Kombinasi beracun adalah sekelompok masalah keamanan yang, jika terjadi bersama dalam pola tertentu, akan membuat jalur ke satu atau beberapa resource bernilai tinggi yang berpotensi digunakan penyerang yang bertekad untuk memperbarui resource tersebut.
Mesin Risiko Security Command Center Enterprise mendeteksi kombinasi toksik selama simulasi jalur serangan yang dijalankan. Untuk setiap kombinasi beracun yang terdeteksi oleh Mesin Risiko, akan dihasilkan temuan. Setiap kombinasi toksik menyertakan skor eksposur serangan unik, yang disebut skor kombinasi toksik, yang mengukur risiko kombinasi toksik terhadap kumpulan resource bernilai tinggi di lingkungan cloud Anda. Mesin Risiko juga menghasilkan visualisasi jalur serangan yang dibuat oleh kombinasi toksik ke resource dalam kumpulan resource bernilai tinggi Anda.
Titik macet (Pratinjau) mirip dengan kombinasi toksik, tetapi berfokus pada resource umum atau grup resource tempat beberapa jalur serangan bertemu. Akibatnya, penyelesaian titik macet dapat menyelesaikan beberapa kombinasi beracun.
Kombinasi toksik dapat ditemukan untuk Google Cloud dan Amazon Web Services (AWS) (Pratinjau). Chokepoint dapat ditemukan untuk Google Cloud.
Melihat kombinasi toksik dan titik macet
Kombinasi beracun dan titik macet dengan risiko tertinggi ditampilkan sebagai masalah (Pratinjau) di halaman Ringkasan > Risiko di konsol Security Operations.
Anda dapat melihat semua kombinasi beracun dan titik macet secara lebih mendetail di halaman Risiko > Masalah. Kombinasi toksik juga dapat dilihat di halaman Kasus.
Untuk melihat temuan terkait kombinasi beracun dan chokepoint di konsol Google Cloud, buka halaman Temuan dan filter menurut class temuan Kombinasi beracun atau Chokepoint.
Skor eksposur serangan pada kombinasi toksik dan chokepoint
Risk Engine menghitung skor eksposur serangan untuk setiap kombinasi toksik dan chokepoint. Skor ini adalah ukuran seberapa banyak kombinasi atau titik macet yang beracun mengekspos satu atau beberapa resource dalam kumpulan resource bernilai tinggi Anda terhadap potensi serangan. Makin tinggi skor, makin tinggi risikonya.
Skor eksposur serangan untuk kombinasi toksik dan chokepoint berasal dari hal berikut:
- Jumlah resource dalam kumpulan resource bernilai tinggi yang diekspos serta nilai prioritas dan skor eksposur serangan resource tersebut.
- Kemungkinan penyerang yang bertekad dapat berhasil menjangkau resource bernilai tinggi dengan memanfaatkan kombinasi toksik atau chokepoint.
Berdasarkan skor eksposur serangan, kombinasi toksik dapat memiliki salah satu tingkat keparahan berikut:
- Kritis: Kombinasi toksik dengan skor eksposur serangan ≥ 10.
- Tinggi: Kombinasi toksik dengan skor eksposur serangan < 10.
Chokepoint selalu memiliki skor eksposur serangan ≥ 10, sehingga selalu memiliki rating tingkat keparahan kritis.
Untuk mengetahui informasi selengkapnya, lihat Skor eksposur serangan.
Visualisasi jalur serangan untuk kombinasi toksik dan titik macet
Risk Engine memberikan penggambaran visual kombinasi toksik dan jalur serangan chokepoint yang mengarah ke kumpulan resource bernilai tinggi Anda. Jalur serangan mewakili serangkaian langkah serangan, yang mencakup masalah keamanan terkait dan resource yang dapat digunakan penyerang potensial untuk mengakses resource Anda.
Jalur serangan membantu Anda memahami hubungan antara setiap masalah keamanan dalam kombinasi beracun atau titik macet, dan bagaimana masalah tersebut membentuk jalur ke resource dalam kumpulan resource bernilai tinggi. Visualisasi jalur juga menunjukkan jumlah resource berharga yang diekspos dan tingkat kepentingannya terhadap lingkungan cloud Anda.
Di konsol Security Operations, resource di jalur serangan diberi kode warna dengan cara berikut:
- Resource dengan masalah keamanan yang berkontribusi pada kombinasi beracun ditandai dengan batas kuning.
- Resource yang diidentifikasi sebagai chokepoint ditandai dengan batas merah.
Ada beberapa tempat di konsol Security Operations tempat Anda dapat melihat jalur serangan. Versi sederhana jalur serangan ditampilkan di tempat berikut:
- Halaman Risk > Overview, untuk item di widget Riskiest issues.
- Halaman Risk > Issues, saat masalah dipilih. Anda dapat mengakses jalur serangan yang disederhanakan di tab Ringkasan masalah.
- Halaman Cases, saat kasus dipilih. Anda dapat mengakses jalur serangan
yang disederhanakan di
tab Ringkasan kasus
.
Untuk melihat versi lengkap jalur serangan, lihat versi sederhana, lalu klik Jelajahi jalur serangan lengkap.
Screenshot berikut adalah contoh jalur serangan yang disederhanakan untuk kombinasi toksik:
Screenshot berikut adalah contoh jalur serangan yang disederhanakan untuk chokepoint:
Di konsol Google Cloud, jalur serangan lengkap selalu ditampilkan.
Untuk mengetahui informasi selengkapnya, lihat Jalur serangan.
Temuan terkait
Banyak risiko individual yang membentuk kombinasi beracun dan titik macet juga terdeteksi oleh layanan deteksi Security Command Center lainnya. Layanan deteksi lainnya ini menghasilkan temuan terpisah untuk risiko ini, yang tercantum dalam masalah (Pratinjau) dan kasus sebagai temuan terkait. Temuan terkait juga diidentifikasi di jalur serangan.
Untuk kombinasi toksik, kasus terpisah akan dibuka untuk temuan terkait, playbook yang berbeda akan dijalankan, dan anggota tim Anda yang lain mungkin sedang mengerjakan remedasi secara independen dari perbaikan temuan kombinasi toksik. Periksa status kasus untuk temuan terkait ini dan, jika perlu, minta pemilik kasus untuk memprioritaskan perbaikan mereka guna membantu menyelesaikan kombinasi beracun.
Kasus
Security Command Center Enterprise membuka kasus di konsol Security Operations untuk setiap temuan kombinasi toksik yang dihasilkan. Chokepoint tidak menghasilkan kasus.
Dalam tampilan kasus, Anda dapat menemukan informasi berikut yang terkait dengan kombinasi toksik:
- Deskripsi kombinasi toksik
- Skor eksposur serangan dari kombinasi toksik
- Visualisasi jalur serangan yang dibuat oleh kombinasi toksik
- Informasi tentang resource yang terpengaruh
- Informasi tentang langkah-langkah yang dapat Anda lakukan untuk memperbaiki kombinasi toksik
- Informasi tentang temuan terkait dari layanan deteksi Security Command Center lainnya, termasuk link ke kasus terkait
- Playbook yang berlaku
- Tiket terkait
Di halaman Cases di konsol Security Operations, Anda dapat membuat kueri atau memfilter
kasus kombinasi toksik menggunakan tag Toxic Combination. Anda juga dapat
mengidentifikasi kasus kombinasi toksik secara visual dalam daftar kasus dengan ikon
berikut:
.
Untuk informasi selengkapnya tentang cara melihat kasus kombinasi toksik, lihat Melihat kasus kombinasi toksik.
Prioritas kasus
Secara default, prioritas kasus kombinasi toksik ditetapkan ke nilai yang sama dengan
keparahan temuan kombinasi toksik dan pemberitahuan terkait dalam
kasus terkait. Artinya, semua kasus kombinasi toksik awalnya memiliki
prioritas Critical
atau High
.
Setelah kasus dibuka, Anda dapat mengubah prioritas kasus atau pemberitahuan. Mengubah prioritas kasus atau pemberitahuan tidak akan mengubah tingkat keparahan temuan.
Menutup kasus
Saat temuan pertama kali dibuat untuk kombinasi beracun, statusnya adalah
Active
.
Jika Anda memulihkan kombinasi toksik, Mesin Risiko akan otomatis mendeteksi pemulihan selama simulasi jalur serangan berikutnya dan menutup kasus. Simulasi berjalan kira-kira setiap enam jam.
Atau, jika Anda memutuskan bahwa risiko yang ditimbulkan oleh kombinasi toksik dapat diterima atau tidak dapat dihindari, Anda dapat menutup kasus dengan membisukan temuan.
Jika Anda menonaktifkan temuan, temuan tersebut akan tetap aktif, tetapi Security Command Center akan menutup kasus dan menghapus temuan dari kueri dan tampilan default.
Untuk informasi selengkapnya, lihat informasi berikut: