En esta página, se proporciona una descripción general del concepto de combinación tóxica y de los hallazgos y casos que tú, como analista de vulnerabilidades o cualquier otro rol responsable de proteger tu entorno de nube, puedes usar para identificar, priorizar y corregir cualquier combinación tóxica.
Los hallazgos y casos de combinaciones tóxicas ayudan a identificar de manera más eficaz y mejorar la seguridad en tus entornos de nube.
Definición de una combinación tóxica
Una combinación tóxica es un grupo de problemas de seguridad que, cuando se producen juntas en un patrón particular, crean una ruta hacia uno o más de tus recursos de alto valor que un atacante determinado podría usar para alcanzar y comprometer esos recursos.
Un problema de seguridad es cualquier elemento que contribuya a la exposición de tus recursos de la nube, como una configuración particular de recursos, una configuración incorrecta o una vulnerabilidad de software.
El motor de riesgos de Security Command Center Enterprise detecta combinaciones tóxicas durante las simulaciones de rutas de ataque que ejecuta. Para cada combinación tóxica que detecta el motor de riesgo, emite un resultado. Cada hallazgo incluye una puntuación de exposición a ataques que mide el riesgo de la combinación tóxica para los recursos de alto valor en tu de tu entorno en la nube. Risk Engine también genera un Visualización de la ruta de ataque que la combinación tóxica crea para los recursos de alto valor.
Trabajas con hallazgos de combinaciones tóxicas a través de casos, pero si necesitas para ver los resultados, puedes verlos en la la consola de Google Cloud en Hallazgos donde puedes filtrar las resultados por la clase de hallazgos de Combinación tóxica, o bien ordénalos por Puntuación de combinaciones tóxicas.
Puntuaciones de exposición a ataques en combinaciones tóxicas
Risk Engine calcula una puntuación de exposición a ataques para cada de combinaciones tóxicas. La puntuación es una estimación de la cantidad de y que la combinación tóxica representa el alto valor de tus recursos.
Una puntuación en un hallazgo de combinación tóxica es similar a las puntuaciones de exposición a ataques sobre otros tipos de hallazgos, pero puede considerarse que aplican a una ruta en lugar de un hallazgo de una vulnerabilidad de software individual o una mala configuración.
Por lo general, una combinación tóxica representa un mayor riesgo para la implementación de la nube que un problema de seguridad individual. Sin embargo, puedes comparar puntaje de un hallazgo de combinación tóxica hasta los puntajes de otros de detección y postura para determinar cuál debe actuar primero.
Si la puntuación de un hallazgo de un problema de seguridad individual es significativamente más alto que el puntaje de una combinación tóxica hallazgo, debes priorizar el hallazgo con la puntuación más alta.
Como las puntuaciones de exposición a ataques de otros hallazgos, las puntuaciones de exposición a ataques sobre combinaciones tóxicas se derivan de lo siguiente:
- La cantidad de recursos de alto valor que se exponen y la prioridad y las puntuaciones de exposición a ataques de esos recursos
- La probabilidad de que un atacante determinado pueda alcanzar un recurso de alto valor aprovechando la combinación tóxica
Para obtener más información, consulta Puntuaciones de exposición a ataques.
Visualizaciones de rutas de ataque para combinaciones tóxicas
Risk Engine proporciona una representación visual de las rutas de ataque que una combinación tóxica crea para tus recursos de alto valor. Un ataque path representa una serie de problemas y recursos de seguridad que el atacante podría usar para alcanzar un recurso de alto valor.
La ruta de ataque te ayuda a comprender las relaciones entre los problemas en una combinación tóxica y cómo, en conjunto, forman una ruta hacia tus recursos de alto valor. La visualización de la ruta también te muestra cuántos se exponen los recursos de alto valor y cuáles son las prioridades relativas de los recursos expuestos.
En la consola de Security Operations, los problemas de seguridad que conforman la combinación tóxica se destacan con un borde amarillo en negrita en forma de diamante en la ruta de ataque. En la consola de Google Cloud, las rutas de ataque buscan que las rutas de ataque para otros tipos de hallazgos.
En la consola de Security Operations, Security Command Center proporciona dos versiones de una ruta de ataque de combinación tóxica. La primera es una guía que aparece en la pestaña de descripción general del caso en un caso tóxico combinado. La segunda muestra la ruta de ataque completa. Para abrir la ruta de ataque completa, haz clic en Explorar rutas de ataque completas en la ruta de ataque simplificada o en Explorar la ruta de ataque de combinación tóxica en la esquina superior derecha de la vista del caso.
La siguiente captura de pantalla es un ejemplo de una ruta de ataque simplificada.
En la consola de Google Cloud, siempre se muestra la ruta de ataque completa.
Para obtener más información, consulta Rutas de ataque.
Casos de combinación tóxicos
Security Command Center Enterprise abre un caso en la consola de operaciones de seguridad para cada hallazgo de combinación tóxica que el motor de riesgos falla.
El caso es la forma principal de investigar y hacer un seguimiento de la corrección de una combinación tóxica. En la vista de casos, puedes encontrar la siguiente información:
- Una descripción de la combinación tóxica
- La puntuación de exposición a ataques de la combinación tóxica
- Una visualización de la ruta de ataque que crea la combinación tóxica
- Información sobre el recurso afectado
- Información sobre los pasos que puedes seguir para remediar la combinación tóxica
- Información sobre los resultados relacionados de otros servicios de detección de Security Command Center, incluidos vínculos a sus casos asociados
- Cualquier guía aplicable
- Cualquier boleto asociado
Un caso de combinación tóxica nunca contiene más de un caso tóxico hallazgo de combinación o alerta.
En la consola de operaciones de seguridad, Descripción general de la postura de Security Command Center proporciona una descripción general de todos los casos de combinación tóxica para tu en un entorno de nube. La página Descripción general de la postura contiene widgets que muestran combinaciones tóxicas de casos por prioridad, puntuación de exposición a ataques y el tiempo restante del Acuerdo de Nivel de Servicio (ANS).
En la página Casos en la consola de Operaciones de seguridad, puedes consultar o
filtrar casos de combinaciones tóxicas usando la etiqueta TOXIC_COMBINATION que
que incluyen. También puedes identificar visualmente
elementos tóxicos
casos combinados con el siguiente ícono:
En la consola de Google Cloud, el Security Command Center Descripción general de riesgos también muestra los hallazgos de combinaciones tóxicas con el mayor nivel de ataque y puntuaciones de exposición. Los resultados enumerados incluyen un vínculo al caso correspondiente en la consola de Security Operations.
Para obtener más información sobre cómo ver casos combinados tóxicos, consulta Consulta casos de combinaciones tóxicas.
Prioridad del caso
De forma predeterminada, los casos de combinación tóxica tienen una prioridad de Critical para coincidir
la gravedad del hallazgo de combinación tóxica y su alerta asociada
en el caso de una combinación tóxica.
Después de abrir un caso, puedes cambiar su prioridad o la alerta.
Cambiar la prioridad de un caso o de una alerta no cambia la gravedad de la hallazgo.
Cierre de casos
La disposición de los casos combinados tóxicos
se determina por el estado de
el hallazgo subyacente. Cuando se emite un resultado por primera vez, su estado es Active.
Si corriges la combinación tóxica, Risk Engine detecta automáticamente la solución durante la siguiente simulación de ruta de ataque y cierra el caso. Las simulaciones se ejecutan aproximadamente cada seis horas.
Por otro lado, si determinas que el riesgo que representan el producto es aceptable o inevitable, puede cerrar un caso silenciar el hallazgo de combinación tóxica.
Cuando silencias un hallazgo de combinación tóxica, el hallazgo permanece activo, pero Security Command Center cierra el caso y omite el hallazgo de la configuración predeterminada. y vistas.
Para obtener más información, consulta lo siguiente:
- Cómo cerrar casos de combinación tóxicos
- Descripción general de casos
- Silenciar resultados en Security Command Center
Resultados relacionados
Muchos de los problemas de seguridad individuales que componen una combinación tóxica que detecta Risk Engine, también son detectadas por otros Servicios de detección de Security Command Center. Estos otros servicios de detección emiten resultados independientes para estos problemas. Estos hallazgos se enumeran en un caso de combinación tóxica como hallazgos relacionados.
Debido a que los resultados relacionados se emiten por separado de los resultados de combinación tóxica, se abren casos independientes para ellos, se ejecutan diferentes manuales de procedimientos para ellos y es posible que otros miembros de tu equipo estén trabajando en su solución de forma independiente de la solución del resultado de combinación tóxica.
Verifica el estado de los casos en busca de estos hallazgos relacionados y, si es necesario, pide a los propietarios de los casos que prioricen su solución para ayudar a resolver la combinación tóxica.
En un caso de combinación tóxica, los hallazgos relacionados se enumeran en el widget Resultados de la pestaña Descripción general. Para cada resultado relacionado, el widget incluye un vínculo a su correspondiente para determinar si este es el caso.
Los hallazgos relacionados también se identifican en la ruta de ataque de combinaciones tóxicas.
Cómo detecta Risk Engine las combinaciones tóxicas
Risk Engine ejecuta simulaciones de rutas de ataque en todos sus recursos en la nube aproximadamente cada seis horas.
Durante las simulaciones, el motor de riesgos identifica rutas de ataque a los recursos de alto valor en tu entorno de nube y calcula las puntuaciones de exposición a ataques de hallazgos y recursos de alto valor. Si el motor de riesgo detecta una combinación tóxica durante las simulaciones, emite un hallazgo.
Para obtener más información sobre las simulaciones de rutas de ataque, consulte Simulaciones de rutas de ataque.