Schädliche Kombinationen

Auf dieser Seite finden Sie einen Überblick über das Konzept schädlicher Kombinationen und die Ergebnisse und Fälle, mit denen Sie als Sicherheitsanalyst oder in einer anderen Rolle, die für die Sicherheit Ihrer Cloud-Umgebung verantwortlich ist, schädliche Kombinationen erkennen, priorisieren und beheben können.

Mit den Ergebnissen und Fällen zu schädlichen Kombinationen können Sie Risiken effektiver erkennen und die Sicherheit in Ihren Cloud-Umgebungen verbessern, einschließlich Google Cloud und Amazon Web Services (AWS) (Vorabversion).

Definition einer schädlichen Kombination

Eine schädliche Kombination ist eine Gruppe von Sicherheitsproblemen, die, wenn sie in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer wertvollen Ressourcen erstellen, die ein entschlossener Angreifer möglicherweise nutzen könnte, um diese Ressourcen zu erreichen und zu manipulieren.

Ein Sicherheitsproblem ist alles, was zur Gefährdung Ihrer Cloud-Ressourcen beiträgt, z. B. eine bestimmte Ressourcenkonfiguration, eine Fehlkonfiguration oder eine Softwarelücke.

Die Risiko-Engine von Security Command Center Enterprise erkennt schädliche Kombinationen während der ausgeführten Simulationen von Angriffspfaden. Für jede toxische Kombination, die die Risiko-Engine erkennt, wird eine Meldung ausgegeben. Jede schädliche Kombination hat eine eindeutige Angriffsrisikobewertung, den Wert für schädliche Kombination, mit dem das Risiko der schädlichen Kombination für die Gruppe der wertvollen Ressourcen in Ihrer Cloud-Umgebung gemessen wird. Die Risiko-Engine generiert auch eine Visualisierung des Angriffspfads, den die schädliche Kombination zu den Ressourcen in Ihrem Satz hochwertiger Ressourcen erstellt.

Sie arbeiten mit Ergebnissen zu schädlichen Kombinationen über Anfragen. Wenn Sie die Ergebnisse selbst sehen möchten, können Sie sie in der Google Cloud Console auf der Seite Ergebnisse aufrufen. Dort können Sie die Ergebnisse nach der Ergebnisklasse Schädliche Kombination filtern oder nach dem Wert für schädliche Kombination sortieren.

Bewertungen der Angriffsrisiken bei schädlichen Kombinationen

Die Risiko-Engine berechnet für jede schädliche Kombination eine Angriffsrisikobewertung. Diese Bewertungen der Angriffsgefahr werden in einigen Kontexten, z. B. auf der Seite Ergebnisse der Google Cloud Console, auch als Werte für schädliche Kombinationen bezeichnet. Der Wert gibt an, inwiefern eine schädliche Kombination eine oder mehrere der Ressourcen in Ihrer Gruppe wertvoller Ressourcen potenziellen Angriffen aussetzt.

Die Bewertungen für schädliche Kombinationen ähneln den Bewertungen der Angriffsrisiken bei anderen Arten von Ergebnissen, werden aber auf eine Reihe von Angriffsschritten angewendet, anstatt auf eine einzelne Softwarelücke oder Fehlkonfiguration.

Schädliche Kombinationen werden standardmäßig als Ergebnisse mit kritischer Schwere und als Fälle mit kritischer Priorität eingestuft. Vergleichen Sie die Werte für schädliche Kombinationen, um die Fälle zu priorisieren.

Wie bei der Angriffsbewertung für andere Ergebnisse werden die Werte für schädliche Kombinationen aus folgenden Faktoren abgeleitet:

  • Die Anzahl der gefährdeten Ressourcen in Ihrem Satz hochwertiger Ressourcen sowie die Prioritätswerte und Angriffsrisikobewertungen dieser Ressourcen.
  • Die Wahrscheinlichkeit, dass ein entschlossener Angreifer mithilfe der schädlichen Kombination eine wertvolle Ressource erreichen kann

Weitere Informationen finden Sie unter Risikowerte für Angriffsrisiken.

Visualisierungen von Angriffspfaden für schädliche Kombinationen

Die Risiko-Engine bietet eine visuelle Darstellung der Angriffspfade, die eine schädliche Kombination zu Ressourcen in Ihrem Satz hochwertiger Ressourcen erstellt. Ein Angriffspfad stellt eine Reihe von Angriffsschritten und die zugehörigen Sicherheitsprobleme und Ressourcen dar, die ein potenzieller Angreifer nutzen könnte, um auf Ihre Ressourcen zuzugreifen.

Anhand des Angriffspfads können Sie die Beziehungen zwischen den Problemen in einer toxischen Kombination nachvollziehen und sehen, wie sie zusammen Pfade zu Ressourcen in Ihrem Set mit wertvollen Ressourcen bilden. Die Pfadvisualisierung zeigt Ihnen auch, wie viele wertvolle Ressourcen freigegeben werden und wie wichtig sie für Ihre Cloud-Umgebung sind.

In der Security Operations Console werden die Ressourcen mit Sicherheitsproblemen, die die schädliche Kombination ausmachen, im Angriffspfad durch einen fetten gelben rautenförmigen Rahmen hervorgehoben. In der Google Cloud Console sehen die Angriffspfade genauso aus wie die Angriffspfade für andere Ergebnistypen.

In der Security Operations Console bietet Security Command Center zwei Versionen eines Angriffspfads mit schädlichen Kombinationen. Die erste ist eine vereinfachte Version, die auf dem Tab „Fallübersicht“ in einem Fall mit schädlichen Kombinationen angezeigt wird. Die zweite Version zeigt die vollständigen Angriffspfade. Sie können die vollständigen Angriffspfade öffnen, indem Sie im vereinfachten Angriffspfad auf Vollständige Angriffspfade ansehen oder rechts oben in der Fallansicht auf Angriffspfad zu schädlichen Kombinationen untersuchen klicken.

Der folgende Screenshot ist ein Beispiel für einen vereinfachten Angriffspfad.

Ein vereinfachter Angriffspfad, wie in der Security Operations Console dargestellt

In der Google Cloud Console wird immer der vollständige Angriffspfad angezeigt.

Weitere Informationen finden Sie unter Angriffspfade.

Fälle zu schädlichen Kombinationen

In Security Command Center Enterprise wird für jede toxische Kombination, die von der Risiko-Engine gemeldet wird, ein Fall in der Security Operations Console geöffnet.

Der Fall ist die Hauptmethode, um eine schädliche Kombination zu untersuchen und die Behebung zu verfolgen. In der Fallansicht finden Sie die folgenden Informationen:

  • Beschreibung der schädlichen Kombination
  • Angriffsbewertung der schädlichen Kombination
  • Eine Visualisierung des Angriffspfads, der durch die schädliche Kombination erstellt wird
  • Informationen zur betroffenen Ressource
  • Informationen zu den Schritten, die Sie unternehmen können, um die schädliche Kombination zu beheben
  • Informationen zu ähnlichen Ergebnissen aus anderen Security Command Center-Erkennungsdiensten, einschließlich Links zu den zugehörigen Supportanfragen
  • Alle anwendbaren Playbooks
  • Alle verknüpften Tickets

In der Security Operations Console finden Sie auf der Seite Sicherheitsstatusübersicht des Security Command Center eine Übersicht über alle Fälle mit schädlichen Kombinationen für Ihre Umgebung. Die Seite Sicherheitsstatus – Übersicht enthält Widgets, in denen Fälle mit schädlichen Kombinationen nach Priorität, Angriffsexpositions-Score und verbleibender Zeit bis zum Ablauf des Service Level Agreements (SLA) angezeigt werden.

Auf der Seite Fälle in der Security Operations Console können Sie Fälle mit schädlichen Kombinationen anhand des enthaltenen TOXIC_COMBINATION-Tags abfragen oder filtern. Sie können Fälle mit schädlichen Kombinationen auch anhand des folgenden Symbols erkennen:

In der Google Cloud Console wird auf der Seite Übersicht des Security Command Center auch die Tabelle Top-Risikofälle angezeigt. Diese kann eine Mischung aus Fällen mit schädlichen Kombinationen mit dem höchsten Angriffsrisiko und einzelnen Fällen mit der höchsten Priorität enthalten. Die aufgeführten Ergebnisse enthalten einen Link zum entsprechenden Fall in der Security Operations Console.

Weitere Informationen zum Ansehen von Fällen zu schädlichen Kombinationen finden Sie unter Fälle zu schädlichen Kombinationen ansehen.

Fallpriorität

Standardmäßig haben Fälle zu schädlichen Kombinationen die Priorität Critical, um dem Schweregrad des Ergebnisses und der zugehörigen Benachrichtigung im Fall zu entsprechen.

Nachdem ein Fall geöffnet wurde, können Sie die Priorität des Falls oder der Benachrichtigung ändern.

Die Änderung der Priorität eines Falls oder einer Benachrichtigung ändert nichts an der Schwere des Problems.

Anfragen schließen

Die Entscheidung über die Weiterverarbeitung von Fällen zu schädlichen Kombinationen richtet sich nach dem Status des zugrunde liegenden Befunds. Wenn eine Feststellung zum ersten Mal ausgegeben wird, hat sie den Status Active.

Wenn Sie die schädliche Kombination beheben, erkennt die Risk Engine die Behebung automatisch bei der nächsten Simulation des Angriffspfads und schließt den Fall. Simulationen werden etwa alle sechs Stunden ausgeführt.

Wenn Sie hingegen der Meinung sind, dass das Risiko, das von der schädlichen Kombination ausgeht, akzeptabel oder unvermeidbar ist, können Sie den Fall schließen, indem Sie die entsprechende Meldung stummschalten.

Wenn Sie ein Ergebnis für eine toxische Kombination stummschalten, bleibt es aktiv. Der Fall wird jedoch in Security Command Center geschlossen und das Ergebnis wird aus Standardabfragen und ‑ansichten entfernt.

Weitere Informationen finden Sie hier:

Viele der einzelnen Sicherheitsprobleme, die eine toxische Kombination bilden, die von der Risiko-Engine erkannt wird, werden auch von anderen Security Command Center-Erkennungsdiensten erkannt. Diese anderen Erkennungsdienste stellen für diese Probleme separate Ergebnisse bereit. Diese Ergebnisse werden in einem Fall zu schädlichen Kombinationen als zugehörige Ergebnisse aufgeführt.

Da ähnliche Ergebnisse unabhängig von der schädlichen Kombination erstellt werden, werden für sie separate Fälle geöffnet, es werden andere Playbooks ausgeführt und andere Mitglieder Ihres Teams arbeiten möglicherweise unabhängig von der Behebung der schädlichen Kombination an der Behebung dieser Ergebnisse.

Prüfen Sie den Status der Fälle auf diese ähnlichen Ergebnisse und bitten Sie die Eigentümer der Fälle gegebenenfalls, die Behebung zu priorisieren, um die schädliche Kombination zu beheben.

Bei einem Fall mit schädlichen Kombinationen werden alle zugehörigen Ergebnisse im Widget Ergebnisse auf dem Tab „Übersicht“ aufgeführt. Für jedes zugehörige Ergebnis enthält das Widget einen Link zum entsprechenden Fall.

Ähnliche Ergebnisse werden auch im Angriffspfad zu schädlichen Kombinationen erkannt.

So erkennt die Risiko-Engine schädliche Kombinationen

Die Risiko-Engine führt etwa alle sechs Stunden Angriffspfadsimulationen für alle Ihre Cloud-Ressourcen durch.

Während der Simulationen identifiziert die Risk Engine potenzielle Angriffspfade zum Satz hochwertiger Ressourcen in Ihrer Cloud-Umgebung und berechnet Angriffsrisikobewertungen für Ergebnisse und Ihre wertvollen Ressourcen. Wenn die Risiko-Engine während der Simulationen eine schädliche Kombination erkennt, wird eine entsprechende Meldung ausgegeben.

Weitere Informationen zu Angriffspfadsimulationen finden Sie unter Angriffspfadsimulationen.