Questa pagina fornisce una panoramica del concetto di combinazione tossica e dei risultati e dei casi che tu, un analista delle vulnerabilità o un altro ruolo responsabili della sicurezza del tuo ambiente cloud, puoi utilizzare identificare, assegnare le priorità e correggere le combinazioni tossiche.
I risultati e i casi relativi alle combinazioni tossiche ti aiutano a identificare in modo più efficace i rischi e migliorare la sicurezza nei tuoi ambienti cloud.
Definizione di combinazione tossica
Una combinazione tossica è un gruppo di problemi di sicurezza. che, quando si verificano insieme in un particolare pattern, creano un percorso una o più delle tue risorse di alto valore che un determinato utente malintenzionato potrebbe utilizzare per raggiungere e compromettere tali risorse.
Un problema di sicurezza è qualsiasi cosa che contribuisca all'esposizione del tuo di risorse cloud, come una particolare configurazione delle risorse, un errore di configurazione o una vulnerabilità del software.
Il motore di rischio di Security Command Center Enterprise rileva combinazioni tossiche durante le simulazioni del percorso di attacco che esegue. Per ogni combinazione tossica rilevata da Risk Engine, genera un risultato. Ogni risultato include un punteggio di esposizione agli attacchi che misura il rischio della combinazione tossica per le risorse di alto valore nel tuo nell'ambiente cloud. Risk Engine genera inoltre visualizzazione del percorso di attacco che la combinazione tossica crea per le risorse di alto valore.
Si lavora con i risultati relativi alle combinazioni tossiche attraverso i casi, ma se per vedere i risultati stessi, potete vederli nel nella console Google Cloud Risultati in cui puoi filtrare risultati in base alla classe di risultati Combinazione tossica oppure ordinali per Punteggio di combinazione tossica.
Punteggi di esposizione agli attacchi su combinazioni tossiche
Risk Engine calcola un punteggio di esposizione agli attacchi per ogni combinazione tossica. Il punteggio è una stima della quantità di rischio che la combinazione tossica rappresenti le tue risorse di alto valore.
Un punteggio per il risultato di una combinazione tossica è simile ai punteggi di esposizione agli attacchi su altri tipi di risultati, ma può essere considerato come applicato a un percorso piuttosto che l'individuazione di una singola vulnerabilità software e non è corretta.
In genere, una combinazione tossica rappresenta un rischio maggiore per il deployment nel cloud piuttosto che un singolo problema di sicurezza. Tuttavia, confronta di una combinazione tossica ricavata dal risultato dei punteggi di altre sostanze tossiche di combinazione e postura per determinare quali su cui deve intervenire per primo.
Se il punteggio di un risultato relativo a un singolo problema di sicurezza è significativamente più alto rispetto al punteggio di una combinazione tossica. ricerca, devi dare la priorità al risultato con il punteggio più alto.
Analogamente ai punteggi dell'esposizione agli attacchi per altri risultati, ai punteggi dell'esposizione agli attacchi sulle combinazioni tossiche derivano da:
- Il numero di risorse di alto valore esposte e la priorità e i punteggi di esposizione agli attacchi di tali risorse
- La probabilità che un determinato aggressore riesca a raggiungere una risorsa di alto valore sfruttando la combinazione tossica
Per ulteriori informazioni, vedi Punteggi di esposizione agli attacchi.
Visualizzazioni del percorso di attacco per combinazioni dannose
Il motore Risk fornisce una rappresentazione visiva dei percorsi di attacco che una combinazione tossica crea per le tue risorse di alto valore. Un attacco rappresenta una serie di problemi e risorse di sicurezza che un malintenzionato potrebbe usare per raggiungere una risorsa di alto valore.
Il percorso di attacco aiuta a comprendere le relazioni tra il problemi in una combinazione tossica e come insieme creino un percorso le risorse di alto valore. La visualizzazione del percorso mostra anche risorse di alto valore siano esposte e le relative priorità le risorse esposte.
Nella Security Operations Console, i problemi di sicurezza che combinazione tossica è evidenziata da un bordo giallo a forma di diamante lungo il percorso di attacco. Nella console Google Cloud, i percorsi di attacco appaiono i percorsi di attacco di altri tipi di risultati.
In Security Operations Console, Security Command Center fornisce due versioni di un percorso di attacco di combinazione tossica. Il primo è un modello che appare nella scheda Panoramica richiesta in un caso di combinazione tossica. La seconda versione mostra l'intero percorso di attacco. Puoi aprire l'attacco completo facendo clic su Esplora percorsi di attacco completi nel percorso di attacco semplificato oppure facendo clic su Esplora il percorso di attacco da combinazioni dannose in alto a destra. nell'angolo della vista richiesta.
Il seguente screenshot è un esempio di percorso di attacco semplificato.
Nella console Google Cloud viene sempre visualizzato il percorso di attacco completo.
Per maggiori informazioni, vedi Percorsi di attacco.
Casi di combinazione tossica
Security Command Center Enterprise apre una richiesta nella console Security Operations per ogni combinazione tossica che rileva problemi con il motore di rischio.
Il caso è il mezzo principale per indagare e monitorare la combinazione tossica. Nella visualizzazione richiesta, puoi trovare le seguenti informazioni:
- Una descrizione della combinazione tossica
- Il punteggio di esposizione agli attacchi della combinazione tossica
- Una visualizzazione del percorso di attacco che la combinazione tossica crea
- Informazioni sulla risorsa interessata
- Informazioni sui passaggi da seguire per risolvere la combinazione tossica
- Informazioni su eventuali risultati correlati di altri Security Command Center di rilevamento, con i link ai casi associati
- Eventuali playbook applicabili
- Eventuali biglietti associati
Un caso di combinazione tossica non contiene mai più di una sostanza tossica combinazione di risultati o avviso.
In Security Operations Console, la panoramica della postura di Security Command Center fornisce una panoramica di tutti i casi di combinazioni tossiche per la completamente gestito di Google Cloud. La pagina Panoramica postura contiene widget che mostrano i casi di combinazioni tossiche per priorità, punteggio di esposizione agli attacchi e il tempo rimasto nell'accordo sul livello del servizio (SLA).
Nella pagina Richieste di Security Operations Console, puoi eseguire query
filtra i casi di combinazione tossica utilizzando il tag TOXIC_COMBINATION che
che includono. Puoi anche identificare visivamente le sostanze tossiche
di combinazione di questi casi dalla seguente icona:
Nella console Google Cloud, Security Command Center Panoramica dei rischi mostra anche le combinazioni tossiche rilevate con l'attacco più elevato i punteggi di esposizione. I risultati elencati includono un link ai nella Security Operations Console.
Per ulteriori informazioni sulla visualizzazione di casi di combinazione tossica, consulta Visualizza i casi di combinazione tossica.
Priorità della richiesta
Per impostazione predefinita, i casi di combinazione tossica hanno la priorità Critical, corrispondente
gravità del risultato della combinazione tossica e dell'avviso associato
nel caso di combinazione tossica.
Dopo aver aperto una richiesta, puoi modificarne la priorità o avviso.
La modifica della priorità di una richiesta o di un avviso non cambia la gravità del ricerca.
Chiusura delle richieste
La disposizione dei casi di combinazione tossica è determinata dallo stato di
il risultato alla base. Quando viene emesso per la prima volta un risultato, il suo stato è Active.
Se risolvi la combinazione tossica, il motore di rischio rileva automaticamente la correzione durante la successiva simulazione del percorso di attacco e chiude il caso. Simulazioni eseguite all'incirca ogni sei ore.
In alternativa, se stabilisci che il rischio rappresentato dall'agente tossico è accettabile o inevitabile, puoi chiudere una richiesta disattivare il risultato della combinazione tossica.
Quando disattivi un risultato relativo a una combinazione tossica, questo rimane attivo, ma Security Command Center chiude la richiesta e omette il risultato per impostazione predefinita query e viste.
Per saperne di più, consulta le seguenti informazioni:
- Come chiudere i casi di combinazione tossica
- Panoramica delle richieste
- Disattivazione dei risultati in Security Command Center
Risultati correlati
Molti dei singoli problemi di sicurezza che costituiscono una combinazione tossica rilevati da Risk Engine, vengono rilevati anche da altri Servizi di rilevamento di Security Command Center. Questi altri servizi di rilevamento emettono risultati separati per questi problemi. Questi risultati sono elencati in un caso di combinazione tossica come risultati correlati.
Poiché i risultati correlati vengono emessi separatamente dalla combinazione tossica trovare, si aprono casi separati per loro, playbook diversi che gli altri membri del tuo team stanno lavorando sulla loro correzione indipendentemente da quella della combinazione tossica ricerca.
Controllare lo stato delle richieste per i risultati correlati e, se necessario, chiedi ai proprietari delle richieste di dare la priorità alle loro misure per aiutare risolvere la combinazione tossica.
In un caso di combinazione tossica, tutti i risultati correlati sono elencati nella Widget Risultati nella scheda Panoramica. Per ogni risultato correlato, il widget include un link al suo per verificare se è così.
Risultati correlati sono identificati anche nel percorso di attacco di combinazione tossica.
In che modo Risk Engine rileva le combinazioni tossiche
Risk Engine esegue simulazioni del percorso di attacco su tutti i tuoi di risorse cloud approssimativamente ogni sei ore.
Durante le simulazioni, Risk Engine identifica i potenziali i percorsi di attacco alle risorse di alto valore nel tuo ambiente cloud calcola i punteggi dell'esposizione agli attacchi per risultati e risorse di alto valore. Se Risk Engine rileva una combinazione tossica durante il simulazioni, genera un risultato.
Per ulteriori informazioni sulle simulazioni del percorso di attacco, consulta Simulazioni del percorso di attacco.