En esta página, se proporciona una descripción general del concepto de combinación tóxica y de los hallazgos y casos que tú, como analista de vulnerabilidades o cualquier otro rol responsable de proteger tu entorno de nube, puedes usar para identificar, priorizar y corregir cualquier combinación tóxica.
Los hallazgos y casos de combinaciones tóxicas ayudan a identificar el riesgo de manera más efectiva y mejorar la seguridad en tus entornos de nube, incluidos Google Cloud y Amazon Web Services (AWS) (versión preliminar).
Definición de una combinación tóxica
Una combinación tóxica es un grupo de problemas de seguridad que, cuando ocurren juntos en un patrón determinado, crean una ruta hacia uno o más de tus recursos de alto valor que un atacante determinado podría usar para llegar a esos recursos y vulnerarlos.
Un problema de seguridad es cualquier elemento que contribuya a la exposición de tus recursos de la nube, como una configuración particular de recursos, una configuración incorrecta o una vulnerabilidad de software.
El motor de riesgos de Security Command Center Enterprise detecta combinaciones tóxicas durante las simulaciones de rutas de ataque que ejecuta. Por cada elemento tóxico una combinación que detecta Risk Engine, y emite un hallazgo. Cada combinación tóxica incluye un puntaje único de exposición a ataques, llamado tóxico de combinación, que mide el riesgo de la combinación tóxica un conjunto de recursos de alto valor en tu entorno de nube. Motor de riesgos también genera una visualización del ataque ruta tóxica que crea la combinación tóxica recursos en tu conjunto de recursos de alto valor.
Trabajas con hallazgos de combinaciones tóxicas a través de casos, pero si necesitas para ver los resultados, puedes verlos en la la consola de Google Cloud en Hallazgos donde puedes filtrar las resultados por la clase de hallazgos de Combinación tóxica, o bien ordénalos por Puntuación de combinaciones tóxicas.
Puntuaciones de exposición a ataques en combinaciones tóxicas
Risk Engine calcula una puntuación de exposición a ataques para cada combinación tóxica. Estas puntuaciones de exposición a ataques también se denominan puntuaciones de combinación tóxica en algunos contextos, como la página Resultados de la consola de Google Cloud. La puntuación mide el grado de combinación tóxica expone uno o más de los recursos de tu conjunto de recursos de alto valor a posibles ataques.
Las puntuaciones de combinación tóxica son similares a las puntuaciones de exposición a ataques en otros tipos de hallazgos, pero se aplican a un conjunto de pasos de ataque en lugar de a un hallazgo de una vulnerabilidad o una configuración incorrecta de software individuales.
De forma predeterminada, las combinaciones tóxicas se clasifican como hallazgos de gravedad crítica y casos de prioridad crítica. Compara las puntuaciones de combinaciones tóxicas para ayudarte a priorizar entre los casos de combinaciones tóxicas.
Al igual que las puntuaciones de exposición a ataques de otros resultados, las puntuaciones de combinaciones tóxicas se derivan de lo siguiente:
- La cantidad de recursos en tu conjunto de recursos de alto valor que se exponen y los valores de prioridad y las puntuaciones de exposición a ataques de esos recursos.
- La probabilidad de que un atacante determinado pueda alcanzar un recurso de alto valor aprovechando la combinación tóxica
Para obtener más información, consulta Puntuaciones de exposición a ataques.
Visualizaciones de rutas de ataque para combinaciones tóxicas
Risk Engine proporciona una representación visual de las rutas de ataque que crea una combinación tóxica en los recursos de tu conjunto de recursos de alto valor. Una ruta de ataque representa una serie de pasos de ataque y su seguridad relacionada problemas y recursos que un atacante potencial podría usar para alcanzar sus recursos.
La ruta de ataque te ayuda a comprender las relaciones entre los problemas de una combinación tóxica y cómo juntos forman caminos hacia los recursos en tu un conjunto de recursos de alto valor. La visualización de la ruta de acceso también te muestra cuántos recursos valiosos están expuestos y su importancia relativa para tu entorno de nube.
En la consola de Security Operations, los recursos con problemas de seguridad que forman la combinación tóxica se destacan con un borde amarillo en negrita en forma de diamante en la ruta de ataque. En la consola de Google Cloud, las trayectorias de ataque se ven igual que las de otros tipos de resultados.
En la consola de operaciones de seguridad, Security Command Center proporciona dos de ataque de combinación tóxica. La primera es una versión simplificada que aparece en la pestaña de descripción general del caso en un caso de combinación tóxica. La segunda versión muestra las rutas de ataque completas. Para abrir las rutas de ataque completas, haz clic en Explorar rutas de ataque completas en la ruta de ataque simplificada o en Explorar la ruta de ataque de combinación tóxica en la esquina superior derecha de la vista del caso.
La siguiente captura de pantalla es un ejemplo de una ruta de ataque simplificada.
En la consola de Google Cloud, siempre se muestra la ruta de ataque completa.
Para obtener más información, consulta Rutas de ataque.
Casos de combinación tóxicos
Security Command Center Enterprise abre un caso en la consola de operaciones de seguridad para cada hallazgo de combinación tóxica que el motor de riesgos falla.
El caso es la forma principal de investigar y hacer un seguimiento de la corrección de una combinación tóxica. En la vista de casos, puedes encontrar la siguiente información:
- Una descripción de la combinación tóxica
- La puntuación de exposición al ataque de la combinación tóxica
- Una visualización de la ruta de ataque que la combinación tóxica crea
- Información sobre el recurso afectado
- Información sobre los pasos que puedes seguir para remediar la combinación tóxica
- Información sobre cualquier resultado relacionado de otro Security Command Center de detección de intrusiones (incluidos los vínculos a sus casos asociados)
- Cualquier guía aplicable
- Cualquier ticket asociado
En la consola de Security Operations, la página Resumen de la postura de Security Command Center proporciona una descripción general de todos los casos de combinación tóxica de tu entorno. La página Resumen de postura contiene widgets que muestran casos de combinaciones tóxicas por prioridad, puntuación de exposición a ataques y por el tiempo restante en su acuerdo de nivel de servicio (ANS).
En la página Casos de la consola de Operaciones de seguridad, puedes consultar ofiltrar casos de combinaciones tóxicas con la etiqueta TOXIC_COMBINATION que incluyen. También puedes identificar visualmente
elementos tóxicos
casos combinados con el siguiente ícono:
En la consola de Google Cloud, la página Descripción general de riesgos de Security Command Center también muestra la tabla Casos de riesgo alto, que puede incluir una combinación de casos de combinaciones tóxicas con la puntuación de exposición a ataques más alta y casos individuales con la prioridad más alta. Los resultados enumerados incluyen un vínculo al caso correspondiente en la console de Security Operations.
Para obtener más información sobre cómo ver casos combinados tóxicos, consulta Consulta casos de combinaciones tóxicas.
Prioridad del caso
De forma predeterminada, los casos de combinación tóxica tienen una prioridad de Critical para coincidir
la gravedad del hallazgo de combinación tóxica y su alerta asociada
en el caso de una combinación tóxica.
Después de abrir un caso, puedes cambiar su prioridad o la alerta.
Cambiar la prioridad de un caso o una alerta no cambia la gravedad del hallazgo.
Cierre de casos
La disposición de los casos combinados tóxicos
se determina por el estado de
el hallazgo subyacente. Cuando se emite un hallazgo por primera vez, su estado es Active.
Si corriges la combinación tóxica, Risk Engine detecta automáticamente la solución durante la siguiente simulación de ruta de ataque y cierra el caso. Ejecución de simulaciones aproximadamente cada seis horas.
Por otro lado, si determinas que el riesgo que representan el producto es aceptable o inevitable, puede cerrar un caso silenciar el hallazgo de combinación tóxica.
Cuando silencias un resultado de combinación tóxica, este permanece activo, pero Security Command Center cierra el caso y lo omite de las consultas y vistas predeterminadas.
Para obtener más información, consulta lo siguiente:
- Cómo cerrar casos de combinación tóxicos
- Descripción general de los casos
- Silenciar resultados en Security Command Center
Resultados relacionados
Muchos de los problemas de seguridad individuales que componen una combinación tóxica que detecta Risk Engine, también son detectadas por otros Servicios de detección de Security Command Center. Estos otros servicios de detección emiten resultados independientes para estos problemas. Estos hallazgos se enumeran en un caso de combinación tóxica como hallazgos relacionados.
Debido a que los resultados relacionados se emiten por separado del resultado de combinación tóxica, se abren casos independientes para ellos, se ejecutan diferentes manuales de procedimientos para ellos y es posible que otros miembros de tu equipo estén trabajando en su solución de forma independiente de la solución del resultado de combinación tóxica.
Verifica el estado de los casos en busca de estos hallazgos relacionados y, si es necesario, pide a los propietarios de los casos que prioricen su solución para ayudar a resolver la combinación tóxica.
En un caso de combinación tóxica, todos los hallazgos relacionados se enumeran en el Widget Hallazgos en la pestaña de descripción general. Para cada hallazgo relacionado, el widget incluye un vínculo al caso correspondiente.
Los hallazgos relacionados también se identifican en la ruta de ataque de combinaciones tóxicas.
Cómo detecta el motor de riesgo las combinaciones tóxicas
Risk Engine ejecuta simulaciones de rutas de ataque en todos sus recursos en la nube aproximadamente cada seis horas.
Durante las simulaciones, Risk Engine identifica posibles rutas de ataque al conjunto de recursos de alto valor en tu entorno de nube y calcula las puntuaciones de exposición a ataques de los resultados y tus recursos valiosos. Si el motor de riesgo detecta una combinación tóxica durante las simulaciones, emite un hallazgo.
Para obtener más información sobre las simulaciones de rutas de ataque, consulte Simulaciones de rutas de ataque.