Descripción general de las combinaciones tóxicas y los puntos de estrangulamiento

Las combinaciones tóxicas son un grupo de problemas de seguridad que, cuando ocurren juntos en un patrón particular, crean una ruta a uno o más de tus recursos valiosos que un atacante determinado podría usar para vulnerar esos recursos.

El motor de riesgos de Security Command Center Enterprise o Premium detecta combinaciones tóxicas durante las simulaciones de rutas de ataque que ejecuta. Para cada combinación tóxica que detecta el motor de riesgos, se genera un hallazgo. Cada combinación tóxica incluye una puntuación de exposición a ataques única, denominada puntuación de combinación tóxica, que mide el riesgo de la combinación tóxica para el conjunto de recursos de alto valor en tu entorno de nube. El motor de riesgos también genera una visualización de la ruta de ataque que crea la combinación tóxica a los recursos de tu conjunto de recursos de alto valor.

Los puntos críticos (vista previa) son similares a las combinaciones tóxicas, pero se centran en los recursos o grupos de recursos comunes en los que convergen varias rutas de ataque. Como consecuencia, corregir un cuello de botella puede corregir varias combinaciones tóxicas.

Se detectan combinaciones tóxicas y puntos críticos en las siguientes plataformas de proveedores de servicios en la nube:

  • Google Cloud
  • Amazon Web Services (AWS). La compatibilidad con Chokepoints con AWS se encuentra en versión preliminar.
  • Microsoft Azure. La compatibilidad con los puntos de estrangulamiento con Microsoft Azure se encuentra en vista previa.

Para obtener la lista de recursos compatibles, consulta Compatibilidad con las funciones del motor de riesgos.

Cómo ver las combinaciones tóxicas y los puntos críticos

En Security Command Center Enterprise, las combinaciones tóxicas y los puntos críticos de mayor riesgo se muestran como problemas (Versión preliminar) en la página Descripción general > de riesgos. Las combinaciones tóxicas también se pueden ver en la página Casos.

En Security Command Center Enterprise, puedes ver todas las combinaciones tóxicas y los puntos de estrangulamiento con mayor detalle en la página Riesgos > Problemas.

Para ver los hallazgos relacionados con combinaciones tóxicas y puntos críticos en la consola deGoogle Cloud , ve a la página Hallazgos y filtra por la clase de hallazgo Combinación tóxica o Punto crítico.

Los hallazgos relacionados con combinaciones tóxicas y puntos críticos se registran en los informes de riesgo. Para obtener más información, consulta la descripción general de los informes de riesgo.

Puntuaciones de exposición a ataques en combinaciones tóxicas y puntos críticos

El motor de riesgos calcula una puntuación de exposición a ataques para cada combinación tóxica y punto de estrangulamiento. Esta puntuación es una medida de la exposición de uno o más recursos de tu conjunto de recursos de alto valor a ataques potenciales debido a una combinación tóxica o un punto crítico. Cuanto más alta sea la puntuación, mayor será el riesgo.

Cálculo de la puntuación de exposición al ataque

Las puntuaciones de exposición al ataque para las combinaciones tóxicas y los puntos críticos se derivan de lo siguiente:

  • La cantidad de recursos de tu conjunto de recursos de alto valor que están expuestos, y los valores de prioridad y las puntuaciones de exposición a ataques de esos recursos
  • Es la probabilidad de que un atacante determinado logre llegar a un recurso de alto valor aprovechando la combinación tóxica o el punto crítico.

Según la puntuación de exposición al ataque, las combinaciones tóxicas pueden tener uno de los siguientes niveles de gravedad asignados:

  • Críticas: Combinaciones tóxicas con una puntuación de exposición a ataques ≥ 10
  • Alta: Combinaciones tóxicas con una puntuación de exposición a ataques inferior a 10.

Los puntos de estrangulamiento siempre tienen una puntuación de exposición ante ataques ≥ 10 y, por lo tanto, siempre tienen una calificación de gravedad crítica.

Para obtener más información, consulta Puntuaciones de exposición a ataques.

Visualizaciones de rutas de ataque para combinaciones tóxicas y puntos críticos

El motor de riesgos proporciona una representación visual de las rutas de ataque de combinación tóxica y de punto crítico que conducen a tu conjunto de recursos de alto valor. Una ruta de ataque representa una serie de pasos de ataque que incluyen problemas de seguridad y recursos relacionados que un atacante potencial podría usar para llegar a tus recursos.

Las rutas de ataque te ayudan a comprender las relaciones entre los problemas de seguridad individuales en una combinación tóxica o un punto crítico, y cómo forman rutas hacia los recursos de tu conjunto de recursos de alto valor. La visualización de la ruta también te muestra cuántos recursos valiosos se exponen y su importancia relativa para tu entorno de nube.

Los recursos de una ruta de ataque se codifican por color de la siguiente manera:

  • Los recursos con problemas de seguridad que contribuyen a una combinación tóxica se destacan con un borde amarillo.
  • Los recursos que se identifican como un cuello de botella se destacan con un borde rojo.

Hay varias ubicaciones en las que puedes ver las rutas de ataque.

En Security Command Center Premium, consulta la ruta de ataque completa en la página Rutas de ataque. Para obtener más información, consulta Rutas de ataque.

En Security Command Center Enterprise, puedes ver una versión simplificada de la ruta de ataque en los siguientes lugares:

  • La página Resumen de > riesgos, para los elementos del widget Problemas más riesgosos
  • La página Riesgo > Problemas, cuando se selecciona un problema. Puedes acceder a la ruta de ataque simplificada en la pestaña Descripción general del problema.
  • La página Riesgo > Casos, cuando se selecciona un caso Puedes acceder a la ruta de ataque simplificada en la pestaña Caso Resumen del caso.

Para ver la versión completa de una ruta de ataque, consulta la versión simplificada y, luego, haz clic en Explorar rutas de ataque completas.

En la siguiente captura de pantalla, se muestra un ejemplo de una ruta de ataque simplificada para una combinación tóxica:

Ruta de ataque de combinación tóxica simplificada

En la siguiente captura de pantalla, se muestra un ejemplo de una ruta de ataque simplificada para un cuello de botella:

Ruta de ataque de punto crítico simplificada

Muchos de los riesgos individuales que componen las combinaciones tóxicas y los puntos de estrangulamiento también son detectados por otros servicios de detección de Security Command Center. Estos otros servicios de detección generan hallazgos independientes para estos riesgos, que se enumeran en los problemas (versión preliminar) y los casos como hallazgos relacionados. Los hallazgos relacionados también se identifican en las rutas de ataque.

En el caso de las combinaciones tóxicas, se abren casos separados para los hallazgos relacionados, se ejecutan diferentes manuales y otros miembros de tu equipo pueden trabajar en la corrección de forma independiente de la corrección del hallazgo de combinación tóxica. Verifica el estado de los casos relacionados con estos hallazgos y, si es necesario, pide a los propietarios de los casos que prioricen la corrección para ayudar a resolver la combinación tóxica.

Casos

Security Command Center Enterprise abre un caso para cada resultado de combinación tóxica que se genera. Los embudos no generan casos.

En la vista de detalles del caso, puedes encontrar la siguiente información relacionada con las combinaciones tóxicas:

  • Descripción de la combinación tóxica
  • La puntuación de exposición al ataque de la combinación tóxica
  • Una visualización de la ruta de ataque que crea la combinación tóxica
  • Información sobre los recursos afectados
  • Información sobre los pasos que puedes seguir para corregir la combinación tóxica
  • Información sobre los resultados relacionados de otros servicios de detección de Security Command Center, incluidos los vínculos a sus casos asociados
  • Guías aplicables
  • Tickets asociados

En la página Riesgo > Casos de la consola de Operaciones de seguridad, puedes consultar o filtrar los casos de combinaciones tóxicas con la etiqueta Combinación tóxica. También puedes identificar visualmente los casos de combinación tóxica en la lista de casos con el siguiente ícono: Ícono de combinación tóxica.

Para obtener más información sobre cómo ver los casos de combinación tóxica, consulta Cómo ver los casos de combinación tóxica.

Prioridad del caso

De forma predeterminada, los casos de combinaciones tóxicas tienen su prioridad establecida en el mismo valor que la gravedad del hallazgo de combinación tóxica y su alerta asociada en el caso relacionado. Esto significa que todos los casos de combinación tóxica tienen inicialmente una prioridad de Critical o High.

Después de abrir un caso, puedes cambiar su prioridad o la de la alerta. Cambiar la prioridad de un caso o una alerta no cambia la gravedad del hallazgo.

Cierre de casos

Cuando se genera un hallazgo por primera vez para una combinación tóxica, su estado es Active.

Si corriges la combinación tóxica, el motor de riesgo detectará automáticamente la corrección durante la próxima simulación de ruta de ataque y cerrará el caso. Las simulaciones se ejecutan aproximadamente cada seis horas.

Como alternativa, si determinas que el riesgo que plantea una combinación tóxica es aceptable o inevitable, puedes cerrar un caso silenciando el hallazgo.

Cuando silencias un resultado, este permanece activo, pero Security Command Center cierra el caso y omite el resultado de las consultas y vistas predeterminadas.

Para obtener más información, consulta lo siguiente: