Puntuaciones de exposición a ataques y rutas de ataque

En esta página se explican los conceptos, los principios y las restricciones clave para ayudarte a conocer, perfeccionar y usar las puntuaciones de exposición a los ataques y las rutas de ataque que genera el motor de riesgos de Security Command Center.

Las puntuaciones y las rutas de ataque se generan para lo siguiente:

• Hallazgos de vulnerabilidades y errores de configuración (hallazgos de vulnerabilidades en conjunto) que exponen las instancias de recursos de tu conjunto de recursos de alto valor efectivo.
• Los recursos de tu conjunto de recursos de alto valor en vigor.
• Problemas de Security Command Center Enterprise que contienen combinaciones tóxicas y cuellos de botella.

Para usar las puntuaciones de exposición a ataques y las rutas de ataque, debes activar el nivel Premium o Enterprise de Security Command Center a nivel de organización. No puedes usar las puntuaciones de exposición a ataques ni las rutas de ataque con activaciones a nivel de proyecto.

Las rutas de ataque representan posibilidades

No verá pruebas de un ataque real en una ruta de ataque.

El motor de riesgos genera rutas de ataque y puntuaciones de exposición a ataques simulando lo que podrían hacer los atacantes hipotéticos si obtuvieran acceso a tu entorno de Google Cloud y descubrieran las rutas de ataque y las vulnerabilidades que ya ha encontrado Security Command Center.

Cada ruta de ataque muestra uno o varios métodos de ataque que un atacante podría usar si obtuviera acceso a un recurso concreto. No confundas estos métodos de ataque con ataques reales.

Del mismo modo, una puntuación de exposición a ataques alta en cualquiera de los siguientes elementos no significa que se esté produciendo un ataque:

• Un resultado o un recurso de Security Command Center
• Un problema de Security Command Center Enterprise

Para detectar ataques reales, monitoriza los resultados de la clase THREAT que producen los servicios de detección de amenazas, como Event Threat Detection y Container Threat Detection.

Para obtener más información, consulta las siguientes secciones de esta página:

• Puntuaciones de exposición a ataques
• Rutas de ataque
• Simulaciones de rutas de ataque

Puntuaciones de exposición a ataques

Se muestra una puntuación de exposición a ataques para lo siguiente:

• Un resultado o un recurso de Security Command Center
• Un problema de Security Command Center Enterprise

La puntuación de exposición a ataques mide el grado de exposición de los recursos a posibles ataques si un agente malicioso obtuviera acceso a tu entorno Google Cloud.

En algunos contextos, como la página Hallazgos de la Google Cloud consola, la puntuación de exposición a ataques de un hallazgo de combinación tóxica o punto de estrangulamiento se denomina puntuación de combinación tóxica.

En las descripciones de cómo se calculan las puntuaciones, en las directrices generales sobre la priorización de la búsqueda de soluciones y en otros contextos, el término puntuación de exposición a los ataques también se aplica a las puntuaciones de combinaciones tóxicas.

En un hallazgo, la puntuación mide hasta qué punto un problema de seguridad detectado expone uno o varios recursos de alto valor a posibles ciberataques. En un recurso de alto valor, la puntuación mide el grado de exposición del recurso a posibles ciberataques.

Usa las puntuaciones de vulnerabilidad del software, errores de configuración y combinaciones tóxicas o cuellos de botella^{Vista previa} para priorizar la corrección de esos hallazgos.

Usa las puntuaciones de exposición a ataques en los recursos para proteger de forma proactiva los recursos más valiosos para tu empresa.

En las simulaciones de rutas de ataque, el motor de riesgo siempre inicia los ataques simulados desde Internet público. Por lo tanto, las puntuaciones de exposición a ataques no tienen en cuenta la posible exposición a agentes internos malintencionados o negligentes.

Resultados que reciben puntuaciones de exposición a ataques

Las puntuaciones de exposición a ataques se aplican a las clases de detecciones activas que se indican en Categorías de detecciones admitidas.

Las simulaciones de ruta de ataque solo incluyen en sus cálculos las detecciones activas y no silenciadas. Los resultados con el estado INACTIVE o MUTED no se incluyen en las simulaciones, no reciben puntuaciones y no se incluyen en las rutas de ataque.

Recursos que reciben puntuaciones de exposición a ataques

Las simulaciones de rutas de ataque calculan las puntuaciones de exposición a ataques de los tipos de recursos admitidos de tu conjunto de recursos de alto valor. Para especificar qué recursos pertenecen al conjunto de recursos de alto valor, debes crear configuraciones de valor de recursos.

Si un recurso de un conjunto de recursos de alto valor tiene una puntuación de exposición a ataques de 0, significa que las simulaciones de rutas de ataque no han identificado ninguna ruta al recurso que un atacante potencial pueda aprovechar.

Las simulaciones de rutas de ataque admiten los siguientes tipos de recursos:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/TrainingPipeline

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• container.googleapis.com/Cluster

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Cálculo de la puntuación

Cada vez que se ejecutan las simulaciones de rutas de ataque, se vuelven a calcular las puntuaciones de exposición a ataques. Cada simulación de ruta de ataque ejecuta varias simulaciones en las que un atacante simulado prueba métodos y técnicas de ataque conocidos para acceder a los recursos valiosos y ponerlos en riesgo.

Las simulaciones de rutas de ataque se ejecutan aproximadamente cada seis horas. A medida que tu organización crezca, las simulaciones tardarán más, pero siempre se ejecutarán al menos una vez al día. Las simulaciones no se activan al crear, modificar o eliminar recursos ni configuraciones de valores de recursos.

Las simulaciones calculan las puntuaciones mediante varias métricas, entre las que se incluyen las siguientes:

• El valor de prioridad que se asigna a los recursos de gran valor que están expuestos. Los valores de prioridad que puedes asignar son los siguientes:
  • HIGH = 10
  • MED = 5
  • LOW = 1
• El número de posibles rutas que un atacante puede seguir para llegar a un determinado recurso.
• El número de veces que un atacante simulado puede llegar a un recurso de alto valor y vulnerarlo al final de una ruta de ataque determinada, expresado como un porcentaje del número total de simulaciones.
• En el caso de los resultados, es el número de recursos de alto valor que están expuestos a la vulnerabilidad o configuración errónea detectada.

En el caso de los recursos, las puntuaciones de exposición a ataques pueden oscilar entre 0 y 10.

A grandes rasgos, las simulaciones calculan las puntuaciones de los recursos multiplicando el porcentaje de ataques exitosos por el valor numérico de prioridad de los recursos.

En el caso de los resultados, las puntuaciones no tienen un límite superior fijo. Cuanto más a menudo se produzca un resultado en las rutas de ataque a los recursos expuestos del conjunto de recursos de alto valor y cuanto mayor sea el valor de prioridad de esos recursos, mayor será la puntuación.

A grandes rasgos, las simulaciones calculan las puntuaciones de los hallazgos con el mismo cálculo que las puntuaciones de los recursos, pero, en el caso de las puntuaciones de los hallazgos, las simulaciones multiplican el resultado del cálculo por el número de recursos de alto valor que expone el hallazgo.

Cambiar puntuaciones

Las puntuaciones pueden cambiar cada vez que se ejecuta una simulación de ruta de ataque. Un resultado o un recurso que tenga una puntuación de cero hoy puede tener una puntuación distinta de cero mañana.

Las puntuaciones cambian por varios motivos, entre los que se incluyen los siguientes:

• La detección o la corrección de una vulnerabilidad que exponga de forma directa o indirecta un recurso de alto valor.
• La adición o eliminación de recursos en tu entorno.

Los cambios que se hagan en las detecciones o los recursos después de que se haya ejecutado una simulación no se reflejarán en las puntuaciones hasta que se ejecute la siguiente simulación.

Usar las puntuaciones para priorizar la búsqueda de soluciones

Para priorizar de forma eficaz la corrección de los resultados en función de su exposición a ataques o de sus puntuaciones de combinación tóxica, tenga en cuenta los siguientes puntos:

• Cualquier resultado que tenga una puntuación superior a cero expone un recurso de alto valor a un posible ataque de alguna forma, por lo que la corrección debe priorizarse sobre los resultados que tengan una puntuación de cero.
• Cuanto mayor sea la puntuación de un resultado, más expondrá tus recursos de alto valor y mayor será la prioridad que debes darle a su corrección.

Por lo general, da prioridad a la corrección de los resultados que tengan las puntuaciones más altas y que bloqueen de forma más eficaz las rutas de ataque a tus recursos de alto valor.

Si las puntuaciones de una combinación tóxica, un cuello de botella y un hallazgo de otra clase son aproximadamente iguales, prioriza la corrección de la combinación tóxica y el cuello de botella, ya que representan una ruta completa desde Internet público hasta uno o varios recursos de alto valor que un atacante puede seguir si obtiene acceso a tu entorno de nube.

En la página Resultados de Security Command Center de la Google Cloud consola, puedes ordenar los resultados del panel de la página por puntuación haciendo clic en el encabezado de la columna.

En la Google Cloud consola, también puede ver las detecciones con las puntuaciones más altas añadiendo un filtro a la consulta de detecciones que devuelva solo las detecciones con una puntuación de exposición a ataques superior a un número que especifique.

En la página Casos de Security Command Center Enterprise, también puedes ordenar los casos de combinaciones tóxicas y de cuello de botella por la puntuación de exposición a ataques.

Resultados que no se pueden corregir.

En algunos casos, es posible que no pueda corregir una detección con una puntuación de exposición a ataques alta, ya sea porque representa un riesgo conocido y aceptado o porque no se puede corregir inmediatamente. En estos casos, es posible que tengas que mitigar el riesgo de otras formas. Revisar la ruta de ataque asociada puede darte ideas para otras posibles mitigaciones.

Proteger recursos mediante puntuaciones de exposición a ataques

Si un recurso tiene una puntuación de exposición a ataques distinta de cero, significa que las simulaciones de rutas de ataque han identificado una o varias rutas de ataque desde Internet público hasta el recurso.

Para ver las puntuaciones de exposición a ataques de tus recursos de alto valor, sigue estos pasos:

1. En la Google Cloud consola, ve a la página Recursos de Security Command Center.

   Ir a Recursos

2. Selecciona la organización en la que has activado Security Command Center.

3. Seleccione la pestaña Conjunto de recursos de alto valor. Los recursos de tu conjunto de recursos de alto valor se muestran en orden descendente según la puntuación de exposición a ataques.

4. Para ver las rutas de ataque de un recurso, haz clic en el número de su fila en la columna Puntuación de exposición a ataques. Se muestran las rutas de ataque desde Internet pública al recurso.

5. Revisa las rutas de ataque. Para obtener información sobre cómo interpretar las rutas de ataque, consulta Rutas de ataque.

6. Para mostrar una ventana de detalles con enlaces para ver los resultados relacionados, haga clic en un nodo.

7. Haz clic en un enlace de hallazgos relacionados. Se abrirá la ventana Resultado con información detallada sobre el resultado y cómo solucionarlo.

También puedes ver las puntuaciones de exposición a ataques de tus recursos de alto valor en la pestaña Simulaciones de rutas de ataque de Configuración > Simulación de rutas de ataque. Haz clic en Ver recursos valorados usados en la última simulación.

La pestaña Conjunto de recursos de alto valor también está disponible en la página Recursos de la consola de Security Operations.

Puntuaciones de exposición a ataques de 0

Una puntuación de exposición a ataques de 0 en un recurso significa que, en las últimas simulaciones de rutas de ataque, Security Command Center no ha identificado ninguna ruta potencial que un atacante pueda seguir para llegar al recurso.

Una puntuación de exposición a ataques de 0 en un hallazgo significa que, en la última simulación de ataque, el atacante simulado no ha podido acceder a ningún recurso de alto valor a través del hallazgo.

Sin embargo, una puntuación de exposición a ataques de 0 no significa que no haya ningún riesgo. La puntuación de exposición a ataques refleja la exposición de los servicios, los recursos y los resultados de Security Command Center admitidos a posibles amenazas procedentes de Internet público. Google Cloud Por ejemplo, las puntuaciones no tienen en cuenta las amenazas de agentes internos, las vulnerabilidades de día cero ni la infraestructura de terceros.

No hay puntuación de exposición a ataques

Si un resultado o un recurso no tiene una puntuación, puede deberse a los siguientes motivos:

• La detección se ha generado después de la última simulación de ruta de ataque.
• El recurso se añadió a tu conjunto de recursos de alto valor después de la última simulación de ruta de ataque.
• La función de exposición a ataques no admite la categoría de la búsqueda ni el tipo de recurso.

Para ver una lista de las categorías de resultados admitidas, consulta Compatibilidad con las funciones de Risk Engine.

Para ver una lista de los tipos de recursos admitidos, consulta Recursos que reciben puntuaciones de exposición a ataques.

Valores de recursos

Aunque todos tus recursos en Google Cloud tienen valor, Security Command Center identifica las rutas de ataque y calcula las puntuaciones de exposición a ataques solo para los recursos que designes como recursos de alto valor (a veces denominados recursos valiosos).

Recursos de valor alto

Un recurso de alto valor en Google Cloud es un recurso que es especialmente importante para tu empresa y que debes proteger de posibles ataques. Por ejemplo, tus recursos de alto valor pueden ser los que almacenan datos valiosos o sensibles, o los que alojan tus cargas de trabajo críticas para la empresa.

Para designar un recurso como recurso de alto valor, define los atributos del recurso en una configuración de valor de recurso. Security Command Center trata como recurso de alto valor cualquier instancia de recurso que coincida con los atributos que especifiques en la configuración, hasta un límite de 1000 instancias de recursos.

Valores de prioridad

Entre los recursos que designes como de alto valor, es probable que tengas que priorizar la seguridad de algunos más que de otros. Por ejemplo, un conjunto de recursos de datos puede contener datos de gran valor, pero algunos de esos recursos pueden contener datos más sensibles que el resto.

Para que tus puntuaciones reflejen la necesidad de priorizar la seguridad de los recursos de tu conjunto de recursos de alto valor, debes asignar un valor de prioridad en las configuraciones de valor de los recursos que designe los recursos como de alto valor.

Si usas Protección de Datos Sensibles, también puedes priorizar los recursos automáticamente en función de la sensibilidad de los datos que contengan.

Definir manualmente los valores de prioridad de los recursos

En una configuración de valor de recurso, asignas una prioridad a los recursos de alto valor coincidentes especificando uno de los siguientes valores de prioridad:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Si especificas el valor de prioridad LOW en una configuración de valor de recurso, los recursos coincidentes seguirán siendo recursos de alto valor. Las simulaciones de rutas de ataque solo los tratarán con una prioridad más baja y les asignarán una puntuación de exposición a ataques inferior a la de los recursos de alto valor que tengan el valor de prioridad MEDIUM o HIGH.

Si varias configuraciones asignan valores diferentes al mismo recurso, se aplicará el valor más alto, a menos que una configuración asigne el valor NONE.

Si el valor de un recurso es NONE, se excluyen los recursos coincidentes para que no se consideren recursos de alto valor y se anulan las demás configuraciones de valor de recurso del mismo recurso. Por este motivo, asegúrate de que cualquier configuración que especifique NONE se aplique solo a un conjunto limitado de recursos.

Definir automáticamente los valores de prioridad de los recursos según la sensibilidad de los datos

Si usas la detección de Protección de Datos Sensibles y publicas los perfiles de datos en Security Command Center, puedes configurar Security Command Center para que asigne automáticamente el valor de prioridad de determinados recursos de alto valor en función de la sensibilidad de los datos que contengan.

Para habilitar la priorización de la sensibilidad de los datos, debe especificar los recursos en una configuración de valor de recurso.

Cuando está habilitada, si el descubrimiento de Protección de Datos Sensibles clasifica los datos de un recurso como de sensibilidad MEDIUM o HIGH, las simulaciones de ruta de ataque asignan de forma predeterminada al recurso el mismo valor de prioridad.

Protección de Datos Sensibles define los niveles de sensibilidad de los datos, pero puedes interpretarlos de la siguiente manera:

Datos de alta sensibilidad

El descubrimiento de Protección de Datos Sensibles ha encontrado al menos una instancia de datos de alta sensibilidad en el recurso.

Datos de sensibilidad media

El descubrimiento de Protección de Datos Sensibles ha encontrado al menos una instancia de datos de sensibilidad media en el recurso y ninguna instancia de datos de alta sensibilidad.

Datos de baja sensibilidad

La detección de Protección de Datos Sensibles no ha detectado datos sensibles, texto libre ni datos no estructurados en el recurso.

Si la detección de Protección de Datos Sensibles identifica solo datos de baja sensibilidad en un recurso de datos coincidente, el recurso no se designa como recurso de alto valor.

Si necesita que los recursos de datos que solo contengan datos de baja sensibilidad se designen como recursos de alto valor con una prioridad baja, cree una configuración de valor de recurso duplicada, pero especifique un valor de prioridad de LOW en lugar de habilitar la priorización de la sensibilidad de los datos. La configuración que usa Protección de Datos Sensibles anula la configuración que asigna el valor de prioridad LOW, pero solo para los recursos que contienen datos sensibles HIGH o MEDIUM.

Puede cambiar los valores de prioridad predeterminados que usa Security Command Center cuando se detectan datos sensibles en la configuración de valores de recursos.

Para obtener más información sobre Protección de Datos Sensibles, consulta el artículo de introducción.

Priorización de la sensibilidad de los datos y el conjunto de recursos de alto valor predeterminado

Antes de que crees tu propio conjunto de recursos de alto valor, Security Command Center usa un conjunto de recursos de alto valor predeterminado para calcular las puntuaciones de exposición a ataques y las rutas de ataque.

Si usa la detección de Protección de Datos Sensibles, Security Command Center añade automáticamente instancias de tipos de recursos de datos admitidos que contengan datos sensibles de HIGH o MEDIUM al conjunto de recursos de alto valor predeterminado.

Tipos de recursos admitidos Google Cloud para valores de prioridad de sensibilidad de datos automatizados

Las simulaciones de rutas de ataque pueden asignar automáticamente valores de prioridad en función de las clasificaciones de sensibilidad de los datos de Detección de Protección de Datos Sensibles solo para los siguientes tipos de recursos de datos:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Tipos de recursos de AWS admitidos para valores de prioridad de sensibilidad de datos automatizados

Las simulaciones de rutas de ataque pueden asignar automáticamente valores de prioridad en función de las clasificaciones de sensibilidad de los datos de Detección de Protección de Datos Sensibles solo para los siguientes tipos de recursos de datos de AWS:

• Segmento de Amazon S3

Conjuntos de recursos de alto valor

Un conjunto de recursos de alto valor es una colección definida de los recursos de tu entorno de Google Cloud que son los más importantes para proteger.

Para definir tu conjunto de recursos de alto valor, debes especificar qué recursos de tu Google Cloud entorno pertenecen a él. Hasta que no definas tu conjunto de recursos de alto valor, las puntuaciones de exposición a ataques, las rutas de ataque y los hallazgos de combinaciones tóxicas no reflejarán con precisión tus prioridades de seguridad.

Para especificar los recursos de tu conjunto de recursos de alto valor, crea configuraciones de valor de recursos. La combinación de todas las configuraciones de valor de los recursos define tu conjunto de recursos de alto valor. Para obtener más información, consulta Configuraciones de valor de recurso.

Hasta que definas tu primera configuración de valor de recurso, Security Command Center usará un conjunto de recursos de alto valor predeterminado. El conjunto predeterminado se aplica en toda tu organización a todos los tipos de recursos que admiten las simulaciones de ruta de ataque. Para obtener más información, consulta Conjunto de recursos de alto valor predeterminado.

Para ver el conjunto de recursos de alto valor que se ha usado en la última simulación de ruta de ataque, incluidas las puntuaciones de exposición a ataques y las configuraciones coincidentes, consulta Ver el conjunto de recursos de alto valor.

Configuraciones de valores de recursos

Gestionas los recursos de tu conjunto de recursos de alto valor con configuraciones de valor de recurso.

Puedes crear configuraciones de valor de recursos en la pestaña Simulación de ruta de ataque de la página Configuración de Security Command Center en la consola de Google Cloud .

En una configuración de valor de recurso, se especifican los atributos que debe tener un recurso para que Security Command Center lo añada a tu conjunto de recursos de alto valor.

Entre los atributos que puede especificar se incluyen el tipo de recurso, las etiquetas de recurso, las etiquetas de recurso y el proyecto, la carpeta o la organización principales.

También asignas un valor de recurso a los recursos de una configuración. El valor del recurso prioriza los recursos de una configuración en relación con los demás recursos del conjunto de recursos de alto valor. Para obtener más información, consulta Valores de recursos.

Puedes crear hasta 100 configuraciones de valor de recurso en unaGoogle Cloud organización.

En conjunto, todas las configuraciones de valor de recursos que crees definen el conjunto de recursos de alto valor que Security Command Center usa para las simulaciones de rutas de ataque.

Atributos de recursos

Para que un recurso se incluya en su conjunto de recursos de alto valor, sus atributos deben coincidir con los que especifique en una configuración de valor de recurso.

Entre los atributos que puede especificar se incluyen los siguientes:

• Un tipo de recurso o Any. Si se especifica Any, la configuración se aplica a todos los tipos de recursos admitidos en el ámbito especificado. Any es el valor predeterminado.
• Un ámbito (la organización, la carpeta o el proyecto principal) en el que deben residir los recursos. El ámbito predeterminado es tu organización. Si especificas una organización o una carpeta, la configuración también se aplica a los recursos de las carpetas o proyectos secundarios.
• Opcionalmente, una o varias etiquetas o etiquetas que debe contener cada recurso.

Si especifica una o varias configuraciones de valores de recursos, pero ningún recurso de su entorno de Google Cloud coincide con los atributos especificados en ninguna de las configuraciones, Security Command Center genera una detección de SCC Error y vuelve al conjunto de recursos de alto valor predeterminado.

Conjunto de recursos de alto valor predeterminado

Security Command Center usa un conjunto de recursos de alto valor predeterminado para calcular las puntuaciones de exposición a ataques cuando no se han definido configuraciones de valor de recursos o cuando ninguna de las configuraciones definidas coincide con ningún recurso.

Security Command Center asigna a los recursos del conjunto de recursos de alto valor predeterminado un valor de prioridad de LOW, a menos que uses el descubrimiento de protección de datos sensibles, en cuyo caso Security Command Center asigna a los recursos que contienen datos de alta o media sensibilidad un valor de prioridad de HIGH o MEDIUM, respectivamente.

Si tiene al menos una configuración de valor de recurso que coincida con al menos un recurso de su entorno, Security Command Center dejará de usar el conjunto de recursos de alto valor predeterminado.

Para recibir puntuaciones de exposición a ataques y de combinaciones tóxicas que reflejen con precisión tus prioridades de seguridad, sustituye el conjunto de recursos de alto valor predeterminado por el tuyo. Para obtener más información, consulta Definir y gestionar tu conjunto de recursos de alto valor.

En la siguiente lista se muestran los tipos de recursos que se incluyen en el conjunto de recursos de alto valor predeterminado:

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Límite de recursos en un conjunto de recursos de alto valor

Security Command Center limita el número de recursos de un conjunto de recursos de alto valor a 1000 por proveedor de servicios en la nube.

Si las especificaciones de los atributos de una o varias configuraciones de valores de recursos son muy amplias, el número de recursos que coinciden con las especificaciones de los atributos puede superar los 1000.

Cuando el número de recursos coincidentes supera el límite, Security Command Center excluye recursos del conjunto hasta que el número de recursos se encuentre dentro del límite. Security Command Center excluye primero los recursos con el valor asignado más bajo. Entre los recursos con el mismo valor asignado, Security Command Center excluye las instancias de recursos mediante un algoritmo que distribuye los recursos excluidos entre los tipos de recursos.

Los recursos que se excluyen del conjunto de recursos de alto valor no se tienen en cuenta en el cálculo de las puntuaciones de exposición a ataques.

Para avisarte cuando se supere el límite de instancias para el cálculo de la puntuación, Security Command Center genera un hallazgo SCC error y muestra un mensaje en la pestaña de ajustes Simulación de ruta de ataque de la consola Google Cloud . Security Command Center no genera un hallazgo SCC error si el conjunto de alto valor predeterminado supera el límite de instancias.

Para no superar el límite, ajusta las configuraciones de valor de los recursos para acotar las instancias de tu conjunto de recursos de alto valor.

Estas son algunas de las acciones que puedes llevar a cabo para acotar tu conjunto de recursos de alto valor:

• Usa etiquetas o etiquetas para reducir el número de coincidencias de un tipo de recurso determinado o dentro de un ámbito específico.
• Crea una configuración de valor de recurso que asigne el valor NONE a un subconjunto de los recursos especificados en otra configuración. Si especifica el valor NONE, se anulará cualquier otra configuración y se excluirán las instancias de recursos de su conjunto de recursos de alto valor.
• Reduce la especificación del ámbito en la configuración del valor del recurso.
• Elimina las configuraciones de valores de recursos que asignan el valor LOW.

Recursos de valor alto

Para rellenar tu conjunto de recursos de alto valor, debes decidir qué instancias de recursos de tu entorno son realmente de alto valor.

Por lo general, los recursos de alto valor son los que procesan y almacenan tus datos sensibles. Por ejemplo, en Google Cloud, pueden ser instancias de Compute Engine, un conjunto de datos de BigQuery o un segmento de Cloud Storage.

No es necesario que designes como de alto valor los recursos adyacentes a tus recursos de alto valor, como un servidor de salto. Las simulaciones de rutas de ataque ya tienen en cuenta estos recursos adyacentes, por lo que, si también los designas como de alto valor, las puntuaciones de exposición a ataques pueden ser menos fiables.

Rutas de ataque

Una ruta de ataque es una representación visual interactiva de una o varias rutas posibles que un atacante hipotético podría seguir para ir desde Internet público a una de tus instancias de recursos de alto valor.

Las simulaciones de rutas de ataque identifican posibles rutas de ataque modelando lo que ocurriría si un atacante aplicara métodos de ataque conocidos a las vulnerabilidades y los errores de configuración que Security Command Center ha detectado en tu entorno para intentar acceder a tus recursos de alto valor.

Para ver las rutas de ataque, haga clic en la puntuación de exposición a ataques de un recurso o un resultado en la consola Google Cloud .

En el nivel Enterprise, cuando veas un caso de combinación tóxica, podrás ver una ruta de ataque simplificada de la combinación tóxica en la pestaña Resumen del caso. La ruta de ataque simplificada incluye un enlace a la ruta de ataque completa. Para obtener más información sobre las rutas de ataque de las detecciones de combinaciones tóxicas, consulta Rutas de ataque de combinaciones tóxicas.

Cuando veas rutas de ataque más grandes, puedes cambiar la vista de la ruta de ataque arrastrando el selector de área de enfoque cuadrado rojo por la vista en miniatura de la ruta de ataque situada en la parte derecha de la pantalla.

En una ruta de ataque, los recursos de una ruta de ataque se representan como recuadros o nodos. Las líneas representan la accesibilidad potencial entre los recursos. En conjunto, los nodos y las líneas representan la ruta de ataque.

Nodos de ruta de ataque

Los nodos de una ruta de ataque representan los recursos de una ruta de ataque.

Mostrar información de los nodos

Para mostrar más información sobre cada nodo de una ruta de ataque, haz clic en él.

Al hacer clic en el nombre de un recurso de un nodo, se muestra más información sobre el recurso, así como los resultados que le afectan.

Si hace clic en Expand node (Expandir nodo), se muestran los posibles métodos de ataque que se podrían usar si un atacante obtuviera acceso al recurso.

Tipos de nodos

Hay tres tipos de nodos:

• El punto de partida o punto de entrada del ataque simulado, que es Internet público. Si haces clic en un nodo de punto de entrada, se muestra una descripción del punto de entrada junto con los métodos de ataque que un atacante podría usar para acceder a tu entorno.
• Los recursos afectados que un atacante puede usar para avanzar en una ruta.
• El recurso expuesto al final de una ruta, que es uno de los recursos de tu conjunto de recursos de alto valor. Solo puede ser un recurso expuesto un recurso de un conjunto de recursos de gran valor definido o predeterminado. Para definir un conjunto de recursos de alto valor, debes crear configuraciones de valores de recursos.

Nodos anteriores y posteriores

En una ruta de ataque, un nodo puede estar antes o después de los demás nodos. Un nodo upstream está más cerca del punto de entrada y de la parte superior de la ruta de ataque. Un nodo de nivel inferior está más cerca del recurso de alto valor expuesto en la parte inferior de la ruta de ataque.

Nodos que representan varias instancias de recursos de contenedor

Un nodo puede representar varias instancias de determinados tipos de recursos de contenedor si las instancias comparten las mismas características.

Se pueden representar varias instancias de los siguientes tipos de recursos de contenedor con un solo nodo:

• Controlador ReplicaSet
• Deployment Controller
• Job Controller
• Controlador CronJob
• Controlador DaemonSet

Líneas de ruta de ataque

En una ruta de ataque, las líneas entre los cuadros representan la accesibilidad potencial entre los recursos que un atacante podría aprovechar para acceder a recursos de alto valor.

Las líneas no representan una relación entre recursos definida en Google Cloud.

Si hay varias rutas que apuntan a un nodo de nivel inferior desde varios nodos de nivel superior, los nodos de nivel superior pueden tener una relación AND o una relación OR entre sí.

Una relación AND significa que un atacante necesita acceso a ambos nodos de nivel superior para acceder a un nodo de nivel inferior en la ruta.

Por ejemplo, una línea directa desde Internet público hasta un recurso de alto valor al final de una ruta de ataque tiene una relación AND con al menos otra línea de la ruta de ataque. Un atacante no podría acceder al recurso de alto valor a menos que obtuviera acceso tanto a tu entornoGoogle Cloud como a al menos otro recurso que se muestre en la ruta de ataque.

Una relación OR significa que un atacante solo necesita acceder a uno de los nodos anteriores para acceder al nodo posterior.

Simulaciones de rutas de ataque

Para determinar todas las rutas de ataque posibles y calcular las puntuaciones de exposición a ataques, Security Command Center lleva a cabo simulaciones avanzadas de rutas de ataque.

Programación de la simulación

Las simulaciones de rutas de ataque se ejecutan aproximadamente cada seis horas. A medida que tu organización crezca, las simulaciones tardarán más, pero siempre se ejecutarán al menos una vez al día. Las simulaciones no se activan al crear, modificar o eliminar recursos ni configuraciones de valores de recursos.

Pasos de la simulación de ruta de ataque

Las simulaciones constan de tres pasos:

1. Generación de modelos: se genera automáticamente un modelo de tu Google Cloud entorno a partir de los datos del entorno. El modelo es una representación gráfica de tu entorno, diseñada para análisis de rutas de ataque.
2. Simulación de ruta de ataque: las simulaciones de ruta de ataque se llevan a cabo en el modelo de gráfico. En las simulaciones, un atacante virtual intenta acceder a los recursos de tu conjunto de recursos de alto valor y vulnerarlos. Las simulaciones aprovechan la información valiosa de cada recurso y relación específicos, como redes, gestión de identidades y accesos, configuraciones, errores de configuración y vulnerabilidades.
3. Informes de estadísticas: a partir de las simulaciones, Security Command Center asigna puntuaciones de exposición a ataques a tus recursos de alto valor y a los hallazgos que los exponen, y visualiza las posibles rutas que podría seguir un atacante para acceder a esos recursos.

Características de la ejecución de la simulación

Además de proporcionar las puntuaciones de exposición a ataques, las estadísticas de rutas de ataque y las rutas de ataque, las simulaciones de rutas de ataque tienen las siguientes características:

• No afectan a tu entorno de producción: todas las simulaciones se llevan a cabo en un modelo virtual y solo se usa el acceso de lectura para crear el modelo.
• Son dinámicas: el modelo se crea sin agentes solo mediante acceso de lectura a la API, lo que permite que las simulaciones sigan dinámicamente los cambios que se produzcan en tu entorno a lo largo del tiempo.
• Un atacante virtual intenta tantos métodos y vulnerabilidades como sea posible para acceder a tus recursos de alto valor y ponerlos en riesgo. Esto incluye no solo "lo que sabemos", como las vulnerabilidades, las configuraciones, las configuraciones incorrectas y las relaciones de red, sino también "lo que sabemos que no sabemos" con menor probabilidad, es decir, los riesgos que sabemos que existen, como la posibilidad de que se produzcan ataques de phishing o filtraciones de credenciales.
• Son automatizadas: la lógica de ataque está integrada en la herramienta. No es necesario crear ni mantener conjuntos de consultas extensos ni grandes conjuntos de datos.

Situación y capacidades del atacante

En las simulaciones, Security Command Center tiene una representación lógica de un intento de un atacante de aprovechar tus recursos de alto valor obteniendo acceso a tu entorno de Google Cloud y siguiendo posibles rutas de acceso a través de tus recursos y vulnerabilidades detectadas.

El atacante virtual

El atacante virtual que usan las simulaciones tiene las siguientes características:

• El atacante es externo: el atacante no es un usuario legítimo de tu entorno deGoogle Cloud . Las simulaciones no modelan ni incluyen ataques de usuarios malintencionados o negligentes que tengan acceso legítimo a tu entorno.
• El atacante empieza desde Internet. Para iniciar un ataque, el atacante debe obtener acceso a tu entorno desde Internet público.
• El atacante es persistente. El atacante no se desanimará ni perderá el interés debido a la dificultad de un método de ataque concreto.
• El atacante es experto y tiene conocimientos. El atacante prueba métodos y técnicas conocidos para acceder a tus recursos de alto valor.

Acceso inicial

En cada simulación, un atacante virtual intenta acceder desde Internet a los recursos de tu entorno de Google Cloud mediante los siguientes métodos:

• Descubre y conéctate a servicios y recursos accesibles desde Internet público. En un entorno Google Cloud , esto podría incluir lo siguiente:
  • Servicios en instancias de máquinas virtuales de Compute Engine y nodos de Google Kubernetes Engine
  • Bases de datos
  • Contenedores
  • Segmentos de Cloud Storage
  • Cloud Run Functions
• Obtener acceso a claves y credenciales. En un entorno Google Cloud , esto podría incluir lo siguiente:
  • Claves de cuenta de servicio
  • Claves de cifrado proporcionadas por el usuario
  • Claves SSH de instancias de VM
  • Claves SSH de todo el proyecto
  • Sistemas de gestión de claves externos
  • Cuentas de usuario en las que no se exige la autenticación multifactor (MFA)
  • Tokens de MFA virtuales interceptados
• Acceder a recursos en la nube accesibles públicamente mediante el uso de credenciales robadas o aprovechando vulnerabilidades.

Si la simulación encuentra un posible punto de entrada en el entorno, el atacante virtual intentará alcanzar y comprometer tus recursos de alto valor desde el punto de entrada explorando y aprovechando consecutivamente las configuraciones de seguridad y las vulnerabilidades del entorno.

Tácticas y técnicas

La simulación utiliza una amplia variedad de tácticas y técnicas, como el uso de accesos legítimos, el movimiento lateral, la escalada de privilegios, las vulnerabilidades, las configuraciones incorrectas y la ejecución de código.

Incorporación de datos de CVE

Cuando se calculan las puntuaciones de exposición a ataques de los hallazgos de vulnerabilidades, las simulaciones de rutas de ataque tienen en cuenta los datos del registro CVE de la vulnerabilidad, las puntuaciones CVSS y las evaluaciones de la capacidad de explotación de la vulnerabilidad que proporciona Mandiant.

Se tiene en cuenta la siguiente información de CVE:

• Vector de ataque: el atacante debe tener el nivel de acceso especificado en el vector de ataque de CVSS para usar la CVE. Por ejemplo, un atacante con acceso a la red puede aprovechar una CVE con un vector de ataque de red que se encuentre en un recurso con una dirección IP pública y puertos abiertos. Si un atacante solo tiene acceso a la red y la CVE requiere acceso físico, el atacante no podrá aprovechar la CVE.
• Complejidad de ataque: por lo general, es más probable que una vulnerabilidad o un error de configuración con una complejidad de ataque baja obtenga una puntuación de exposición a ataques alta que una vulnerabilidad o un error de configuración con una complejidad de ataque alta.
• Actividad de explotación: por lo general, una vulnerabilidad con una actividad de explotación amplia, según lo determinado por los analistas de inteligencia de ciberamenazas de Mandiant, tiene más probabilidades de obtener una puntuación de exposición a ataques alta que una vulnerabilidad con una actividad de explotación prevista. Las vulnerabilidades sin actividad de explotación conocida no se tienen en cuenta en las simulaciones de ruta de ataque.

Evaluaciones de riesgos multinube

Además de Google Cloud, Security Command Center puede ejecutar simulaciones de rutas de ataque para evaluar el riesgo de tus implementaciones en varias plataformas de proveedores de servicios en la nube.

Una vez que hayas establecido una conexión con otra plataforma, podrás designar tus recursos de alto valor en el otro proveedor de servicios en la nube creando configuraciones de valor de recursos, como harías con los recursos de Google Cloud.

Security Command Center ejecuta simulaciones para una plataforma en la nube de forma independiente a las simulaciones que se ejecutan para otras plataformas en la nube.

Antes de crear la primera configuración de valor de recurso para otro proveedor de servicios en la nube, Security Command Center usa un conjunto de recursos de alto valor predeterminado que es específico de cada proveedor de servicios en la nube.

Para obtener más información, consulta las siguientes secciones: