Nesta página, você encontra uma visão geral do conceito de combinação tóxica e das descobertas e casos que você, analista de vulnerabilidades ou outro cargo responsável por proteger seu ambiente de nuvem, pode usar para identificar, priorizar e corrigir combinações tóxicas.
Descobertas e casos de combinação tóxica ajudam você a identificar com mais eficácia e melhorar a segurança nos seus ambientes de nuvem.
Definição de uma combinação tóxica
Uma combinação tóxica é um grupo de problemas de segurança que, quando ocorrem juntos em um padrão específico, criam um caminho para um ou mais recursos de alto valor que um invasor determinado pode usar para acessar e comprometer esses recursos.
Um problema de segurança é qualquer coisa que contribui para a exposição dos seus recursos da nuvem, como uma configuração específica de recursos, configuração incorreta ou uma vulnerabilidade de software.
O mecanismo de risco do Security Command Center Enterprise detecta combinações tóxicas durante as simulações de caminho de ataque que ele executa. Para cada combinação tóxica que o Risk Engine detecta, ele emite uma descoberta. Cada descoberta inclui uma pontuação de exposição a ataques que mede o risco da combinação tóxica para os recursos de alto valor no seu ambiente de nuvem. O mecanismo de risco também gera uma visualização do caminho de ataque que a combinação tóxica cria para os recursos de alto valor.
Você trabalha com descobertas de combinação tóxica em casos, mas, se precisar ver as descobertas, elas podem ser encontradas no console do Google Cloud na página Descobertas, onde é possível filtrar as descobertas pela classe de descoberta Combinação tóxica ou classificá-las por Pontuação de combinação tóxica.
Pontuações de exposição a ataques em combinações tóxicas
O Risk Engine calcula uma pontuação de exposição a ataques para cada descoberta de combinação tóxica. A pontuação é uma estimativa da quantidade risco que a combinação tóxica representa para seus recursos de alto valor.
Uma pontuação em uma descoberta de combinação tóxica é semelhante às pontuações de exposição a ataques em outros tipos de descobertas, mas pode ser considerada como aplicável a um caminho em vez de uma descoberta de uma vulnerabilidade ou falha de configuração de software individual.
Em geral, uma combinação tóxica representa um risco maior para sua implantação na nuvem do que um problema de segurança individual. No entanto, compare pontuação de uma combinação tóxica encontrada em outras pontuações de postura e de postura para determinar deve agir primeiro.
Se a pontuação de uma descoberta de um problema de segurança individual for significativamente maior do que a pontuação de uma descoberta de combinação tóxica, priorize a descoberta com a pontuação mais alta.
Assim como as pontuações de exposição a ataques para outras descobertas, as pontuações de exposição a ataques em combinações tóxicas são derivadas do seguinte:
- O número de recursos de alto valor que são expostos e a prioridade e as pontuações de exposição a ataques desses recursos
- A probabilidade de um invasor determinado conseguir alcançar um recurso de alto valor usando a combinação tóxica
Para mais informações, consulte Pontuações de exposição a ataques.
Visualizações de caminho de ataque para combinações tóxicas
O Risk Engine fornece uma representação visual dos caminhos de ataque que uma combinação tóxica cria para seus recursos de alto valor. Um caminho de ataque representa uma série de problemas de segurança e ferramentas que um possível invasor poderia usar para alcançar um recurso de alto valor.
O caminho de ataque ajuda a entender as relações entre os problemas em uma combinação tóxica e como eles formam um caminho para seus recursos de alto valor. A visualização do caminho também mostra recursos de alto valor são expostos e quais são as prioridades relativas os recursos expostos.
No console de Operações de Segurança, os problemas de segurança que compõem combinação tóxica é destacada por uma borda amarela escura em forma de diamante no caminho de ataque. No console do Google Cloud, os caminhos de ataque são iguais aos de outros tipos de descoberta.
No console de operações de segurança, o Security Command Center oferece duas versões de um caminho de ataque de combinação tóxica. O primeiro é um processo versão que aparece na guia de visão geral do caso em um caso de combinação tóxica. A segunda versão mostra o caminho de ataque completo. Para abrir o caminho de ataque completo, clique em Analisar caminhos de ataque completos no caminho de ataque simplificado ou em Analisar caminho do ataque de combinação tóxica no canto superior direito da visualização do caso.
A captura de tela a seguir mostra um exemplo de caminho de ataque simplificado.
No console do Google Cloud, o caminho de ataque completo é sempre exibido.
Para mais informações, consulte Caminhos de ataque.
Casos de combinação tóxica
O Security Command Center Enterprise abre um caso no console do Security Operations para cada combinação tóxica encontrada pelo Risk Engine.
O caso é a principal forma de investigar e acompanhar a correção de uma combinação tóxica. Na visualização do caso, você pode encontrar as seguintes informações:
- Uma descrição da combinação tóxica
- A pontuação de exposição a ataques da combinação tóxica
- Uma visualização do caminho de ataque que a combinação tóxica cria
- Informações sobre o recurso afetado
- Informações sobre as etapas que podem ser seguidas para remediar a combinação tóxica
- Informações sobre quaisquer descobertas relacionadas de outro Security Command Center serviços de detecção, incluindo links para os casos associados
- Quaisquer playbooks aplicáveis
- Todos os ingressos associados
Um caso de combinação tóxica nunca contém mais de uma descoberta ou alerta de combinação tóxica.
No console de Operações de Segurança, acesse a Visão geral da postura do Security Command Center. fornece uma visão geral de todos os casos de combinação tóxica para sua de nuvem. A página Visão geral da postura contém widgets que mostram casos de combinações tóxicas por prioridade, pontuação de exposição a ataques e tempo restante no contrato de nível de serviço (SLA).
Na página Casos do console de Operações de segurança, é possível consultar ou
filtrar casos de combinação tóxica usando a tag TOXIC_COMBINATION que
por eles. Você também pode identificar visualmente casos de
combinação tóxica pelo ícone abaixo:
No console do Google Cloud, a página Visão geral de risco do Security Command Center também mostra as descobertas de combinação tóxica com as pontuações de exposição a ataques mais altas. As descobertas listadas incluem um link para o no console de Operações de Segurança.
Para mais informações sobre como visualizar casos de combinação tóxica, consulte Visualizar casos de combinação tóxica.
Prioridade do caso
Por padrão, os casos de combinação tóxica têm uma prioridade de Critical para corresponder
a gravidade da descoberta da combinação tóxica e o alerta associado a ela
no caso da combinação tóxica.
Após abrir um caso, é possível alterar a prioridade dele ou do alerta.
Mudar a prioridade de um caso ou de um alerta não muda a gravidade da detecção.
Encerramento de casos
A disposição dos casos de combinação tóxica é determinada pelo estado da
denúncia. Quando uma descoberta é emitida pela primeira vez, o estado dela é Active.
Se você remediar a combinação tóxica, o Risk Engine detecta automaticamente a correção durante a próxima simulação de caminho de ataque e encerra o caso. Execução de simulações aproximadamente a cada seis horas.
Alternativamente, se você determinar que o risco tóxico é aceitável ou inevitável, você pode encerrar um caso silenciando a descoberta da combinação tóxica.
Quando você silencia uma descoberta de combinação tóxica, ela permanece ativa, mas O Security Command Center fecha o caso e omite a descoberta do padrão consultas e visualizações.
Para mais informações, consulte as seguintes informações:
- Como fechar casos de combinação tóxica
- Visão geral de casos
- Ignorar descobertas no Security Command Center
Descobertas relacionadas
Muitos dos problemas individuais de segurança que compõem uma combinação tóxica que o Risk Engine detecta, também são detectados por outros Serviços de detecção do Security Command Center. Esses outros serviços de detecção emitirão resultados separados para esses problemas. Essas descobertas estão listadas em um caso de combinação tóxica como descobertas relacionadas.
Porque as descobertas relacionadas são emitidas separadamente da combinação tóxica. uma descoberta diferente, casos separados são abertos para ela, diferentes playbooks são são executados por eles, e outros membros da equipe podem estar trabalhando remediação independentemente da correção da combinação tóxica descoberta.
Verificar o status dos casos para essas descobertas relacionadas e, se necessário, pedir aos proprietários dos casos que priorizem sua correção para ajudar a combinação tóxica.
Em um caso de combinação tóxica, quaisquer descobertas relacionadas são listadas na Widget Descobertas na guia "Visão geral". Para cada descoberta relacionada, o widget inclui um link para o caso correspondente.
Descobertas relacionadas também são identificadas no caminho do ataque de combinação tóxica.
Como o Risk Engine detecta combinações tóxicas
O Risk Engine executa simulações de caminho de ataque dos recursos de nuvem da nuvem a cada seis horas.
Durante as simulações, o Risk Engine identifica os caminhos de ataque aos recursos de alto valor no seu ambiente de nuvem e calcula pontuações de exposição a ataques para descobertas e recursos de alto valor. Se o Risk Engine detectar uma combinação tóxica durante o para simulações, isso gera uma descoberta.
Para mais informações sobre simulações de caminho de ataque, consulte Simulações de caminho de ataque.