Ringkasan kombinasi toksik dan titik macet

Kombinasi beracun adalah sekelompok masalah keamanan yang, jika terjadi bersama dalam pola tertentu, akan membuat jalur ke satu atau beberapa resource bernilai tinggi yang berpotensi digunakan penyerang yang bertekad untuk memperbarui resource tersebut.

Mesin Risiko Security Command Center Enterprise mendeteksi kombinasi toksik selama simulasi jalur serangan yang dijalankan. Untuk setiap kombinasi beracun yang terdeteksi oleh Mesin Risiko, akan dihasilkan temuan. Setiap kombinasi toksik menyertakan skor eksposur serangan unik, yang disebut skor kombinasi toksik, yang mengukur risiko kombinasi toksik terhadap kumpulan resource bernilai tinggi di lingkungan cloud Anda. Mesin Risiko juga menghasilkan visualisasi jalur serangan yang dibuat oleh kombinasi toksik ke resource dalam kumpulan resource bernilai tinggi Anda.

Titik macet (Pratinjau) mirip dengan kombinasi toksik, tetapi berfokus pada resource umum atau grup resource tempat beberapa jalur serangan bertemu. Akibatnya, penyelesaian titik macet dapat menyelesaikan beberapa kombinasi beracun.

Kombinasi toksik dapat ditemukan untuk Google Cloud dan Amazon Web Services (AWS) (Pratinjau). Chokepoint dapat ditemukan untuk Google Cloud.

Melihat kombinasi toksik dan titik macet

Kombinasi beracun dan titik macet dengan risiko tertinggi ditampilkan sebagai masalah (Pratinjau) di halaman Ringkasan > Risiko di konsol Security Operations.

Anda dapat melihat semua kombinasi beracun dan titik macet secara lebih mendetail di halaman Risiko > Masalah. Kombinasi toksik juga dapat dilihat di halaman Kasus.

Untuk melihat temuan terkait kombinasi beracun dan chokepoint di konsol Google Cloud, buka halaman Temuan dan filter menurut class temuan Kombinasi beracun atau Chokepoint.

Skor eksposur serangan pada kombinasi toksik dan chokepoint

Risk Engine menghitung skor eksposur serangan untuk setiap kombinasi toksik dan chokepoint. Skor ini adalah ukuran seberapa banyak kombinasi atau titik macet yang beracun mengekspos satu atau beberapa resource dalam kumpulan resource bernilai tinggi Anda terhadap potensi serangan. Makin tinggi skor, makin tinggi risikonya.

Skor eksposur serangan untuk kombinasi toksik dan chokepoint berasal dari hal berikut:

  • Jumlah resource dalam kumpulan resource bernilai tinggi yang diekspos serta nilai prioritas dan skor eksposur serangan resource tersebut.
  • Kemungkinan penyerang yang bertekad dapat berhasil menjangkau resource bernilai tinggi dengan memanfaatkan kombinasi toksik atau chokepoint.

Berdasarkan skor eksposur serangan, kombinasi toksik dapat memiliki salah satu tingkat keparahan berikut:

  • Kritis: Kombinasi toksik dengan skor eksposur serangan ≥ 10.
  • Tinggi: Kombinasi toksik dengan skor eksposur serangan < 10.

Chokepoint selalu memiliki skor eksposur serangan ≥ 10, sehingga selalu memiliki rating tingkat keparahan kritis.

Untuk mengetahui informasi selengkapnya, lihat Skor eksposur serangan.

Visualisasi jalur serangan untuk kombinasi toksik dan titik macet

Risk Engine memberikan penggambaran visual kombinasi toksik dan jalur serangan chokepoint yang mengarah ke kumpulan resource bernilai tinggi Anda. Jalur serangan mewakili serangkaian langkah serangan, yang mencakup masalah keamanan terkait dan resource yang dapat digunakan penyerang potensial untuk mengakses resource Anda.

Jalur serangan membantu Anda memahami hubungan antara setiap masalah keamanan dalam kombinasi beracun atau titik macet, dan bagaimana masalah tersebut membentuk jalur ke resource dalam kumpulan resource bernilai tinggi. Visualisasi jalur juga menunjukkan jumlah resource berharga yang diekspos dan tingkat kepentingannya terhadap lingkungan cloud Anda.

Di konsol Security Operations, resource di jalur serangan diberi kode warna dengan cara berikut:

  • Resource dengan masalah keamanan yang berkontribusi pada kombinasi beracun ditandai dengan batas kuning.
  • Resource yang diidentifikasi sebagai chokepoint ditandai dengan batas merah.

Ada beberapa tempat di konsol Security Operations tempat Anda dapat melihat jalur serangan. Versi sederhana jalur serangan ditampilkan di tempat berikut:

  • Halaman Risk > Overview, untuk item di widget Riskiest issues.
  • Halaman Risk > Issues, saat masalah dipilih. Anda dapat mengakses jalur serangan yang disederhanakan di tab Ringkasan masalah.
  • Halaman Cases, saat kasus dipilih. Anda dapat mengakses jalur serangan yang disederhanakan di tab Ringkasan kasus Kasus.

Untuk melihat versi lengkap jalur serangan, lihat versi sederhana, lalu klik Jelajahi jalur serangan lengkap.

Screenshot berikut adalah contoh jalur serangan yang disederhanakan untuk kombinasi toksik:

Jalur serangan kombinasi toksik yang disederhanakan seperti yang ditampilkan di konsol Security Operations

Screenshot berikut adalah contoh jalur serangan yang disederhanakan untuk chokepoint:

Jalur serangan chokepoint yang disederhanakan seperti yang ditampilkan di konsol Security Operations

Di konsol Google Cloud, jalur serangan lengkap selalu ditampilkan.

Untuk mengetahui informasi selengkapnya, lihat Jalur serangan.

Banyak risiko individual yang membentuk kombinasi beracun dan titik macet juga terdeteksi oleh layanan deteksi Security Command Center lainnya. Layanan deteksi lainnya ini menghasilkan temuan terpisah untuk risiko ini, yang tercantum dalam masalah (Pratinjau) dan kasus sebagai temuan terkait. Temuan terkait juga diidentifikasi di jalur serangan.

Untuk kombinasi toksik, kasus terpisah akan dibuka untuk temuan terkait, playbook yang berbeda akan dijalankan, dan anggota tim Anda yang lain mungkin sedang mengerjakan remedasi secara independen dari perbaikan temuan kombinasi toksik. Periksa status kasus untuk temuan terkait ini dan, jika perlu, minta pemilik kasus untuk memprioritaskan perbaikan mereka guna membantu menyelesaikan kombinasi beracun.

Kasus

Security Command Center Enterprise membuka kasus di konsol Security Operations untuk setiap temuan kombinasi toksik yang dihasilkan. Chokepoint tidak menghasilkan kasus.

Dalam tampilan kasus, Anda dapat menemukan informasi berikut yang terkait dengan kombinasi toksik:

  • Deskripsi kombinasi toksik
  • Skor eksposur serangan dari kombinasi toksik
  • Visualisasi jalur serangan yang dibuat oleh kombinasi toksik
  • Informasi tentang resource yang terpengaruh
  • Informasi tentang langkah-langkah yang dapat Anda lakukan untuk memperbaiki kombinasi toksik
  • Informasi tentang temuan terkait dari layanan deteksi Security Command Center lainnya, termasuk link ke kasus terkait
  • Playbook yang berlaku
  • Tiket terkait

Di halaman Cases di konsol Security Operations, Anda dapat membuat kueri atau memfilter kasus kombinasi toksik menggunakan tag Toxic Combination. Anda juga dapat mengidentifikasi kasus kombinasi toksik secara visual dalam daftar kasus dengan ikon berikut: Ikon kombinasi toksik.

Untuk informasi selengkapnya tentang cara melihat kasus kombinasi toksik, lihat Melihat kasus kombinasi toksik.

Prioritas kasus

Secara default, prioritas kasus kombinasi toksik ditetapkan ke nilai yang sama dengan keparahan temuan kombinasi toksik dan pemberitahuan terkait dalam kasus terkait. Artinya, semua kasus kombinasi toksik awalnya memiliki prioritas Critical atau High.

Setelah kasus dibuka, Anda dapat mengubah prioritas kasus atau pemberitahuan. Mengubah prioritas kasus atau pemberitahuan tidak akan mengubah tingkat keparahan temuan.

Menutup kasus

Saat temuan pertama kali dibuat untuk kombinasi beracun, statusnya adalah Active.

Jika Anda memulihkan kombinasi toksik, Mesin Risiko akan otomatis mendeteksi pemulihan selama simulasi jalur serangan berikutnya dan menutup kasus. Simulasi berjalan kira-kira setiap enam jam.

Atau, jika Anda memutuskan bahwa risiko yang ditimbulkan oleh kombinasi toksik dapat diterima atau tidak dapat dihindari, Anda dapat menutup kasus dengan membisukan temuan.

Jika Anda menonaktifkan temuan, temuan tersebut akan tetap aktif, tetapi Security Command Center akan menutup kasus dan menghapus temuan dari kueri dan tampilan default.

Untuk informasi selengkapnya, lihat informasi berikut: