受攻擊風險分數和攻擊路徑

本頁面說明重要概念、原則和限制，協助您瞭解、調整及使用 Security Command Center 風險引擎產生的受攻擊風險分數和攻擊路徑。

系統會為下列兩者產生攻擊路徑分數和攻擊路徑：

• 會對有效高價值資源集中的資源執行個體造成威脅的安全漏洞和錯誤設定發現項目 (統稱為安全漏洞發現項目)。
• 有效高價值資源集中的資源。
• Security Command Center Enterprise 中的問題，包含有害組合和瓶頸。

如要使用攻擊暴露分數和攻擊路徑，您必須在機構層級啟用 Security Command Center Premium 或 Enterprise 級。您無法在專案層級啟用時使用受攻擊風險分數和攻擊路徑。

攻擊路徑代表可能性

攻擊路徑中不會顯示實際攻擊的證據。

Risk Engine 會模擬假設性攻擊者在取得您環境的存取權後，可能採取的行動，並找出 Security Command Center 已發現的攻擊路徑和安全漏洞，藉此產生攻擊路徑和受攻擊風險分數。 Google Cloud

每條攻擊路徑都會顯示攻擊者取得特定資源的存取權後，可能使用的一或多種攻擊方法。請勿將這些攻擊方法與實際攻擊混淆。

同樣地，如果下列任一項目的攻擊暴露分數偏高，也不代表目前正在遭受攻擊：

• Security Command Center 發現項目或資源
• Security Command Center Enterprise 問題

如要監控實際攻擊，請查看威脅偵測服務 (例如 Event Threat Detection 和 Container Threat Detection) 產生的 THREAT 類別發現項目。

詳情請參閱本頁面的下列各節：

• 受攻擊風險分數
• 攻擊路徑
• 攻擊路徑模擬

受攻擊風險分數

系統會顯示下列項目的受攻擊風險分數：

• Security Command Center 發現項目或資源
• Security Command Center Enterprise 問題

受攻擊風險分數可衡量資源遭受潛在攻擊的風險程度，也就是不肖人士入侵 Google Cloud環境後，資源可能遭受攻擊的風險。

在某些情況下，例如 Google Cloud 控制台的「發現項目」頁面，有害組合或瓶頸發現項目的攻擊暴露分數會稱為「有害組合分數」。

在說明分數計算方式、提供有關排定發現項目補救措施優先順序的一般指引，以及在其他特定情況下，「遭受攻擊的風險分數」一詞也適用於有害組合分數。

在發現項目中，這項分數會評估偵測到的安全性問題，對一或多個高價值資源造成潛在網路攻擊的風險程度。針對高價值資源，這項分數可衡量資源遭受潛在網路攻擊的風險程度。

根據軟體安全漏洞、錯誤設定、有害組合或瓶頸^預覽版的發現項目分數，優先修復這些發現項目。

使用資源的受攻擊風險分數，主動保護對您業務最有價值的資源。

在攻擊路徑模擬中，風險引擎一律從公開網際網路發動模擬攻擊。因此，攻擊暴露分數不會將惡意或疏忽的內部行為者可能造成的暴露納入考量。

獲得受攻擊風險分數的發現項目

攻擊暴露程度分數適用於「支援的發現項目類別」中列出的有效發現項目類別。

攻擊路徑模擬只會將有效且未設為取消忽略的發現項目納入計算。狀態為 INACTIVE 或 MUTED 的調查結果不會納入模擬，也不會獲得分數，且不會納入攻擊路徑。

會收到受攻擊風險分數的資源

攻擊路徑模擬會計算高價值資源集中支援的資源類型遭受攻擊的風險分數。建立資源值設定，指定哪些資源屬於高價值資源集。

如果高價值資源集中的資源受攻擊風險分數為 0，表示攻擊路徑模擬作業未找出任何潛在攻擊者可利用的資源路徑。

攻擊路徑模擬支援下列資源類型：

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/TrainingPipeline

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• container.googleapis.com/Cluster

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

分數計算

每次執行攻擊路徑模擬時，系統都會重新計算遭受攻擊的風險分數。每次攻擊路徑模擬作業都會實際執行多項模擬，模擬攻擊者會嘗試使用已知的攻擊方法和技術，存取及入侵重要資源。

系統大約每六小時會執行一次攻擊路徑模擬。隨著機構成長，模擬作業會需要較長時間，但每天至少會執行一次。建立、修改或刪除資源或資源值設定時，系統不會觸發模擬執行。

模擬作業會使用各種指標計算分數，包括：

• 指派給暴露風險的高價值資源的優先順序值。您可以指派的優先順序值如下：
  • HIGH = 10
  • MED = 5
  • LOW = 1
• 攻擊者為了存取特定資源，可能採取的路徑數量。
• 模擬攻擊者在特定攻擊路徑的結尾，存取及入侵高價值資源的次數，以模擬總次數的百分比表示。
• 僅限發現項目，因偵測到的安全漏洞或設定錯誤而暴露風險的高價值資源數量。

資源的受攻擊風險分數範圍為 0 到 10。

從高層次來看，模擬作業會將成功攻擊的百分比乘以資源的數值優先權值，藉此計算資源分數。

對於發現項目，分數沒有固定上限。 如果發現項目越常出現在高價值資源集中受攻擊資源的攻擊路徑上，且這些資源的優先順序值越高，分數就越高。

從高層次來看，模擬作業會使用與計算資源分數相同的計算方式，計算發現項目分數。不過，對於發現項目分數，模擬作業會將計算結果乘以發現項目暴露的高價值資源數量。

變更分數

每次執行攻擊路徑模擬時，分數都可能變更。今天評分為零的發現或資源，明天可能會有非零評分。

分數變動的原因有很多，包括：

• 直接或間接暴露高價值資源的安全性弱點偵測或修復。
• 在環境中新增或移除資源。

模擬作業執行後，如果發現結果或資源有變更，分數不會立即更新，要等到下次執行模擬作業才會反映。

根據分數決定修正措施的優先順序

如要根據發現項目的攻擊暴露程度或有害組合分數，有效排定修復工作的優先順序，請考量下列幾點：

• 凡是分數大於零的發現項目，都代表高價值資源可能遭受攻擊，因此應優先處理，而非分數為零的發現項目。
• 發現項目的分數越高，表示該發現項目對高價值資源造成的風險越高，因此您應優先修正。

一般來說，您應優先修復分數最高，且最能有效阻擋高價值資源攻擊路徑的發現項目。

如果有害組合和瓶頸的發現項目，以及其他發現項目類別的發現項目分數大致相等，請優先修正有害組合和瓶頸的發現項目，因為這代表從公用網際網路到一或多個高價值資源的完整路徑。如果攻擊者取得雲端環境的存取權，就可能沿著這條路徑發動攻擊。

在 Google Cloud console 的 Security Command Center「發現項目」頁面中，按一下資料欄標題，即可依分數排序頁面面板上的發現項目。

在 Google Cloud 控制台中，您也可以新增篩選器至發現項目查詢，只傳回攻擊暴露程度分數高於指定數字的發現項目，藉此查看分數最高的發現項目。

在 Security Command Center Enterprise 的「案件」頁面中，您也可以依攻擊曝光分數排序有害組合和瓶頸案件。

無法修正的發現項目。

在某些情況下，您可能無法修正攻擊暴露分數高的調查結果，原因可能是該結果代表已知且可接受的風險，或是無法立即修正。在這些情況下，您可能需要以其他方式降低風險。查看相關聯的攻擊路徑，或許能為您提供其他可能的緩解措施。

使用受攻擊風險分數保護資源

如果資源的受攻擊風險分數不為零，表示攻擊路徑模擬作業已找出從公用網際網路到該資源的一或多條攻擊路徑。

如要查看高價值資源的受攻擊風險分數，請按照下列步驟操作：

1. 在 Google Cloud 控制台，前往 Security Command Center 的「資產」頁面。

   前往「資產」頁面

2. 選取啟用 Security Command Center 的機構。

3. 選取「高價值資源集」分頁標籤。高價值資源集中的資源會依遭受攻擊風險分數降序排列。

4. 如要顯示資源的攻擊路徑，請按一下「受攻擊風險分數」欄中該資源所在列的數字。系統會顯示從公開網際網路到資源的攻擊路徑。

5. 查看攻擊路徑。如要瞭解如何解讀攻擊路徑，請參閱「攻擊路徑」。

6. 如要顯示詳細資料視窗，並查看相關發現項目的連結，請按一下節點。

7. 按一下相關發現項目的連結。系統會開啟「發現項目」視窗，顯示發現項目的詳細資料和補救方式。

您也可以前往「設定」>「攻擊路徑模擬」分頁，在「攻擊路徑模擬」分頁中查看高價值資源的受攻擊風險分數。按一下「查看上次模擬時使用的帶值資源」。

您也可以在 Security Operations 控制台的「資產」頁面中，找到「高價值資源集」分頁。

0 的受攻擊風險分數

資源的受攻擊風險分數為 0，表示在最新的攻擊路徑模擬中，Security Command Center 未找出任何攻擊者可能採取的路徑，可藉此存取該資源。

如果發現項目的受攻擊風險分數為 0，表示在最近一次的攻擊模擬中，模擬攻擊者無法透過該發現項目存取任何高價值資源。

但遭受攻擊的風險分數為 0，並不代表沒有風險。受攻擊風險分數會反映支援的 Google Cloud 服務、資源和 Security Command Center 發現項目，暴露於來自公開網際網路潛在威脅的程度。舉例來說，分數不會將內部行為人造成的威脅、零時差漏洞或第三方基礎架構納入考量。

沒有受攻擊風險分數

如果發現或資源沒有分數，可能是下列原因：

• 這項發現是在最近一次模擬攻擊路徑後產生。
• 資源是在上次模擬攻擊路徑後，才加入高價值資源集。
• 攻擊暴露程度功能不支援發現項目類別或資源類型。

如需支援的發現項目類別清單，請參閱「風險引擎功能支援」。

如需支援的資源類型清單，請參閱「會收到攻擊暴露分數的資源」。

資源值

雖然您在 Google Cloud 上的所有資源都有價值，但 Security Command Center 只會針對您指定為高價值資源 (有時稱為有價資源) 的資源，找出攻擊路徑並計算受攻擊風險分數。

高價值資源

Google Cloud 上的高價值資源是指對貴商家特別重要的資源，需要防範潛在攻擊。舉例來說，高價值資源可能是儲存重要或敏感資料的資源，或是代管業務關鍵工作負載的資源。

如要將資源指定為高價值資源，請在資源值設定中定義資源的屬性。Security Command Center 最多可將 1,000 個資源例項視為高價值資源，只要資源例項符合您在設定中指定的屬性即可。

優先順序值

在您指定為高價值的資源中，您可能需要優先保護某些資源，而非其他資源。舉例來說，一組資料資源可能包含高價值資料，但其中某些資料資源可能包含比其他資源更私密的資料。

為了讓分數反映您優先保護高價值資源集中資源安全的需求，請在資源值設定中指派優先順序值，將資源指定為高價值資源。

如果您使用 Sensitive Data Protection，也可以根據資源所含資料的機密程度，自動設定資源優先順序。

手動設定資源優先順序值

在資源值設定中，您可以指定下列其中一個優先順序值，為相符的高價值資源指派優先順序：

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

如果您在資源價值設定中指定優先順序值為 LOW，相符資源仍屬於高價值資源；攻擊路徑模擬作業只會降低這些資源的優先順序，並指派比優先順序值為 MEDIUM 或 HIGH 的高價值資源更低的攻擊風險分數。

如果多個設定為同一項資源指派不同的值，系統會套用最高值，除非設定指派的值為 NONE。

資源值為 NONE 時，系統會排除相符資源，不將其視為高價值資源，並覆寫相同資源的所有其他資源值設定。因此，請務必確認指定 NONE 的任何設定僅適用於一組有限的資源。

自動依據資料機密程度設定資源優先順序值

如果您使用 Sensitive Data Protection 探索功能，並將資料剖析檔發布至 Security Command Center，則可根據資源所含資料的機密程度，將 Security Command Center 設為自動為特定高價值資源設定優先順序值。

在資源值設定中指定資源時，即可啟用資料機密程度優先順序。

啟用後，如果 Sensitive Data Protection 探索服務將資源中的資料分類為 MEDIUM 或 HIGH 機密程度，攻擊路徑模擬功能預設會將資源的優先順序值設為相同值。

資料機密程度是由 Sensitive Data Protection 定義，但您可以解讀如下：

高度機密資料

Sensitive Data Protection 探索功能在資源中找到至少一個高敏感度資料例項。

中度私密/機密資料

Sensitive Data Protection 探索功能在資源中找到至少一個中等私密程度的資料例項，但未找到任何高私密程度的資料例項。

低度敏感資料

「機密資料保護」探索功能未在資源中偵測到機密資料，或任何自由格式文字或非結構化資料。

如果 Sensitive Data Protection 探索功能在相符的資料資源中，只識別出低機密資料，該資源就不會指定為高價值資源。

如果需要將只包含低度機密資料的資料資源指定為低優先順序的高價值資源，請建立重複的資源值設定，但指定優先順序值為 LOW，而不是啟用資料機密優先順序。如果設定使用 Sensitive Data Protection，就會覆寫指派 LOW 優先順序值的設定，但僅限於含有 HIGH 或 MEDIUM 機密資料的資源。

您可以變更 Security Command Center 在資源值設定中偵測到機密資料時使用的預設優先順序值。

如要進一步瞭解 Sensitive Data Protection，請參閱這篇文章。

資料機密程度優先順序和預設高價值資源集

建立專屬高價值資源集之前，Security Command Center 會使用預設高價值資源集，計算受攻擊風險分數和攻擊路徑。

如果您使用 Sensitive Data Protection 探索功能，Security Command Center 會自動將含有 HIGH 或 MEDIUM 敏感性資料的支援資料資源類型例項，新增至預設的高價值資源集。

支援自動設定資料機密程度優先順序值的 Google Cloud 資源類型

攻擊路徑模擬功能可根據敏感資料保護探索的資料機密程度分類，自動設定優先順序值，但僅限下列資料資源類型：

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

支援自動設定資料機密程度優先順序值的 AWS 資源類型

攻擊路徑模擬功能可根據敏感資料保護探索功能的資料機密程度分類，自動設定優先順序值，但僅限下列 AWS 資料資源類型：

• Amazon S3 儲存貯體

高價值資源集

高價值資源集是指您 Google Cloud 環境中定義的資源集合，這些資源最需要保護。

如要定義高價值資源集，您必須指定 Google Cloud 環境中哪些資源屬於高價值資源集。定義高價值資源集後，遭受攻擊風險分數、攻擊路徑和有害組合結果才能準確反映您的安全優先事項。

建立資源值設定，即可指定高價值資源集中的資源。所有資源值設定的組合會定義高價值資源集。詳情請參閱「資源值設定」。

在您定義第一個資源值設定前，Security Command Center 會使用預設的高價值資源集。預設集會套用至整個機構，以及攻擊路徑模擬支援的所有資源類型。詳情請參閱「預設高價值資源集」。

如要查看上次模擬攻擊路徑時使用的高價值資源集 (包括遭受攻擊的風險分數和相符的設定)，請參閱「查看高價值資源集」。

資源值設定

您可以使用資源值設定，管理高價值資源集中的資源。

您可以在 Google Cloud 控制台的 Security Command Center「設定」頁面，透過「攻擊路徑模擬」分頁建立資源價值設定。

在資源值設定中，您可以指定資源必須具備的屬性，Security Command Center 才會將資源新增至高價值資源組合。

您可以指定的屬性包括資源類型、資源標記、資源標籤，以及父項專案、資料夾或機構。

您也可以在設定中為資源指派資源值。資源值會根據高價值資源集中的其他資源，優先考量設定中的資源。詳情請參閱「資源值」。

您最多可以在機構中建立 100 項資源值設定。Google Cloud

您建立的所有資源價值設定會共同定義高價值資源集，Security Command Center 會在攻擊路徑模擬中使用這些設定。

資源屬性

如要將資源納入高價值資源集，資源的屬性必須與您在資源值設定中指定的屬性相符。

您可以指定的屬性包括：

• 資源類型或 Any。指定 Any 時，設定會套用至指定範圍內的所有支援資源類型。預設值為 Any。
• 資源必須位於的範圍 (上層機構、資料夾或專案)。預設範圍為貴機構。如果您指定機構或資料夾，設定也會套用至子項資料夾或專案中的資源。
• 視需要指定一或多個標記或標籤，指出每項資源必須包含的內容。

如果您指定一或多項資源價值設定，但 Google Cloud 環境中的任何資源都不符合設定中指定的屬性，Security Command Center 會產生 SCC Error 發現項目，並還原為預設的高價值資源集。

預設高價值資源集

如果未定義資源值設定，或定義的設定與任何資源都不相符，Security Command Center 會使用預設的高價值資源集計算遭受攻擊的風險分數。

除非您使用 Sensitive Data Protection 探索功能，否則 Security Command Center 會為預設高價值資源指派 LOW 的優先順序值。如果您使用 Sensitive Data Protection 探索功能，Security Command Center 會為含有高機密或中度機密資料的資源指派 HIGH 或 MEDIUM 的優先順序值。

如果至少有一項資源價值設定與環境中的至少一項資源相符，Security Command Center 就會停止使用預設的高價值資源集。

如要取得能準確反映安全優先事項的受攻擊風險和有害組合分數，請自行定義高價值資源集，取代預設的高價值資源集。詳情請參閱「定義及管理高價值資源集」。

以下列出預設高價值資源集包含的資源類型：

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

高價值資源集中的資源數量上限

Security Command Center 會限制高價值資源集中的資源數量，每個雲端服務供應商最多 1,000 個。

如果一或多項資源價值設定中的屬性規格非常廣泛，符合屬性規格的資源數量可能會超過 1,000 項。

如果相符資源數量超過上限，Security Command Center 會從該組資源中排除資源，直到資源數量符合上限為止。Security Command Center 會先排除指派值最低的資源。在具有相同指派值的資源中，Security Command Center 會透過演算法排除資源執行個體，並將排除的資源分配到各個資源類型。

如果資源從高價值資源集中排除，就不會納入攻擊風險分數的計算。

如果超出分數計算的執行個體限制，Security Command Center 會產生 SCC error 發現項目，並在 Google Cloud 控制台的「攻擊路徑模擬」設定分頁中顯示訊息，提醒您注意。如果預設高價值集合超過執行個體限制，Security Command Center 就不會產生 SCC error 發現項目。

為避免超出限制，請調整資源值設定，以精確定義高價值資源集中的執行個體。

如要調整高價值資源集，可以採取下列行動：

• 使用標記或標籤，減少特定資源類型或指定範圍內的相符項目數量。
• 建立資源值設定，將 NONE 值指派給另一個設定中指定的資源子集。指定 NONE 值會覆寫所有其他設定，並將資源執行個體從高價值資源集中排除。
• 縮減資源值設定中的範圍規格。
• 刪除指派 LOW 值的資源值設定。

高價值資源

如要填入高價值資源集，您必須決定環境中哪些資源執行個體確實屬於高價值。

一般來說，真正的高價值資源是處理及儲存機密資料的資源。舉例來說，在 Google Cloud上，這些資源可能是 Compute Engine 執行個體、BigQuery 資料集或 Cloud Storage 值區。

您不需要將高價值資源附近的資源 (例如跳躍伺服器) 指定為高價值資源。攻擊路徑模擬已將這些鄰近資源納入考量，如果您也將這些資源指定為高價值資源，可能會導致受攻擊風險分數的可靠性降低。

攻擊路徑

攻擊路徑是以互動式視覺化方式呈現一或多條潛在路徑，假設攻擊者可透過這些路徑從公開網際網路，抵達您其中一個高價值資源執行個體。

攻擊路徑模擬會模擬攻擊者對環境中偵測到的安全漏洞和設定錯誤，套用已知攻擊方法時會發生的情況，藉此找出潛在攻擊路徑，並嘗試存取高價值資源。

如要查看攻擊路徑，請在 Google Cloud 控制台中，按一下發現項目或資源的受攻擊風險分數。

在 Enterprise 方案中，查看有害組合案件時，您可以在案件的「總覽」分頁中，查看有害組合的簡化攻擊路徑。簡化版攻擊路徑會提供完整攻擊路徑的連結。如要進一步瞭解有害組合發現項目的攻擊路徑，請參閱「有害組合攻擊路徑」。

查看較大的攻擊路徑時，您可以拖曳顯示器右側攻擊路徑縮圖周圍的紅色方塊焦點選取器，變更攻擊路徑的檢視畫面。

在攻擊路徑中，攻擊路徑上的資源會以方塊或節點表示。線條代表資源間的潛在存取權。節點和線條共同代表攻擊路徑。

攻擊路徑節點

攻擊路徑中的節點代表攻擊路徑上的資源。

顯示節點資訊

如要顯示攻擊路徑中各節點的詳細資訊，請點選節點。

按一下節點中的資源名稱，即可顯示資源的詳細資訊，以及影響資源的任何發現。

按一下「展開節點」，即可查看攻擊者取得資源存取權後可能採用的攻擊方法。

節點類型

節點分為三種不同類型：

• 模擬攻擊的起點或進入點，也就是公開網際網路。點選進入點節點後，系統會顯示進入點的說明，以及攻擊者可能用來存取您環境的攻擊方法。
• 攻擊者可用來在路徑上繼續前進的受影響資源。
• 路徑結尾的暴露資源，也就是高價值資源集中的其中一項資源。只有已定義或預設高價值資源集中的資源，才能成為公開資源。您可以建立資源值設定，定義高價值資源集。

上游和下游節點

在攻擊路徑中，節點可以是其他節點的上游或下游。上游節點較靠近進入點和攻擊路徑頂端。下游節點更接近攻擊路徑底部的暴露高價值資源。

代表多個容器資源執行個體的節點

如果特定容器資源類型的執行個體具有相同特徵，節點可以代表多個執行個體。

下列容器資源類型的多個執行個體可由單一節點表示：

• ReplicaSet 控制器
• Deployment 控制器
• 工作控制器
• CronJob 控制器
• DaemonSet 控制器

攻擊路徑線

在攻擊路徑中，方塊之間的線條代表資源間的潛在可存取性，攻擊者可利用這些存取權取得高價值資源。

這些線條不代表Google Cloud中定義的資源關係。

如果有多個路徑從多個上游節點指向下游節點，上游節點可以彼此有 AND 關係，也可以彼此有 OR 關係。

AND 關係表示攻擊者必須存取上游節點，才能存取路徑上的下游節點。

舉例來說，從公開網際網路到攻擊路徑尾端高價值資源的直線，與攻擊路徑中至少一條其他直線有 AND 關係。攻擊者必須同時取得Google Cloud 環境和攻擊路徑中至少一項其他資源的存取權，才能存取高價值資源。

OR 關係表示攻擊者只需要存取其中一個上游節點，即可存取下游節點。

攻擊路徑模擬

為判斷所有可能的攻擊路徑並計算受攻擊風險分數，Security Command Center 會執行進階攻擊路徑模擬。

模擬時間表

系統大約每六小時會執行一次攻擊路徑模擬。隨著機構成長，模擬作業會需要較長時間，但每天至少會執行一次。建立、修改或刪除資源或資源值設定時，系統不會觸發模擬執行。

攻擊路徑模擬步驟

模擬作業包含三個步驟：

1. 模型生成：系統會根據環境資料自動生成環境模型。 Google Cloud 這個模型是環境的圖表表示法，專為攻擊路徑分析而設計。
2. 攻擊路徑模擬：在圖形模型上進行攻擊路徑模擬。模擬作業會讓虛擬攻擊者嘗試存取及入侵高價值資源集中的資源。模擬作業會運用各項特定資源和關係的洞察資訊，包括網路、IAM、設定、錯誤設定和安全漏洞。
3. 洞察報表：根據模擬結果，Security Command Center 會為高價值資源和導致這些資源受攻擊的發現項目指派受攻擊風險分數，並以視覺化方式呈現攻擊者可能採取的資源存取路徑。

模擬執行特性

除了提供受攻擊風險分數、攻擊路徑深入分析和攻擊路徑外，攻擊路徑模擬還具有下列特徵：

• 不會影響實際環境：所有模擬作業都是在虛擬模型上進行，且只會使用讀取權限建立模型。
• 動態：模型是透過 API 讀取存取權建立，不含代理程式，因此模擬作業可動態追蹤環境隨時間的變化。
• 他們會讓虛擬攻擊者盡可能嘗試各種方法和安全漏洞，以觸及並入侵高價值資源。這不僅包括「已知」的項目，例如安全漏洞、設定、錯誤設定和網路關係，也包括機率較低的「已知未知」項目，也就是我們知道存在的風險，例如網路釣魚或憑證外洩的可能性。
• 自動化：攻擊邏輯已內建於工具中。您不必建構或維護大量的查詢或大型資料集。

攻擊者情境和能力

在模擬中，Security Command Center 會以邏輯方式呈現攻擊者嘗試利用高價值資源的行為，包括存取您的 Google Cloud 環境，並透過資源和偵測到的安全漏洞，沿著可能的存取路徑進行攻擊。

虛擬攻擊者

模擬作業使用的虛擬攻擊者具有下列特徵：

• 攻擊者是外部人士：攻擊者並非您環境的合法使用者。Google Cloud 模擬作業不會模擬或納入來自惡意或疏忽使用者的攻擊，這些使用者有權存取您的環境。
• 攻擊者從公開網際網路發動攻擊，如要發動攻擊，攻擊者必須先從公開網際網路取得您環境的存取權。
• 攻擊者會持續發動攻擊。攻擊者不會因為特定攻擊方法難度較高而打退堂鼓或失去興趣。
• 攻擊者技術高超且知識豐富。攻擊者會嘗試使用已知方法和技術，存取高價值資源。

初始存取權

在每次模擬中，虛擬攻擊者都會嘗試下列方法，從公開網際網路存取您 Google Cloud 環境中的資源：

• 探索並連線至可從公用網際網路存取的服務和資源。在 Google Cloud 環境中，這可能包括下列項目：
  • Compute Engine 虛擬機器 (VM) 執行個體和 Google Kubernetes Engine 節點上的服務
  • 資料庫
  • 容器
  • Cloud Storage 值區
  • Cloud Run 函式
• 取得金鑰和憑證。在 Google Cloud 環境中，這可能包括下列項目：
  • 服務帳戶金鑰
  • 使用者提供的加密金鑰
  • VM 執行個體 SSH 金鑰
  • 全專案安全殼層金鑰
  • 外部金鑰管理系統
  • 未強制執行多重驗證 (MFA) 的使用者帳戶
  • 遭攔截的虛擬 MFA 權杖
• 使用遭竊的憑證或利用安全漏洞，存取可公開連線的雲端資產。

如果模擬作業在環境中找到可能的進入點，虛擬攻擊者就會嘗試從該進入點存取並入侵高價值資源，方法是連續探索及利用環境中的安全設定和安全漏洞。

策略和技巧

模擬作業會使用各種策略和技術，包括利用合法存取權、橫向移動、權限提升、安全漏洞、錯誤設定和程式碼執行。

納入 CVE 資料

計算安全漏洞發現項目的受攻擊風險分數時，攻擊路徑模擬會考量安全漏洞的 CVE 記錄、CVSS 分數，以及 Mandiant 提供的安全漏洞可利用性評估。

系統會考量下列 CVE 資訊：

• 攻擊途徑：攻擊者必須具備 CVSS 攻擊途徑中指定的存取層級，才能使用 CVE。舉例來說，如果資產具有公開 IP 位址和開放通訊埠，攻擊者就能利用該資產上具有網路攻擊媒介的 CVE，透過網路存取權發動攻擊。如果攻擊者只有網路存取權，而 CVE 需要實體存取權，攻擊者就無法利用 CVE。
• 攻擊複雜度：一般而言，相較於攻擊複雜度高的安全漏洞或設定錯誤發現項目，攻擊複雜度低者較有可能獲得高受攻擊風險分數。
• 遭利用的活動：一般而言，如果安全漏洞發現結果顯示有廣泛的遭利用活動 (由 Mandiant 的網路威脅情報分析師判斷)，則與僅預期會遭利用的發現結果相比，前者更有可能獲得高攻擊暴露分數。如果安全漏洞沒有已知的攻擊活動，就不會納入攻擊路徑模擬。

多雲風險評估

除了 Google Cloud，Security Command Center 還能執行攻擊路徑模擬，評估多個雲端服務供應商平台部署作業的風險。

建立與其他平台的連線後，您可以建立資源價值設定，指定其他雲端服務供應商的高價值資源，就像在 Google Cloud上指定資源一樣。

Security Command Center 會為雲端平台執行模擬，與其他雲端平台執行的模擬無關。

在為其他雲端服務供應商建立第一個資源價值設定之前，Security Command Center 會使用預設的高價值資源集，這組資源集專屬於各個雲端服務供應商。

如要瞭解詳情，請參考下列資源：