Questa pagina illustra concetti, principi e limitazioni chiave per aiutarti a conoscere, perfezionare e utilizzare i punteggi di esposizione agli attacchi e i percorsi di attacco generati dal motore di analisi dei rischi di Security Command Center.
I punteggi e i percorsi di attacco vengono generati per entrambi i seguenti elementi:
- Risultati su vulnerabilità ed errori di configurazione (risultati su vulnerabilità, collettivamente) che espongono le istanze di risorsa nel set di risorse di valore elevato effettivo.
- Le risorse del tuo set di risorse di alto valore efficace.
Per utilizzare i punteggi di esposizione agli attacchi e i percorsi di attacco, devi attivare il livello Security Command Center Premium o Enterprise a livello di organizzazione. Non puoi utilizzare i punteggi di esposizione agli attacchi e i percorsi di attacco con le attivazioni a livello di progetto.
I percorsi di attacco rappresentano possibilità
In un percorso di attacco non vedrai prove di un attacco effettivo.
Risk Engine genera percorsi di attacco e punteggi di esposizione agli attacchi simulando ciò che potrebbero fare ipotetici utenti malintenzionati se riuscissero ad accedere al tuo ambiente Google Cloud e scoprissero i percorsi di attacco e le vulnerabilità già rilevati da Security Command Center.
Ogni percorso di attacco mostra uno o più metodi di attacco che un malintenzionato potrebbe utilizzare se riuscisse ad accedere a una determinata risorsa. Non confondere questi metodi di attacco con attacchi reali.
Analogamente, un punteggio di esposizione agli attacchi elevato in una risorsa o in un risultato di Security Command Center non significa che sia in corso un attacco.
Per rilevare gli attacchi effettivi, monitora i risultati della classe THREAT
prodotti dai servizi di rilevamento delle minacce, come Event Threat Detection e Container Threat Detection.
Per ulteriori informazioni, consulta le seguenti sezioni di questa pagina:
Punteggi di esposizione agli attacchi
Un punteggio di esposizione agli attacchi in un risultato o in una risorsa di Security Command Center misura la misura in cui le risorse sono esposte a potenziali attacchi se un attore malintenzionato dovesse ottenere l'accesso al tuo ambiente Google Cloud.
In alcuni contesti, come la pagina Risultati della console Google Cloud, un punteggio di esposizione agli attacchi in un rilevamento di combinazioni dannose viene definito punteggio di combinazione tossica.
Nelle descrizioni della modalità di calcolo dei punteggi, nelle indicazioni generali sulla priorità della correzione dei risultati e in alcuni altri contesti, il termine punteggio di esposizione agli attacchi si applica anche ai punteggi delle combinazioni dannose.
In un risultato, il punteggio misura in che misura un problema di sicurezza rilevato espone una o più risorse di alto valore a potenziali attacchi informatici. Per una risorsa di alto valore, il punteggio misura quanto la risorsa è esposta a potenziali attacchi informatici.
Utilizza i punteggi relativi ai risultati di vulnerabilità del software, errori di configurazione e combinazioni tossiche per dare la priorità alla correzione di questi risultati.
Utilizza i punteggi di esposizione agli attacchi sulle risorse per proteggere in modo proattivo le risorse più importanti per la tua attività.
Nelle simulazioni del percorso di attacco, Risk Engine avvia sempre gli attacchi simulati dalla rete internet pubblica. Di conseguenza, i codici di esposizione agli attacchi non tengono conto di eventuali esposizioni a attori interni malintenzionati o negligenti.
Risultati che ricevono punteggi di esposizione agli attacchi
I punteggi di esposizione agli attacchi vengono applicati ai tipi di risultati attivi elencati nelle categorie di risultati supportate.
Le simulazioni dei percorsi di attacco includono i risultati disattivati, pertanto Risk Engine calcola i punteggi e i percorsi di attacco anche per questi risultati.
Le simulazioni del percorso di attacco includono solo i risultati attivi. I risultati con stato INACTIVE
non sono inclusi nelle simulazioni, pertanto non ricevono punteggi e non sono inclusi nei percorsi di attacco.
Risorse che ricevono punteggi di esposizione agli attacchi
Le simulazioni del percorso di attacco calcolano i punteggi di esposizione agli attacchi per i tipi di risorse supportati nel set di risorse di alto valore. Specifica le risorse che appartengono al set di risorse di alto valore creando configurazioni dei valori delle risorse.
Se una risorsa in un set di risorse di alto valore ha un punteggio di esposizione agli attacchi pari a 0, le simulazioni del percorso di attacco non hanno identificato alcun percorso per la risorsa che un potenziale utente malintenzionato potrebbe sfruttare.
Le simulazioni del percorso di attacco supportano i seguenti tipi di risorse:
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Calcolo del punteggio
Ogni volta che vengono eseguite le simulazioni del percorso di attacco, vengono ricalcolati i punteggi di esposizione agli attacchi. Ogni simulazione del percorso di attacco esegue in realtà diverse simulazioni in cui un utente malintenzionato simulato tenta di utilizzare metodi e tecniche di attacco noti per raggiungere e compromettere le risorse di valore.
Le simulazioni dei percorsi di attacco possono essere eseguite fino a quattro volte al giorno (ogni sei ore). Man mano che la tua organizzazione cresce, le simulazioni richiedono più tempo, ma verranno sempre eseguite almeno una volta al giorno. Le esecuzioni della simulazione non vengono attivate dalla creazione, dalla modifica o dall'eliminazione di risorse o configurazioni dei valori delle risorse.
Le simulazioni calcolano i punteggi utilizzando una serie di metriche, tra cui:
- Il valore di priorità assegnato alle risorse di alto valore esposte.
I valori di priorità che puoi assegnare sono:
- ALTO = 10
- MED = 5
- LOW = 1
- Il numero di percorsi possibili che un utente malintenzionato potrebbe seguire per raggiungere una determinata risorsa.
- Il numero di volte in cui un utente malintenzionato simulato è in grado di raggiungere e compromettere una risorsa di alto valore alla fine di un determinato percorso di attacco, espresso in percentuale rispetto al numero totale di simulazioni.
- Solo per i risultati, il numero di risorse di alto valore esposte dalla vulnerabilità o dalla configurazione errata rilevata.
Per le risorse, i punteggi di esposizione agli attacchi possono variare da 0 a 10.
A un livello generale, le simulazioni calcolano i punteggi delle risorse moltiplicando la percentuale di attacchi riusciti per il valore di priorità numerico delle risorse.
Per i risultati, i punteggi non hanno un limite superiore fisso. Più spesso si verifica un risultato nei percorsi di attacco alle risorse esposte nel set di risorse di alto valore e più elevati sono i valori di priorità di queste risorse, maggiore è il punteggio.
Ad alto livello, le simulazioni calcolano i punteggi dei risultati utilizzando lo stesso calcolo utilizzato per i punteggi delle risorse, ma per i punteggi dei risultati le simulazioni moltiplicano il risultato del calcolo per il numero di risorse di alto valore esposte dal risultato.
Modifica dei punteggi
I punteggi possono cambiare ogni volta che viene eseguita una simulazione del percorso di attacco. Un risultato o una risorsa con un punteggio pari a zero oggi potrebbe avere un punteggio diverso da zero domani.
I punteggi cambiano per diversi motivi, tra cui:
- Il rilevamento o la correzione di una vulnerabilità che esponga direttamente o indirettamente una risorsa di alto valore.
- L'aggiunta o la rimozione di risorse nel tuo ambiente.
Le modifiche ai risultati o alle risorse dopo l'esecuzione di una simulazione non vengono riportate nei punteggi fino all'esecuzione della simulazione successiva.
Utilizzare i punteggi per dare la priorità alla ricerca di correzioni
Per dare la priorità in modo efficace alla correzione dei risultati in base alla loro esposizione agli attacchi o ai punteggi delle combinazioni dannose, tieni presente i seguenti punti:
- Qualsiasi risultato con un punteggio superiore a zero espone in qualche modo una risorsa di alto valore a un potenziale attacco, pertanto la rimediazione deve avere la priorità sui risultati con un punteggio pari a zero.
- Maggiore è il punteggio di un risultato, maggiore è l'esposizione delle tue risorse di alto valore e maggiore deve essere la priorità data alla correzione.
In genere, assegna la massima priorità alla correzione dei risultati con i punteggi più elevati e che bloccano in modo più efficace i percorsi di attacco alle tue risorse di alto valore.
Se i punteggi di un risultato di combinazione tossica e di un risultato in un'altra classe sono più o meno uguali, dai la priorità alla correzione del risultato di combinazione tossica, perché rappresenta un percorso completo dalla rete internet pubblica a una o più risorse di alto valore che un utente malintenzionato può potenzialmente seguire se ha ottenuto l'accesso al tuo ambiente cloud.
Nella pagina Risultati di Security Command Center nella console Google Cloud o nella console Security Operations, puoi ordinare i risultati nel riquadro della pagina in base al punteggio facendo clic sull'intestazione della colonna.
Nella console Google Cloud, puoi anche visualizzare i risultati con i punteggi più elevati aggiungendo un filtro alla query dei risultati che restituisce solo i risultati con un punteggio di esposizione agli attacchi superiore a un numero specificato.
Nella pagina Richieste della console Security Operations, puoi anche ordinare le richieste relative alle combinazioni tossiche in base al punteggio di esposizione agli attacchi.
Risultati che non possono essere corretti.
In alcuni casi, potresti non essere in grado di correggere un rilevamento con un punteggio di esposizione agli attacchi elevato, perché rappresenta un rischio noto e accettato o perché non è possibile correggerlo facilmente. In questi casi, potresti dover mitigare il rischio in altri modi. La revisione del percorso di attacco associato potrebbe darti idee per altre possibili mitigazioni.
Utilizzare i punteggi di esposizione agli attacchi per proteggere le risorse
Un punteggio di esposizione agli attacchi diverso da zero per una risorsa indica che le simulazioni del percorso di attacco hanno identificato uno o più percorsi di attacco dall'internet pubblico alla risorsa.
Per visualizzare i punteggi di esposizione agli attacchi per le tue risorse di alto valore:
Nella console Google Cloud, vai alla pagina Asset di Security Command Center.
Seleziona la scheda Set di risorse di alto valore. Le risorse nel set di risorse di alto valore vengono visualizzate in ordine decrescente in base al punteggio di esposizione agli attacchi.
Per visualizzare i percorsi di attacco per una risorsa, fai clic sul numero corrispondente nella riga della colonna Punteggio di esposizione all'attacco. Vengono visualizzati i percorsi di attacco dalla rete internet pubblica alla risorsa.
Esamina i percorsi di attacco cercando cerchi rossi sui nodi che indicano i risultati. Per informazioni su come interpretare i percorsi di attacco, consulta Percorsi di attacco.
Fai clic su un nodo con un cerchio rosso per visualizzare i risultati.
Intervieni per risolvere i problemi rilevati.
Puoi anche visualizzare i punteggi di esposizione agli attacchi delle risorse di alto valore nella scheda Simulazioni del percorso di attacco in Impostazioni facendo clic su Visualizza le risorse con valori utilizzate nell'ultima simulazione.
Punteggi di esposizione agli attacchi pari a 0
Un punteggio di esposizione agli attacchi pari a 0
in una risorsa indica che, nelle ultime simulazioni dei percorsi di attacco, Security Command Center non ha identificato potenziali percorsi che un utente malintenzionato potrebbe seguire per raggiungere la risorsa.
Un punteggio di esposizione agli attacchi pari a 0
per un risultato indica che, nell'ultima simulazione di attacco, l'utente malintenzionato simulato non è riuscito a raggiungere risorse di alto valore tramite il risultato.
Tuttavia, un punteggio di esposizione agli attacchi pari a 0
non significa che non esista alcun rischio. Un punteggio di esposizione agli attacchi riflette
l'esposizione dei servizi, delle risorse e dei risultati di Security Command Center di Google Cloud supportati a potenziali minacce provenienti da internet pubblico. Ad esempio, i punteggi non tengono conto delle minacce provenienti da attori interni, vulnerabilità zero-day o infrastrutture di terze parti.
Nessun punteggio di esposizione agli attacchi
Se un risultato o una risorsa non ha un punteggio, i motivi possono essere i seguenti:
- Il risultato è stato emesso dopo l'ultima simulazione del percorso di attacco.
- La risorsa è stata aggiunta al tuo set di risorse di alto valore dopo l'ultima simulazione del percorso di attacco.
- Al momento la funzionalità di esposizione agli attacchi non supporta la categoria del rilevamento o il tipo di risorsa.
Per un elenco delle categorie di risultati supportate, consulta Supporto delle funzionalità del motore di rischio.
Per un elenco dei tipi di risorse supportati, consulta Risorse che ricevono punteggi di esposizione agli attacchi.
Valori delle risorse
Sebbene tutte le risorse su Google Cloud abbiano un valore, Security Command Center identifica i percorsi di attacco e calcola i punteggi di esposizione agli attacchi solo per le risorse che designi come risorse di alto valore (a volte chiamate risorse importanti).
Risorse di alto valore
Una risorsa di alto valore su Google Cloud è una risorsa particolarmente importante per la tua attività da proteggere da potenziali attacchi. Ad esempio, le risorse di alto valore potrebbero essere quelle che archiviano i tuoi dati importanti o sensibili o che ospitano i tuoi carichi di lavoro critici per l'attività.
Una risorsa viene designata come risorsa di alto valore definendone gli attributi in una configurazione del valore della risorsa. Fino a un limite di 1000 istanze di risorse, Security Command Center tratta come risorsa di alto valore qualsiasi istanza di risorsa che corrisponde agli attributi specificati nella configurazione.
Valori di priorità
Tra le risorse che designi come di alto valore, è probabile che tu debba dare la priorità alla sicurezza di alcune rispetto ad altre. Ad esempio, un insieme di risorse di dati potrebbe contenere dati di alto valore, ma alcune di queste risorse potrebbero contenere dati più sensibili rispetto agli altri.
Affinché i punteggi riflettano la tua necessità di dare la priorità alla sicurezza delle risorse all'interno del set di risorse di alto valore, assegni un valore di priorità nelle configurazioni dei valori delle risorse che designa le risorse come di alto valore.
Se utilizzi la Protezione dei dati sensibili, puoi anche dare la priorità alle risorse automaticamente in base alla sensibilità dei dati che contengono.
Impostare manualmente i valori di priorità delle risorse
In una configurazione del valore della risorsa, assegni una priorità alle risorse di alto valore corrispondenti specificando uno dei seguenti valori di priorità:
LOW
= 1MEDIUM
= 5HIGH
= 10NONE
= 0
Se specifichi un valore di priorità LOW
in una configurazione del valore della risorsa,
le risorse corrispondenti sono comunque risorse di alto valore; le simulazioni del percorso di attacco
le trattano semplicemente con una priorità inferiore e assegnano loro un
punteggio di esposizione agli attacchi inferiore rispetto alle risorse di alto valore che hanno un
valore di priorità MEDIUM
o HIGH
.
Se più configurazioni assegnano valori diversi per la stessa risorsa, viene applicato il valore più alto, a meno che una configurazione non assegni un valore NONE
.
Un valore della risorsa pari a NONE
esclude le risorse corrispondenti dall'essere considerate risorse di alto valore e sostituisce qualsiasi altra configurazione del valore della risorsa per la stessa risorsa. Per questo motivo, assicurati che qualsiasi configurazione che specifica NONE
si applichi solo a un insieme limitato di risorse.
Impostare automaticamente i valori di priorità delle risorse in base alla sensibilità dei dati
Se utilizzi il rilevamento di Sensitive Data Protection e pubblichi i profili di dati in Security Command Center, puoi configurare Security Command Center in modo da impostare automaticamente il valore di priorità di determinate risorse di alto valore in base alla sensibilità dei dati che contengono.
Attiva la definizione della priorità in base alla sensibilità dei dati quando specifichi le risorse in una configurazione del valore della risorsa.
Se è attivata, se il rilevamento di Sensitive Data Protection classifica i dati di una risorsa come sensibili al livello MEDIUM
o HIGH
, per impostazione predefinita le simulazioni del percorso di attacco impostano lo stesso valore di priorità per la risorsa.
I livelli di sensibilità dei dati sono definiti da Sensitive Data Protection, ma puoi interpretarli come segue:
- Dati altamente sensibili
- Il rilevamento di Sensitive Data Protection ha trovato almeno un'istanza di dati ad alta sensibilità nella risorsa.
- Dati con sensibilità media
- Il rilevamento di Sensitive Data Protection ha trovato almeno un'istanza di dati di media sensibilità nella risorsa e nessuna istanza di dati di alta sensibilità.
- Dati a bassa sensibilità
- Il rilevamento di Sensitive Data Protection non ha rilevato dati sensibili o testo libero o dati non strutturati nella risorsa.
Se il rilevamento di Sensitive Data Protection identifica solo dati con sensibilità bassa in una risorsa di dati corrispondente, la risorsa non viene designata come risorsa di alto valore.
Se hai bisogno che le risorse di dati che contengono solo dati con sensibilità bassa vengano designate come risorse di alto valore con una priorità bassa, crea una configurazione del valore della risorsa duplicata, ma specifica un valore di priorità LOW
anziché attivare la definizione della priorità in base alla sensibilità dei dati.
La configurazione che utilizza la protezione dei dati sensibili supera la configurazione che assegna il valore di priorità LOW
, ma solo per le risorse che contengono dati con sensibilità HIGH
o MEDIUM
.
Puoi modificare i valori di priorità predefiniti utilizzati da Security Command Center quando vengono rilevati dati sensibili nella configurazione del valore della risorsa.
Per ulteriori informazioni su Sensitive Data Protection, consulta Panoramica di Sensitive Data Protection.
Priorità in base alla sensibilità dei dati e set di risorse di alto valore predefinite
Prima di creare il tuo set di risorse di alto valore, Security Command Center utilizza un set di risorse di alto valore predefinito per calcolare i punteggi di esposizione agli attacchi e i percorsi di attacco.
Se utilizzi la funzionalità di rilevamento di Sensitive Data Protection, Security Command Center aggiunge automaticamente istanze di tipi di risorse di dati supportati che contengono dati con sensibilità HIGH
o MEDIUM
all'insieme di risorse di alto valore predefinito.
Tipi di risorse Google Cloud supportati per i valori di priorità automatici in base alla sensibilità dei dati
Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati della scoperta di Sensitive Data Protection solo per i seguenti tipi di risorse di dati:
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Tipi di risorse AWS supportati per i valori di priorità della sensibilità dei dati automatici
Le simulazioni del percorso di attacco possono impostare automaticamente i valori di priorità in base alle classificazioni della sensibilità dei dati della ricerca di Sensitive Data Protection solo per i seguenti tipi di risorse di dati AWS:
- Bucket Amazon S3
Set di risorse di alto valore
Un insieme di risorse di alto valore è una raccolta definita delle risorse nel tuo ambiente Google Cloud più importanti da proteggere e mettere al sicuro.
Per definire l'insieme di risorse di alto valore, devi specificare quali risorse nel tuo ambiente Google Cloud appartengono all'insieme di risorse di alto valore. Fino a quando non definisci il set di risorse di alto valore, i punteggi di esposizione agli attacchi, i percorsi di attacco e i risultati delle combinazioni tossiche non riflettono con precisione le tue priorità di sicurezza.
Specifica le risorse nel set di risorse di alto valore creando configurazioni dei valori delle risorse. La combinazione di tutte le configurazioni dei valori delle risorse definisce l'insieme di risorse di alto valore. Per ulteriori informazioni, consulta la sezione Configurazioni dei valori delle risorse.
Fino a quando non definisci la prima configurazione del valore della risorsa, Security Command Center utilizza un insieme di risorse di alto valore predefinito. L'insieme predefinito si applica in tutta l'organizzazione a tutti i tipi di risorse supportati dalle simulazioni di percorsi di attacco. Per ulteriori informazioni, consulta Set di risorse di alto valore predefinito.
Per visualizzare il set di risorse di alto valore utilizzato nell'ultima simulazione del percorso di attacco, inclusi i punteggi di esposizione agli attacchi e le configurazioni corrispondenti, consulta Visualizzare il set di risorse di alto valore.
Configurazioni dei valori delle risorse
Gestisci le risorse nel tuo insieme di risorse di alto valore con le configurazioni dei valori delle risorse.
Puoi creare configurazioni di valori delle risorse nella scheda Simulazione percorso di attacco della pagina Impostazioni di Security Command Center nella console Google Cloud.
In una configurazione del valore della risorsa, specifichi gli attributi che una risorsa deve avere affinché Security Command Center la aggiunga al tuo set di risorse di valore elevato.
Gli attributi che puoi specificare includono il tipo di risorsa, i tag delle risorse, le etichette delle risorse e il progetto, la cartella o l'organizzazione principale.
Assegna anche un valore della risorsa alle risorse in una configurazione. Il valore della risorsa assegna la priorità alle risorse in una configurazione rispetto alle altre risorse nell'insieme di risorse di alto valore. Per ulteriori informazioni, consulta Valori delle risorse.
Puoi creare fino a 100 configurazioni dei valori delle risorse in un'organizzazione Google Cloud.
Tutte le configurazioni dei valori delle risorse che crei insieme formano il set di risorse di alto valore utilizzato da Security Command Center per le simulazioni dei percorsi di attacco.
Attributi risorsa
Affinché una risorsa venga inclusa nell'insieme di risorse di alto valore, i suoi attributi devono corrispondere a quelli specificati in una configurazione del valore della risorsa.
Gli attributi che puoi specificare includono:
- Un tipo di risorsa o
Any
. Quando viene specificatoAny
, la configurazione si applica a tutti i tipi di risorse supportati nell'ambito specificato.Any
è il valore predefinito. - Un ambito (l'organizzazione, la cartella o il progetto principale) in cui devono trovarsi le risorse. L'ambito predefinito è la tua organizzazione. Se specifichi un'organizzazione o una cartella, la configurazione si applica anche alle risorse nelle cartelle o nei progetti secondari.
- Facoltativamente, uno o più tag o etichette che ogni risorsa deve contenere.
Se specifichi una o più configurazioni dei valori delle risorse, ma nessuna risorsa nel tuo ambiente Google Cloud corrisponde agli attributi specificati in una delle configurazioni, Security Command Center genera un rilevamento SCC Error
e passa all'impostazione predefinita dell'insieme di risorse di alto valore.
Set di risorse di alto valore predefinito
Security Command Center utilizza un insieme predefinito di risorse di alto valore per calcolare i punteggi di esposizione agli attacchi quando non sono definite configurazioni dei valori delle risorse o quando nessuna configurazione definita corrisponde a nessuna risorsa.
Security Command Center assegna alle risorse nella risorsa di valore elevato predefinita un valore di priorità LOW
, a meno che non utilizzi la funzionalità di rilevamento di Sensitive Data Protection, nel qual caso assegna alle risorse che contengono dati con sensibilità elevata o media un valore di priorità corrispondente di HIGH
o MEDIUM
.
Se hai almeno una configurazione del valore della risorsa che corrisponde almeno a una risorsa nel tuo ambiente, Security Command Center interrompe l'utilizzo dell'insieme di risorse di alto valore predefinito.
Per ricevere punteggi di esposizione agli attacchi e combinazioni dannose che riflettano con precisione le tue priorità di sicurezza, sostituisci il set di risorse di valore elevato predefinito con il tuo set di risorse di valore elevato. Per ulteriori informazioni, consulta Definire e gestire il set di risorse di alto valore.
L'elenco seguente mostra i tipi di risorse inclusi nel set di risorse di valore elevato predefinito:
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Limite di risorse in un set di risorse di alto valore
Security Command Center limita a 1000 il numero di risorse in un set di risorse di alto valore.
Se le specifiche degli attributi in una o più configurazioni dei valori delle risorse sono molto ampie, il numero di risorse che corrispondono alle specifiche degli attributi può superare 1000.
Quando il numero di risorse corrispondenti supera il limite, Security Command Center esclude le risorse dall'insieme finché il numero di risorse non rientra nel limite. Security Command Center esclude prima le risorse con il valore assegnato più basso. Tra le risorse con lo stesso valore assegnato, Security Command Center esclude le istanze di risorsa in base a un algoritmo che distribuisce le risorse escluse tra i tipi di risorsa.
Una risorsa esclusa dal set di risorse di alto valore non viene considerata nel calcolo dei punteggi di esposizione agli attacchi.
Per avvisarti quando viene superato il limite di istanze per il calcolo del punteggio, Security Command Center genera un risultato SCC error
e mostra un messaggio nella scheda delle impostazioni della simulazione del percorso di attacco nella console Google Cloud.
Security Command Center non emette un risultato SCC error
se l'insieme predefinito di valori elevati supera il limite di istanze.
Per evitare di superare il limite, modifica le configurazioni dei valori delle risorse per perfezionare le istanze nel set di risorse di alto valore.
Ecco alcune cose che puoi fare per perfezionare il tuo set di risorse di alto valore:
- Utilizza i tag o le etichette per ridurre il numero di corrispondenze per un determinato tipo di risorsa o in un ambito specificato.
- Crea una configurazione del valore della risorsa che assegna un valore di
NONE
a un sottoinsieme delle risorse specificate in un'altra configurazione. La specifica di un valoreNONE
ha la precedenza su qualsiasi altra configurazione ed esclude le istanze di risorse dal set di risorse di alto valore. - Riduci la specifica dell'ambito nella configurazione del valore della risorsa.
- Elimina le configurazioni dei valori delle risorse che assegnano un valore di
LOW
.
Selezione delle risorse di alto valore
Per compilare l'insieme di risorse di alto valore, devi decidere quali istanze di risorse nel tuo ambiente sono di alto valore.
In genere, le risorse di alto valore sono quelle che elaborano e archiviano i dati sensibili. Ad esempio, su Google Cloud, possono essere istanze Compute Engine, un set di dati BigQuery o un bucket Cloud Storage.
Non è necessario designare come di alto valore le risorse adiacenti alle risorse di alto valore, ad esempio un jump server. Le simulazioni del percorso di attacco tengono già conto di queste risorse adiacenti e, se le designi anche come di alto valore, i tuoi punteggi di esposizione agli attacchi potrebbero essere meno affidabili.
Supporto multicloud
Le simulazioni del percorso di attacco possono valutare i rischi nei tuoi implementazioni su altre piattaforme di fornitori di servizi cloud.
Dopo aver stabilito una connessione a un'altra piattaforma, puoi designare le tue risorse di alto valore sull'altro provider di servizi cloud creando configurazioni dei valori delle risorse, come faresti per le risorse su Google Cloud.
Security Command Center esegue simulazioni per una piattaforma cloud indipendentemente dalle simulazioni eseguite per altre piattaforme cloud.
Prima di creare la prima configurazione del valore della risorsa per un altro fornitore di servizi cloud, Security Command Center utilizza un insieme di risorse predefinite di alto valore specifico per il fornitore di servizi cloud. L'insieme predefinito di risorse di alto valore designa come tali tutte le risorse supportate.
Piattaforme dei provider di servizi cloud supportate
Oltre a Google Cloud, Security Command Center può eseguire simulazioni di percorsi di attacco per Amazon Web Services (AWS). Per ulteriori informazioni, vedi:
- Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio
- Supporto di Risk Engine per AWS
Percorsi di attacco
Un percorso di attacco è una rappresentazione visiva interattiva di uno o più potenziali percorsi che un utente malintenzionato ipotetico potrebbe seguire per passare dalla rete internet pubblica a una delle tue istanze di risorse di alto valore.
Le simulazioni del percorso di attacco identificano potenziali percorsi di attacco modellando ciò che accadrebbe se un utente malintenzionato applicasse metodi di attacco noti alle vulnerabilità e alle configurazioni errate rilevate da Security Command Center nel tuo ambiente per cercare di raggiungere le tue risorse di alto valore.
Puoi visualizzare i percorsi di attacco facendo clic sul punteggio di esposizione agli attacchi su una risorsa o un rilevamento nella console Google Cloud.
Quando visualizzi una richiesta relativa a una combinazione tossica nella console Security Operations, puoi visualizzare un percorso di attacco semplificato per la combinazione tossica nella scheda Panoramica della richiesta. Il percorso di attacco semplificato include un link al percorso di attacco completo. Per ulteriori informazioni sui percorsi di attacco per i risultati relativi alle combinazioni tossiche, consulta Percorsi di attacco delle combinazioni tossiche.
Quando visualizzi percorsi di attacco più grandi, puoi modificarne la visualizzazione trascinando il selettore dell'area di interesse quadrato rosso attorno alla visualizzazione in miniatura del percorso di attacco sul lato destro del display.
In un percorso di attacco, le risorse su un percorso di attacco vengono rappresentate come caselle o nodi. Le linee rappresentano la potenziale accessibilità tra le risorse. I nodi e le linee rappresentano insieme il percorso di attacco.
Nodi del percorso di attacco
I nodi in un percorso di attacco rappresentano le risorse in un percorso di attacco.
Visualizzazione delle informazioni sul nodo
Puoi visualizzare ulteriori informazioni su ciascun nodo in un percorso di attacco facendoci clic sopra.
Se fai clic sul nome della risorsa in un nodo, vengono visualizzate ulteriori informazioni sulla risorsa, nonché eventuali risultati che la riguardano.
Se fai clic su Espandi nodo, vengono visualizzati i possibili metodi di attacco che un malintenzionato potrebbe utilizzare se riuscisse ad accedere alla risorsa.
Tipi di nodi
Esistono tre diversi tipi di nodi:
- Il punto di partenza o punto di contatto dell'attacco simulato, ovvero internet pubblico. Se fai clic su un nodo del punto di accesso, viene visualizzata una descrizione del punto di accesso insieme ai metodi di attacco che un malintenzionato potrebbe utilizzare per accedere al tuo ambiente.
- Le risorse interessate che un utente malintenzionato può utilizzare per avanzare in un percorso.
- La risorsa esposta alla fine di un percorso, che è una delle risorse nel tuo set di risorse di alto valore. Solo una risorsa in un set di risorse di alto valore definito o predefinito può essere una risorsa esposta. Puoi definire un insieme di risorse di alto valore creando configurazioni dei valori delle risorse.
Nodi upstream e downstream
In un percorso di attacco, un nodo può essere a monte o a valle rispetto agli altri nodi. Un nodo a monte è più vicino al punto di ingresso e all'inizio del percorso di attacco. Un nodo a valle è più vicino alla risorsa di alto valore esposta nella parte inferiore del percorso di attacco.
Nodi che rappresentano più istanze di risorse del contenitore
Un nodo può rappresentare più istanze di determinati tipi di risorse contenitore se le istanze condividono le stesse caratteristiche.
Più istanze dei seguenti tipi di risorse contenitore possono essere rappresentate da un singolo nodo:
- Controller ReplicaSet
- Deployment Controller
- Job Controller
- CronJob Controller
- Controller DaemonSet
Linee del percorso di attacco
In un percorso di attacco, le linee tra le caselle rappresentano la potenziale accessibilità tra le risorse che un utente malintenzionato potrebbe sfruttare per raggiungere una risorsa di alto valore.
Le linee non rappresentano una relazione tra le risorse definita in Google Cloud.
Se esistono più percorsi che rimandano a un nodo a valle da più nodi a monte, questi ultimi possono avere una relazione AND
tra di loro o una relazione OR
tra di loro.
Una relazione AND
indica che un malintenzionato deve accedere a entrambi i nodi a monte per accedere a un nodo a valle nel percorso.
Ad esempio, una linea diretta dall'internet pubblico a una risorsa di alto valore alla fine di un percorso di attacco ha una relazione AND
con almeno un'altra linea nel percorso di attacco. Un malintenzionato non potrebbe raggiungere la risorsa di alto valore a meno che non ottenga l'accesso sia al tuo ambiente Google Cloud sia ad almeno un'altra risorsa indicata nel percorso di attacco.
Una relazione OR
indica che un malintenzionato deve accedere a un solo nodo OR
per accedere al nodo OR
.
Simulazioni del percorso di attacco
Per determinare tutti i possibili percorsi di attacco e calcolare i punteggi di esposizione agli attacchi, Security Command Center esegue simulazioni avanzate dei percorsi di attacco.
Pianificazione della simulazione
Le simulazioni dei percorsi di attacco possono essere eseguite fino a quattro volte al giorno (ogni sei ore). Man mano che la tua organizzazione cresce, le simulazioni richiedono più tempo, ma verranno sempre eseguite almeno una volta al giorno. Le esecuzioni della simulazione non vengono attivate dalla creazione, dalla modifica o dall'eliminazione di risorse o configurazioni dei valori delle risorse.
Passaggi della simulazione del percorso di attacco
Le simulazioni sono costituite da tre passaggi:
- Generazione del modello: un modello del tuo ambiente Google Cloud viene generato automaticamente in base ai dati dell'ambiente. Il modello è una rappresentazione grafica del tuo ambiente, personalizzata per le analisi dei percorsi di attacco.
- Simulazione del percorso di attacco: le simulazioni del percorso di attacco vengono eseguite sul modello di grafo. Durante le simulazioni, un utente malintenzionato virtuale tenta di raggiungere e compromettere le risorse nel tuo set di risorse di alto valore. Le simulazioni sfruttano le informazioni su ogni risorsa e relazione specifiche, tra cui reti, IAM, configurazioni, configurazioni errate e vulnerabilità.
- Report di approfondimenti: in base alle simulazioni, Security Command Center assegna punteggi di esposizione agli attacchi alle risorse di alto valore e ai risultati che le espongono e visualizza i potenziali percorsi che un malintenzionato potrebbe seguire per raggiungere queste risorse.
Caratteristiche di esecuzione della simulazione
Oltre a fornire i punteggi di esposizione agli attacchi, gli approfondimenti sui percorsi di attacco e i percorsi di attacco, le simulazioni dei percorsi di attacco hanno le seguenti caratteristiche:
- Non influiscono sul tuo ambiente di produzione: tutte le simulazioni vengono eseguite su un modello virtuale e utilizzano solo l'accesso in lettura per la creazione del modello.
- Sono dinamiche: il modello viene creato senza agenti tramite accesso in lettura alle API, il che consente alle simulazioni di seguire dinamicamente le modifiche apportate all'ambiente nel tempo.
- Un malintenzionato virtuale prova tutti i metodi e le vulnerabilità possibili per raggiungere e compromettere le tue risorse di alto valore. Sono inclusi non solo i "fatti noti", come vulnerabilità, configurazioni, configurazioni errate e relazioni di rete, ma anche i "fatti noti sconosciuti" con probabilità più bassa, ovvero i rischi di cui siamo a conoscenza, come la possibilità di phishing o fuga di credenziali.
- Sono automatizzati: la logica di attacco è integrata nello strumento. Non è necessario creare o gestire insiemi estesi di query o set di dati di grandi dimensioni.
Scenario e funzionalità dell'aggressore
Nelle simulazioni, Security Command Center ha una rappresentazione logica del tentativo di un malintenzionato di sfruttare le tue risorse di alto valore ottenendo l'accesso al tuo ambiente Google Cloud e seguendo potenziali percorsi di accesso attraverso le tue risorse e le vulnerabilità rilevate.
L'attaccante virtuale
L'aggressore virtuale utilizzato dalle simulazioni presenta le seguenti caratteristiche:
- L'autore dell'attacco è esterno: non è un utente legittimo del tuo ambiente Google Cloud. Le simulazioni non modellano né includono attacchi da parte di utenti malintenzionati o negligenti che hanno accesso legittimo al tuo ambiente.
- L'utente malintenzionato inizia dalla rete internet pubblica. Per iniziare un attacco, l'autore deve prima accedere al tuo ambiente dall'internet pubblico.
- L'aggressore è persistente. L'aggressore non si scoraggerà né perderà interesse a causa della difficoltà di un determinato metodo di attacco.
- L'attaccante è esperto e competente. L'utente malintenzionato tenta di utilizzare metodi e tecniche noti per accedere alle tue risorse di alto valore.
Accesso iniziale
In ogni simulazione, un attaccante virtuale tenta di accedere alle risorse del tuo ambiente dall'internet pubblico utilizzando i seguenti metodi:
- Scopri e connettiti a tutti i servizi e le risorse accessibili dall'internet pubblico:
- Servizi sulle istanze di macchine virtuali (VM) di Compute Engine e sui nodi di Google Kubernetes Engine
- Database
- Container
- Bucket Cloud Storage
- Funzioni Cloud Run
- Accedi a chiavi e credenziali, tra cui:
- Chiavi account di servizio
- Chiavi di crittografia fornite dall'utente
- Chiavi SSH delle istanze VM
- Chiavi SSH a livello di progetto
- Sistemi di gestione chiavi esterni
- Account utente in cui l'autenticazione a più fattori (MFA) non è impostata
- Token MFA virtuali intercettati
- Ottenere l'accesso alle risorse cloud raggiungibili pubblicamente tramite l'uso di credenziali rubate o sfruttando le vulnerabilità segnalate da Mandiant Attack Surface Management e VM Manager
Se la simulazione trova un possibile punto di accesso all'ambiente, l'utente malintenzionato virtuale tenta di raggiungere e compromettere le risorse di alto valore dal punto di accesso esplorando e sfruttando consecutivamente le configurazioni e le vulnerabilità di sicurezza all'interno dell'ambiente.
Tattiche e tecniche
La simulazione utilizza una vasta gamma di tattiche e tecniche, tra cui l'utilizzo di accessi legittimi, movimenti laterali, escalation dei privilegi, vulnerabilità, configurazioni errate ed esecuzione di codice.
Incorporazione dei dati CVE
Durante il calcolo dei punteggi di esposizione agli attacchi per i risultati relativi alle vulnerabilità, le simulazioni dei percorsi di attacco prendono in considerazione i dati del record CVE della vulnerabilità, i punteggi CVSS, nonché le valutazioni dell'esplorabilità della vulnerabilità fornite da Mandiant.
Vengono prese in considerazione le seguenti informazioni CVE:
- Vettore di attacco: l'utente malintenzionato deve disporre del livello di accesso specificato nel vettore di attacco CVSS per utilizzare la CVE. Ad esempio, una CVE con un vettore di attacco di rete rilevata in una risorsa con indirizzo IP pubblico e porte aperte può essere sfruttata da un malintenzionato con accesso alla rete. Se un malintenzionato ha solo accesso alla rete e la CVE richiede l'accesso fisico, non può sfruttarla.
- Complessità dell'attacco: in genere, un rilevamento di vulnerabilità o di configurazione errata con una bassa complessità dell'attacco ha maggiori probabilità di ottenere un punteggio di esposizione agli attacchi elevato rispetto a un rilevamento con una complessità dell'attacco elevata.
- Attività di sfruttamento: in genere, un rilevamento di vulnerabilità con attività di sfruttamento estese, come stabilito dagli analisti di Mandiant Threat Intelligence, ha maggiori probabilità di ottenere un punteggio di esposizione agli attacchi elevato rispetto a un rilevamento senza attività di sfruttamento note.