active.
Si corriges la combinación tóxica, Risk Engine detecta automáticamente la solución durante la siguiente simulación de ruta de ataque y cierra el caso. Ejecución de simulaciones aproximadamente cada seis horas.
Por otro lado, si determinas que el riesgo que representan el producto es aceptable o inevitable, puede cerrar un caso silenciar el hallazgo de combinación tóxica.
Cuando silencias un hallazgo de combinación tóxica, el hallazgo permanece activo, pero Security Command Center cierra el caso y omite el hallazgo de la configuración predeterminada. y vistas.
Para obtener más información, consulta los siguientes vínculos:
- Cómo cerrar casos de combinación tóxicos
- Descripción general de casos
- Silenciar resultados en Security Command Center
Resultados relacionados
Muchos de los problemas de seguridad individuales que componen una combinación tóxica que detecta Risk Engine, también son detectadas por otros Servicios de detección de Security Command Center. Estos otros servicios de detección y emitir hallazgos separados para estos problemas. Estos hallazgos se enumeran en un caso de combinación tóxica como hallazgos relacionados.
Porque los hallazgos relacionados se emiten por separado de la combinación tóxica se abren diferentes casos, se abren se postula por ellos y es posible que otros miembros de tu equipo estén trabajando en su independientemente de la remediación de la combinación tóxica hallazgo.
Verifica el estado de los casos para encontrar estos hallazgos relacionados y, si es necesario, pedirles a los propietarios de los casos que prioricen su corrección para ayudar resolver la combinación tóxica.
En un caso de combinación tóxica, todos los hallazgos relacionados se enumeran en el Widget Hallazgos en la pestaña de descripción general. Para cada resultado relacionado, el widget incluye un vínculo a su correspondiente para determinar si este es el caso.
Los hallazgos relacionados también se identifican en la ruta de ataque de combinaciones tóxicas.
Cómo detecta Risk Engine las combinaciones tóxicas
Risk Engine ejecuta simulaciones de rutas de ataque en todos sus recursos en la nube aproximadamente cada seis horas.
Durante las simulaciones, el motor de riesgos identifica rutas de ataque a los recursos de alto valor en tu entorno de nube y calcula las puntuaciones de exposición a ataques de hallazgos y recursos de alto valor. Si Risk Engine detecta una combinación tóxica durante la simulaciones, emite un hallazgo.
Para obtener más información sobre las simulaciones de rutas de ataque, consulte Simulaciones de rutas de ataque.