Schädliche Kombinationen und Engpässe – Übersicht

Schädliche Kombinationen sind eine Gruppe von Sicherheitsproblemen, die, wenn sie zusammen in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer hochwertigen Ressourcen schaffen, den ein entschlossener Angreifer potenziell nutzen könnte, um diese Ressourcen zu kompromittieren.

Die Risk Engine von Security Command Center Enterprise oder Premium erkennt toxische Kombinationen während der Simulationen von Angriffspfaden, die ausgeführt werden. Für jede schädliche Kombination, die von Risk Engine erkannt wird, wird ein Ergebnis generiert. Jede schädliche Kombination hat einen eindeutigen Wert für das Angriffsrisiko, den Wert für schädliche Kombination. Er gibt das Risiko der schädlichen Kombination für die Gruppe hochwertiger Ressourcen in Ihrer Cloud-Umgebung an. Die Risk Engine generiert auch eine Visualisierung des Angriffspfads, den die toxische Kombination für die Ressourcen in der Gruppe Ihrer hochwertigen Ressourcen erstellt.

Engstellen (Vorschau) ähneln schädlichen Kombinationen, konzentrieren sich jedoch auf gemeinsame Ressourcen oder Ressourcengruppen, in denen mehrere Angriffspfade zusammenlaufen. Wenn Sie einen Engpass beheben, können Sie also mehrere schädliche Kombinationen beheben.

Toxische Kombinationen und Engstellen werden für die folgenden Cloud-Dienstanbieterplattformen erkannt:

  • Google Cloud
  • Amazon Web Services (AWS). Die Unterstützung für Chokepoints mit AWS befindet sich in der Vorschau.
  • Microsoft Azure Die Unterstützung für Chokepoints mit Microsoft Azure befindet sich in der Vorschau.

Eine Liste der unterstützten Ressourcen finden Sie unter Unterstützung von Risk Engine-Funktionen.

Schädliche Kombinationen und Engstellen ansehen

In Security Command Center Enterprise werden die toxischen Kombinationen und Engstellen mit dem höchsten Risiko als Probleme (Vorschau) auf der Seite Risiko> Übersicht angezeigt. Schädliche Kombinationen können auch auf der Seite Fälle eingesehen werden.

In Security Command Center Enterprise können Sie alle toxischen Kombinationen und Engstellen auf der Seite Risiko > Probleme genauer ansehen.

Wenn Sie Ergebnisse zu schädlichen Kombinationen und Engpässen in derGoogle Cloud -Konsole aufrufen möchten, rufen Sie die Seite Ergebnisse auf und filtern Sie nach der Ergebnisklasse Schädliche Kombination oder Engpass.

Ergebnisse zu schädlichen Kombinationen und Engpässen werden in Risikoberichten erfasst. Weitere Informationen finden Sie unter Risikoberichte – Übersicht.

Angriffsrisikobewertungen für schädliche Kombinationen und Engstellen

Die Risk Engine berechnet für jede toxische Kombination und jeden Chokepoint eine Angriffsrisikobewertung. Dieser Wert gibt an, inwieweit eine toxische Kombination oder ein Engpass eine oder mehrere Ressourcen in Ihrem Set mit hochwertigen Ressourcen potenziellen Angriffen aussetzt. Je höher der Wert, desto höher das Risiko.

Berechnung der Angriffsbewertung

Die Werte für die Angriffsexposition für schädliche Kombinationen und Engstellen werden aus Folgendem abgeleitet:

  • Die Anzahl der Ressourcen in Ihrer Gruppe hochwertiger Ressourcen, die gefährdet sind, sowie die Prioritätswerte und Angriffsrisikobewertungen dieser Ressourcen.
  • Die Wahrscheinlichkeit, dass ein entschlossener Angreifer eine wertvolle Ressource über die schädliche Kombination oder den Engpass erreichen kann.

Basierend auf dem Wert für die Anfälligkeit für Angriffe kann schädlichen Kombinationen einer der folgenden Schweregrade zugewiesen werden:

  • Kritisch: Schädliche Kombinationen mit einem Angriffsbewertungsindex ≥ 10.
  • Hoch: Schädliche Kombinationen mit einem Wert für die Angriffsexposition unter 10.

Chokepoints haben immer einen Wert für die Angriffsgefährdung von mindestens 10 und damit immer eine kritische Schweregradeinstufung.

Weitere Informationen finden Sie unter Scores für das Risiko von Angriffen.

Visualisierungen von Angriffspfaden für schädliche Kombinationen und Engstellen

Die Risk Engine bietet eine visuelle Darstellung der Angriffspfade für schädliche Kombinationen und Engstellen, die zu Ihren hochwertigen Ressourcen führen. Ein Angriffspfad stellt eine Reihe von Angriffsschritten dar, die zugehörige Sicherheitsprobleme und Ressourcen umfassen, die ein potenzieller Angreifer nutzen könnte, um auf Ihre Ressourcen zuzugreifen.

Anhand von Angriffspfaden können Sie die Beziehungen zwischen einzelnen Sicherheitsproblemen in einer toxischen Kombination oder einem Engpass nachvollziehen und sehen, wie sie Pfade zu Ressourcen in Ihrer Gruppe hochwertiger Ressourcen bilden. Die Pfadvisualisierung zeigt auch, wie viele wertvolle Ressourcen verfügbar sind und welche relative Bedeutung sie für Ihre Cloud-Umgebung haben.

Ressourcen auf einem Angriffspfad sind farblich so gekennzeichnet:

  • Ressourcen mit Sicherheitsproblemen, die zu einer toxischen Kombination beitragen, werden mit einem gelben Rahmen hervorgehoben.
  • Ressourcen, die als Engpass identifiziert werden, sind rot umrandet.

Es gibt mehrere Stellen, an denen Sie Angriffspfade aufrufen können.

In Security Command Center Premium können Sie den vollständigen Angriffspfad auf der Seite Angriffspfade ansehen. Weitere Informationen finden Sie unter Angriffspfade.

In Security Command Center Enterprise können Sie eine vereinfachte Version des Angriffspfads an den folgenden Stellen aufrufen:

  • Die Seite Risiko > Übersicht für Elemente im Widget Risikoreichste Probleme.
  • Die Seite Risiko > Probleme, wenn ein Problem ausgewählt ist. Sie können auf den vereinfachten Angriffspfad auf dem Tab Übersicht des Problems zugreifen.
  • Die Seite Risiko > Fälle, wenn ein Fall ausgewählt ist. Sie können auf den vereinfachten Angriffspfad auf dem Tab Fall Fallübersicht zugreifen.

Wenn Sie die vollständige Version eines Angriffspfads aufrufen möchten, rufen Sie die vereinfachte Version auf und klicken Sie dann auf Vollständige Angriffspfade ansehen.

Der folgende Screenshot zeigt ein Beispiel für einen vereinfachten Angriffspfad für eine schädliche Kombination:

Vereinfachter Angriffspfad zu schädlichen Kombinationen

Der folgende Screenshot zeigt ein Beispiel für einen vereinfachten Angriffspfad für einen Engpass:

Ein vereinfachter Angriffspfad für Engpässe

Viele der einzelnen Risiken, aus denen toxische Kombinationen und Engstellen bestehen, werden auch von anderen Security Command Center-Erkennungsdiensten erkannt. Diese anderen Erkennungsdienste generieren separate Ergebnisse für diese Risiken, die in Problemen (Vorschau) und Fällen als zugehörige Ergebnisse aufgeführt sind. Zugehörige Ergebnisse werden auch in Angriffspfaden identifiziert.

Bei schädlichen Kombinationen werden separate Fälle für die entsprechenden Ergebnisse geöffnet, es werden verschiedene Playbooks ausgeführt und andere Mitglieder Ihres Teams arbeiten möglicherweise unabhängig von der Behebung des Ergebnisses der schädlichen Kombination an der Behebung. Prüfen Sie den Status der Fälle für diese zusammenhängenden Ergebnisse und bitten Sie die Inhaber der Fälle gegebenenfalls, die Behebung zu priorisieren, um die toxische Kombination zu beheben.

Fälle

In Security Command Center Enterprise wird für jedes Ergebnis zu schädlichen Kombinationen ein Fall geöffnet. Durch Engstellen werden keine Anfragen generiert.

In der Detailansicht für den Fall finden Sie die folgenden Informationen zu toxischen Kombinationen:

  • Eine Beschreibung der schädlichen Kombination
  • Die Angriffsbewertung der schädlichen Kombination
  • Eine Visualisierung des Angriffspfads, der durch die schädliche Kombination entsteht
  • Informationen zu den betroffenen Ressourcen
  • Informationen zu den Maßnahmen, die Sie ergreifen können, um die schädliche Kombination zu beheben
  • Informationen zu allen zugehörigen Ergebnissen aus anderen Security Command Center-Erkennungsdiensten, einschließlich Links zu den zugehörigen Fällen
  • Zutreffende Playbooks
  • Zugehörige Tickets

Auf der Seite Risk > Cases (Risiko > Fälle) in der Security Operations-Konsole können Sie Fälle zu schädlichen Kombinationen mit dem Tag Toxic Combination (Schädliche Kombination) abfragen oder filtern. Fälle zu schädlichen Kombinationen können Sie in der Fallliste auch anhand des folgenden Symbols erkennen: Symbol für schädliche Kombination.

Weitere Informationen zum Ansehen von Fällen zu schädlichen Kombinationen finden Sie unter Fälle zu schädlichen Kombinationen ansehen.

Fallpriorität

Standardmäßig wird die Priorität von Fällen zu schädlichen Kombinationen auf denselben Wert wie der Schweregrad des Ergebnisses zu schädlichen Kombinationen und der zugehörigen Benachrichtigung im zugehörigen Fall festgelegt. Das bedeutet, dass alle Fälle zu schädlichen Kombinationen anfangs die Priorität Critical oder High haben.

Nachdem ein Fall geöffnet wurde, können Sie die Priorität des Falls oder der Benachrichtigung ändern. Wenn Sie die Priorität eines Falls oder einer Benachrichtigung ändern, ändert sich dadurch nicht der Schweregrad des Problems.

Fälle schließen

Wenn ein Ergebnis zum ersten Mal für eine toxische Kombination generiert wird, lautet der Status Active.

Wenn Sie die schädliche Kombination beheben, erkennt Risk Engine die Behebung automatisch bei der nächsten Angriffspfadsimulation und schließt den Fall. Die Simulationen werden etwa alle sechs Stunden ausgeführt.

Wenn Sie feststellen, dass das Risiko einer schädlichen Kombination akzeptabel oder unvermeidlich ist, können Sie einen Fall schließen, indem Sie den Befund stummschalten.

Wenn Sie ein Ergebnis ausblenden, bleibt es aktiv, aber Security Command Center schließt den Fall und lässt das Ergebnis in Standardabfragen und ‑ansichten weg.

Weitere Informationen finden Sie hier: