Auf dieser Seite werden wichtige Konzepte, Prinzipien und Einschränkungen erläutert, damit Sie die von der Risiko-Engine von Security Command Center generierten Bewertungen der Angriffsfläche und Angriffspfade kennenlernen, optimieren und verwenden können.
Bewertungen und Pfade für Angriffspfade werden für beides generiert:
- Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen (zusammenfassend als Sicherheitslücken bezeichnet), die die Ressourceninstanzen in Ihrer Gruppe mit wertvollen Ressourcen gefährden.
- Die Ressourcen in Ihrem effektiven Satz hochwertiger Ressourcen.
Wenn Sie Bewertungen der Angriffsrisiken und Angriffspfade verwenden möchten, müssen Sie die Premium- oder Enterprise-Stufe von Security Command Center auf Organisationsebene aktivieren. Die Angriffsrisikobewertung und Angriffspfade können nicht für Aktivierungen auf Projektebene verwendet werden.
Angriffspfade stellen Möglichkeiten dar
In einem Angriffspfad sind keine Hinweise auf einen tatsächlichen Angriff zu sehen.
Die Risiko-Engine generiert Angriffspfade und Angriffsrisiken, indem sie simuliert, was hypothetische Angreifer tun könnten, wenn sie Zugriff auf Ihre Google Cloud-Umgebung erhalten und die Angriffspfade und Sicherheitslücken entdeckt haben, die bereits im Security Command Center gefunden wurden.
Für jeden Angriffspfad werden eine oder mehrere Angriffsmethoden angezeigt, die ein Angreifer verwenden könnte, wenn er Zugriff auf eine bestimmte Ressource erhält. Verwechseln Sie diese Angriffsmethoden nicht mit tatsächlichen Angriffen.
Ebenso bedeutet eine hohe Angriffsbewertung für ein Security Command Center-Ergebnis oder eine Ressource nicht, dass ein Angriff im Gange ist.
Wenn Sie auf tatsächliche Angriffe achten möchten, beobachten Sie die Ergebnisse der Klasse THREAT
, die von den Bedrohungserkennungsdiensten wie Event Threat Detection und Container Threat Detection generiert werden.
Weitere Informationen finden Sie in den folgenden Abschnitten auf dieser Seite:
Bewertungen des Angriffsrisikos
Eine Angriffsbewertung für ein Security Command Center-Ergebnis oder eine ‑Ressource gibt an, wie stark Ressourcen einem potenziellen Angriff ausgesetzt sind, wenn ein böswilliger Akteur Zugriff auf Ihre Google Cloud-Umgebung erhält.
Ein Wert für die Angriffsgefahr bei einem Schädlichen Kombinationsergebnis wird in einigen Kontexten, z. B. auf der Seite Ergebnisse in der Google Cloud Console, als Wert für schädliche Kombinationen bezeichnet.
In Beschreibungen der Berechnung von Bewertungen, in allgemeinen Hinweisen zur Priorisierung der Behebung von Sicherheitslücken und in bestimmten anderen Kontexten bezieht sich der Begriff Angriffsrisikobewertung auch auf Bewertungen für schädliche Kombinationen.
Bei einem Ergebnis gibt der Wert an, inwiefern ein erkanntes Sicherheitsproblem eine oder mehrere hochwertige Ressourcen potenziellen Cyberangriffen aussetzt. Bei einer Ressource mit hohem Wert gibt der Wert an, wie stark die Ressource potenziellen Cyberangriffen ausgesetzt ist.
Verwenden Sie die Bewertungen zu Sicherheitslücken, Fehlkonfigurationen und schädlichen Kombinationen, um die Behebung dieser Probleme zu priorisieren.
Verwenden Sie Bewertungen der Angriffsgefahr für Ressourcen, um die für Ihr Unternehmen wertvollsten Ressourcen proaktiv zu schützen.
Bei den Simulationen von Angriffspfaden startet die Risk Engine die simulierten Angriffe immer über das öffentliche Internet. Daher werden bei den Bewertungen der Angriffsrisiken keine möglichen Risiken durch böswillige oder nachlässige interne Akteure berücksichtigt.
Ergebnisse mit Angriffsrisikobewertungen
Die Bewertung der Angriffsgefahr wird auf aktive Ergebnisklassen angewendet, die in den unterstützten Ergebniskategorien aufgeführt sind.
Da Angriffspfadsimulationen auch ausgeblendete Ergebnisse enthalten, berechnet die Risiko-Engine auch Bewertungen und Angriffspfade für ausgeblendete Ergebnisse.
Simulationen des Angriffspfads enthalten nur aktive Ergebnisse. Ergebnisse mit dem Status INACTIVE
werden nicht in die Simulationen einbezogen. Sie erhalten daher keine Bewertung und sind nicht in Angriffspfade aufgenommen.
Ressourcen, für die Angriffsrisikobewertungen vergeben werden
Bei Angriffspfadsimulationen werden Angriffsrisikobewertungen für unterstützte Ressourcentypen in der Gruppe Ihrer hochwertigen Ressourcen berechnet. Sie geben an, welche Ressourcen zum Satz hochwertiger Ressourcen gehören, indem Sie Konfigurationen für den Wert von Ressourcen erstellen.
Wenn eine Ressource in einem Satz hochwertiger Ressourcen eine Angriffsrisikobewertung von 0 hat, wurden in den Angriffspfadsimulationen keine Pfade zur Ressource gefunden, die ein potenzieller Angreifer nutzen könnte.
Bei Simulationen von Angriffspfaden werden die folgenden Ressourcentypen unterstützt:
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Bewertung berechnen
Jedes Mal, wenn die Simulationen des Angriffspfads ausgeführt werden, werden die Angriffsrisikobewertungen neu berechnet. Bei jeder Simulation des Angriffspfads werden mehrere Simulationen ausgeführt, in denen ein simulierter Angreifer bekannte Angriffsmethoden und ‑techniken verwendet, um die wertvollen Ressourcen zu erreichen und zu manipulieren.
Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Je größer Ihre Organisation wird, desto länger dauern die Simulationen. Sie werden jedoch immer mindestens einmal täglich ausgeführt. Simulationsläufe werden nicht durch das Erstellen, Ändern oder Löschen von Ressourcen oder Konfigurationen für Ressourcenwerte ausgelöst.
Bei den Simulationen werden die Bewertungen anhand verschiedener Messwerte berechnet, darunter:
- Der Prioritätswert, der den gefährdeten hochwertigen Ressourcen zugewiesen ist.
Die Prioritätsstufen, die Sie zuweisen können, haben folgende Werte:
- HOCH = 10
- MED = 5
- LOW = 1
- Die Anzahl der möglichen Wege, die ein Angreifer nehmen könnte, um eine bestimmte Ressource zu erreichen.
- Die Häufigkeit, mit der ein simulierter Angreifer eine wertvolle Ressource am Ende eines bestimmten Angriffspfads erreichen und manipulieren kann, ausgedrückt als Prozentsatz der Gesamtzahl der Simulationen.
- Nur für Ergebnisse: Die Anzahl der wertvollen Ressourcen, die durch die erkannte Sicherheitslücke oder Fehlkonfiguration gefährdet sind.
Bei Ressourcen kann die Angriffsbewertung zwischen 0 und 10 liegen.
Im Groben werden bei den Simulationen Ressourcenbewertungen berechnet, indem der Prozentsatz der erfolgreichen Angriffe mit dem numerischen Prioritätswert der Ressourcen multipliziert wird.
Für Ergebnisse gibt es keine feste Obergrenze. Je häufiger ein Ergebnis auf Angriffspfaden zu gefährdeten Ressourcen im Set mit hochwertigen Ressourcen auftritt und je höher die Prioritätswerte dieser Ressourcen sind, desto höher ist die Bewertung.
Im Großen und Ganzen werden die Bewertungen für Ergebnisse mit derselben Berechnung wie für Ressourcenbewertungen berechnet. Bei den Bewertungen für Ergebnisse wird das Ergebnis der Berechnung jedoch mit der Anzahl der hochwertigen Ressourcen multipliziert, die durch das Ergebnis gefährdet sind.
Bewertungen ändern
Die Bewertungen können sich jedes Mal ändern, wenn eine Simulation von Angriffspfaden ausgeführt wird. Ein Ergebnis oder eine Ressource, die heute eine Punktzahl von null hat, kann morgen einen Wert ungleich null haben.
Die Bewertungen ändern sich aus verschiedenen Gründen, z. B.:
- Die Erkennung oder Behebung einer Sicherheitslücke, die eine wertvolle Ressource direkt oder indirekt gefährdet.
- Ressourcen in Ihrer Umgebung hinzufügen oder entfernen
Änderungen an Ergebnissen oder Ressourcen nach einer Simulation werden erst in den Bewertungen der nächsten Simulation berücksichtigt.
Bewertungen verwenden, um Maßnahmen zu priorisieren
Beachten Sie die folgenden Punkte, um die Behebung von Ergebnissen basierend auf dem Angriffsrisiko oder dem Wert für schädliche Kombinationen effektiv zu priorisieren:
- Bei allen Ergebnissen mit einer Bewertung größer als null ist eine wertvolle Ressource auf irgendeine Weise potenziellen Angriffen ausgesetzt. Daher sollte die Behebung dieser Ergebnisse vorrangig vor Ergebnissen mit einer Bewertung von null erfolgen.
- Je höher die Bewertung eines Ergebnisses ist, desto stärker sind Ihre wertvollen Ressourcen gefährdet und desto höher sollten Sie die Behebung priorisieren.
Legen Sie im Allgemeinen die höchste Priorität auf die Behebung der Ergebnisse mit den höchsten Bewertungen, die die Angriffspfade zu Ihren wertvollen Ressourcen am effektivsten blockieren.
Wenn die Bewertungen einer schädlichen Kombination und einer anderen Art von Sicherheitsrisiko ungefähr gleich sind, sollten Sie die Behebung der schädlichen Kombination priorisieren, da sie einen vollständigen Pfad vom öffentlichen Internet zu einer oder mehreren wertvollen Ressourcen darstellt, dem ein Angreifer folgen kann, wenn er Zugriff auf Ihre Cloud-Umgebung erhält.
Auf der Seite Ergebnisse des Security Command Center in der Google Cloud Console oder in der Security Operations Console können Sie die Ergebnisse im Seitenbereich nach Bewertung sortieren, indem Sie auf die Spaltenüberschrift klicken.
In der Google Cloud Console können Sie sich auch die Ergebnisse mit den höchsten Bewertungen ansehen. Fügen Sie dazu der Abfrage für die Ergebnisse einen Filter hinzu, der nur Ergebnisse mit einer Bewertung der Angriffsbedrohung zurückgibt, die über einer von Ihnen angegebenen Zahl liegt.
Auf der Seite Fälle in der Security Operations Console können Sie die Fälle mit schädlichen Kombinationen auch nach dem Wert für die Angriffsgefährdung sortieren.
Mängel, die nicht behoben werden können.
In einigen Fällen können Sie einen Befund mit einem hohen Risikowert für Angriffe nicht beheben, entweder weil er ein bekanntes und akzeptiertes Risiko darstellt oder weil der Befund nicht einfach behoben werden kann. In diesen Fällen müssen Sie das Risiko möglicherweise auf andere Weise minimieren. Wenn Sie sich den zugehörigen Angriffspfad ansehen, erhalten Sie möglicherweise Ideen für andere mögliche Risikominderungen.
Ressourcen mithilfe von Angriffsrisikobewertungen schützen
Wenn die Angriffsbewertung für eine Ressource einen Wert ungleich 0 hat, wurden bei den Angriffspfadsimulationen mindestens ein Angriffspfad vom öffentlichen Internet zur Ressource ermittelt.
So rufen Sie die Angriffsbewertungen für Ihre wertvollen Ressourcen auf:
Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.
Wählen Sie den Tab Ressourcensatz mit hohem Wert aus. Die Ressourcen in Ihrer Gruppe hochwertiger Ressourcen werden in absteigender Reihenfolge der Angriffsbewertung angezeigt.
Klicken Sie auf die Zahl in der Zeile in der Spalte Angriffsrisikobewertung, um die Angriffspfade für eine Ressource aufzurufen. Die Angriffspfade vom öffentlichen Internet zur Ressource werden angezeigt.
Prüfen Sie die Angriffspfade auf rote Kreise auf den Knoten, die auf Ergebnisse hinweisen. Informationen zum Interpretieren der Angriffspfade finden Sie unter Angriffspfade.
Klicken Sie auf einen Knoten mit einem roten Kreis, um die Ergebnisse aufzurufen.
Ergreifen Sie Maßnahmen, um die Mängel zu beheben.
Sie können die Angriffsrisikobewertungen Ihrer hochwertigen Ressourcen auch auf dem Tab Angriffspfadsimulationen in den Einstellungen aufrufen, indem Sie auf Wertvolle Ressourcen in der letzten Simulation ansehen klicken.
Angriffsbewertungen von 0
Eine Angriffsrisikobewertung von 0
für eine Ressource bedeutet, dass in den letzten Simulationen von Angriffspfaden in Security Command Center keine potenziellen Pfade gefunden wurden, über die ein Angreifer auf die Ressource zugreifen könnte.
Eine Angriffsrisikobewertung von 0
für ein Ergebnis bedeutet, dass der simulierte Angreifer in der letzten Angriffssimulation über das Ergebnis keine wertvollen Ressourcen erreichen konnte.
Eine Angriffsbewertung von 0
bedeutet jedoch nicht, dass kein Risiko besteht. Ein Wert für die Angriffsgefährdung gibt Aufschluss über die potenziellen Bedrohungen für unterstützte Google Cloud-Dienste, ‑Ressourcen und ‑Ergebnisse aus dem öffentlichen Internet. So werden beispielsweise keine Bedrohungen durch interne Akteure, Zero-Day-Sicherheitslücken oder die Infrastruktur von Drittanbietern berücksichtigt.
Keine Angriffsbewertung
Wenn eine Bewertung für eine Erkenntnis oder Ressource fehlt, kann das folgende Gründe haben:
- Die Benachrichtigung wurde nach der letzten Simulation des Angriffspfads ausgegeben.
- Die Ressource wurde Ihrem Satz hochwertiger Ressourcen nach der letzten Simulation des Angriffspfads hinzugefügt.
- Die Funktion „Angriffsrisiken“ unterstützt derzeit weder die Kategorie der Sicherheitslücke noch den Ressourcentyp.
Eine Liste der unterstützten Ergebniskategorien finden Sie unter Unterstützung für Risk Engine-Funktionen.
Eine Liste der unterstützten Ressourcentypen finden Sie unter Ressourcen, für die Angriffsrisiken bewertet werden.
Ressourcenwerte
Auch wenn alle Ihre Ressourcen in Google Cloud wertvoll sind, identifiziert Security Command Center nur Angriffspfade und berechnet nur Angriffsrisikobewertungen für die Ressourcen, die Sie als hochwertige Ressourcen (manchmal auch wertvolle Ressourcen) kennzeichnen.
Hochwertige Ressourcen
Eine wertvolle Ressource in Google Cloud ist eine Ressource, die für Ihr Unternehmen besonders wichtig ist und vor potenziellen Angriffen geschützt werden muss. Zu den Ressourcen mit hohem Wert können beispielsweise die Ressourcen gehören, in denen Ihre wertvollen oder sensiblen Daten gespeichert oder auf denen Ihre geschäftskritischen Arbeitslasten gehostet werden.
Sie können eine Ressource als Ressource mit hohem Wert kennzeichnen, indem Sie die Attribute der Ressource in einer Konfiguration für den Wert von Ressourcen definieren. Bis zu einer Grenze von 1.000 Ressourceninstanzen behandelt Security Command Center jede Ressourceninstanz,die den in der Konfiguration angegebenen Attributen entspricht, als wertvolle Ressource.
Prioritätswerte
Unter den Ressourcen, die Sie als wertvoll einstufen, müssen Sie die Sicherheit einiger wahrscheinlich stärker priorisieren als anderer. Ein Datenressourcensatz kann beispielsweise wertvolle Daten enthalten, aber einige dieser Datenressourcen können Daten enthalten, die sensibler sind als die anderen.
Damit Ihre Bewertungen die Notwendigkeit widerspiegeln, die Sicherheit der Ressourcen in Ihrem Set mit wertvollen Ressourcen zu priorisieren, weisen Sie in den Konfigurationen für Ressourcenwerte einen Prioritätswert zu, der Ressourcen als wertvoll kennzeichnet.
Wenn Sie den Schutz sensibler Daten verwenden, können Sie Ressourcen auch automatisch anhand der Sensibilität der Daten priorisieren, die sie enthalten.
Ressourcenprioritätswerte manuell festlegen
In einer Konfigurationsdatei für den Wert von Ressourcen weisen Sie den entsprechenden Ressourcen mit hohem Wert eine Priorität zu, indem Sie einen der folgenden Prioritätswerte angeben:
LOW
= 1MEDIUM
= 5HIGH
= 10NONE
= 0
Wenn Sie in einer Ressourcenwertkonfiguration einen Prioritätswert von LOW
angeben, sind die übereinstimmenden Ressourcen weiterhin wertvolle Ressourcen. In den Simulationen für Angriffspfade werden sie nur mit einer niedrigeren Priorität behandelt und erhalten eine niedrigere Angriffsrisikobewertung als wertvolle Ressourcen mit einem Prioritätswert von MEDIUM
oder HIGH
.
Wenn für dieselbe Ressource in mehreren Konfigurationen unterschiedliche Werte zugewiesen sind, gilt der höchste Wert, es sei denn, einer der Konfigurationen ist der Wert NONE
zugewiesen.
Bei einem Ressourcenwert von NONE
werden die übereinstimmenden Ressourcen nicht als hochwertige Ressourcen betrachtet und alle anderen Konfigurationen für denselben Ressourcenwert werden überschrieben. Achten Sie daher darauf, dass jede Konfiguration, in der NONE
angegeben ist, nur auf eine begrenzte Anzahl von Ressourcen angewendet wird.
Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen
Wenn Sie die Erkennung sensibler Daten verwenden und die Datenprofile in Security Command Center veröffentlichen, können Sie Security Command Center so konfigurieren, dass die Priorität bestimmter wertvoller Ressourcen automatisch anhand der Sensibilität der Daten festgelegt wird, die die Ressourcen enthalten.
Sie aktivieren die Priorisierung der Datensensibilität, wenn Sie die Ressourcen in einer Konfiguration des Ressourcenwerts angeben.
Wenn die Erkennung sensibler Daten aktiviert ist und die Daten in einer Ressource als MEDIUM
oder HIGH
klassifiziert werden, wird in den Simulationen von Angriffspfaden standardmäßig derselbe Wert als Prioritätswert der Ressource festgelegt.
Die Stufen der Datensensibilität werden vom Schutz sensibler Daten definiert. Sie können sie jedoch so interpretieren:
- Hochsensible Daten
- Bei der Suche nach sensiblen Daten wurde in der Ressource mindestens eine Instanz mit sensiblen Daten gefunden.
- Daten mit mittlerer Vertraulichkeit
- Bei der Suche nach sensiblen Daten wurde in der Ressource mindestens eine Instanz von Daten mit mittlerer Sensibilität und keine Instanz von Daten mit hoher Sensibilität gefunden.
- Daten mit geringer Vertraulichkeit
- Bei der Suche nach sensiblen Daten wurden keine sensiblen Daten, kein Freitext und keine unstrukturierten Daten in der Ressource gefunden.
Wenn bei der Erkennung von Sensitive Data Protection nur Daten mit geringer Vertraulichkeit in einer übereinstimmenden Datenressource gefunden werden, wird die Ressource nicht als Ressource mit hohem Wert gekennzeichnet.
Wenn Datenressourcen, die nur Daten mit geringer Vertraulichkeit enthalten, als Ressourcen mit hohem Wert und niedriger Priorität gekennzeichnet werden sollen, erstellen Sie eine Ressourcenwertkonfiguration, die der vorhandenen entspricht, geben Sie aber einen Prioritätswert von LOW
an, anstatt die Priorisierung nach Vertraulichkeit zu aktivieren.
Die Konfiguration, die den Schutz sensibler Daten verwendet, überschreibt die Konfiguration, die den Prioritätswert LOW
zuweist, jedoch nur für Ressourcen, die Daten mit HIGH
- oder MEDIUM
-Vertraulichkeitsgrad enthalten.
Sie können die Standardprioritätswerte ändern, die in Security Command Center verwendet werden, wenn in der Konfiguration des Ressourcenwerts sensible Daten erkannt werden.
Weitere Informationen zum Schutz sensibler Daten finden Sie unter Schutz sensibler Daten – Übersicht.
Priorisierung der Datenvertraulichkeit und Standardsatz mit Ressourcen mit hohem Wert
Bevor Sie einen eigenen Satz hochwertiger Ressourcen erstellen, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen, um Angriffsrisikobewertungen und Angriffspfade zu berechnen.
Wenn Sie die Erkennung sensibler Daten verwenden, fügt Security Command Center dem Standard-Ressourcensatz mit hohem Wert automatisch Instanzen unterstützter Datenressourcentypen hinzu, die Daten mit dem Sensibilitätsgrad HIGH
oder MEDIUM
enthalten.
Unterstützte Google Cloud-Ressourcentypen für automatische Prioritätswerte für die Datenvertraulichkeit
Bei Simulationen von Angriffspfaden können Prioritätswerte nur für die folgenden Datenressourcentypen automatisch anhand der Klassifizierungen der Datensensibilität aus der Erfassung sensibler Daten festgelegt werden:
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Unterstützte AWS-Ressourcentypen für automatische Prioritätswerte für die Datensensibilität
Bei Simulationen von Angriffspfaden können Prioritätswerte nur für die folgenden AWS-Datenressourcentypen automatisch anhand der Klassifizierungen der Datenvertraulichkeit aus der Erfassung von sensiblen Daten festgelegt werden:
- Amazon S3-Bucket
Sätze hochwertiger Ressourcen
Ein Ressourcensatz mit hohem Wert ist eine definierte Sammlung der Ressourcen in Ihrer Google Cloud-Umgebung, die am wichtigsten zu schützen sind.
Um den Ressourcensatz mit hohem Wert zu definieren, müssen Sie angeben, welche Ressourcen in Ihrer Google Cloud-Umgebung zu diesem Satz gehören. Solange Sie keinen Satz hochwertiger Ressourcen definiert haben, spiegeln die Angriffsrisikobewertungen, Angriffspfade und Ergebnisse zu schädlichen Kombinationen nicht genau Ihre Sicherheitsprioritäten wider.
Sie geben die Ressourcen in Ihrem Satz hochwertiger Ressourcen an, indem Sie Konfigurationen für den Wert von Ressourcen erstellen. Die Kombination aller Konfigurationen für den Wert von Ressourcen definiert den Satz hochwertiger Ressourcen. Weitere Informationen finden Sie unter Konfigurationen für Ressourcenwerte.
Bis Sie Ihre erste Konfiguration für den Ressourcenwert definieren, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen. Die Standardeinstellungen gelten für alle Ressourcentypen in Ihrer Organisation, die von Simulationen von Angriffspfaden unterstützt werden. Weitere Informationen finden Sie unter Standardsatz hochwertiger Ressourcen.
Informationen zum Satz hochwertiger Ressourcen, der in der letzten Angriffspfadsimulation verwendet wurde, einschließlich der Angriffsrisikobewertungen und übereinstimmenden Konfigurationen, finden Sie unter Satz hochwertiger Ressourcen ansehen.
Konfigurationen von Ressourcenwerten
Sie verwalten die Ressourcen in Ihrem Satz hochwertiger Ressourcen mit Konfigurationen für den Wert von Ressourcen.
Sie erstellen Konfigurationen für Ressourcenwerte auf dem Tab Angriffspfadsimulation der Seite Einstellungen des Security Command Center in der Google Cloud Console.
In einer Konfiguration für den Ressourcenwert geben Sie die Attribute an, die eine Ressource haben muss, damit sie von Security Command Center Ihrem Set mit wertvollen Ressourcen hinzugefügt wird.
Zu den Attributen, die Sie angeben können, gehören der Ressourcentyp, Ressourcen-Tags, Ressourcenlabels und das übergeordnete Projekt, der übergeordnete Ordner oder die übergeordnete Organisation.
Außerdem weisen Sie den Ressourcen in einer Konfiguration einen Ressourcenwert zu. Mit dem Ressourcenwert werden die Ressourcen in einer Konfiguration im Verhältnis zu den anderen Ressourcen im Set mit hochwertigen Ressourcen priorisiert. Weitere Informationen finden Sie unter Ressourcenwerte.
Sie können in einer Google Cloud-Organisation bis zu 100 Ressourcenwertkonfigurationen erstellen.
Alle von Ihnen erstellten Konfigurationen für den Wert von Ressourcen definieren zusammen den Satz hochwertiger Ressourcen, der in Security Command Center für die Angriffspfadsimulationen verwendet wird.
Ressourcenattribute
Damit eine Ressource in Ihren Satz hochwertiger Ressourcen aufgenommen werden kann, müssen ihre Attribute mit den Attributen übereinstimmen, die Sie in einer Konfiguration für den Wert von Ressourcen angeben.
Sie können folgende Attribute angeben:
- Einen Ressourcentyp oder
Any
WennAny
angegeben ist, gilt die Konfiguration für alle unterstützten Ressourcentypen im angegebenen Umfang.Any
ist der Standardwert. - Ein Bereich (die übergeordnete Organisation, der übergeordnete Ordner oder das übergeordnete Projekt), in dem sich die Ressourcen befinden müssen. Der Standardumfang ist Ihre Organisation. Wenn Sie eine Organisation oder einen Ordner angeben, gilt die Konfiguration auch für die Ressourcen in den untergeordneten Ordnern oder Projekten.
- Optional: Ein oder mehrere Tags oder Labels, die jede Ressource enthalten muss.
Wenn Sie eine oder mehrere Konfigurationen für Ressourcenwerte angeben, aber keine Ressourcen in Ihrer Google Cloud-Umgebung den in einer der Konfigurationen angegebenen Attributen entsprechen, gibt Security Command Center das Ergebnis SCC Error
aus und greift auf das standardmäßige Set mit Ressourcen mit hohem Wert zurück.
Standardsatz hochwertiger Ressourcen
Wenn keine Konfigurationen für den Wert von Ressourcen definiert sind oder keine definierten Konfigurationen mit Ressourcen übereinstimmen, verwendet Security Command Center einen Standardsatz hochwertiger Ressourcen, um Angriffsrisikobewertungen zu berechnen.
In Security Command Center wird Ressourcen in der Standardressource mit hohem Wert der Prioritätswert LOW
zugewiesen, es sei denn, Sie verwenden die Erkennung für den Schutz sensibler Daten. In diesem Fall wird Ressourcen mit Daten mit hoher oder mittlerer Vertraulichkeit der entsprechende Prioritätswert HIGH
oder MEDIUM
zugewiesen.
Wenn Sie mindestens eine Ressourcenwertkonfiguration haben, die mit mindestens einer Ressource in Ihrer Umgebung übereinstimmt, verwendet Security Command Center nicht mehr den Standardsatz mit Ressourcen mit hohem Wert.
Wenn Sie Angriffsrisikobewertungen und Bewertungen für schädliche Kombinationen erhalten möchten, die Ihre Sicherheitsprioritäten genau widerspiegeln, ersetzen Sie den Standardsatz hochwertiger Ressourcen durch Ihren eigenen. Weitere Informationen finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten.
In der folgenden Liste sind die Ressourcentypen aufgeführt, die im Standardsatz mit Ressourcen mit hohem Wert enthalten sind:
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Limit für Ressourcen in einem Satz hochwertiger Ressourcen
Im Security Command Center ist die Anzahl der Ressourcen in einem Set mit wertvollen Ressourcen auf 1.000 begrenzt.
Wenn die Attributspezifikationen in einer oder mehreren Konfigurationen für den Wert von Ressourcen sehr weit gefasst sind, kann die Anzahl der Ressourcen, die mit den Attributspezifikationen übereinstimmen, 1.000 überschreiten.
Wenn die Anzahl der übereinstimmenden Ressourcen das Limit überschreitet, schließt Security Command Center Ressourcen aus dem Set aus, bis die Anzahl der Ressourcen unter dem Limit liegt. In Security Command Center werden zuerst Ressourcen mit dem niedrigsten zugewiesenen Wert ausgeschlossen. Unter den Ressourcen mit demselben zugewiesenen Wert werden in Security Command Center Ressourceninstanzen mithilfe eines Algorithmus ausgeschlossen, der die ausgeschlossenen Ressourcen auf die Ressourcentypen verteilt.
Eine Ressource, die aus dem Set wertvoller Ressourcen ausgeschlossen ist, wird bei der Berechnung der Angriffsrisikobewertung nicht berücksichtigt.
Wenn das Instanzlimit für die Bewertungsberechnung überschritten wird, gibt Security Command Center ein SCC error
-Ergebnis aus und zeigt in der Google Cloud Console auf dem Tab Simulation des Angriffspfads eine Meldung an.
In Security Command Center wird kein SCC error
-Ergebnis ausgegeben, wenn der festgelegte Standardwert für den Höchstwert das Instanzlimit überschreitet.
Um zu verhindern, dass das Limit überschritten wird, passen Sie Ihre Konfigurationen für den Wert von Ressourcen an, um die Instanzen in Ihrem Satz hochwertiger Ressourcen zu verfeinern.
Sie haben folgende Möglichkeiten, Ihren Satz hochwertiger Ressourcen zu optimieren:
- Verwenden Sie Tags oder Labels, um die Anzahl der Übereinstimmungen für einen bestimmten Ressourcentyp oder in einem bestimmten Bereich zu reduzieren.
- Erstellen Sie eine Konfiguration für den Wert von Ressourcen, die einer Teilmenge der in einer anderen Konfiguration angegebenen Ressourcen den Wert
NONE
zuweist. Wenn Sie den WertNONE
angeben, werden alle anderen Konfigurationen überschrieben und die Ressourceninstanzen werden aus dem Satz hochwertiger Ressourcen ausgeschlossen. - Reduzieren Sie den Geltungsbereich in der Konfiguration des Ressourcenwerts.
- Löschen Sie Konfigurationen für den Wert von Ressourcen, die den Wert
LOW
zuweisen.
Hochwertige Ressourcen auswählen
Um Ihren Satz hochwertiger Ressourcen zu erstellen, müssen Sie entscheiden, welche Ressourceninstanzen in Ihrer Umgebung wirklich einen hohen Wert haben.
Im Allgemeinen sind dies die Ressourcen, in denen Ihre sensiblen Daten verarbeitet und gespeichert werden. In Google Cloud können dies beispielsweise Compute Engine-Instanzen, ein BigQuery-Dataset oder ein Cloud Storage-Bucket sein.
Ressourcen, die sich in der Nähe Ihrer wertvollen Ressourcen befinden, z. B. ein Jumpserver, müssen nicht als wertvoll gekennzeichnet werden. Diese benachbarten Ressourcen werden bereits in den Angriffspfadsimulationen berücksichtigt. Wenn Sie sie auch als wertvoll kennzeichnen, können Ihre Angriffsrisikobewertungen weniger zuverlässig sein.
Multi-Cloud-Unterstützung
Mit Angriffspfadsimulationen können Sie die Risiken Ihrer Bereitstellungen auf anderen Plattformen von Cloud-Dienstanbietern bewerten.
Nachdem Sie eine Verbindung zu einer anderen Plattform hergestellt haben, können Sie Ihre wertvollen Ressourcen beim anderen Cloud-Dienstanbieter angeben, indem Sie Konfigurationen für Ressourcenwerte erstellen, wie Sie es für Ressourcen in Google Cloud tun würden.
In Security Command Center werden Simulationen für eine Cloud-Plattform unabhängig von Simulationen ausgeführt, die für andere Cloud-Plattformen ausgeführt werden.
Bevor Sie Ihre erste Konfiguration für Ressourcenwerte für einen anderen Cloud-Dienstanbieter erstellen, verwendet Security Command Center ein standardmäßiges Ressourcenset mit hohem Wert, das für den Cloud-Dienstanbieter spezifisch ist. Im standardmäßigen Satz hochwertiger Ressourcen werden alle unterstützten Ressourcen als solche gekennzeichnet.
Unterstützte Plattformen von Cloud-Dienstanbietern
Neben Google Cloud können im Security Command Center auch Angriffspfadsimulationen für Amazon Web Services (AWS) ausgeführt werden. Weitere Informationen finden Sie unter:
- Verbindung zu AWS für die Erkennung von Sicherheitslücken und die Risikobewertung herstellen
- Unterstützung der Risiko-Engine für AWS
Angriffspfade
Ein Angriffspfad ist eine interaktive, visuelle Darstellung eines oder mehrerer potenzieller Pfade, die ein hypothetischer Angreifer vom öffentlichen Internet zu einer Ihrer wertvollen Ressourceninstanzen nehmen könnte.
Mit Angriffspfadsimulationen werden potenzielle Angriffspfade identifiziert, indem simuliert wird, was passieren würde, wenn ein Angreifer bekannte Angriffsmethoden auf die Sicherheitslücken und Fehlkonfigurationen anwenden würde, die von Security Command Center in Ihrer Umgebung erkannt wurden, um auf Ihre wertvollen Ressourcen zuzugreifen.
Sie können Angriffspfade aufrufen, indem Sie in der Google Cloud Console auf den Wert für die Angriffsexposition für ein Ergebnis oder eine Ressource klicken.
Wenn Sie sich einen Fall zu schädlichen Kombinationen in der Security Operations Console ansehen, können Sie auf dem Tab „Fallübersicht“ einen vereinfachten Angriffspfad für die schädliche Kombination aufrufen. Der vereinfachte Angriffspfad enthält einen Link zum vollständigen Angriffspfad. Weitere Informationen zu Angriffspfaden für Ergebnisse zu schädlichen Kombinationen finden Sie unter Angriffspfade zu schädlichen Kombinationen.
Wenn Sie sich größere Angriffspfade ansehen, können Sie die Ansicht des Angriffspfads ändern, indem Sie den roten quadratischen Fokusbereich auf der Miniaturansicht des Angriffspfads rechts auf dem Display ziehen.
Wenn der Angriffspfad in der Google Cloud Console angezeigt wird, können Sie auf KI-ZusammenfassungVorschau klicken, um eine Erklärung des Angriffspfads aufzurufen. Die Erklärung wird dynamisch mithilfe von künstlicher Intelligenz (KI) generiert. Weitere Informationen finden Sie unter KI-generierte Zusammenfassungen.
In einem Angriffspfad werden Ressourcen als Kästchen oder Knoten dargestellt. Die Linien stehen für die potenzielle Erreichbarkeit zwischen den Ressourcen. Zusammen stellen die Knoten und Linien den Angriffspfad dar.
Knoten des Angriffspfads
Die Knoten in einem Angriffspfad stellen die Ressourcen auf einem Angriffspfad dar.
Knoteninformationen anzeigen
Wenn Sie auf einen Knoten in einem Angriffspfad klicken, werden weitere Informationen zu diesem Knoten angezeigt.
Wenn Sie in einem Knoten auf den Ressourcennamen klicken, werden weitere Informationen zur Ressource sowie alle Ergebnisse angezeigt, die sich auf die Ressource auswirken.
Wenn Sie auf Knoten maximieren klicken, werden mögliche Angriffsmethoden angezeigt, die verwendet werden könnten, wenn ein Angreifer Zugriff auf die Ressource erhält.
Knotentypen
Es gibt drei verschiedene Arten von Knoten:
- Der Ausgangspunkt oder Einstiegspunkt des simulierten Angriffs, also das öffentliche Internet. Wenn Sie auf einen Einstiegspunktknoten klicken, wird eine Beschreibung des Einstiegspunkts zusammen mit Angriffsmethoden angezeigt, mit denen ein Angreifer auf Ihre Umgebung zugreifen könnte.
- Die betroffenen Ressourcen, die ein Angreifer verwenden kann, um sich auf einem Pfad fortzubewegen.
- Die offengelegte Ressource am Ende eines Pfads, die zu den Ressourcen in Ihrem Satz hochwertiger Ressourcen gehört. Nur eine Ressource in einem definierten oder Standard-Satz hochwertiger Ressourcen kann eine freigegebene Ressource sein. Sie definieren einen Satz hochwertiger Ressourcen, indem Sie Konfigurationen für den Wert von Ressourcen erstellen.
Upstream- und Downstream-Knoten
In einem Angriffspfad kann ein Knoten vor oder nach den anderen Knoten liegen. Ein vorgelagerter Knoten befindet sich näher am Einstiegspunkt und am Anfang des Angriffspfads. Ein Downstream-Knoten ist der freigelegten Ressource mit hohem Wert am Ende des Angriffspfads näher.
Knoten, die mehrere Containerressourceninstanzen darstellen
Ein Knoten kann mehrere Instanzen bestimmter Containerressourcentypen darstellen, wenn die Instanzen dieselben Eigenschaften haben.
Mehrere Instanzen der folgenden Containerressourcentypen können durch einen einzelnen Knoten dargestellt werden:
- ReplicaSet Controller
- Deployment Controller
- Jobcontroller
- CronJob-Controller
- DaemonSet-Controller
Linien für Angriffspfade
In einem Angriffspfad stehen Linien zwischen den Feldern für die potenzielle Zugänglichkeit zwischen Ressourcen, die ein Angreifer nutzen könnte, um eine wertvolle Ressource zu erreichen.
Die Linien stellen keine Beziehung zwischen Ressourcen dar, die in Google Cloud definiert ist.
Wenn mehrere Pfade von mehreren Upstream-Knoten auf einen Downstream-Knoten verweisen, können die Upstream-Knoten entweder eine AND
- oder eine OR
-Beziehung zueinander haben.
Eine AND
-Beziehung bedeutet, dass ein Angreifer Zugriff auf beide Upstream-Knoten benötigt, um auf einen Downstream-Knoten auf dem Pfad zuzugreifen.
Eine direkte Linie vom öffentlichen Internet zu einer wertvollen Ressource am Ende eines Angriffspfads hat beispielsweise eine AND
-Beziehung zu mindestens einer anderen Linie im Angriffspfad. Ein Angreifer kann die wertvolle Ressource nur erreichen, wenn er sowohl auf Ihre Google Cloud-Umgebung als auch auf mindestens eine andere im Angriffspfad angegebene Ressource zugreifen kann.
Eine OR
-Beziehung bedeutet, dass ein Angreifer nur auf einen der Upstream-Knoten zugreifen muss, um auf den Downstream-Knoten zuzugreifen.
Angriffspfadsimulationen
Um alle möglichen Angriffspfade zu ermitteln und Angriffsrisikobewertungen zu berechnen, führt Security Command Center erweiterte Simulationen von Angriffspfaden durch.
Simulationszeitplan
Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Je größer Ihre Organisation wird, desto länger dauern die Simulationen. Sie werden jedoch immer mindestens einmal täglich ausgeführt. Simulationsläufe werden nicht durch das Erstellen, Ändern oder Löschen von Ressourcen oder Konfigurationen für Ressourcenwerte ausgelöst.
Schritte für die Simulation von Angriffspfaden
Die Simulationen bestehen aus drei Schritten:
- Modellgenerierung: Anhand der Umgebungsdaten wird automatisch ein Modell Ihrer Google Cloud-Umgebung generiert. Das Modell ist eine grafische Darstellung Ihrer Umgebung, die speziell für die Analyse von Angriffspfaden entwickelt wurde.
- Simulation des Angriffspfads: Simulationen des Angriffspfads werden am Graphenmodell durchgeführt. Bei den Simulationen versucht ein virtueller Angreifer, die Ressourcen in Ihrer Gruppe wertvoller Ressourcen zu erreichen und zu manipulieren. Bei den Simulationen werden die Informationen zu den einzelnen Ressourcen und Beziehungen genutzt, einschließlich Netzwerk, IAM, Konfigurationen, Fehlkonfigurationen und Sicherheitslücken.
- Statistikberichte: Auf Grundlage der Simulationen weist Security Command Center Ihren wertvollen Ressourcen und den Ergebnissen, die sie offenlegen, Angriffsrisikobewertungen zu und visualisiert die potenziellen Pfade, die ein Angreifer zu diesen Ressourcen nehmen könnte.
Merkmale der Simulationsausführung
Zusätzlich zu den Risikobewertungen für Angriffsrisiken, den Statistiken zu Angriffspfaden und den Angriffspfaden haben Simulationen des Angriffspfads die folgenden Merkmale:
- Sie haben keine Auswirkungen auf Ihre Live-Umgebung: Alle Simulationen werden in einem virtuellen Modell durchgeführt und für die Modellerstellung wird nur Lesezugriff verwendet.
- Sie sind dynamisch: Das Modell wird ohne Agenten nur über den API-Lesezugriff erstellt. So können die Simulationen Änderungen an Ihrer Umgebung im Zeitverlauf dynamisch verfolgen.
- Dabei wird ein virtueller Angreifer so viele Methoden und Sicherheitslücken wie möglich ausprobieren, um auf Ihre wertvollen Ressourcen zuzugreifen und diese zu manipulieren. Dazu gehören nicht nur die bekannten Risiken wie Sicherheitslücken, Konfigurationen, Fehlkonfigurationen und Netzwerkbeziehungen, sondern auch die mit geringerer Wahrscheinlichkeit eintretenden „bekannten Unbekannten“ – Risiken, von denen wir wissen, dass sie existieren, z. B. die Möglichkeit von Phishing oder geleakten Anmeldedaten.
- Sie sind automatisiert: Die Angriffslogik ist in das Tool integriert. Sie müssen keine umfangreichen Abfragen oder großen Datensätze erstellen oder verwalten.
Szenario und Fähigkeiten des Angreifers
In den Simulationen zeigt Security Command Center eine logische Darstellung eines Angriffsversuchs, bei dem ein Angreifer versucht, Ihre wertvollen Ressourcen auszunutzen, indem er Zugriff auf Ihre Google Cloud-Umgebung erlangt und potenzielle Zugriffspfade durch Ihre Ressourcen und erkannte Sicherheitslücken verfolgt.
Der virtuelle Angreifer
Der virtuelle Angreifer, der in den Simulationen verwendet wird, hat folgende Eigenschaften:
- Der Angreifer ist extern: Der Angreifer ist kein legitimer Nutzer Ihrer Google Cloud-Umgebung. Die Simulationen umfassen keine Angriffe durch böswillige oder nachlässige Nutzer, die rechtmäßig Zugriff auf Ihre Umgebung haben.
- Der Angreifer beginnt im öffentlichen Internet. Um einen Angriff zu starten, muss der Angreifer zuerst über das öffentliche Internet Zugriff auf Ihre Umgebung erhalten.
- Der Angreifer ist hartnäckig. Der Angreifer wird nicht entmutigt oder verliert das Interesse, weil eine bestimmte Angriffsmethode schwierig ist.
- Der Angreifer ist erfahren und kompetent. Der Angreifer versucht, mit bekannten Methoden und Techniken auf Ihre wertvollen Ressourcen zuzugreifen.
Anfänglicher Zugriff
Bei jeder Simulation versucht ein virtueller Angreifer, über die folgenden Methoden Zugriff auf die Ressourcen in Ihrer Umgebung zu erhalten:
- Sie können Dienste und Ressourcen finden und eine Verbindung dazu herstellen, die über das öffentliche Internet zugänglich sind:
- Dienste auf Compute Engine-VM-Instanzen und Google Kubernetes Engine-Knoten
- Datenbanken
- Container
- Cloud Storage-Buckets
- Cloud Run-Funktionen
- Zugriff auf Schlüssel und Anmeldedaten erhalten, einschließlich:
- Dienstkontoschlüssel
- Vom Nutzer bereitgestellte Verschlüsselungsschlüssel
- SSH-Schlüssel der VM-Instanz
- Projektweite SSH-Schlüssel
- Systeme zur externen Schlüsselverwaltung
- Nutzerkonten, für die die Multi-Faktor-Authentifizierung (MFA) nicht erzwungen wird
- Abgefangene virtuelle MFA-Tokens
- Zugriff auf öffentlich zugängliche Cloud-Assets durch Verwendung gestohlener Anmeldedaten oder Ausnutzung von Sicherheitslücken, die von Mandiant Attack Surface Management und VM Manager gemeldet wurden
Wenn die Simulation einen möglichen Einstiegspunkt in die Umgebung findet, versucht der virtuelle Angreifer, von diesem Einstiegspunkt aus Ihre wertvollen Ressourcen zu erreichen und zu manipulieren, indem er nacheinander Sicherheitskonfigurationen und Sicherheitslücken in der Umgebung untersucht und ausnutzt.
Taktiken und Techniken
Bei der Simulation werden eine Vielzahl von Taktiken und Techniken eingesetzt, darunter die Ausnutzung legitimen Zugriffs, laterale Bewegung, Rechteausweitung, Sicherheitslücken, Fehlkonfigurationen und Codeausführung.
Einbeziehung von CVE-Daten
Bei der Berechnung von Angriffsrisikobewertungen für Sicherheitslücken werden bei den Angriffspfadsimulationen Daten aus dem CVE-Eintrag der Sicherheitslücke, die CVSS-Werte sowie Bewertungen der Ausnutzbarkeit der Sicherheitslücke berücksichtigt, die von Mandiant bereitgestellt werden.
Die folgenden CVE-Informationen werden berücksichtigt:
- Angriffsvektor: Der Angreifer muss die im CVSS-Angriffsvektor angegebene Zugriffsebene haben, um die CVE zu verwenden. Beispielsweise kann ein CVE mit einem Netzwerkangriffsvektor, der auf einem Asset mit einer öffentlichen IP-Adresse und offenen Ports gefunden wird, von einem Angreifer mit Netzwerkzugriff ausgenutzt werden. Wenn ein Angreifer nur Netzwerkzugriff hat und für die Ausnutzung des CVE physischer Zugriff erforderlich ist, kann er das CVE nicht ausnutzen.
- Angriffskomplexität: Im Allgemeinen ist die Wahrscheinlichkeit höher, dass eine Sicherheitslücke oder Fehlkonfiguration mit niedriger Angriffskomplexität eine hohe Angriffsbewertung erhält, als bei einer Sicherheitslücke oder Fehlkonfiguration mit hoher Angriffskomplexität.
- Ausnutzungsaktivitäten: Generell ist die Wahrscheinlichkeit höher, dass eine Sicherheitslücke mit weit verbreiteten Ausnutzungsaktivitäten, die von den Cyber Threat Intelligence-Analysten von Mandiant ermittelt wurden, einen hohen Wert für die Angriffsgefährdung erhält, als eine Lücke ohne bekannte Ausnutzungsaktivitäten.