Esta página oferece uma visão geral do conceito de combinação tóxica e das descobertas e casos que você, analista de vulnerabilidade ou outra função responsável pela segurança do seu ambiente de nuvem, pode usar para identificar, priorizar e corrigir combinações tóxicas.
Os casos e resultados de combinações tóxicas ajudam a identificar melhor os riscos e melhorar a segurança nos seus ambientes de nuvem, incluindo o Google Cloud e a Amazon Web Services (AWS) (pré-lançamento).
Definição de uma combinação tóxica
Uma combinação tóxica é um grupo de problemas de segurança que, quando ocorrem juntos em um padrão específico, criam um caminho para um ou mais recursos de alto valor que um invasor determinado pode usar para acessar e comprometer esses recursos.
Um problema de segurança é qualquer coisa que contribua para a exposição dos seus recursos de nuvem, como uma configuração específica de recursos, uma configuração incorreta ou uma vulnerabilidade de software.
O mecanismo de risco do Security Command Center Enterprise detecta combinações tóxicas durante as simulações de caminho de ataque que ele executa. Para cada combinação tóxica detectada pelo mecanismo de risco, ele emite uma descoberta. Cada combinação tóxica inclui uma pontuação de exposição a ataques exclusiva, chamada de pontuação de combinação tóxica, que mede o risco da combinação tóxica para o conjunto de recursos de alto valor no seu ambiente de nuvem. O mecanismo de risco também gera uma visualização do caminho de ataque que a combinação tóxica cria para os recursos no seu conjunto de recursos de alto valor.
Você trabalha com descobertas de combinação tóxica em casos, mas, se precisar ver as descobertas, elas podem ser encontradas no console do Google Cloud na página Descobertas, onde é possível filtrar as descobertas pela classe de descoberta Combinação tóxica ou classificá-las por Pontuação de combinação tóxica.
Pontuações de exposição a ataques em combinações ruins
O Risk Engine calcula uma pontuação de exposição a ataques para cada combinação tóxica. Essas pontuações de exposição a ataques também são chamadas de pontuações de combinação tóxica em alguns contextos, como a página Descobertas do console do Google Cloud. A pontuação é uma medida de quanto uma combinação tóxica expõe um ou mais recursos do conjunto de recursos de alto valor a possíveis ataques.
As pontuações de combinação tóxica são semelhantes às pontuações de exposição a ataques em outros tipos de descobertas, mas são aplicadas a um conjunto de etapas de ataque em vez de uma descoberta de uma vulnerabilidade ou configuração incorreta do software.
Por padrão, as combinações tóxicas são classificadas como descobertas de gravidade crítica e casos de prioridade crítica. Compare as pontuações de combinação tóxica para ajudar a priorizar os casos de combinação tóxica.
Assim como as pontuações de exposição a ataques para outras descobertas, as pontuações de combinação tóxica são derivadas do seguinte:
- O número de recursos no seu conjunto de recursos de alto valor que estão expostos e os valores de prioridade e as pontuações de exposição a ataques desses recursos.
- A probabilidade de um invasor determinado conseguir alcançar um recurso de alto valor usando a combinação tóxica
Para mais informações, consulte Pontuações de exposição a ataques.
Visualizações de caminho de ataque para combinações tóxicas
O Risk Engine fornece uma representação visual dos caminhos de ataque que uma combinação tóxica cria para os recursos no seu conjunto de recursos de alto valor. Um caminho de ataque representa uma série de etapas de ataque e os problemas de segurança relacionados e recursos que um invasor em potencial pode usar para alcançar seus recursos.
O caminho de ataque ajuda a entender as relações entre os problemas em uma combinação tóxica e como eles formam caminhos para recursos no seu conjunto de recursos de alto valor. A visualização de caminho também mostra quantos recursos de valor estão expostos e a importância relativa deles para seu ambiente de nuvem.
No console de operações de segurança, os recursos com problemas de segurança que compõem a combinação tóxica são destacados por uma borda amarela em forma de losango em negrito no caminho de ataque. No console do Google Cloud, os caminhos de ataque são iguais aos de outros tipos de descoberta.
No console de operações de segurança, o Security Command Center oferece duas versões de um caminho de ataque de combinação tóxica. A primeira é uma versão simplificada que aparece na guia "Visão geral do caso" em um caso de combinação tóxica. A segunda versão mostra os caminhos de ataque completos. Para abrir os caminhos de ataque completos, clique em Analisar caminhos de ataque completos no caminho de ataque simplificado ou em Analisar caminho de ataque de combinação tóxica no canto superior direito da visualização do caso.
A captura de tela a seguir é um exemplo de um caminho de ataque simplificado.
No console do Google Cloud, o caminho de ataque completo é sempre exibido.
Para mais informações, consulte Caminhos de ataque.
Casos de combinação tóxica
O Security Command Center Enterprise abre um caso no console do Security Operations para cada combinação tóxica encontrada pelo Risk Engine.
O caso é a principal maneira de investigar e acompanhar a correção de uma combinação tóxica. Na visualização de caso, você encontra as seguintes informações:
- Uma descrição da combinação tóxica
- A pontuação de exposição a ataques da combinação tóxica
- Uma visualização do caminho de ataque criado pela combinação tóxica
- Informações sobre o recurso afetado
- Informações sobre as etapas que você pode seguir para corrigir a combinação tóxica
- Informações sobre descobertas relacionadas de outros serviços de detecção do Security Command Center, incluindo links para os casos associados
- Todos os playbooks aplicáveis
- Todos os ingressos associados
No console de operações de segurança, a página Visão geral da postura do Security Command Center oferece uma visão geral de todos os casos de combinação tóxica do seu ambiente. A página Visão geral da postura contém widgets que mostram casos de combinações tóxicas por prioridade, pontuação de exposição a ataques e tempo restante no contrato de nível de serviço (SLA).
Na página Casos do console de operações de segurança, é possível consultar ou
filtrar casos de combinação tóxica usando a tag TOXIC_COMBINATION que
eles incluem. Você também pode identificar visualmente casos de
combinação tóxica pelo ícone abaixo:
No console do Google Cloud, a página Visão geral de riscos do Security Command Center também mostra a tabela Principais casos de risco, que pode incluir uma combinação de casos tóxicos com a maior pontuação de exposição a ataques e casos individuais com a maior prioridade. As descobertas listadas incluem um link para o caso correspondente no console do Security Operations.
Para mais informações sobre como visualizar casos de combinação tóxica, consulte Visualizar casos de combinação tóxica.
Prioridade do caso
Por padrão, os casos de combinação tóxica têm uma prioridade de Critical para corresponder
à gravidade da descoberta de combinação tóxica e ao alerta associado
no caso de combinação tóxica.
Depois que um caso é aberto, você pode mudar a prioridade dele ou do alerta.
Mudar a prioridade de um caso ou de um alerta não muda a gravidade da detecção.
Encerramento de casos
A disposição dos casos de combinação tóxica é determinada pelo estado da
decisão. Quando uma descoberta é emitida pela primeira vez, o estado dela é Active.
Se você corrigir a combinação tóxica, o mecanismo de risco vai detectar automaticamente a correção durante a próxima simulação de caminho de ataque e encerrar o caso. As simulações são executadas aproximadamente a cada seis horas.
Se você determinar que o risco da combinação tóxica é aceitável ou inevitável, feche o caso desativando a combinação tóxica.
Quando você silencia uma descoberta de combinação tóxica, ela permanece ativa, mas o Security Command Center fecha o caso e omite a descoberta das consultas e visualizações padrão.
Para mais informações, consulte:
- Como encerrar casos de combinação tóxica
- Informações gerais de casos
- Ignorar descobertas no Security Command Center
Descobertas relacionadas
Muitos dos problemas de segurança individuais que compõem uma combinação tóxica detectada pelo Risk Engine também são detectados por outros serviços de detecção do Security Command Center. Esses outros serviços de detecção emitirão resultados separados para esses problemas. Essas descobertas são listadas em um caso de combinação tóxica como descobertas relacionadas.
Como as descobertas relacionadas são emitidas separadamente da descoberta de combinação tóxica, casos separados são abertos para elas, diferentes playbooks são executados para elas e outros membros da sua equipe podem estar trabalhando na correção delas independentemente da correção da descoberta de combinação tóxica.
Verifique o status dos casos para essas descobertas relacionadas e, se necessário, peça aos proprietários dos casos que priorizem a correção para ajudar a resolver a combinação tóxica.
Em um caso de combinação tóxica, todas as descobertas relacionadas são listadas no widget Descobertas na guia "Visão geral". Para cada descoberta relacionada, o widget inclui um link para o caso correspondente.
As descobertas relacionadas também são identificadas no caminho do ataque de combinação tóxica.
Como o mecanismo de risco detecta combinações tóxicas
O mecanismo de risco executa simulações de caminho de ataque em todos os recursos da nuvem aproximadamente a cada seis horas.
Durante as simulações, o mecanismo de risco identifica possíveis caminhos de ataque para o conjunto de recursos de alto valor no seu ambiente de nuvem e calcula as pontuações de exposição a ataques para as descobertas e seus recursos valiosos. Se o mecanismo de risco detectar uma combinação tóxica durante as simulações, ele emitirá uma descoberta.
Para mais informações sobre simulações de caminho de ataque, consulte Simulações de caminho de ataque.