Nesta página, você encontra uma visão geral do conceito de combinação tóxica e das descobertas e casos que você, analista de vulnerabilidades ou outro cargo responsável por proteger seu ambiente de nuvem, pode usar para identificar, priorizar e corrigir combinações tóxicas.
Descobertas e casos de combinação tóxica ajudam você a identificar com mais eficácia e melhorar a segurança nos seus ambientes de nuvem.
Definição de uma combinação tóxica
Uma combinação tóxica é um grupo de problemas de segurança que, quando ocorrem juntas em um determinado padrão, criam um caminho para um ou mais recursos de alto valor que um atacante determinado poderia para alcançar e comprometer esses recursos.
Um problema de segurança é qualquer coisa que contribui para a exposição dos seus recursos da nuvem, como uma configuração específica de recursos, configuração incorreta ou uma vulnerabilidade de software.
O mecanismo de risco do Security Command Center Enterprise detecta combinações tóxicas durante as simulações de caminho de ataque que executa. Para cada combinação tóxica que o Risk Engine detecta, ele emite uma descoberta. Cada descoberta inclui uma pontuação de exposição a ataques que mede o risco da combinação tóxica para os recursos de alto valor em sua do seu ambiente em nuvem. O Risk Engine também gera visualização do caminho de ataque que essa combinação tóxica cria para os recursos de alto valor.
Você trabalha com descobertas de combinações tóxicas por meio de casos, mas se precisar para ver as descobertas em si, poderá vê-las no no console do Google Cloud Descobertas onde é possível filtrar descobertas pela classe de descoberta Combinação tóxica ou ordená-las por Pontuação de combinação tóxica.
Pontuações de exposição a ataques em combinações tóxicas
O Risk Engine calcula uma pontuação de exposição a ataques para cada de combinações tóxicas. A pontuação é uma estimativa da quantidade risco que a combinação tóxica representa para seus recursos de alto valor.
A pontuação de uma descoberta de combinação tóxica é semelhante às pontuações de exposição a ataques em outros tipos de descobertas, mas podem ser consideradas como aplicadas a um caminho em vez de descobrir a vulnerabilidade ou vulnerabilidade de um software configuração incorreta.
Geralmente, uma combinação tóxica representa um risco maior para sua implantação na nuvem do que um problema de segurança individual. No entanto, compare pontuação de uma combinação tóxica encontrada em outras pontuações de postura e de postura para determinar deve agir primeiro.
Se a pontuação da descoberta de um problema de segurança individual for significativamente mais alto que a pontuação de uma combinação tóxica você deve priorizar a descoberta com a maior pontuação.
Assim como as pontuações de exposição a ataques de outras descobertas, as pontuações de exposição a ataques sobre combinações tóxicas são derivados dos seguintes:
- O número de recursos de alto valor que são expostos e a prioridade e as pontuações de exposição a ataques desses recursos
- A probabilidade de um atacante determinado ter êxito em alcançar um recurso de alto valor aproveitando a combinação tóxica
Para mais informações, consulte Pontuações de exposição a ataques.
Visualizações de caminho de ataque para combinações tóxicas
O Risk Engine fornece uma representação visual dos caminhos dos ataques que uma combinação tóxica cria para seus recursos de alto valor. Um ataque representa uma série de problemas e recursos de segurança que um possível o invasor pode usar para alcançar um recurso de alto valor.
O caminho de ataque ajuda a entender as relações entre as problemas em uma combinação tóxica e como, juntos, eles formam um caminho para seus recursos de alto valor. A visualização do caminho também mostra recursos de alto valor são expostos e quais são as prioridades relativas os recursos expostos.
No console de Operações de Segurança, os problemas de segurança que compõem combinação tóxica é destacada por uma borda amarela em forma de losango no caminho de ataque. No console do Google Cloud, os caminhos de ataque são assim como os caminhos de ataque de outros tipos de descoberta.
No console de Operações de Segurança, o Security Command Center oferece dois versões de um caminho de ataque de combinação tóxica. O primeiro é um processo versão que aparece na guia de visão geral do caso em um caso de combinação tóxica. A segunda versão mostra o caminho completo do ataque. É possível abrir a versão completa caminho clicando em Explorar caminhos de ataque completos no caminho de ataque simplificado ou clique em Explorar o caminho do ataque de combinação tóxica no canto superior direito. no canto superior direito da visualização do caso.
A captura de tela a seguir mostra um exemplo de caminho de ataque simplificado.
O caminho de ataque completo é sempre exibido no console do Google Cloud.
Para mais informações, consulte Caminhos de ataque.
Casos de combinação tóxica
O Security Command Center Enterprise abre um caso no console de Operações de Segurança para cada combinação tóxica que o Risk Engine emite.
O caso é a principal forma de investigar e acompanhar a correção de uma combinação tóxica. Na visualização do caso, você pode encontrar as seguintes informações:
- Uma descrição da combinação tóxica
- A pontuação de exposição a ataques da combinação tóxica
- Uma visualização do caminho de ataque que a combinação tóxica cria
- Informações sobre o recurso afetado
- Informações sobre as etapas que podem ser seguidas para remediar a combinação tóxica
- Informações sobre quaisquer descobertas relacionadas de outro Security Command Center serviços de detecção, incluindo links para os casos associados
- Quaisquer playbooks aplicáveis
- Ingressos associados
Um caso de combinação tóxica nunca contém mais de uma combinação tóxica combinação de descoberta ou alerta.
No console de Operações de Segurança, acesse a Visão geral da postura do Security Command Center. fornece uma visão geral de todos os casos de combinação tóxica para sua de nuvem. A página Visão geral da postura contém widgets que mostram casos de combinações tóxicas por prioridade, pontuação de exposição a ataques e por pelo tempo restante no contrato de nível de serviço (SLA).
Na página Casos do console de Operações de segurança, é possível consultar ou
filtrar casos de combinação tóxica usando a tag TOXIC_COMBINATION que
por eles. Também é possível identificar conteúdo tóxico
casos de combinação pelo seguinte ícone:
No console do Google Cloud, o Security Command Center Visão geral de riscos também exibe as descobertas da combinação tóxica com o maior índice de ataque das pontuações de exposição. As descobertas listadas incluem um link para o no console de Operações de Segurança.
Para mais informações sobre a visualização de casos de combinação tóxica, consulte Confira casos de combinação tóxica.
Prioridade do caso
Por padrão, os casos de combinação tóxica têm uma prioridade de Critical para corresponder
a gravidade da descoberta da combinação tóxica e o alerta associado a ela
no caso da combinação tóxica.
Após abrir um caso, é possível alterar a prioridade dele ou do alerta.
Alterar a prioridade de um caso ou alerta não altera a gravidade do descoberta.
Encerramento de casos
A disposição dos casos de combinação tóxica é determinada pelo estado
a descoberta subjacente. Quando uma descoberta é emitida pela primeira vez, o estado dela é Active.
Se você remediar a combinação tóxica, o Risk Engine detecta automaticamente a correção durante a próxima simulação de caminho de ataque e encerra o caso. Execução de simulações aproximadamente a cada seis horas.
Alternativamente, se você determinar que o risco tóxico é aceitável ou inevitável, você pode encerrar um caso silenciando a descoberta da combinação tóxica.
Quando você silencia uma descoberta de combinação tóxica, ela permanece ativa, mas O Security Command Center fecha o caso e omite a descoberta do padrão consultas e visualizações.
Para mais informações, consulte as seguintes informações:
- Como fechar casos de combinação tóxica
- Visão geral de casos
- Ignorar descobertas no Security Command Center
Descobertas relacionadas
Muitos dos problemas individuais de segurança que compõem uma combinação tóxica que o Risk Engine detecta, também são detectados por outros Serviços de detecção do Security Command Center. Esses outros serviços de detecção emitir descobertas separadas para esses problemas. Essas descobertas estão listadas em um caso de combinação tóxica como descobertas relacionadas.
Porque as descobertas relacionadas são emitidas separadamente da combinação tóxica. uma descoberta diferente, casos separados são abertos para ela, diferentes playbooks são são executados por eles, e outros membros da equipe podem estar trabalhando remediação independente da correção da combinação tóxica descoberta.
Verificar o status dos casos para essas descobertas relacionadas e, se necessário, pedir aos proprietários dos casos que priorizem sua correção para ajudar a combinação tóxica.
Em um caso de combinação tóxica, quaisquer descobertas relacionadas são listadas na Widget Descobertas na guia "Visão geral". Para cada descoberta relacionada, o widget inclui um link para o caso.
Descobertas relacionadas também são identificadas no caminho do ataque de combinação tóxica.
Como o Risk Engine detecta combinações tóxicas
O Risk Engine executa simulações de caminho de ataque recursos de nuvem aproximadamente a cada seis horas.
Durante as simulações, o Risk Engine identifica os caminhos de ataque aos recursos de alto valor no seu ambiente de nuvem e calcula pontuações de exposição a ataques para descobertas e recursos de alto valor. Se o Risk Engine detectar uma combinação tóxica durante o para simulações, isso gera uma descoberta.
Para mais informações sobre simulações de caminho de ataque, consulte Simulações de caminho de ataque.