Pontuações de exposição a ataques e caminhos de ataque

Nesta página, explicamos os principais conceitos, princípios e restrições para ajudar você a conhecer, refinar e usar as pontuações de exposição a ataques e os caminhos de ataque gerados pelo mecanismo de risco do Security Command Center.

As pontuações e os caminhos de ataque são gerados para os dois casos a seguir:

• Descobertas de vulnerabilidade e configuração incorreta (coletivamente, descobertas) que expõem as instâncias de recursos no conjunto de recursos de alto valor efetivo.
• Os recursos no seu conjunto de recursos de alto valor efetivo.
• Problemas no Security Command Center Enterprise, que contêm combinações tóxicas e gargalos.

Para usar pontuações de exposição a ataques e caminhos de ataque, ative o nível Premium ou Enterprise do Security Command Center no nível da organização. Não é possível usar pontuações de exposição a ataques e caminhos de ataque com ativações no nível do projeto.

Os caminhos de ataque representam possibilidades

Você não verá evidências de um ataque real em um caminho de ataque.

O Risk Engine gera caminhos e pontuações de exposição a ataques simulando o que os invasores hipotéticos poderiam fazer se tivessem acesso ao seu ambiente Google Cloud e descobrissem os caminhos de ataque e as vulnerabilidades que o Security Command Center já encontrou.

Cada caminho de ataque mostra um ou mais métodos de ataque que um invasor poderia usar se tivesse acesso a um recurso específico. Não confunda esses métodos com ataques reais.

Da mesma forma, uma pontuação alta de exposição a ataques em qualquer um dos seguintes itens não significa que um ataque está em andamento:

• Uma descoberta ou um recurso do Security Command Center
• Um problema do Security Command Center Enterprise

Para monitorar ataques reais, monitore as descobertas da classe THREAT produzidas pelos serviços de detecção de ameaças, como Event Threat Detection e Container Threat Detection.

Para mais informações, consulte as seguintes seções nesta página:

• Pontuações de exposição a ataques
• Caminhos de ataque
• Simulações de caminho de ataque

Pontuações de exposição a ataques

Uma pontuação de exposição a ataques aparece para o seguinte:

• Uma descoberta ou um recurso do Security Command Center
• Um problema do Security Command Center Enterprise

Uma pontuação de exposição a ataques é uma medida de como os recursos estão expostos a um possível ataque se um usuário malicioso tiver acesso ao seu ambiente do Google Cloud.

Uma pontuação de exposição a ataques em uma descoberta de combinação tóxica ou ponto de gargalo é chamada de pontuação de combinação tóxica em alguns contextos, como a página Descobertas no console do Google Cloud .

Nas descrições de como as pontuações são calculadas, nas orientações gerais sobre priorizar a correção de descobertas e em outros contextos, o termo pontuação de exposição a ataques também se aplica às pontuações de combinação tóxica.

Em uma descoberta, a pontuação é uma medida de quanto um problema de segurança detectado expõe um ou mais recursos de alto valor a possíveis ataques cibernéticos. Em um recurso de alto valor, a pontuação é uma medida de quanto o recurso está exposto a possíveis ataques cibernéticos.

Use as pontuações de vulnerabilidade de software, configuração incorreta e combinação tóxica ou descobertas de ponto de estrangulamento^Prévia para priorizar a correção dessas descobertas.

Use as pontuações de exposição a ataques nos recursos para proteger proativamente os recursos mais valiosos para sua empresa.

Nas simulações de caminho de ataque, o Risk Engine sempre inicia os ataques simulados pela Internet pública. Consequentemente, as pontuações de exposição ao ataque não consideram qualquer possível exposição a agentes internos mal-intencionados ou negligentes.

Descobertas que recebem pontuações de exposição a ataques

As pontuações de exposição a ataques são aplicadas a classes de descobertas ativas listadas em Categorias de descobertas compatíveis.

As simulações de caminho de ataque incluem apenas descobertas ativas e não silenciadas nos cálculos. Descobertas com status INACTIVE ou MUTED não são incluídas nas simulações, não recebem pontuações e não são incluídas em caminhos de ataque.

Recursos que recebem pontuações de exposição a ataques

As simulações de caminho de ataque calculam pontuações de exposição a ataques para tipos de recursos compatíveis no seu conjunto de recursos de alto valor. Para especificar quais recursos pertencem ao conjunto de recursos de alto valor, crie configurações de valor de recursos.

Se um recurso em um conjunto de recursos de alto valor tiver uma pontuação de exposição a ataques de 0, as simulações de caminho de ataque não identificaram nenhum caminho para o recurso que um possível invasor possa aproveitar.

As simulações de caminhos de ataque são compatíveis com os seguintes tipos de recursos:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/TrainingPipeline

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• container.googleapis.com/Cluster

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Cálculo da pontuação

Sempre que as simulações de caminho de ataque são executadas, elas recalculam as pontuações de exposição ao ataque. Cada simulação de caminho de ataque executa várias simulações em que um invasor virtual usa métodos e técnicas de ataque conhecidos para atingir e comprometer os recursos valorizados.

As simulações de caminho de ataque são executadas aproximadamente a cada seis horas. À medida que sua organização cresce, as simulações levam mais tempo, mas elas são executadas pelo menos uma vez por dia. As simulações não são acionadas pela criação, modificação ou exclusão de recursos ou configurações de valores de recursos.

As simulações calculam as pontuações usando várias métricas, incluindo:

• O valor de prioridade atribuído aos recursos de alto valor que são expostos. Os valores de prioridade que podem ser atribuídos são:
  • HIGH = 10
  • MED = 5
  • LOW = 1
• O número de caminhos possíveis que um invasor pode seguir para alcançar um determinado recurso.
• O número de vezes em que um invasor simulado consegue alcançar e comprometer um recurso de alto valor no final de um determinado caminho de ataque, expresso como uma porcentagem do número total de simulações.
• Para descobertas apenas, o número de recursos de alto valor expostos pela vulnerabilidade ou configuração incorreta detectada.

Para recursos, as pontuações de exposição a ataques podem variar de 0 a 10.

Em um nível alto, as simulações calculam as pontuações de recursos multiplicando a porcentagem de ataques bem-sucedidos pelo valor numérico de prioridade dos recursos.

Para descobertas, as pontuações não têm um limite máximo fixo. Quanto mais uma descoberta ocorrer em caminhos de ataque a recursos expostos no conjunto de recursos de alto valor e quanto maiores forem os valores de prioridade desses recursos, maior será a pontuação.

Em um nível alto, as simulações calculam as pontuações de descoberta usando o mesmo cálculo das pontuações de recursos. No entanto, para as pontuações de descoberta, as simulações multiplicam o resultado do cálculo pelo número de recursos de alto valor que a descoberta expõe.

Como alterar as pontuações

As pontuações podem mudar sempre que uma simulação de caminho de ataque é executada. Uma descoberta ou um recurso que tenha uma pontuação de zero hoje pode ter uma pontuação diferente de zero amanhã.

As pontuações mudam por diversos motivos, incluindo os seguintes:

• Detecção ou correção de uma vulnerabilidade que expõe direta ou indiretamente um recurso de alto valor
• A adição ou remoção de recursos no seu ambiente.

As mudanças nas descobertas ou nos recursos após a execução de uma simulação não são refletidas nas pontuações até que a próxima simulação seja executada.

Como usar pontuações para priorizar a busca de correções

Para priorizar de maneira eficaz a correção das descobertas com base nas pontuações de exposição a ataques ou de combinação tóxica, considere os seguintes pontos:

• Qualquer descoberta com uma pontuação maior que zero expõe um recurso de alto valor a um possível ataque. Portanto, a correção deve ser priorizada em relação às descobertas que têm uma pontuação de zero.
• Quanto maior for a pontuação de uma descoberta, maior será a exposição dos recursos de alto valor e maior será a prioridade de correção.

Geralmente, priorizamos a correção das descobertas que tiverem as maiores pontuações e que bloqueiem os caminhos de ataque para os recursos de alto valor com mais eficiência.

Se as pontuações de uma descoberta de combinação tóxica e ponto de gargalo e uma descoberta em outra classe de descoberta forem aproximadamente iguais, priorize a correção da descoberta de combinação tóxica e ponto de gargalo, porque ela representa um caminho completo da Internet pública para um ou mais recursos de alto valor que um invasor pode seguir se tiver acesso ao seu ambiente de nuvem.

Na página Descobertas do Security Command Center no consoleGoogle Cloud , é possível classificar as descobertas no painel da página por pontuação clicando no cabeçalho da coluna.

No console do Google Cloud , também é possível ver as descobertas com as maiores pontuações adicionando um filtro à consulta de descobertas que retorna apenas as descobertas com uma pontuação de exposição a ataques maior que um número especificado.

Na página Casos do Security Command Center Enterprise, também é possível classificar as combinações tóxicas e os casos de gargalo pela pontuação de exposição a ataques.

Descobertas que não podem ser corrigidas.

Em alguns casos, talvez você não consiga corrigir uma descoberta com uma alta pontuação de exposição a ataques, porque ela representa um risco conhecido e aceito ou porque a descoberta não pode ser corrigida imediatamente. Nesses casos, talvez seja necessário reduzir o risco de outras maneiras. A análise do caminho de ataque associado pode dar ideias para outras possíveis mitigações.

Proteja recursos usando pontuações de exposição a ataques

Uma pontuação de exposição a ataques diferente de zero em um recurso significa que as simulações de caminho de ataque identificaram um ou mais caminhos de ataque da Internet pública para o recurso.

Para conferir as pontuações de exposição a ataques dos seus recursos de alto valor, siga estas etapas:

1. No console Google Cloud , acesse a página Recursos do Security Command Center.

   Acesse Recursos

2. Selecione a organização em que você ativou o Security Command Center.

3. Selecione a guia Conjunto de recursos de alto valor. Os recursos no seu conjunto de recursos de alto valor são mostrados em ordem decrescente de pontuação de exposição a ataques.

4. Para mostrar os caminhos de ataque de um recurso, clique no número na linha dele na coluna Pontuação de exposição a ataques. Os caminhos de ataque da Internet pública ao recurso são mostrados.

5. Analise os caminhos de ataque. Para informações sobre como interpretar os caminhos de ataque, consulte Caminhos de ataque.

6. Para mostrar uma janela de detalhes com links para ver descobertas relacionadas, clique em um nó.

7. Clique em um link de descobertas relacionadas. A janela Descoberta será aberta com detalhes sobre a descoberta e como corrigir o problema.

Você também pode conferir as pontuações de exposição a ataques dos seus recursos de alto valor na guia Simulações de caminho de ataque em Configurações > guia Simulação de caminho de ataque. Clique em Mostrar recursos valiosos usados na última simulação.

A guia Conjunto de recursos de alto valor também está disponível na página Ativos do console do Security Operations.

Pontuações de exposição a ataques de 0

Uma pontuação de exposição a ataques de 0 em um recurso significa que, nas simulações de caminho de ataque mais recentes, o Security Command Center não identificou nenhum caminho potencial que um invasor possa seguir para alcançar o recurso.

Uma pontuação de exposição a ataques de 0 em uma descoberta significa que, na simulação de ataque mais recente, o invasor simulado não conseguiu alcançar nenhum recurso de alto valor por meio da descoberta.

No entanto, uma pontuação de exposição a ataques de 0 não significa que não há risco. Uma pontuação de exposição a ataques reflete a exposição do serviço, dos recursos e das descobertas compatíveis do Security Command Center a possíveis ameaças originadas da Internet pública. Google Cloud Por exemplo, as pontuações não consideram ameaças de agentes internos, vulnerabilidades de dia zero ou infraestrutura de terceiros.

Nenhuma pontuação de exposição ao ataque

Se uma descoberta ou um recurso não tiver uma pontuação, pode ser pelos seguintes motivos:

• A descoberta foi gerada após a simulação mais recente de caminho de ataque.
• O recurso foi adicionado ao seu conjunto de recursos de alto valor após a última simulação de caminho de ataque.
• O recurso de exposição a ataques não é compatível com a categoria de descoberta ou o tipo de recurso.

Para ver uma lista das categorias de descoberta compatíveis, consulte Suporte a recursos do Risk Engine.

Para ver uma lista de tipos de recursos compatíveis, consulte Recursos que recebem pontuações de exposição a ataques.

Valores de recursos

Embora todos os seus recursos no Google Cloud tenham valor, o Security Command Center identifica caminhos de ataque e calcula pontuações de exposição a ataques apenas para os recursos designados como recursos de alto valor (às vezes chamados de recursos valiosos).

Recursos de alto valor

Um recurso de alto valor em Google Cloud é especialmente importante para sua empresa proteger contra possíveis ataques. Por exemplo, seus recursos de alto valor podem ser aqueles que armazenam dados valiosos ou sensíveis ou que hospedam suas cargas de trabalho essenciais para os negócios.

Para designar um recurso como de alto valor, defina os atributos dele em uma configuração de valor de recurso. Até um limite de 1.000 instâncias de recursos, o Security Command Center trata qualquer instância que corresponda aos atributos especificados na configuração como um recurso de alto valor.

Valores de prioridade

Entre os recursos que você designa como de alto valor, é provável que seja necessário priorizar a segurança de alguns mais do que outros. Por exemplo, um conjunto de recursos de dados pode conter dados de alto valor, mas alguns deles podem ter dados mais sensíveis do que o restante.

Para que suas pontuações reflitam a necessidade de priorizar a segurança dos recursos no conjunto de recursos de alto valor, atribua um valor de prioridade nas configurações de valor de recursos que designam recursos como de alto valor.

Se você usa a Proteção de dados sensíveis, também é possível priorizar recursos automaticamente de acordo com a sensibilidade dos dados que eles contêm.

Definir manualmente os valores de prioridade dos recursos

Em uma configuração de valor de recurso, você atribui uma prioridade aos recursos de alto valor correspondentes especificando um dos seguintes valores de prioridade:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Se você especificar um valor de prioridade de LOW em uma configuração de valor de recurso, os recursos correspondentes ainda serão de alto valor. As simulações de caminho de ataque apenas os tratam com uma prioridade menor e atribuem a eles uma pontuação de exposição a ataques menor do que os recursos de alto valor que têm um valor de prioridade de MEDIUM ou HIGH.

Se várias configurações atribuirem valores diferentes para o mesmo recurso, o valor mais alto será aplicado, a menos que uma configuração atribua um valor de NONE.

Um valor de recurso de NONE exclui os recursos correspondentes de serem considerados de alto valor e substitui qualquer outra configuração de valor de recurso para o mesmo recurso. Por esse motivo, verifique se qualquer configuração que especifica NONE se aplica apenas a um conjunto limitado de recursos.

Definir valores de prioridade de recursos automaticamente com base na sensibilidade dos dados

Se você usar a descoberta da Proteção de dados sensíveis e publicar os perfis de dados no Security Command Center, poderá configurar o Security Command Center para definir automaticamente o valor de prioridade de determinados recursos de alto valor pela sensibilidade dos dados que eles contêm.

Você ativa a priorização da sensibilidade dos dados ao especificar os recursos em uma configuração de valor de recurso.

Quando ativada, se a descoberta da Proteção de Dados Sensíveis classificar os dados em um recurso como sensibilidade MEDIUM ou HIGH, as simulações de caminho de ataque vão definir por padrão o valor de prioridade do recurso como esse mesmo valor.

Os níveis de sensibilidade de dados são definidos pela Proteção de Dados Sensíveis, mas podem ser interpretados da seguinte maneira:

Dados de alta sensibilidade

A descoberta da Proteção de dados sensíveis encontrou pelo menos uma instância de dados de alta sensibilidade no recurso.

Dados de sensibilidade média

A descoberta da Proteção de dados sensíveis encontrou pelo menos uma instância de dados de sensibilidade média no recurso e nenhuma instância de dados de alta sensibilidade.

Dados de baixa sensibilidade

A descoberta da Proteção de dados sensíveis não detectou dados sensíveis nem texto livre ou dados não estruturados no recurso.

Se a descoberta da Proteção de Dados Sensíveis identificar apenas dados de baixa sensibilidade em um recurso de dados correspondente, ele não será designado como de alto valor.

Se você precisar que recursos de dados que contenham apenas dados de baixa sensibilidade sejam designados como recursos de alto valor com baixa prioridade, crie uma configuração de valor de recurso duplicada, mas especifique um valor de prioridade de LOW em vez de ativar a priorização de sensibilidade de dados. A configuração que usa a Proteção de dados sensíveis substitui a que atribui o valor de prioridade LOW, mas apenas para recursos que contêm dados de sensibilidade HIGH ou MEDIUM.

É possível mudar os valores de prioridade padrão que o Security Command Center usa quando dados sensíveis são detectados na configuração de valor de recursos.

Para mais informações sobre a Proteção de Dados Sensíveis, consulte a Visão geral da Proteção de Dados Sensíveis.

Priorização da sensibilidade dos dados e conjunto de recursos de alto valor padrão

Antes de criar seu próprio conjunto de recursos de alto valor, o Security Command Center usa um conjunto padrão para calcular as pontuações de exposição a ataques e os caminhos de ataque.

Se você usa a descoberta da Proteção de Dados Sensíveis, o Security Command Center adiciona automaticamente instâncias de tipos de recursos de dados compatíveis que contêm dados de sensibilidade HIGH ou MEDIUM ao conjunto de recursos padrão de alto valor.

Tipos de recursos Google Cloud compatíveis com valores de prioridade de sensibilidade de dados automatizados

As simulações de caminhos de ataque podem definir automaticamente valores de prioridade com base nas classificações de sensibilidade de dados da descoberta da proteção de dados sensíveis apenas para os seguintes tipos de recursos de dados:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Tipos de recursos da AWS compatíveis com valores de prioridade automatizados de sensibilidade de dados

As simulações de caminhos de ataque podem definir automaticamente valores de prioridade com base nas classificações de sensibilidade de dados da descoberta da Proteção de Dados Sensíveis apenas para os seguintes tipos de recursos de dados da AWS:

• Bucket do Amazon S3

Conjuntos de recursos de alto valor

Um conjunto de recursos de alto valor é uma coleção definida dos recursos no seu ambiente do Google Cloud que são os mais importantes para proteger.

Para definir seu conjunto de recursos de alto valor, é necessário especificar quais recursos no ambiente do Google Cloud pertencem a ele. Até que você defina o conjunto de recursos de alto valor, as pontuações de exposição a ataques, os caminhos de ataque e as descobertas de combinações tóxicas não vão refletir com precisão suas prioridades de segurança.

Para especificar os recursos no seu conjunto de recursos de alto valor, crie configurações de valor de recursos. A combinação de todas as configurações de valor de recursos define seu conjunto de recursos de alto valor. Para mais informações, consulte Configurações do valor do recurso.

Até que você defina a primeira configuração de valor de recursos, o Security Command Center usará um conjunto padrão de recursos de alto valor. O conjunto padrão se aplica à sua organização a todos os tipos de recursos compatíveis com as simulações de caminho de ataque. Para mais informações, consulte Conjunto de recursos padrão de alto valor.

Para conferir o conjunto de recursos de alto valor usado na última simulação de caminho de ataque, incluindo as pontuações de exposição ao ataque e as configurações correspondentes, consulte Ver o conjunto de recursos de alto valor.

Configurações do valor do recurso

Você gerencia os recursos no conjunto de alto valor com configurações de valor de recursos.

Crie configurações de valor de recursos na guia Simulação de caminho de ataque da página Configurações do Security Command Center no console Google Cloud .

Em uma configuração de valor de recursos, especifique os atributos que um recurso precisa ter para que o Security Command Center o adicione ao conjunto de recursos de alto valor.

Os atributos que podem ser especificados incluem o tipo, as tags e os rótulos de recursos, além do projeto, da pasta ou da organização pai.

Você também atribui um valor de recurso aos recursos em uma configuração. O valor do recurso prioriza os recursos em uma configuração em relação aos outros recursos do conjunto de recursos de alto valor. Para mais informações, consulte Valores de recursos.

É possível criar até 100 configurações de valor de recursos em uma organização doGoogle Cloud .

Juntas, todas as configurações de valor de recurso criadas definem o conjunto de recursos de alto valor que o Security Command Center usa para as simulações de caminho de ataque.

Atributos de recurso

Para que um recurso seja incluído no conjunto de recursos de alto valor, os atributos dele precisam corresponder aos atributos especificados em uma configuração de valor de recurso.

Os atributos que podem ser especificados incluem:

• Um tipo de recurso ou Any. Quando Any é especificado, a configuração se aplica a todos os tipos de recursos compatíveis dentro do escopo especificado. Any é o valor padrão.
• Um escopo (a organização, pasta ou projeto pai) em que os recursos precisam residir. O escopo padrão é sua organização. Se você especificar uma organização ou pasta, a configuração também se aplicará aos recursos nas pastas ou nos projetos filhos.
• Opcionalmente, uma ou mais tags ou rótulos que cada recurso precisa conter.

Se você especificar uma ou mais configurações de valor de recursos, mas nenhum recurso no ambiente do Google Cloud corresponder aos atributos especificados em qualquer uma das configurações, o Security Command Center vai gerar uma descoberta de SCC Error e voltar ao conjunto de recursos padrão de alto valor.

Conjunto de recursos de alto valor padrão

O Security Command Center usa um conjunto de recursos padrão de alto valor para calcular as pontuações de exposição a ataques quando nenhuma configuração de valor de recursos é definida ou quando nenhuma configuração definida corresponde a nenhum recurso.

O Security Command Center atribui aos recursos no recurso padrão de alto valor um valor de prioridade de LOW, a menos que você use a descoberta da Proteção de dados sensíveis. Nesse caso, o Security Command Center atribui aos recursos que contêm dados de alta ou média sensibilidade um valor de prioridade correspondente de HIGH ou MEDIUM.

Se você tiver pelo menos uma configuração de valor de recurso que corresponda a pelo menos um recurso no ambiente, o Security Command Center deixará de usar o conjunto padrão de alto valor.

Para receber pontuações de exposição a ataques e combinações tóxicas que reflitam com precisão suas prioridades de segurança, substitua o conjunto de recursos de alto valor padrão pelo seu próprio conjunto de recursos de alto valor. Para mais informações, consulte Definir e gerenciar seu conjunto de recursos de alto valor.

A lista a seguir mostra os tipos de recursos incluídos no conjunto de recursos padrão de alto valor:

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limite de recursos em um conjunto de recursos de alto valor

O Security Command Center limita o número de recursos em um recurso de alto valor definido a 1.000 por provedor de serviços de nuvem.

Se as especificações de atributo em uma ou mais configurações de valor de recursos forem muito amplas, o número de instâncias de recursos que correspondem às especificações de atributo pode exceder 1.000.

Quando o número de recursos correspondentes excede o limite, o Security Command Center exclui recursos do conjunto até que o número de recursos esteja dentro do limite. O Security Command Center exclui primeiro os recursos com o menor valor atribuído. Entre os recursos com o mesmo valor atribuído, o Security Command Center exclui instâncias de recursos por meio de um algoritmo que os distribui entre vários tipos de recursos.

Um recurso excluído do conjunto de alto valor não é considerado no cálculo das pontuações de exposição a ataques.

Para alertar você quando o limite de instâncias do cálculo de pontuação for excedido, o Security Command Center vai gerar uma descoberta SCC error e mostrar uma mensagem na guia de configurações Simulação de caminho do ataque no console do Google Cloud . O Security Command Center não gera uma descoberta de SCC error se o conjunto de alto valor padrão exceder o limite de instâncias.

Para evitar exceder o limite, ajuste as configurações de valor de recursos para refinar as instâncias no conjunto de recursos de alto valor.

Algumas das coisas que você pode fazer para refinar seu conjunto de recursos de alto valor incluem as seguintes opções:

• Use tags ou rótulos para reduzir as correspondências numéricas de um determinado tipo de recurso ou dentro de um escopo especificado.
• Crie uma configuração de valor de recurso que atribua um valor de NONE a um subconjunto dos recursos especificados em outra configuração. A especificação de um valor de NONE modifica qualquer outra configuração e exclui as instâncias de recursos do seu conjunto de recursos de alto valor.
• Reduza a especificação do escopo na configuração do valor do recurso.
• Exclua configurações de valor de recursos que atribuem um valor de LOW.

Recursos de alto valor

Para preencher o conjunto de recursos de alto valor, você precisa decidir quais instâncias de recursos no ambiente são realmente de alto valor.

Geralmente, seus verdadeiros recursos de alto valor são aqueles que processam e armazenam dados sensíveis. Por exemplo, em Google Cloud, podem ser instâncias do Compute Engine, um conjunto de dados do BigQuery ou um bucket do Cloud Storage.

Você não precisa designar recursos adjacentes a seus recursos de alto valor, como um servidor de salto, como alto valor. As simulações de caminho de ataque consideram esses recursos adjacentes e, se forem designadas como de alto valor, também podem tornar a pontuação de exposição a ataques menos confiável.

Caminhos de ataque

Um caminho de ataque é uma representação visual e interativa de um ou mais caminhos em potencial que um invasor hipotético poderia tomar para ir da Internet pública a uma das suas instâncias de recursos de alto valor.

As simulações de caminho de ataque identificam possíveis caminhos de ataque por meio da modelagem do que aconteceria se um invasor aplicasse métodos conhecidos de ataque às vulnerabilidades e configurações incorretas que o Security Command Center detectou no seu ambiente para tentar alcançar seus recursos de alto valor.

Para ver os caminhos de ataque, clique na pontuação de exposição a ataques em uma descoberta ou recurso no console Google Cloud .

No nível Enterprise, ao visualizar um caso de combinação tóxica, é possível conferir um caminho de ataque simplificado para a combinação tóxica na guia Visão geral do caso. O caminho de ataque simplificado inclui um link para o caminho de ataque completo. Para mais informações sobre caminhos de ataque para descobertas de combinação tóxica, consulte Caminhos de ataque de combinação tóxica.

Para caminhos de ataque maiores, altere a visualização arrastando o seletor quadrado de área de foco vermelho em torno da visualização em miniatura do caminho de ataque no lado direito da tela.

Em um caminho de ataque, os recursos em um caminho de ataque são representados como caixas ou nós. As linhas representam possível acessibilidade entre recursos. Juntos, os nós e as linhas representam o caminho do ataque.

Nós do caminho de ataque

Os nós em um caminho de ataque representam os recursos em um caminho de ataque.

Como exibir informações do nó

É possível exibir mais informações sobre cada nó em um caminho de ataque clicando nele.

Clicar no nome do recurso em um nó exibe mais informações sobre o recurso, bem como quaisquer descobertas que o afetem.

Clicar em Expandir nó exibe possíveis métodos de ataque que podem ser usados se um invasor tiver acesso ao recurso.

Tipos de nós

Há três tipos diferentes de nós:

• O ponto de partida ou ponto de entrada do ataque simulado, que é a Internet pública. Clicar em um nó de ponto de entrada exibe uma descrição do ponto de entrada, além dos métodos de ataque que um invasor pode usar para ter acesso ao ambiente.
• Os recursos afetados que um invasor pode usar para avançar um caminho.
• O recurso exposto no final de um caminho, que é um dos recursos no seu conjunto de recursos de alto valor. Somente um recurso em um conjunto de recursos de alto valor definido ou padrão pode ser um recurso exposto. Para definir um conjunto de recursos de alto valor, crie configurações de valor do recurso.

Nós upstream e downstream

Em um caminho de ataque, um nó pode ser upstream ou downstream de outros nós. Um nó upstream está mais próximo do ponto de entrada e da parte superior do caminho de ataque. Um nó downstream está mais próximo do recurso exposto de alto valor na parte inferior do caminho de ataque.

Nós que representam várias instâncias de recursos de contêiner

Um nó pode representar várias instâncias de determinados tipos de recursos de contêiner se as instâncias compartilharem as mesmas características.

Várias instâncias dos seguintes tipos de recursos de contêiner podem ser representadas por um único nó:

• Controlador ReplicaSet
• Controlador de implantação
• Controlador do job
• Controlador CronJob
• Controlador DaemonSet

Linhas de caminho de ataque

Em um caminho de ataque, as linhas entre as caixas representam a possível acessibilidade entre os recursos que um invasor poderia usar para alcançar recursos de alto valor.

As linhas não representam uma relação entre recursos definidos em Google Cloud.

Se houver vários caminhos apontando para um nó downstream a partir de vários nós upstream, os nós upstream poderão ter uma relação AND ou OR entre si.

Um relacionamento AND significa que um invasor precisa acessar os dois nós upstream para acessar um nó downstream no caminho.

Por exemplo, uma linha direta da Internet pública para um recurso de alto valor no final de um caminho de ataque tem um relacionamento AND com pelo menos uma outra linha no caminho de ataque. Um invasor não consegue alcançar o recurso de alto valor, a menos que tenha acesso ao ambiente doGoogle Cloud e a pelo menos um outro recurso mostrado no caminho de ataque.

Um relacionamento OR significa que um invasor precisa acessar apenas um dos nós upstream para acessar o nó downstream.

Simulações de caminho de ataque

Para determinar todos os caminhos de ataque possíveis e calcular as pontuações de exposição a ataques, o Security Command Center realiza simulações avançadas de caminhos de ataque.

Programação da simulação

As simulações de caminho de ataque são executadas aproximadamente a cada seis horas. À medida que sua organização cresce, as simulações levam mais tempo, mas elas são executadas pelo menos uma vez por dia. As simulações não são acionadas pela criação, modificação ou exclusão de recursos ou configurações de valores de recursos.

Etapas da simulação de caminho de ataque

As simulações consistem em três etapas:

1. Geração de modelos: um modelo do seu ambiente do Google Cloud é gerado automaticamente com base nos dados do ambiente. O modelo é uma representação gráfica do seu ambiente, personalizada para análises de caminho de ataque.
2. Simulação de caminho de ataque: as simulações de caminho de ataque são realizadas no modelo de gráfico. As simulações têm um invasor virtual tentando alcançar e comprometer os recursos do conjunto de recursos de alto valor. As simulações usam os insights em cada relacionamento e recurso específicos, incluindo rede, IAM, configurações, configurações incorretas e vulnerabilidades.
3. Relatórios de insights: com base nas simulações, o Security Command Center atribui pontuações de exposição a ataques aos seus recursos de alto valor e às descobertas que os expõem. Além disso, ele visualiza os possíveis caminhos que um invasor pode seguir para esses recursos.

Características de execução da simulação

Além de fornecer as pontuações de exposição ao ataque, insights de caminho de ataque e caminhos de ataque, as simulações de caminho de ataque têm as seguintes características:

• Eles não afetam seu ambiente ativo: todas as simulações são realizadas em um modelo virtual e usam somente acesso de leitura para a criação do modelo.
• Eles são dinâmicos: o modelo é criado sem agentes somente com acesso de leitura à API, o que permite que as simulações acompanhem dinamicamente as alterações no ambiente ao longo do tempo.
• Eles têm um invasor virtual tentando o máximo possível de métodos e vulnerabilidades para alcançar e comprometer seus recursos de alto valor. Isso inclui não apenas os riscos "conhecidos", como as vulnerabilidades, configurações, configurações incorretas e relações de rede, mas também os "desconhecidos" de menor probabilidade, que são os riscos que sabemos, como a possibilidade de phishing ou credenciais vazadas.
• Eles são automatizados: a lógica de ataque é integrada à ferramenta. Você não precisa criar ou manter conjuntos extensos de consultas ou grandes conjuntos de dados.

Cenário e recursos dos invasores

Nas simulações, o Security Command Center tem uma representação lógica de uma tentativa de ataque de recursos de alto valor ao acessar o ambiente do Google Cloud e seguir possíveis caminhos de acesso por meio dos seus recursos e vulnerabilidades detectadas.

O invasor virtual

O invasor virtual usado pelas simulações tem as seguintes características:

• O invasor é externo: ele não é um usuário legítimo do seu ambiente doGoogle Cloud . As simulações não modelam ou incluem ataques de usuários maliciosos ou negligentes que têm acesso legítimo ao seu ambiente.
• O invasor começa na Internet pública. Para iniciar um ataque, o invasor precisa primeiro ter acesso ao seu ambiente pela Internet pública.
• O invasor é persistente. O invasor não será desencorajado ou perderá o interesse devido à dificuldade de um método de ataque específico.
• O invasor é habilidoso e experiente. O invasor usa métodos e técnicas conhecidos para acessar recursos de alto valor.

Acesso inicial

Cada simulação tem um invasor virtual com os seguintes métodos para conseguir acesso da Internet pública aos recursos do ambiente Google Cloud :

• Descubra e conecte-se a serviços e recursos acessíveis pela Internet pública. Em um ambiente Google Cloud , isso pode incluir o seguinte:
  • Serviços em instâncias de máquina virtual (VM) do Compute Engine e em nós do Google Kubernetes Engine
  • Bancos de dados
  • Contêineres
  • Buckets do Cloud Storage
  • Funções do Cloud Run
• Tenha acesso a chaves e credenciais. Em um ambiente Google Cloud , isso pode incluir o seguinte:
  • Chaves da conta de serviço
  • Chaves de criptografia fornecidas pelo usuário
  • Chaves SSH de instância de VM
  • Chaves SSH em todo o projeto
  • Sistemas de gerenciamento de chaves externos
  • Contas de usuário em que a autenticação multifator (MFA) não é aplicada
  • Tokens MFA virtuais interceptados
• Acesso a recursos de nuvem acessíveis publicamente com o uso de credenciais roubadas ou exploração de vulnerabilidades.

Se a simulação encontrar um possível ponto de entrada no ambiente, ela fará o invasor virtual tentar alcançar e comprometer os recursos de alto valor do ponto de entrada explorando consecutivamente configurações de segurança e vulnerabilidades no ambiente.

Táticas e técnicas

A simulação usa uma grande variedade de táticas e técnicas, incluindo o uso de acesso legítimo, movimento lateral, escalonamento de privilégios, vulnerabilidades, configurações incorretas e execução de código.

Incorporação de dados de CVE

Ao calcular as pontuações de exposição a ataques para descobertas de vulnerabilidade, as simulações de caminho de ataque consideram dados do registro de CVE da vulnerabilidade, as pontuações do CVSS e as avaliações de capacidade de exploração da vulnerabilidade fornecidas pela Mandiant.

As seguintes informações da CVE são consideradas:

• Vetor de ataque: o invasor precisa ter o nível de acesso especificado no vetor de ataque do CVSS para usar a CVE. Por exemplo, uma CVE com um vetor de ataque de rede encontrado em um recurso com um endereço IP público e portas abertas pode ser explorado por um invasor com acesso à rede. Se um invasor só tiver acesso à rede e a CVE exigir acesso físico, o invasor não poderá explorar a CVE.
• Complexidade do ataque: geralmente, uma vulnerabilidade ou descoberta incorreta com baixa complexidade de ataque é mais propensa a receber uma alta pontuação de exposição a ataques do que uma descoberta com alta complexidade de ataque.
• Atividade de exploração: geralmente, uma descoberta de vulnerabilidade com ampla atividade de exploração, conforme determinado por analistas de inteligência de ameaças cibernéticas da Mandiant, tem mais chances de receber uma alta pontuação de exposição a ataques do que uma descoberta com apenas atividade de exploração prevista. Uma vulnerabilidade sem atividade de exploração conhecida não é considerada nas simulações de caminho de ataque.

Avaliações de risco em várias nuvens

Além de Google Cloud, o Security Command Center pode executar simulações de caminho de ataque para avaliar o risco nas suas implantações em várias plataformas de provedores de serviços de nuvem.

Depois de estabelecer uma conexão com outra plataforma, é possível designar seus recursos de alto valor no outro provedor de serviços de nuvem criando configurações de valor de recurso, como faria para recursos no Google Cloud.

O Security Command Center executa simulações para uma plataforma de nuvem independente de simulações executadas para outras plataformas de nuvem.

Antes de criar a primeira configuração de valor de recursos para outro provedor de serviços de nuvem, o Security Command Center usa um conjunto de recursos padrão de alto valor específico para cada provedor.

Para ver mais informações, consulte os seguintes tópicos: