Se usó la API de Cloud Translation para traducir esta página.

Descripción general de las combinaciones tóxicas y los puntos de estrangulamiento
Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Las combinaciones tóxicas son un grupo de problemas de seguridad que, cuando ocurren juntos en un patrón determinado, crean una ruta de acceso a uno o más de tus recursos de alto valor que un atacante determinado podría usar para vulnerarlos.

El motor de riesgos de Security Command Center Enterprise detecta combinaciones tóxicas durante las simulaciones de rutas de ataque que ejecuta. Para cada combinación tóxica que detecta el motor de riesgo, se genera un hallazgo. Cada combinación tóxica incluye una puntuación de exposición a ataques única, llamada puntuación de combinación tóxica, que mide el riesgo de la combinación tóxica para el conjunto de recursos de alto valor en tu entorno de nube. Risk Engine también genera una visualización de la ruta de ataque que crea la combinación tóxica para los recursos de tu conjunto de recursos de alto valor.

Los puntos de estrangulamiento (versión preliminar) son similares a las combinaciones tóxicas, pero se enfocan en recursos o grupos de recursos comunes en los que convergen varias rutas de ataque. Como resultado, la solución de un cuello de botella puede solucionar varias combinaciones tóxicas.

Puedes encontrar combinaciones tóxicas para Google Cloud y Amazon Web Services (AWS) (versión preliminar). Se pueden encontrar puntos críticos para Google Cloud.

Cómo ver combinaciones tóxicas y puntos de estrangulamiento

Las combinaciones tóxicas y los puntos de estrangulamiento de mayor riesgo se muestran como problemas (Versión preliminar) en la página Riesgo > Resumen de la consola de Security Operations.

Puedes ver todas las combinaciones tóxicas y los cuellos de botella con más detalle en la página Riesgo > Problemas. Las combinaciones tóxicas también se pueden ver en la página Casos.

Para ver los resultados relacionados con las combinaciones tóxicas y los puntos críticos en la consola de Google Cloud, ve a la página Resultados y filtra por la clase de resultados Combinación tóxica o Punto crítico.

Puntuaciones de exposición a ataques en combinaciones tóxicas y puntos de estrangulamiento

Risk Engine calcula una puntuación de exposición a ataques para cada combinación tóxica y punto de estrangulamiento. Esta puntuación es una medida de cuánto una combinación tóxica o un punto de estrangulamiento expone uno o más de los recursos de tu conjunto de recursos de alto valor a posibles ataques. Cuanto más alta sea la puntuación, mayor será el riesgo.

Las puntuaciones de exposición al ataque para las combinaciones tóxicas y los puntos de estrangulamiento se derivan de lo siguiente:

La cantidad de recursos de tu conjunto de recursos de alto valor que están expuestos y los valores de prioridad y las puntuaciones de exposición a ataques de esos recursos.
La probabilidad de que un atacante determinado pueda alcanzar un recurso de alto valor aprovechando la combinación tóxica o el punto de estrangulamiento.

Según la puntuación de exposición al ataque, las combinaciones tóxicas pueden tener una de las siguientes gravedades asignadas:

Crítico: Combinaciones tóxicas con una puntuación de exposición a ataques de 10 o más.
Alta: Combinaciones tóxicas con una puntuación de exposición a ataques inferior a 10.

Los cuellos de botella siempre tienen una puntuación de exposición ante ataques de 10 o más, por lo que siempre tienen una calificación de gravedad crítica.

Para obtener más información, consulta Puntuaciones de exposición a ataques.

Visualizaciones de rutas de ataque para combinaciones tóxicas y puntos de estrangulamiento

Risk Engine proporciona una representación visual de la combinación tóxica y las rutas de ataque de punto de estrangulamiento que conducen a tu conjunto de recursos de alto valor. Una ruta de ataque representa una serie de pasos de ataque, que incluyen problemas y recursos de seguridad relacionados que un atacante potencial podría usar para llegar a tus recursos.

Las rutas de ataque te ayudan a comprender las relaciones entre los problemas de seguridad individuales en una combinación tóxica o un punto de estrangulamiento, y cómo forman rutas hacia los recursos de tu conjunto de recursos de alto valor. La visualización de la ruta de acceso también te muestra cuántos recursos valiosos están expuestos y su importancia relativa para tu entorno de nube.

En la consola de Security Operations, los recursos de una ruta de ataque se codifican por color de la siguiente manera:

Los recursos con problemas de seguridad que contribuyen a una combinación tóxica se destacan con un borde amarillo.
Los recursos que se identifican como un cuello de botella se destacan con un borde rojo.

Hay varios lugares en la consola de Security Operations en los que puedes ver las trayectorias de ataque. Una versión simplificada de la ruta de ataque se muestra en los siguientes lugares:

La página Riesgo > Resumen, para los elementos del widget Problemas más riesgosos
La página Riesgo > Problemas, cuando se selecciona un problema Puedes acceder a la ruta de ataque simplificada en la pestaña Resumen del problema.
La página Casos, cuando se selecciona un caso Puedes acceder a la ruta de ataque simplificada en la pestaña Descripción general del caso.

Para ver la versión completa de una ruta de ataque, primero consulta la versión simplificada y, luego, haz clic en Explorar rutas de ataque completas.

En la siguiente captura de pantalla, se muestra un ejemplo de una ruta de ataque simplificada para una combinación tóxica:

Ruta de ataque de combinación tóxica simplificada, como se muestra en la consola de Security Operations

En la siguiente captura de pantalla, se muestra un ejemplo de una ruta de ataque simplificada para un cuello de botella:

Una ruta de ataque de punto de estrangulamiento simplificada, como se muestra en la consola de Operaciones de seguridad

En la consola de Google Cloud, siempre se muestra la ruta de ataque completa.

Para obtener más información, consulta Rutas de ataque.

Resultados relacionados

Otros servicios de detección de Security Command Center también detectan muchos de los riesgos individuales que conforman las combinaciones tóxicas y los cuellos de botella. Estos otros servicios de detección generan resultados independientes para estos riesgos, que se enumeran en problemas (Versión preliminar) y casos como resultados relacionados. Los hallazgos relacionados también se identifican en las rutas de ataque.

En el caso de las combinaciones tóxicas, se abren casos independientes para los hallazgos relacionados, se ejecutan diferentes manuales de procedimientos y es posible que otros miembros de tu equipo estén trabajando en su solución de forma independiente de la solución del hallazgo de combinación tóxica. Verifica el estado de los casos en busca de estos hallazgos relacionados y, si es necesario, pídeles a los propietarios de los casos que prioricen su solución para ayudar a resolver la combinación tóxica.

Casos

Security Command Center Enterprise abre un caso en la consola de Security Operations para cada resultado de combinación tóxica que se genera. Los puntos críticos no generan casos.

En la vista de casos, puedes encontrar la siguiente información relacionada con las combinaciones tóxicas:

Una descripción de la combinación tóxica
La puntuación de exposición al ataque de la combinación tóxica
Una visualización de la ruta de ataque que crea la combinación tóxica
Información sobre los recursos afectados
Información sobre los pasos que puedes seguir para corregir la combinación tóxica
Información sobre los resultados relacionados de otros servicios de detección de Security Command Center, incluidos vínculos a sus casos asociados
Guías aplicables
Tickets asociados

En la página Casos de la consola de Security Operations, puedes consultar o filtrar casos de combinaciones tóxicas con la etiqueta Combinación tóxica. También puedes identificar visualmente los casos de combinaciones tóxicas en la lista de casos con el siguiente ícono: .

Para obtener más información sobre cómo ver casos de combinaciones tóxicas, consulta Cómo ver casos de combinaciones tóxicas.

Prioridad del caso

De forma predeterminada, la prioridad de los casos de combinaciones tóxicas se establece en el mismo valor que la gravedad del hallazgo de la combinación tóxica y su alerta asociada en el caso relacionado. Esto significa que, en un principio, todos los casos de combinación tóxica tienen una prioridad de Critical o High.

Después de abrir un caso, puedes cambiar la prioridad del caso o de la alerta. Cambiar la prioridad de un caso o una alerta no cambia la gravedad del hallazgo.

Cierra casos

Cuando se genera un hallazgo por primera vez para una combinación tóxica, su estado es Active.

Si corriges la combinación tóxica, el motor de riesgo detectará automáticamente la corrección durante la próxima simulación de ruta de ataque y cerrará el caso. Las simulaciones se ejecutan aproximadamente cada seis horas.

Como alternativa, si determinas que el riesgo que representa una combinación tóxica es aceptable o inevitable, puedes silenciar el hallazgo para cerrar un caso.

Cuando silencias un resultado, este permanece activo, pero Security Command Center cierra el caso y lo omite de las consultas y vistas predeterminadas.

Para obtener más información, consulta lo siguiente: