Halaman ini memberikan gambaran umum tentang konsep kombinasi negatif dan temuan dan kasus yang Anda, seorang analis kerentanan atau peran lainnya bertanggung jawab untuk mengamankan lingkungan {i>cloud<i} Anda, identifikasi, prioritaskan, dan tangani kombinasi yang tidak efektif.
Temuan dan kasus kombinasi toksik membantu Anda mengidentifikasi secara lebih efektif mengelola risiko dan meningkatkan keamanan di lingkungan cloud Anda.
Definisi kombinasi negatif
Kombinasi negatif adalah sekelompok masalah keamanan ketika mereka muncul bersama-sama dalam pola tertentu, membuat jalur ke satu atau lebih sumber daya bernilai tinggi yang bisa digunakan oleh dapat digunakan untuk menjangkau dan menyusupi sumber daya tersebut.
Masalah keamanan adalah segala sesuatu yang berkontribusi pada eksposur akun resource cloud, seperti konfigurasi resource tertentu, kesalahan konfigurasi, atau kerentanan perangkat lunak.
Mesin Risiko Security Command Center Enterprise mendeteksi kombinasi toksik selama simulasi jalur serangan yang dijalankan. Untuk setiap kombinasi negatif yang dideteksi Risk Engine, akan dikeluarkan sebuah temuan. Setiap temuan mencakup skor paparan serangan yang mengukur risiko kombinasi toksik terhadap sumber daya bernilai tinggi di yang dihosting di Google Cloud. Risk Engine juga menghasilkan visualisasi jalur serangan yang dihasilkan oleh kombinasi negatif pada resource bernilai tinggi.
Anda bekerja menggunakan temuan kombinasi yang {i>toksik<i} melalui berbagai kasus, tetapi jika Anda perlu untuk melihat temuan itu sendiri, Anda dapat melihatnya di Konsol Google Cloud di Temuan tempat Anda dapat memfilter temuan berdasarkan kelas temuan Kombinasi toksik atau mengurutkan temuan menurut Skor kombinasi toksik.
Skor eksposur serangan pada kombinasi toksik
Mesin Risiko menghitung skor paparan serangan untuk setiap penemuan kombinasi yang toksik. Skor tersebut adalah perkiraan jumlah yang ditimbulkan oleh kombinasi toksik terhadap sumber daya bernilai tinggi Anda.
Skor pada temuan kombinasi toksik mirip dengan skor eksposur serangan pada jenis temuan lain, tetapi dapat dianggap sebagai penerapan pada suatu jalur bukan menemukan kerentanan perangkat lunak secara individu atau kesalahan konfigurasi.
Umumnya, kombinasi yang toksik mewakili risiko yang lebih besar terhadap deployment cloud daripada masalah keamanan individu. Namun, bandingkan nilai skor kombinasi toksik yang menemukan skor toksik lainnya temuan kombinasi dan postur untuk menentukan harus ditindaklanjuti terlebih dahulu.
Jika skor penemuan masalah keamanan individu jauh lebih tinggi daripada skor kombinasi negatif Anda harus memprioritaskan temuan dengan skor yang lebih tinggi.
Seperti skor eksposur serangan untuk temuan lain, skor eksposur serangan kombinasi negatif berasal dari hal berikut:
- Jumlah resource bernilai tinggi yang diekspos dan prioritasnya dan skor eksposur serangan dari resource tersebut
- Kemungkinan bahwa penyerang yang gigih untuk berhasil mencapai sumber daya bernilai tinggi dengan memanfaatkan kombinasi negatif
Untuk informasi selengkapnya, lihat Skor eksposur serangan.
Visualisasi jalur serangan untuk kombinasi toksik
Risk Engine memberikan gambaran visual jalur serangan yang dihasilkan oleh kombinasi negatif pada resource bernilai tinggi. Serangan jalur mewakili serangkaian masalah keamanan dan sumber daya yang berpotensi digunakan penyerang untuk mencapai sumber daya bernilai tinggi.
Jalur serangan membantu Anda memahami hubungan antara masalah dalam kombinasi yang toksik dan bagaimana keduanya membentuk jalan menuju resource bernilai tinggi. Visualisasi jalur juga menunjukkan berapa banyak sumber daya bernilai tinggi terekspos dan apa prioritas relatifnya resource yang diekspos.
Di konsol Security Operations, masalah keamanan yang membentuk kombinasi yang negatif ditandai dengan batas berbentuk berlian kuning yang tebal berada di jalur serangan. Di Konsol Google Cloud, jalur serangan terlihat sama seperti jalur serangan untuk jenis temuan lainnya.
Di konsol Security Operations, Security Command Center menyediakan dua yang berbeda dari jalur serangan kombinasi toksik. Yang pertama adalah model versi yang muncul pada tab ringkasan kasus dalam kasus kombinasi negatif. Versi kedua menunjukkan jalur serangan yang lengkap. Anda dapat membuka serangan dengan mengklik Jelajahi jalur serangan lengkap di jalur serangan yang disederhanakan atau dengan mengklik Jelajahi jalur serangan kombinasi toksik di kanan atas sudut tampilan kasus.
Screenshot berikut adalah contoh jalur serangan yang disederhanakan.
Di Konsol Google Cloud, jalur serangan lengkap selalu ditampilkan.
Untuk informasi selengkapnya, lihat Jalur serangan.
Kasus kombinasi toksik
Security Command Center Enterprise membuka kasus di konsol Security Operations untuk setiap kombinasi negatif yang menemukan masalah Mesin Risiko tersebut.
Kasus ini adalah cara utama untuk menyelidiki dan melacak perbaikan yang negatif. Dalam tampilan kasus, Anda dapat menemukan informasi berikut:
- Deskripsi kombinasi negatif
- Skor eksposur serangan dari kombinasi negatif
- Visualisasi jalur serangan bahwa kombinasi {i>toxic<i} itu menciptakan
- Informasi tentang resource yang terpengaruh
- Informasi tentang langkah-langkah yang dapat Anda ambil untuk mengatasi kombinasi negatif
- Informasi tentang temuan terkait dari Security Command Center lain layanan deteksi, termasuk link ke kasus terkait
- Playbook yang berlaku
- Tiket terkait apa pun
Kasus kombinasi toksik tidak pernah berisi lebih dari satu toksik penemuan kombinasi atau notifikasi.
Di konsol Security Operations, Ringkasan Postur Security Command Center halaman ini memberikan ringkasan tentang semua kasus kombinasi negatif untuk lingkungan fleksibel App Engine. Halaman Ringkasan Postur berisi widget yang menunjukkan kombinasi {i>toksik<i} kasus berdasarkan prioritas, skor paparan serangan, dan waktu yang tersisa dalam perjanjian tingkat layanan (SLA) mereka.
Pada halaman Cases di konsol Security Operations, Anda dapat membuat kueri atau
filter kasus kombinasi negatif dengan menggunakan tag TOXIC_COMBINATION yang
yang mereka sertakan. Anda juga dapat secara visual mengidentifikasi
kasus kombinasi dengan ikon berikut:
Di Konsol Google Cloud, Security Command Center Ringkasan Risiko juga menampilkan temuan kombinasi beracun dengan serangan tertinggi skor eksposur. Temuan yang tercantum mencakup sebuah tautan di konsol Security Operations.
Untuk informasi selengkapnya tentang melihat kasus kombinasi negatif, lihat Melihat kasus kombinasi negatif.
Prioritas kasus
Secara default, kasus kombinasi negatif memiliki prioritas Critical untuk dicocokkan
tingkat keparahan dari temuan kombinasi toksik dan peringatan terkait
dalam kasus kombinasi negatif.
Setelah kasus dibuka, Anda dapat mengubah prioritas kasus atau pemberitahuan.
Mengubah prioritas kasus atau pemberitahuan tidak mengubah tingkat keseriusan kasus temukan.
Menutup kasus
Disposisi kasus kombinasi toksik ditentukan oleh status
temuan yang mendasarinya. Saat temuan pertama kali diterbitkan, statusnya adalah Active.
Jika Anda memulihkan kombinasi {i>toxic<i} (beracun), Risk Engine secara otomatis mendeteksi perbaikan selama simulasi jalur serangan berikutnya dan menutup kasus. Simulasi berjalan kurang lebih setiap enam jam.
Atau, jika Anda menentukan bahwa risiko yang ditimbulkan oleh dapat diterima atau tidak dapat dihindari, Anda dapat menutup kasus dengan menonaktifkan temuan kombinasi negatif.
Jika Anda membisukan temuan kombinasi yang toksik, temuan tersebut akan tetap aktif, tetapi Security Command Center menutup kasus dan menghilangkan temuan dari default kueri dan tampilan.
Untuk informasi lebih lanjut, lihat informasi berikut:
- Cara menutup kasus kombinasi negatif
- Ringkasan kasus
- Menonaktifkan temuan di Security Command Center
Temuan terkait
Banyak masalah keamanan individual yang membentuk kombinasi negatif yang dideteksi oleh Risk Engine, juga terdeteksi oleh Layanan deteksi Security Command Center. Layanan deteksi lainnya menerbitkan temuan terpisah untuk masalah ini. Temuan-temuan ini dicantumkan dalam kasus kombinasi {i>toxic<i} (toksik) sebagai temuan terkait.
Karena temuan terkait dikeluarkan secara terpisah dari kombinasi negatif ditemukan, kasus terpisah terbuka untuk mereka, playbook yang berbeda berlari untuk mereka, dan anggota lain dari tim Anda mungkin bekerja pada remediasi secara terpisah dari remediasi kombinasi toksik temukan.
Periksa status kasus untuk temuan terkait ini dan, jika perlu, meminta pemilik kasus untuk memprioritaskan perbaikannya guna membantu menyelesaikan kombinasi negatif.
Dalam kasus kombinasi yang negatif, temuan terkait apa pun dicantumkan dalam Widget Temuan di tab ringkasan. Untuk setiap temuan yang terkait, widget menyertakan tautan ke ini masalahnya atau bukan.
Temuan terkait juga diidentifikasi di jalur serangan kombinasi {i>toxic<i} (beracun).
Cara Mesin Risiko mendeteksi kombinasi yang toksik
Risk Engine menjalankan simulasi jalur serangan pada semua resource cloud sekitar setiap enam jam.
Selama simulasi, Risk Engine mengidentifikasi potensi jalur serangan ke resource bernilai tinggi di lingkungan cloud Anda, menghitung skor paparan serangan untuk temuan dan sumber daya bernilai tinggi. Jika Risk Engine mendeteksi kombinasi beracun selama simulasi, maka proses ini menghasilkan temuan.
Untuk informasi selengkapnya tentang simulasi jalur serangan, lihat Simulasi jalur serangan.