Halaman ini memberikan ringkasan tentang konsep kombinasi negatif dan temuan serta kasus yang dapat Anda gunakan, sebagai analis kerentanan atau peran lain yang bertanggung jawab untuk mengamankan lingkungan cloud, untuk mengidentifikasi, memprioritaskan, dan memperbaiki kombinasi negatif.
Temuan dan kasus kombinasi beracun membantu Anda mengidentifikasi risiko dan meningkatkan keamanan di lingkungan cloud secara lebih efektif, termasuk Google Cloud dan Amazon Web Services (AWS) (Pratinjau).
Definisi kombinasi toksik
Kombinasi toksik adalah sekelompok masalah keamanan yang, jika terjadi bersama dalam pola tertentu, akan membuat jalur ke satu atau beberapa resource bernilai tinggi yang berpotensi digunakan penyerang yang bertekad untuk menjangkau dan membahayakan resource tersebut.
Masalah keamanan adalah apa pun yang berkontribusi pada eksposur resource cloud Anda, seperti konfigurasi resource tertentu, kesalahan konfigurasi, atau kerentanan software.
Mesin Risiko Security Command Center Enterprise mendeteksi kombinasi beracun selama simulasi jalur serangan yang dijalankannya. Untuk setiap kombinasi toksik yang terdeteksi oleh Mesin Risiko, mesin ini akan mengeluarkan temuan. Setiap kombinasi toksik menyertakan skor eksposur serangan unik, yang disebut skor kombinasi toksik, yang mengukur risiko kombinasi toksik terhadap kumpulan resource bernilai tinggi di lingkungan cloud Anda. Risk Engine juga menghasilkan visualisasi jalur serangan yang dibuat oleh kombinasi beracun ke resource dalam set resource bernilai tinggi Anda.
Anda menangani temuan kombinasi toksik melalui kasus, tetapi jika perlu melihat temuan itu sendiri, Anda dapat melihatnya di konsol Google Cloud di halaman Temuan, tempat Anda dapat memfilter temuan menurut class temuan Kombinasi toksik atau mengurutkan temuan menurut Skor kombinasi toksik.
Skor eksposur serangan pada kombinasi toksik
Mesin Risiko menghitung skor eksposur serangan untuk setiap kombinasi toksik. Skor eksposur serangan ini juga disebut skor kombinasi toksik dalam beberapa konteks, seperti halaman Temuan di Konsol Google Cloud. Skor ini adalah ukuran seberapa banyak kombinasi toksik mengekspos satu atau beberapa resource dalam resource bernilai tinggi yang ditetapkan untuk potensi serangan.
Skor kombinasi toksik mirip dengan skor eksposur serangan pada jenis temuan lainnya, tetapi diterapkan ke serangkaian langkah serangan, bukan temuan dari setiap kerentanan software atau konfigurasi yang salah.
Secara default, kombinasi negatif diklasifikasikan sebagai temuan tingkat keparahan kritis dan kasus prioritas kritis. Bandingkan skor kombinasi toksik untuk membantu Anda memprioritaskan antara kasus kombinasi toksik.
Seperti skor eksposur serangan untuk temuan lainnya, skor kombinasi toksik diperoleh dari hal berikut:
- Jumlah resource dalam set resource bernilai tinggi Anda yang diekspos serta nilai prioritas dan skor eksposur serangan resource tersebut.
- Kemungkinan penyerang yang bertekad dapat berhasil menjangkau resource bernilai tinggi dengan memanfaatkan kombinasi toksik
Untuk mengetahui informasi selengkapnya, lihat Skor eksposur serangan.
Visualisasi jalur serangan untuk kombinasi toksik
Risk Engine memberikan penggambaran visual jalur serangan yang dibuat oleh kombinasi beracun ke resource dalam set resource bernilai tinggi Anda. Jalur serangan merepresentasikan serangkaian langkah serangan beserta masalah keamanan dan resource terkait yang dapat digunakan penyerang potensial untuk mengakses resource Anda.
Jalur serangan membantu Anda memahami hubungan antara masalah dalam kombinasi beracun dan bagaimana keduanya membentuk jalur ke resource dalam set resource bernilai tinggi. Visualisasi jalur juga menunjukkan kepada Anda jumlah resource bernilai yang diekspos dan kepentingan relatifnya terhadap lingkungan cloud Anda.
Di konsol Security Operations, resource dengan masalah keamanan yang membentuk kombinasi beracun ditandai dengan batas berbentuk berlian kuning tebal di jalur serangan. Di konsol Google Cloud, jalur serangan terlihat sama dengan jalur serangan untuk jenis temuan lainnya.
Di konsol Security Operations, Security Command Center menyediakan dua versi jalur serangan kombinasi beracun. Yang pertama adalah versi sederhana yang muncul di tab ringkasan kasus dalam kasus kombinasi toksik. Versi kedua menampilkan jalur serangan lengkap. Anda dapat membuka jalur serangan lengkap dengan mengklik Jelajahi jalur serangan lengkap di jalur serangan sederhana atau dengan mengklik Jelajahi jalur serangan kombinasi toksik di sudut kanan atas tampilan kasus.
Screenshot berikut adalah contoh jalur serangan yang disederhanakan.
Di konsol Google Cloud, jalur serangan lengkap selalu ditampilkan.
Untuk mengetahui informasi selengkapnya, lihat Jalur serangan.
Kasus kombinasi toksik
Security Command Center Enterprise membuka kasus di konsol Security Operations untuk setiap temuan kombinasi beracun yang dikeluarkan oleh Risk Engine.
Kasus ini adalah cara utama untuk menyelidiki dan melacak perbaikan kombinasi toksik. Dalam tampilan kasus, Anda dapat menemukan informasi berikut:
- Deskripsi kombinasi toksik
- Skor eksposur serangan kombinasi toksik
- Visualisasi jalur serangan yang dibuat oleh kombinasi toksik
- Informasi tentang resource yang terpengaruh
- Informasi tentang langkah-langkah yang dapat Anda lakukan untuk memperbaiki kombinasi toksik
- Informasi tentang temuan terkait dari layanan deteksi Security Command Center lainnya, termasuk link ke kasus terkait
- Playbook apa pun yang berlaku
- Semua tiket terkait
Di konsol Security Operations, halaman Ringkasan Postur Security Command Center memberikan ringkasan tentang semua kasus kombinasi toksik untuk lingkungan Anda. Halaman Ringkasan Postur berisi widget yang menampilkan kasus kombinasi produk yang tidak sejalan dengan SLA menurut prioritas, skor eksposur serangan, dan waktu yang tersisa dalam perjanjian tingkat layanan (SLA).
Di halaman Cases di konsol Security Operations, Anda dapat membuat kueri atau memfilter kasus kombinasi beracun menggunakan tag TOXIC_COMBINATION yang disertakan. Anda juga dapat mengidentifikasi kasus kombinasi
toksik secara visual dengan ikon berikut:
Di Google Cloud Console, halaman Ringkasan Risiko Security Command Center juga menampilkan tabel Kasus risiko teratas, yang dapat mencakup campuran kasus kombinasi toksik dengan skor eksposur serangan tertinggi dan kasus individual dengan prioritas tertinggi. Temuan yang tercantum menyertakan link ke kasus yang sesuai di konsol Security Operations.
Untuk informasi selengkapnya tentang cara melihat kasus kombinasi toksik, lihat Melihat kasus kombinasi toksik.
Prioritas kasus
Secara default, kasus kombinasi toksik memiliki prioritas Critical untuk mencocokkan
keparahan temuan kombinasi toksik dan pemberitahuan terkait
dalam kasus kombinasi toksik.
Setelah kasus dibuka, Anda dapat mengubah prioritas kasus atau pemberitahuan.
Mengubah prioritas kasus atau pemberitahuan tidak akan mengubah tingkat keparahan temuan.
Menutup kasus
Disposisi kasus kombinasi produk yang tidak sejalan dengan SLA ditentukan oleh status
temuan yang mendasarinya. Saat temuan pertama kali dikeluarkan, statusnya adalah Active.
Jika Anda memperbaiki kombinasi toksik, Mesin Risiko akan otomatis mendeteksi perbaikan selama simulasi jalur serangan berikutnya dan menutup kasus. Simulasi berjalan selama setiap enam jam.
Atau, jika Anda memutuskan bahwa risiko yang ditimbulkan oleh kombinasi toksik dapat diterima atau tidak dapat dihindari, Anda dapat menutup kasus dengan menonaktifkan temuan kombinasi toksik.
Saat Anda menonaktifkan temuan kombinasi beracun, temuan tersebut akan tetap aktif, tetapi Security Command Center akan menutup kasus dan menghapus temuan dari kueri dan tampilan default.
Untuk informasi selengkapnya, lihat informasi berikut:
Temuan terkait
Banyak masalah keamanan individual yang membentuk kombinasi beracun yang terdeteksi oleh Risk Engine, juga terdeteksi oleh layanan deteksi Security Command Center lainnya. Layanan deteksi lainnya ini mengeluarkan temuan terpisah untuk masalah ini. Temuan ini tercantum dalam kasus kombinasi toksik sebagai temuan terkait.
Karena temuan terkait dikeluarkan secara terpisah dari temuan kombinasi toksik, kasus terpisah akan dibuka untuknya, playbook yang berbeda akan dijalankan untuknya, dan anggota tim Anda yang lain mungkin sedang mengerjakan remedasinya secara terpisah dari perbaikan temuan kombinasi toksik.
Periksa status kasus untuk temuan terkait ini dan, jika perlu, minta pemilik kasus untuk memprioritaskan perbaikan mereka guna membantu menyelesaikan kombinasi beracun.
Dalam kasus kombinasi toksik, temuan terkait akan dicantumkan di widget Temuan pada tab ringkasan. Untuk setiap temuan terkait, widget menyertakan link ke kasus yang sesuai.
Temuan terkait juga diidentifikasi di jalur serangan kombinasi toksik.
Cara Mesin Risiko mendeteksi kombinasi toksik
Mesin Risiko menjalankan simulasi jalur serangan di semua resource cloud Anda kira-kira setiap enam jam.
Selama simulasi, Mesin Risiko mengidentifikasi potensi jalur serangan ke kumpulan resource bernilai tinggi di lingkungan cloud Anda dan menghitung skor eksposur serangan untuk temuan dan resource berharga Anda. Jika mendeteksi kombinasi berbahaya selama simulasi, Mesin Risiko akan mengeluarkan temuan.
Untuk informasi selengkapnya tentang simulasi jalur serangan, lihat Simulasi jalur serangan.