Schädliche Kombinationen und Engpässe – Übersicht

Giftige Kombinationen sind eine Gruppe von Sicherheitsproblemen, die, wenn sie in einem bestimmten Muster auftreten, einen Pfad zu einer oder mehreren Ihrer wertvollen Ressourcen schaffen, die ein entschlossener Angreifer potenziell nutzen könnte, um diese Ressourcen zu manipulieren.

Die Risiko-Engine von Security Command Center Enterprise erkennt schädliche Kombinationen während der ausgeführten Angriffspfadsimulationen. Für jede toxische Kombination, die die Risiko-Engine erkennt, wird ein Ergebnis generiert. Jede schädliche Kombination hat eine eindeutige Angriffsrisikobewertung, den Wert für schädliche Kombination, mit dem das Risiko der schädlichen Kombination für die Gruppe hochwertiger Ressourcen in Ihrer Cloud-Umgebung gemessen wird. Die Risiko-Engine generiert auch eine Visualisierung des Angriffspfads, den die schädliche Kombination zu den Ressourcen in Ihrem Satz hochwertiger Ressourcen erstellt.

Engpässe (Vorabversion) ähneln schädlichen Kombinationen, konzentrieren sich aber auf gemeinsame Ressourcen oder Ressourcengruppen, in denen mehrere Angriffspfade zusammenlaufen. Wenn Sie also einen Engpass beheben, können Sie mehrere schädliche Kombinationen beseitigen.

Giftige Kombinationen können für Google Cloud und Amazon Web Services (AWS) (Vorabversion) gefunden werden. Engpässe können für Google Cloudgefunden werden.

Schädliche Kombinationen und Engpässe ansehen

Die schädlichen Kombinationen und Engpässe mit dem höchsten Risiko werden in der Security Operations Console auf der Seite Risiko > Übersicht als Probleme (Vorschau) angezeigt.

Auf der Seite Risiko > Probleme finden Sie weitere Informationen zu allen schädlichen Kombinationen und Engpässen. Schädliche Kombinationen können auch auf der Seite Fälle eingesehen werden.

Wenn Sie sich in der Google Cloud Console Ergebnisse zu schädlichen Kombinationen und Engpässen ansehen möchten, rufen Sie die Seite Ergebnisse auf und filtern Sie nach der Ergebnisklasse Schädliche Kombination oder Engpass.

Bewertungen der Angriffsrisiken für schädliche Kombinationen und Engpässe

Die Risiko-Engine berechnet für jede schädliche Kombination und jeden Engpass eine Angriffsrisikobewertung. Dieser Wert gibt an, inwiefern eine toxische Kombination oder ein Engpass eine oder mehrere der Ressourcen in Ihrem Set mit wertvollen Ressourcen potenziellen Angriffen aussetzt. Je höher der Wert, desto höher das Risiko.

Die Bewertung der Angriffsrisiken für schädliche Kombinationen und Engpässe basiert auf den folgenden Faktoren:

  • Die Anzahl der gefährdeten Ressourcen in Ihrem Satz hochwertiger Ressourcen sowie die Prioritätswerte und Angriffsrisikobewertungen dieser Ressourcen.
  • Die Wahrscheinlichkeit, dass ein entschlossener Angreifer es schafft, eine wertvolle Ressource zu erreichen, indem er die schädliche Kombination oder den Engpass nutzt.

Basierend auf dem Wert für die Angriffsexposition kann schädlichen Kombinationen einer der folgenden Schweregrade zugewiesen werden:

  • Kritisch: Schädliche Kombinationen mit einer Angriffsbewertung von mindestens 10.
  • Hoch: Schädliche Kombinationen mit einem Wert für die Angriffsgefahr von unter 10.

Engpässe haben immer einen Angriffsexpositionswert von mindestens 10 und daher immer eine kritische Bewertung der Schwere.

Weitere Informationen finden Sie unter Risikowerte für Angriffsrisiken.

Visualisierungen von Angriffspfaden für schädliche Kombinationen und Engpässe

Die Risiko-Engine bietet eine visuelle Darstellung der schädlichen Kombinationen und Engpass-Angriffspfade, die zu Ihren wertvollen Ressourcen führen. Ein Angriffspfad stellt eine Reihe von Angriffsschritten dar, die mit entsprechenden Sicherheitsproblemen und Ressourcen verbunden sind, die ein potenzieller Angreifer nutzen könnte, um auf Ihre Ressourcen zuzugreifen.

Angriffspfade helfen Ihnen, die Beziehungen zwischen einzelnen Sicherheitsproblemen in einer gefährlichen Kombination oder einem Engpass zu verstehen und wie sie Pfade zu Ressourcen in Ihrem Set mit wertvollen Ressourcen bilden. Die Pfadvisualisierung zeigt Ihnen auch, wie viele wertvolle Ressourcen gefährdet sind und wie wichtig sie für Ihre Cloud-Umgebung sind.

In der Security Operations Console sind Ressourcen auf einem Angriffspfad so farblich gekennzeichnet:

  • Ressourcen mit Sicherheitsproblemen, die zu einer toxischen Kombination beitragen, sind mit einem gelben Rahmen hervorgehoben.
  • Ressourcen, die als Engpass identifiziert wurden, sind mit einem roten Rahmen hervorgehoben.

In der Security Operations Console gibt es mehrere Stellen, an denen Sie Angriffspfade aufrufen können. Eine vereinfachte Version des Angriffspfads wird an den folgenden Stellen angezeigt:

  • Auf der Seite Risiko > Übersicht für Elemente im Widget Höchstrisikoprobleme.
  • Auf der Seite Risiko > Probleme, wenn ein Problem ausgewählt ist. Sie können den vereinfachten Angriffspfad auf dem Tab Übersicht des Problems aufrufen.
  • Auf der Seite Fälle, wenn ein Fall ausgewählt ist. Den vereinfachten Angriffspfad finden Sie auf dem Tab Fall Fallübersicht.

Wenn Sie die vollständige Version eines Angriffspfads aufrufen möchten, öffnen Sie die vereinfachte Version und klicken Sie dann auf Vollständige Angriffspfade ansehen.

Der folgende Screenshot ist ein Beispiel für einen vereinfachten Angriffspfad für eine schädliche Kombination:

Vereinfachter Angriffspfad zu schädlichen Kombinationen, wie in der Security Operations Console dargestellt

Der folgende Screenshot ist ein Beispiel für einen vereinfachten Angriffspfad für einen Engpass:

Ein vereinfachter Angriffspfad für Engpässe, wie in der Security Operations Console dargestellt

In der Google Cloud Console wird immer der vollständige Angriffspfad angezeigt.

Weitere Informationen finden Sie unter Angriffspfade.

Viele der einzelnen Risiken, die schädliche Kombinationen und Engpässe ausmachen, werden auch von anderen Security Command Center-Erkennungsdiensten erkannt. Diese anderen Erkennungsdienste generieren separate Ergebnisse für diese Risiken, die in Problemen (Vorabversion) und Fällen als zugehörige Ergebnisse aufgeführt sind. Ähnliche Ergebnisse werden auch in Angriffspfaden ermittelt.

Bei schädlichen Kombinationen werden für die zugehörigen Ergebnisse separate Fälle geöffnet, verschiedene Playbooks ausgeführt und andere Mitglieder Ihres Teams arbeiten möglicherweise unabhängig von der Behebung der schädlichen Kombination an der Behebung der Probleme. Prüfen Sie den Status der Fälle auf diese ähnlichen Ergebnisse und bitten Sie die Inhaber der Fälle gegebenenfalls, die Behebung zu priorisieren, um die schädliche Kombination zu beheben.

Fälle

In Security Command Center Enterprise wird für jede generierte toxische Kombination ein Fall in der Security Operations Console geöffnet. Engpässe generieren keine Anfragen.

In der Fallansicht finden Sie die folgenden Informationen zu schädlichen Kombinationen:

  • Beschreibung der schädlichen Kombination
  • Die Angriffsbewertung der schädlichen Kombination
  • Eine Visualisierung des Angriffspfads, den die schädliche Kombination erstellt
  • Informationen zu den betroffenen Ressourcen
  • Informationen zu den Schritten, die Sie unternehmen können, um die schädliche Kombination zu beheben
  • Informationen zu ähnlichen Ergebnissen aus anderen Security Command Center-Erkennungsdiensten, einschließlich Links zu den zugehörigen Supportanfragen
  • Anwendbare Playbooks
  • Verknüpfte Tickets

Auf der Seite Fälle in der Security Operations Console können Sie mithilfe des Tags Toxic Combination nach Fällen mit schädlichen Kombinationen suchen oder diese filtern. Anhand des folgenden Symbols: Symbol für schädliche Kombination, können Sie Fälle zu schädlichen Kombinationen in der Fallliste auch visuell erkennen.

Weitere Informationen zum Ansehen von Fällen zu schädlichen Kombinationen finden Sie unter Fälle zu schädlichen Kombinationen ansehen.

Fallpriorität

Standardmäßig ist die Priorität von Fällen zu schädlichen Kombinationen auf denselben Wert festgelegt wie die Schwere des Ergebnisses für die schädliche Kombination und die zugehörige Benachrichtigung im zugehörigen Fall. Das bedeutet, dass alle Fälle zu schädlichen Kombinationen anfangs die Priorität Critical oder High haben.

Nachdem ein Fall geöffnet wurde, können Sie die Priorität des Falls oder der Benachrichtigung ändern. Wenn Sie die Priorität eines Falls oder einer Benachrichtigung ändern, ändert sich dadurch nicht der Schweregrad der Abweichung.

Anfragen schließen

Wenn ein Ergebnis für eine toxische Kombination zum ersten Mal generiert wird, lautet sein Status Active.

Wenn Sie die schädliche Kombination beheben, erkennt die Risk Engine die Behebung automatisch bei der nächsten Simulation des Angriffspfads und schließt den Fall. Simulationen werden ungefähr alle sechs Stunden ausgeführt.

Wenn Sie hingegen der Meinung sind, dass das Risiko einer schädlichen Kombination akzeptabel oder unvermeidbar ist, können Sie den Fall schließen, indem Sie die Benachrichtigung stummschalten.

Wenn Sie ein Ergebnis ausblenden, bleibt es aktiv. Der Fall wird jedoch in Security Command Center geschlossen und das Ergebnis wird aus Standardabfragen und ‑ansichten entfernt.

Weitere Informationen finden Sie unter: