Niveaux d'exposition aux attaques et chemins d'attaque

Cette page explique les concepts, principes et restrictions clés pour vous aider à comprendre, affiner et utiliser les scores d'exposition aux attaques et les chemins d'attaque générés par le moteur de risque de Security Command Center.

Les scores et les chemins d'attaque sont générés pour les deux éléments suivants :

• Résultats de failles et d'erreurs de configuration (résultats de failles, collectivement) qui exposent les instances de ressources dans votre ensemble de ressources à forte valeur effectif.
• Ressources de votre ensemble de ressources à forte valeur effectif.
• Problèmes dans Security Command Center Enterprise, qui contiennent des combinaisons toxiques et des points d'étranglement.

Pour utiliser les scores d'exposition aux attaques et les chemins d'attaque, vous devez activer le niveau Premium ou Enterprise de Security Command Center au niveau de l'organisation. Vous ne pouvez pas utiliser les scores d'exposition aux attaques ni les chemins d'attaque avec les activations au niveau du projet.

Les chemins d'attaque représentent des possibilités

Vous ne verrez pas de preuve d'une attaque réelle dans un chemin d'attaque.

Risk Engine génère des chemins d'attaque et des scores d'exposition aux attaques en simulant ce que des pirates informatiques hypothétiques pourraient faire s'ils accédaient à votre environnement Google Cloud et découvraient les chemins d'attaque et les failles que Security Command Center a déjà identifiés.

Chaque chemin d'attaque vous montre une ou plusieurs méthodes d'attaque qu'un pirate informatique pourrait utiliser s'il obtenait l'accès à une ressource particulière. Ne confondez pas ces méthodes d'attaque avec des attaques réelles.

De même, un score d'exposition aux attaques élevé pour l'un des éléments suivants ne signifie pas qu'une attaque est en cours :

• Un résultat ou une ressource Security Command Center
• Problème lié à Security Command Center Enterprise

Pour détecter les attaques réelles, surveillez les résultats de classe THREAT générés par les services de détection des menaces, tels que Event Threat Detection et Container Threat Detection.

Pour en savoir plus, consultez les sections suivantes de cette page :

• Niveaux d'exposition aux attaques
• Chemins d'attaque
• Simulations de chemins d'attaque

Scores d'exposition aux attaques

Un score d'exposition aux attaques s'affiche pour les éléments suivants :

• Un résultat ou une ressource Security Command Center
• Problème lié à Security Command Center Enterprise

Le score d'exposition aux attaques mesure l'exposition des ressources à une attaque potentielle si un acteur malveillant parvenait à accéder à votre environnement Google Cloud.

Dans certains contextes, comme la page Résultats de la console Google Cloud , le score d'exposition aux attaques d'un résultat de combinaison toxique ou de goulet d'étranglement est appelé score de combinaison toxique.

Dans les descriptions du calcul des scores, dans les conseils généraux sur la hiérarchisation de la correction des résultats et dans certains autres contextes, le terme score d'exposition aux attaques s'applique également aux scores de combinaisons toxiques.

Dans un résultat, le score indique dans quelle mesure un problème de sécurité détecté expose une ou plusieurs ressources à forte valeur à de potentielles cyberattaques. Pour une ressource de grande valeur, le score mesure le niveau d'exposition de la ressource aux cyberattaques potentielles.

Utilisez les scores des résultats concernant les failles logicielles, les erreurs de configuration, les combinaisons toxiques ou les goulets d'étranglement^Aperçu pour hiérarchiser la correction de ces résultats.

Utilisez les scores d'exposition aux attaques sur les ressources pour sécuriser de manière proactive les ressources les plus précieuses pour votre entreprise.

Dans les simulations de chemins d'attaque, le moteur de risque fait toujours démarrer les attaques simulées à partir de l'Internet public. Par conséquent, les scores d'exposition aux attaques ne tiennent pas compte d'une éventuelle exposition à des acteurs internes malveillants ou négligents.

Résultats qui reçoivent des scores d'exposition aux attaques

Les scores d'exposition aux attaques sont appliqués aux classes de résultats actifs listées dans Catégories de résultats compatibles.

Les simulations de chemin d'attaque n'incluent que les résultats actifs et non ignorés dans leurs calculs. Les résultats dont l'état est INACTIVE ou MUTED ne sont pas inclus dans les simulations, ne reçoivent pas de scores et ne sont pas inclus dans les chemins d'attaque.

Ressources recevant des scores d'exposition aux attaques

Les simulations de chemins d'attaque calculent les scores d'exposition aux attaques pour les types de ressources compatibles de votre ensemble de ressources à forte valeur. Pour spécifier les ressources qui appartiennent à l'ensemble de ressources à forte valeur, créez des configurations de valeurs de ressources.

Si une ressource d'un ensemble de ressources à forte valeur a un score d'exposition aux attaques de 0, cela signifie que les simulations de chemin d'attaque n'ont identifié aucun chemin vers la ressource qu'un pirate informatique potentiel pourrait exploiter.

Les simulations de chemin d'attaque sont compatibles avec les types de ressources suivants :

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/TrainingPipeline

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• container.googleapis.com/Cluster

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Calcul du score

Chaque fois que les simulations de chemin d'attaque sont exécutées, les scores d'exposition aux attaques sont recalculés. Chaque simulation de chemin d'attaque exécute en fait plusieurs simulations dans lesquelles un pirate informatique simulé tente d'utiliser des méthodes et techniques d'attaque connues pour atteindre et compromettre les ressources de valeur.

Les simulations de chemins d'attaque sont exécutées environ toutes les six heures. À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les simulations ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.

Les simulations calculent les scores à l'aide de diverses métriques, y compris les suivantes :

• La valeur de priorité attribuée aux ressources de forte valeur qui sont exposées. Les valeurs de priorité que vous pouvez attribuer sont les suivantes :
  • HIGH = 10
  • MED = 5
  • FAIBLE = 1
• Le nombre de chemins qu'un pirate informatique pourrait emprunter pour accéder à une ressource donnée.
• Nombre de fois où un pirate informatique simulé parvient à atteindre et à compromettre une ressource à forte valeur à la fin d'un chemin d'attaque donné, exprimé en pourcentage du nombre total de simulations.
• Pour les résultats uniquement, il s'agit du nombre de ressources à forte valeur exposées par la faille ou la mauvaise configuration détectées.

Pour les ressources, les scores d'exposition aux attaques peuvent être compris entre 0 et 10.

De manière générale, les simulations calculent les scores des ressources en multipliant le pourcentage d'attaques réussies par la valeur numérique de priorité des ressources.

Pour les résultats, les scores n'ont pas de limite supérieure fixe. Plus un résultat se produit souvent sur les chemins d'attaque vers les ressources exposées dans l'ensemble de ressources de forte valeur, et plus les valeurs de priorité de ces ressources sont élevées, plus le score est élevé.

De manière générale, les simulations calculent les scores des résultats en utilisant la même méthode que pour les scores des ressources. Toutefois, pour les scores des résultats, les simulations multiplient ensuite le résultat du calcul par le nombre de ressources à forte valeur exposées par le résultat.

Modifier les scores

Les scores peuvent changer chaque fois qu'une simulation de chemin d'attaque est exécutée. Un résultat ou une ressource qui obtient un score de zéro aujourd'hui peut obtenir un score non nul demain.

Les scores changent pour différentes raisons, y compris les suivantes :

• Détection ou correction d'une faille qui expose directement ou indirectement une ressource de forte valeur.
• Ajout ou suppression de ressources dans votre environnement.

Les modifications apportées aux résultats ou aux ressources après l'exécution d'une simulation ne sont pas reflétées dans les scores tant que la simulation suivante n'est pas exécutée.

Utiliser les scores pour hiérarchiser la recherche de solutions

Pour hiérarchiser efficacement la correction des résultats en fonction de leur score d'exposition aux attaques ou de combinaison toxique, tenez compte des points suivants :

• Tout résultat dont le score est supérieur à zéro expose d'une manière ou d'une autre une ressource à forte valeur à une attaque potentielle. La correction doit donc être privilégiée par rapport aux résultats dont le score est nul.
• Plus le score d'un résultat est élevé, plus il expose vos ressources de forte valeur. Vous devez donc accorder une priorité plus élevée à sa correction.

En règle générale, accordez la priorité à la correction des résultats qui ont les scores les plus élevés et qui bloquent le plus efficacement les chemins d'attaque vers vos ressources de forte valeur.

Si les scores d'une combinaison toxique et d'un goulet d'étranglement sont à peu près égaux à ceux d'un résultat d'une autre classe de résultats, privilégiez la correction de la combinaison toxique et du goulet d'étranglement, car ils représentent un chemin complet depuis l'Internet public vers une ou plusieurs ressources à forte valeur qu'un pirate informatique peut potentiellement suivre s'il a obtenu l'accès à votre environnement cloud.

Sur la page Résultats de Security Command Center dans la Google Cloud console, vous pouvez trier les résultats dans le panneau de la page par score en cliquant sur l'en-tête de colonne.

Dans la console Google Cloud , vous pouvez également afficher les résultats avec les scores les plus élevés en ajoutant un filtre à la requête de résultats qui ne renvoie que les résultats dont le score d'exposition aux attaques est supérieur à un nombre que vous spécifiez.

Sur la page Problèmes de Security Command Center Enterprise, vous pouvez également trier les problèmes de combinaisons toxiques et de points d'étranglement par score d'exposition aux attaques.

Résultats qui ne peuvent pas être corrigés.

Dans certains cas, vous ne pourrez peut-être pas corriger un résultat avec un score d'exposition aux attaques élevé, soit parce qu'il représente un risque connu et accepté, soit parce qu'il ne peut pas être corrigé immédiatement. Dans ce cas, vous devrez peut-être atténuer le risque d'une autre manière. L'examen du chemin d'attaque associé peut vous donner des idées pour d'autres atténuations possibles.

Sécuriser les ressources à l'aide des scores d'exposition aux attaques

Un score d'exposition aux attaques non nul sur une ressource signifie que les simulations de chemins d'attaque ont identifié un ou plusieurs chemins d'attaque depuis l'Internet public vers la ressource.

Pour afficher les scores d'exposition aux attaques de vos ressources de forte valeur, procédez comme suit :

1. Dans la console Google Cloud , accédez à la page Éléments de Security Command Center.

   Accéder

2. Sélectionnez l'organisation dans laquelle vous avez activé Security Command Center.

3. Sélectionnez l'onglet Ensemble de ressources à forte valeur. Les ressources de votre ensemble de ressources à forte valeur sont affichées par ordre décroissant de score d'exposition aux attaques.

4. Pour afficher les chemins d'attaque d'une ressource, cliquez sur le nombre de la ligne correspondante dans la colonne Score d'exposition aux attaques. Les chemins d'attaque de l'Internet public vers la ressource s'affichent.

5. Examinez les chemins d'attaque. Pour savoir comment interpréter les chemins d'attaque, consultez Chemins d'attaque.

6. Pour afficher une fenêtre d'informations avec des liens permettant de consulter les résultats associés, cliquez sur un nœud.

7. Cliquez sur un lien de résultats associés. La fenêtre Résultat s'ouvre et affiche des informations sur le résultat et sur la façon de le corriger.

Vous pouvez également consulter les scores d'exposition aux attaques de vos ressources à forte valeur dans l'onglet Simulations de chemins d'attaque de Paramètres > Simulation de chemins d'attaque. Cliquez sur Afficher les ressources de valeur utilisées dans la dernière simulation.

L'onglet Ensemble de ressources à forte valeur est également disponible sur la page Éléments de la console Security Operations.

Niveau d'exposition aux attaques de 0

Un score d'exposition aux attaques de 0 pour une ressource signifie que, lors des dernières simulations de chemins d'attaque, Security Command Center n'a identifié aucun chemin potentiel qu'un pirate informatique pourrait emprunter pour accéder à la ressource.

Un score d'exposition aux attaques de 0 pour un résultat signifie que, lors de la dernière simulation d'attaque, le pirate informatique simulé n'a pas pu accéder à des ressources à forte valeur ajoutée via le résultat.

Toutefois, un niveau d'exposition aux attaques de 0 ne signifie pas qu'il n'y a aucun risque. Le score d'exposition aux attaques reflète l'exposition des services, des ressources et des résultats Security Command Center compatibles à des menaces potentielles provenant de l'Internet public. Google Cloud Par exemple, les scores ne tiennent pas compte des menaces provenant d'acteurs internes, des vulnérabilités zero day ni de l'infrastructure tierce.

Aucun niveau d'exposition aux attaques

Si un résultat ou une ressource n'ont pas de score, cela peut être dû aux raisons suivantes :

• Le résultat a été généré après la dernière simulation du chemin d'attaque.
• La ressource a été ajoutée à votre ensemble de ressources à forte valeur après la dernière simulation de chemins d'attaque.
• La fonctionnalité d'exposition aux attaques n'est pas compatible avec la catégorie de résultat ni le type de ressource.

Pour obtenir la liste des catégories de résultats compatibles, consultez Fonctionnalités du moteur de risque.

Pour obtenir la liste des types de ressources compatibles, consultez Ressources recevant des scores d'exposition aux attaques.

Valeurs de ressource

Bien que toutes vos ressources sur Google Cloud aient de la valeur, Security Command Center identifie les chemins d'attaque et calcule les scores d'exposition aux attaques uniquement pour les ressources que vous désignez comme ressources à forte valeur (parfois appelées ressources valorisées).

Ressources de forte valeur

Une ressource à forte valeur sur Google Cloud est une ressource qu'il est particulièrement important pour votre entreprise de protéger contre les attaques potentielles. Par exemple, vos ressources à forte valeur peuvent être celles qui stockent vos données sensibles ou précieuses, ou qui hébergent vos charges de travail critiques pour votre activité.

Vous désignez une ressource comme ressource à forte valeur en définissant ses attributs dans une configuration de valeur de ressource. Dans la limite de 1 000 instances de ressources, Security Command Center considère toute instance de ressource correspondant aux attributs que vous spécifiez dans la configuration comme une ressource à forte valeur.

Valeurs de priorité

Parmi les ressources que vous désignez comme étant de grande valeur, vous devrez probablement accorder la priorité à la sécurité de certaines d'entre elles. Par exemple, un ensemble de ressources de données peut contenir des données à forte valeur, mais certaines de ces ressources peuvent contenir des données plus sensibles que les autres.

Pour que vos scores reflètent votre besoin de hiérarchiser la sécurité des ressources de votre ensemble de ressources à forte valeur, vous devez attribuer une valeur de priorité dans les configurations de valeur de ressource qui désigne les ressources comme étant à forte valeur.

Si vous utilisez la protection des données sensibles, vous pouvez également hiérarchiser automatiquement les ressources en fonction de la sensibilité des données qu'elles contiennent.

Définir manuellement les valeurs de priorité des ressources

Dans une configuration de valeurs de ressources, vous attribuez une priorité aux ressources à forte valeur correspondantes en spécifiant l'une des valeurs de priorité suivantes :

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Si vous spécifiez une valeur de priorité de LOW dans une configuration de valeur de ressource, les ressources correspondantes restent des ressources à forte valeur. Les simulations de chemins d'attaque les traitent simplement avec une priorité plus faible et leur attribuent un score d'exposition aux attaques inférieur à celui des ressources à forte valeur dont la valeur de priorité est MEDIUM ou HIGH.

Si plusieurs configurations attribuent des valeurs différentes à la même ressource, la valeur la plus élevée s'applique, sauf si une configuration attribue la valeur NONE.

Une valeur de ressource de NONE exclut les ressources correspondantes de la catégorie des ressources à forte valeur et remplace toute autre configuration de valeur de ressource pour la même ressource. Pour cette raison, assurez-vous que toute configuration spécifiant NONE ne s'applique qu'à un ensemble limité de ressources.

Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données

Si vous utilisez la découverte de la protection des données sensibles et que vous publiez les profils de données dans Security Command Center, vous pouvez configurer Security Command Center pour qu'il définisse automatiquement la valeur de priorité de certaines ressources à forte valeur ajoutée en fonction de la sensibilité des données qu'elles contiennent.

Vous pouvez activer la priorisation de la sensibilité des données lorsque vous spécifiez les ressources dans une configuration de la valeur des ressources.

Lorsqu'elle est activée, si la découverte Sensitive Data Protection classe les données d'une ressource comme étant de sensibilité MEDIUM ou HIGH, les simulations de chemin d'attaque définissent par défaut la valeur de priorité de la ressource sur cette même valeur.

Les niveaux de sensibilité des données sont définis par la protection des données sensibles, mais vous pouvez les interpréter comme suit :

Données à sensibilité élevée

La découverte Sensitive Data Protection a détecté au moins une instance de données à sensibilité élevée dans la ressource.

Données de sensibilité moyenne

La découverte Sensitive Data Protection a trouvé au moins une instance de données de sensibilité moyenne dans la ressource et aucune instance de données de sensibilité élevée.

Données à faible sensibilité

La découverte Sensitive Data Protection n'a détecté aucune donnée sensible, ni aucun texte de forme libre ni aucune donnée non structurée dans la ressource.

Si la découverte Sensitive Data Protection n'identifie que des données de sensibilité faible dans une ressource de données correspondante, la ressource n'est pas désignée comme ressource à forte valeur.

Si vous avez besoin que les ressources de données ne contenant que des données de sensibilité faible soient désignées comme des ressources à forte valeur avec une priorité faible, créez une configuration de valeur de ressource en double, mais spécifiez une valeur de priorité de LOW au lieu d'activer la priorisation de la sensibilité des données. La configuration qui utilise la protection des données sensibles remplace celle qui attribue la valeur de priorité LOW, mais uniquement pour les ressources qui contiennent des données de sensibilité HIGH ou MEDIUM.

Vous pouvez modifier les valeurs de priorité par défaut utilisées par Security Command Center lorsque des données sensibles sont détectées dans la configuration de la valeur de la ressource.

Pour en savoir plus sur Sensitive Data Protection, consultez la présentation de Sensitive Data Protection.

Priorisation de la sensibilité des données et ensemble de ressources de forte valeur par défaut

Avant que vous ne créiez votre propre ensemble de ressources à forte valeur, Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer les scores d'exposition aux attaques et les chemins d'attaque.

Si vous utilisez la découverte de la protection des données sensibles, Security Command Center ajoute automatiquement les instances des types de ressources de données compatibles qui contiennent des données de sensibilité HIGH ou MEDIUM à l'ensemble de ressources à forte valeur par défaut.

Types de ressources Google Cloud compatibles avec les valeurs de priorité de sensibilité des données automatiques

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données issues de la découverte de la protection des données sensibles pour les types de ressources de données suivants uniquement :

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Types de ressources AWS compatibles avec les valeurs de priorité de sensibilité des données automatisées

Les simulations de chemin d'attaque peuvent définir automatiquement des valeurs de priorité en fonction des classifications de sensibilité des données issues de la découverte de la protection des données sensibles, mais uniquement pour les types de ressources de données AWS suivants :

• Bucket Amazon S3

Ensembles de ressources à forte valeur

Un ensemble de ressources à forte valeur est une collection définie de ressources dans votre environnement Google Cloud qui sont les plus importantes à sécuriser et à protéger.

Pour définir votre ensemble de ressources à forte valeur, vous devez spécifier les ressources de votre environnement Google Cloud qui appartiennent à cet ensemble. Tant que vous n'aurez pas défini votre ensemble de ressources à forte valeur, les scores d'exposition aux attaques, les chemins d'attaque et les résultats des combinaisons toxiques ne refléteront pas précisément vos priorités en matière de sécurité.

Vous spécifiez les ressources de votre ensemble de ressources à forte valeur en créant des configurations de valeurs de ressources. La combinaison de toutes vos configurations de valeurs de ressources définit votre ensemble de ressources à forte valeur. Pour en savoir plus, consultez Configurations des valeurs de ressources.

Tant que vous n'avez pas défini votre première configuration de valeur de ressource, Security Command Center utilise un ensemble de ressources à forte valeur par défaut. L'ensemble par défaut s'applique à l'ensemble de votre organisation pour tous les types de ressources compatibles avec les simulations de chemin d'attaque. Pour en savoir plus, consultez Ensemble de ressources à forte valeur par défaut.

Pour afficher l'ensemble de ressources à forte valeur utilisé dans la dernière simulation de chemins d'attaque, y compris les scores d'exposition aux attaques et les configurations correspondantes, consultez Afficher l'ensemble de ressources à forte valeur.

Configurations des valeurs de ressources

Vous gérez les ressources de votre ensemble de ressources à forte valeur à l'aide de configurations de valeurs de ressources.

Vous créez des configurations de valeurs de ressources dans l'onglet Simulation du chemin d'attaque de la page Paramètres de Security Command Center dans la console Google Cloud .

Dans une configuration de valeur de ressource, vous spécifiez les attributs qu'une ressource doit posséder pour que Security Command Center l'ajoute à votre ensemble de ressources à forte valeur.

Les attributs que vous pouvez spécifier incluent le type de ressource, les tags de ressources, les libellés de ressources, ainsi que le projet, le dossier ou l'organisation parents.

Vous attribuez également une valeur de ressource aux ressources d'une configuration. La valeur de ressource permet de hiérarchiser les ressources d'une configuration par rapport aux autres ressources de l'ensemble de ressources à forte valeur. Pour en savoir plus, consultez Valeurs des ressources.

Vous pouvez créer jusqu'à 100 configurations des valeurs de ressource dans une organisationGoogle Cloud .

Ensemble, toutes les configurations de valeurs de ressources que vous créez définissent l'ensemble de ressources à forte valeur que Security Command Center utilise pour les simulations de chemins d'attaque.

Attributs de ressource

Pour qu'une ressource soit incluse dans votre ensemble de ressources à forte valeur, ses attributs doivent correspondre à ceux que vous spécifiez dans une configuration de valeur de ressource.

Les attributs que vous pouvez spécifier incluent les suivants :

• Un type de ressource ou Any. Lorsque Any est spécifié, la configuration s'applique à tous les types de ressources compatibles dans le champ d'application spécifié. Any est la valeur par défaut.
• Champ d'application (organisation, dossier ou projet parent) dans lequel les ressources doivent résider. La portée par défaut est votre organisation. Si vous spécifiez une organisation ou un dossier, la configuration s'applique également aux ressources des dossiers ou projets enfants.
• Éventuellement, un ou plusieurs tags ou libellés que chaque ressource doit contenir.

Si vous spécifiez une ou plusieurs configurations de valeurs de ressources, mais qu'aucune ressource de votre environnement Google Cloud ne correspond aux attributs spécifiés dans l'une des configurations, Security Command Center génère un résultat SCC Error et revient à l'ensemble de ressources à forte valeur par défaut.

Ensemble de ressources à forte valeur par défaut

Security Command Center utilise un ensemble de ressources à forte valeur par défaut pour calculer les scores d'exposition aux attaques lorsqu'aucune configuration de valeur de ressource n'est définie ou lorsqu'aucune configuration définie ne correspond à une ressource.

Security Command Center attribue aux ressources de la ressource à haute valeur par défaut une valeur de priorité de LOW, sauf si vous utilisez la découverte de Sensitive Data Protection. Dans ce cas, Security Command Center attribue aux ressources contenant des données de sensibilité élevée ou moyenne une valeur de priorité correspondante de HIGH ou MEDIUM.

Si vous disposez d'au moins une configuration de valeur de ressource qui correspond à au moins une ressource de votre environnement, Security Command Center cesse d'utiliser l'ensemble de ressources à forte valeur par défaut.

Pour obtenir des scores d'exposition aux attaques et de combinaisons toxiques qui reflètent précisément vos priorités en matière de sécurité, remplacez l'ensemble de ressources à forte valeur par défaut par le vôtre. Pour en savoir plus, consultez Définir et gérer votre ensemble de ressources à forte valeur.

La liste suivante indique les types de ressources inclus dans l'ensemble de ressources à forte valeur par défaut :

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limite de ressources dans un ensemble de ressources de forte valeur

Security Command Center limite le nombre de ressources dans un ensemble de ressources à forte valeur à 1 000 par fournisseur de services cloud.

Si les spécifications d'attributs dans une ou plusieurs configurations de valeurs de ressources sont très larges, le nombre de ressources correspondant aux spécifications d'attributs peut dépasser 1 000.

Lorsque le nombre de ressources correspondantes dépasse la limite, Security Command Center exclut des ressources de l'ensemble jusqu'à ce que le nombre de ressources soit inférieur à la limite. Security Command Center exclut d'abord les ressources auxquelles la valeur la plus basse est attribuée. Parmi les ressources ayant la même valeur attribuée, Security Command Center exclut les instances de ressources à l'aide d'un algorithme qui répartit les ressources exclues entre les types de ressources.

Une ressource exclue de l'ensemble de ressources à forte valeur n'est pas prise en compte dans le calcul des scores d'exposition aux attaques.

Pour vous avertir lorsque la limite d'instances pour le calcul du score est dépassée, Security Command Center génère un résultat SCC error et affiche un message dans l'onglet des paramètres Simulation du chemin d'attaque de la console Google Cloud . Security Command Center ne génère pas de résultat SCC error si l'ensemble de valeurs élevées par défaut dépasse la limite d'instances.

Pour éviter de dépasser la limite, ajustez vos configurations de valeurs de ressources afin d'affiner les instances de votre ensemble de ressources à forte valeur.

Voici quelques exemples de ce que vous pouvez faire pour affiner votre ensemble de ressources à forte valeur :

• Utilisez des tags ou des libellés pour réduire le nombre de correspondances pour un type de ressource donné ou dans un champ d'application spécifié.
• Créez une configuration de valeurs de ressource qui attribue une valeur de NONE à un sous-ensemble des ressources spécifiées dans une autre configuration. Si vous spécifiez la valeur NONE, toutes les autres configurations sont remplacées et les instances de ressources sont exclues de votre ensemble de ressources à forte valeur.
• Réduisez la spécification du champ d'application dans la configuration de la valeur de la ressource.
• Supprimez les configurations de valeurs de ressources qui attribuent une valeur de LOW.

Ressources de forte valeur

Pour remplir votre ensemble de ressources de forte valeur, vous devez déterminer quelles instances de ressources de votre environnement sont réellement de forte valeur.

En général, vos ressources à forte valeur ajoutée sont celles qui traitent et stockent vos données sensibles. Par exemple, sur Google Cloud, il peut s'agir d'instances Compute Engine, d'un ensemble de données BigQuery ou d'un bucket Cloud Storage.

Vous n'avez pas besoin de désigner comme ressources à forte valeur celles qui sont adjacentes à vos ressources à forte valeur, comme un serveur de transfert. Les simulations de chemins d'attaque tiennent déjà compte de ces ressources adjacentes. Si vous les désignez également comme ressources de forte valeur, vos scores d'exposition aux attaques risquent d'être moins fiables.

Chemins d'attaque

Un chemin d'attaque est une représentation visuelle et interactive d'un ou de plusieurs chemins potentiels qu'un pirate informatique hypothétique pourrait emprunter pour passer de l'Internet public à l'une de vos instances de ressources à forte valeur.

Les simulations de chemin d'attaque identifient les chemins d'attaque potentiels en modélisant ce qui se passerait si un pirate informatique appliquait des méthodes d'attaque connues aux failles et aux erreurs de configuration que Security Command Center a détectées dans votre environnement pour tenter d'accéder à vos ressources à forte valeur.

Pour afficher les chemins d'attaque, cliquez sur le score d'exposition aux attaques d'un résultat ou d'une ressource dans la console Google Cloud .

Dans le niveau Enterprise, lorsque vous consultez un cas de combinaison toxique, vous pouvez afficher un chemin d'attaque simplifié pour la combinaison toxique dans l'onglet Présentation du cas. Le chemin d'attaque simplifié inclut un lien vers le chemin d'attaque complet. Pour en savoir plus sur les chemins d'attaque pour les résultats de combinaison toxique, consultez Chemins d'attaque de la combinaison toxique.

Lorsque vous affichez des chemins d'attaque plus grands, vous pouvez modifier votre vue en faisant glisser le sélecteur de zone de mise au point rouge autour de la vue miniature du chemin d'attaque sur le côté droit de l'écran.

Dans un chemin d'attaque, les ressources sont représentées sous forme de boîtes ou de nœuds. Les lignes représentent l'accessibilité potentielle entre les ressources. Ensemble, les nœuds et les lignes représentent le chemin d'attaque.

Nœuds de chemin d'attaque

Les nœuds d'un chemin d'attaque représentent les ressources sur un chemin d'attaque.

Afficher les informations sur les nœuds

Vous pouvez afficher plus d'informations sur chaque nœud d'un chemin d'attaque en cliquant dessus.

Cliquez sur le nom d'une ressource dans un nœud pour afficher plus d'informations à son sujet, ainsi que les résultats qui l'affectent.

Si vous cliquez sur Développer le nœud, les méthodes d'attaque possibles qui pourraient être utilisées si un pirate informatique accédait à la ressource s'affichent.

Types de nœuds

Il existe trois types de nœuds :

• Le point de départ ou point d'entrée de l'attaque simulée, à savoir l'Internet public. Si vous cliquez sur un nœud de point d'entrée, une description du point d'entrée s'affiche, ainsi que les méthodes d'attaque qu'un pirate informatique pourrait utiliser pour accéder à votre environnement.
• Les ressources concernées qu'un pirate informatique peut utiliser pour progresser sur un chemin.
• La ressource exposée à la fin d'un chemin d'attaque, qui est l'une des ressources de votre ensemble de ressources à forte valeur. Seule une ressource dans un ensemble de ressources à forte valeur défini ou par défaut peut être une ressource exposée. Vous définissez un ensemble de ressources à forte valeur en créant des configurations de valeurs de ressources.

Nœuds en amont et en aval

Dans un chemin d'attaque, un nœud peut être en amont ou en aval par rapport aux autres nœuds. Un nœud en amont est plus proche du point d'entrée et du début du chemin d'attaque. Un nœud en aval est plus proche de la ressource à forte valeur exposée en bas du chemin d'attaque.

Nœuds représentant plusieurs instances de ressources de conteneur

Un nœud peut représenter plusieurs instances de certains types de ressources de conteneur si les instances partagent les mêmes caractéristiques.

Un seul nœud peut représenter plusieurs instances des types de ressources de conteneur suivants :

• Contrôleur ReplicaSet
• Contrôleur de déploiement
• Contrôleur de tâches
• Contrôleur CronJob
• Contrôleur DaemonSet

Lignes de chemin d'attaque

Dans un chemin d'attaque, les lignes entre les boîtes représentent l'accessibilité potentielle entre les ressources qu'un pirate informatique pourrait exploiter pour atteindre des ressources à forte valeur.

Les lignes ne représentent pas une relation entre les ressources définie dansGoogle Cloud.

Si plusieurs chemins d'accès pointent vers un nœud en aval à partir de plusieurs nœuds en amont, les nœuds en amont peuvent avoir une relation AND ou OR entre eux.

Une relation AND signifie qu'un pirate informatique a besoin d'accéder aux deux nœuds en amont pour accéder à un nœud en aval sur le chemin.

Par exemple, une ligne directe entre l'Internet public et une ressource à forte valeur à la fin d'un chemin d'attaque présente une relation AND avec au moins une autre ligne du chemin d'attaque. Un pirate informatique ne peut pas accéder à la ressource à forte valeur, sauf s'il obtient l'accès à votre environnementGoogle Cloud et à au moins une autre ressource affichée dans le chemin d'attaque.

Une relation OR signifie qu'un pirate informatique n'a besoin d'accéder qu'à l'un des nœuds en amont pour accéder au nœud en aval.

Simulations de chemin d'attaque

Pour déterminer tous les chemins d'attaque possibles et calculer les scores d'exposition aux attaques, Security Command Center effectue des simulations de chemins d'attaque avancées.

Calendrier de simulation

Les simulations de chemins d'attaque sont exécutées environ toutes les six heures. À mesure que votre organisation se développe, les simulations prennent plus de temps, mais elles s'exécutent toujours au moins une fois par jour. Les simulations ne sont pas déclenchées par la création, la modification ou la suppression de ressources ou de configurations de valeurs de ressources.

Étapes de la simulation du chemin d'attaque

Les simulations se déroulent en trois étapes :

1. Génération de modèle : un modèle de votre environnement Google Cloud est généré automatiquement en fonction des données de l'environnement. Le modèle est une représentation graphique de votre environnement, adaptée aux analyses des chemins d'attaque.
2. Simulation de chemins d'attaque : les simulations de chemins d'attaque sont effectuées sur le modèle de graphe. Lors de ces simulations, un pirate informatique virtuel tente d'atteindre et de compromettre les ressources de votre ensemble de ressources à forte valeur. Les simulations exploitent les insights sur chaque ressource et relation spécifiques, y compris la mise en réseau, IAM, les configurations, les erreurs de configuration et les failles.
3. Rapports sur les insights : en fonction des simulations, Security Command Center attribue des scores d'exposition aux attaques à vos ressources de forte valeur et aux résultats qui les exposent. Il visualise également les chemins potentiels qu'un pirate informatique pourrait emprunter pour accéder à ces ressources.

Caractéristiques d'exécution de la simulation

En plus de fournir les scores d'exposition aux attaques, les insights sur les chemins d'attaque et les chemins d'attaque, les simulations de chemin d'attaque présentent les caractéristiques suivantes :

• Elles n'affectent pas votre environnement réel : toutes les simulations sont effectuées sur un modèle virtuel et n'utilisent qu'un accès en lecture pour la création du modèle.
• Ils sont dynamiques : le modèle est créé sans agents, avec un accès en lecture seule à l'API, ce qui permet aux simulations de suivre de manière dynamique les changements apportés à votre environnement au fil du temps.
• Un attaquant virtuel tente d'utiliser autant de méthodes et de failles que possible pour atteindre et compromettre vos ressources à forte valeur. Cela inclut non seulement les "connus", tels que les failles, les configurations, les erreurs de configuration et les relations réseau, mais aussi les "inconnus connus" à faible probabilité, c'est-à-dire les risques dont nous savons qu'ils existent, comme la possibilité d'hameçonnage ou de fuite d'identifiants.
• Elles sont automatisées : la logique d'attaque est intégrée à l'outil. Vous n'avez pas besoin de créer ni de gérer de grands ensembles de requêtes ou de grands ensembles de données.

Scénario et capacités de l'attaquant

Dans les simulations, Security Command Center dispose d'une représentation logique d'une tentative d'exploitation par un pirate informatique de vos ressources à forte valeur ajoutée en accédant à votre environnement Google Cloud et en suivant les chemins d'accès potentiels à travers vos ressources et les failles détectées.

L'attaquant virtuel

L'attaquant virtuel utilisé par les simulations présente les caractéristiques suivantes :

• L'attaquant est externe : l'attaquant n'est pas un utilisateur légitime de votre environnementGoogle Cloud . Les simulations ne modélisent ni n'incluent les attaques d'utilisateurs malveillants ou négligents qui ont un accès légitime à votre environnement.
• Le pirate informatique commence par l'Internet public. Pour lancer une attaque, l'auteur de la menace doit d'abord accéder à votre environnement depuis l'Internet public.
• L'attaquant est persistant. L'attaquant ne sera pas découragé ni ne perdra intérêt en raison de la difficulté d'une méthode d'attaque particulière.
• L'attaquant est compétent et bien informé. Le pirate informatique tente d'accéder à vos ressources de forte valeur à l'aide de méthodes et de techniques connues.

Accès initial

Dans chaque simulation, un pirate informatique virtuel tente d'accéder aux ressources de votre environnement Google Cloud à partir de l'Internet public en utilisant les méthodes suivantes :

• Découvrez et connectez-vous aux services et ressources accessibles sur l'Internet public. Dans un environnement Google Cloud , cela peut inclure les éléments suivants :
  • Services sur les instances de machines virtuelles (VM) Compute Engine et les nœuds Google Kubernetes Engine
  • Bases de données
  • Conteneurs
  • Buckets Cloud Storage
  • Fonctions Cloud Run
• Accédez aux clés et aux identifiants. Dans un environnement Google Cloud , cela peut inclure les éléments suivants :
  • Clés de compte de service
  • Clés de chiffrement fournies par l'utilisateur
  • Clés SSH des instances de VM
  • Clés SSH à l'échelle du projet
  • Systèmes de gestion des clés externes
  • Comptes utilisateur pour lesquels l'authentification multifacteur (MFA) n'est pas appliquée
  • Jetons MFA virtuels interceptés
• Accès à des ressources cloud accessibles publiquement à l'aide d'identifiants volés ou en exploitant des failles.

Si la simulation trouve un point d'entrée possible dans l'environnement, elle demande à l'attaquant virtuel de tenter d'atteindre et de compromettre vos ressources de grande valeur à partir du point d'entrée en explorant et en exploitant successivement les configurations de sécurité et les failles de l'environnement.

Tactiques et techniques

La simulation utilise un large éventail de tactiques et de techniques, y compris l'exploitation d'accès légitimes, les déplacements latéraux, l'élévation des privilèges, les failles, les erreurs de configuration et l'exécution de code.

Intégration des données CVE

Lors du calcul des scores d'exposition aux attaques pour les résultats de failles, les simulations de chemins d'attaque tiennent compte des données de la fiche CVE de la faille, des scores CVSS, ainsi que des évaluations de l'exploitabilité de la faille fournies par Mandiant.

Les informations CVE suivantes sont prises en compte :

• Vecteur d'attaque : le pirate informatique doit disposer du niveau d'accès spécifié dans le vecteur d'attaque CVSS pour utiliser la CVE. Par exemple, une CVE avec un vecteur d'attaque réseau trouvé sur un composant avec une adresse IP publique et des ports ouverts peut être exploitée par un pirate informatique ayant accès au réseau. Si un pirate informatique n'a qu'un accès réseau et que la faille CVE nécessite un accès physique, il ne peut pas l'exploiter.
• Complexité de l'attaque : en général, un résultat de vulnérabilité ou de configuration incorrecte avec une faible complexité d'attaque est plus susceptible d'obtenir un score d'exposition aux attaques élevé qu'un résultat avec une complexité d'attaque élevée.
• Activité d'exploitation : en général, une faille présentant une activité d'exploitation étendue, telle que déterminée par les analystes du renseignement sur les cybermenaces de Mandiant, est plus susceptible d'obtenir un score d'exposition aux attaques élevé qu'une faille présentant uniquement une activité d'exploitation prévue. Une faille sans activité d'exploitation connue n'est pas prise en compte dans les simulations de chemin d'attaque.

Évaluations des risques multicloud

En plus de Google Cloud, Security Command Center peut exécuter des simulations de chemins d'attaque pour évaluer les risques dans vos déploiements sur plusieurs plates-formes de fournisseurs de services cloud.

Une fois que vous avez établi une connexion à une autre plate-forme, vous pouvez désigner vos ressources à forte valeur sur l'autre fournisseur de services cloud en créant des configurations de valeur de ressource, comme vous le feriez pour les ressources sur Google Cloud.

Security Command Center exécute des simulations pour une plate-forme cloud indépendamment des simulations exécutées pour d'autres plates-formes cloud.

Avant de créer la première configuration de valeur de ressource pour un autre fournisseur de services cloud, Security Command Center utilise un ensemble de ressources à forte valeur par défaut, spécifique à chaque fournisseur de services cloud.

Pour en savoir plus, consultez les ressources suivantes :