Cette page présente le concept de combinaison toxique, ainsi que les résultats et les cas que vous, en tant qu'analyste de la vulnérabilité ou autre rôle chargé de sécuriser votre environnement cloud, pouvez utiliser pour identifier, hiérarchiser et corriger les combinaisons toxiques.
Les résultats et les cas de combinaisons toxiques vous aident à identifier plus efficacement les risques et à améliorer la sécurité dans vos environnements cloud, y compris Google Cloud et Amazon Web Services (AWS) (version Preview).
Définition d'une combinaison toxique
Une combinaison toxique est un groupe de problèmes de sécurité qui, lorsqu'ils se produisent ensemble selon un schéma particulier, créent un chemin vers une ou plusieurs de vos ressources de grande valeur qu'un pirate informatique déterminé pourrait potentiellement utiliser pour atteindre et compromettre ces ressources.
Un problème de sécurité est tout élément qui contribue à l'exposition de vos ressources cloud, comme une configuration particulière des ressources, une mauvaise configuration ou une faille logicielle.
Le moteur de gestion des risques de Security Command Center Enterprise détecte les combinaisons toxiques lors des simulations de chemins d'attaque qu'il exécute. Pour chaque combinaison toxique détectée par le moteur de risque, il émet un résultat. Chaque combinaison toxique inclut un score d'exposition aux attaques unique, appelé score de combinaison toxique, qui mesure le risque de la combinaison toxique pour l'ensemble de ressources à forte valeur de votre environnement cloud. Le moteur de risque génère également une visualisation du chemin d'attaque que la combinaison toxique crée vers les ressources de votre ensemble de ressources à forte valeur.
Vous travaillez avec les résultats de combinaison toxique via les cas, mais si vous avez besoin de voir les résultats eux-mêmes, vous pouvez les consulter dans la console Google Cloud sur la page Résultats, où vous pouvez filtrer les résultats par classe de résultat Combinaison toxique ou les trier par Score de combinaison toxique.
Scores d'exposition aux attaques pour les combinaisons toxiques
Le moteur de risque calcule un score d'exposition aux attaques pour chaque combinaison toxique. Dans certains contextes, ces scores d'exposition aux attaques sont également appelés scores de combinaison toxique, par exemple sur la page Résultats de la console Google Cloud. Ce score mesure dans quelle mesure une combinaison toxique expose une ou plusieurs des ressources de votre ensemble de ressources à forte valeur à des attaques potentielles.
Les scores de combinaison toxique sont semblables aux scores d'exposition aux attaques pour d'autres types de résultats, mais ils sont appliqués à un ensemble d'étapes d'attaque plutôt qu'à une découverte d'une vulnérabilité ou d'une mauvaise configuration logicielle individuelle.
Par défaut, les combinaisons toxiques sont classées comme résultats de gravité critique et cas de priorité critique. Comparez les scores de combinaison toxique pour vous aider à hiérarchiser les cas de combinaison toxique.
Comme les scores d'exposition aux attaques pour d'autres résultats, les scores de combinaison toxique sont dérivés des éléments suivants:
- Nombre de ressources de votre ensemble de ressources à forte valeur exposées, ainsi que les valeurs de priorité et les scores d'exposition aux attaques de ces ressources.
- Probabilité qu'un pirate informatique déterminé puisse atteindre une ressource à forte valeur en exploitant la combinaison toxique
Pour en savoir plus, consultez la section Scores d'exposition aux attaques.
Visualisations du chemin d'attaque pour les combinaisons toxiques
Le moteur de risque fournit une représentation visuelle des chemins d'attaque qu'une combinaison toxique crée vers les ressources de votre ensemble de ressources à forte valeur. Un chemin d'attaque correspond à une série d'étapes d'attaque, ainsi qu'aux problèmes de sécurité et aux ressources associés qu'un pirate informatique potentiel pourrait utiliser pour atteindre vos ressources.
Le chemin d'attaque vous aide à comprendre les relations entre les problèmes d'une combinaison toxique et comment ils forment ensemble des chemins vers les ressources de votre ensemble de ressources à forte valeur. La visualisation du chemin d'accès vous indique également le nombre de ressources de valeur exposées et leur importance relative pour votre environnement cloud.
Dans la console Security Operations, les ressources présentant des problèmes de sécurité qui constituent la combinaison toxique sont mises en évidence par une bordure en forme de losange jaune en gras sur le chemin d'attaque. Dans la console Google Cloud, les chemins d'attaque sont identiques à ceux des autres types de résultats.
Dans la console Security Operations, Security Command Center fournit deux versions d'un chemin d'attaque par combinaison toxique. La première est une version simplifiée qui s'affiche dans l'onglet "Vue d'ensemble de la demande" d'une demande de combinaison toxique. La deuxième version affiche les chemins d'attaque complets. Vous pouvez ouvrir les chemins d'attaque complets en cliquant sur Explorer les chemins d'attaque complets dans le chemin d'attaque simplifié ou sur Explorer le chemin d'attaque de la combinaison toxique en haut à droite de la vue de l'incident.
La capture d'écran suivante est un exemple de chemin d'attaque simplifié.
Dans la console Google Cloud, le chemin d'attaque complet est toujours affiché.
Pour en savoir plus, consultez la section Chemins d'attaque.
Cas de combinaison toxique
Security Command Center Enterprise ouvre une demande dans la console Security Operations pour chaque résultat de combinaison toxique émis par le moteur de gestion des risques.
L'étude de cas est le principal moyen d'enquêter et de suivre la résolution d'une combinaison toxique. Dans la vue "Demande", vous trouverez les informations suivantes:
- Description de la combinaison toxique
- Le niveau d'exposition aux attaques de la combinaison toxique
- Visualisation du chemin d'attaque créé par la combinaison toxique
- Informations sur la ressource concernée
- Informations sur les mesures que vous pouvez prendre pour corriger la combinaison toxique
- Informations sur les résultats associés d'autres services de détection de Security Command Center, y compris des liens vers les demandes associées
- Tous les playbooks applicables
- Toutes les demandes associées
Dans la console Security Operations, la page Vue d'ensemble de la posture de Security Command Center fournit un aperçu de tous les cas de combinaison toxique pour votre environnement. La page Vue d'ensemble de la posture contient des widgets qui vous indiquent les cas de combinaisons toxiques par priorité, par score d'exposition aux attaques et par durée restante du contrat de niveau de service (CNL).
Sur la page Cas de la console Security Operations, vous pouvez interroger ou filtrer les cas de combinaisons toxiques à l'aide de la balise TOXIC_COMBINATION qu'ils incluent. Vous pouvez également identifier visuellement les cas de combinaison toxique à l'aide de l'icône suivante :
Dans la console Google Cloud, la page Présentation des risques de Security Command Center affiche également le tableau Cas à risque élevé, qui peut inclure un mélange de cas de combinaison toxique avec le score d'exposition au piratage le plus élevé et des cas individuels avec la priorité la plus élevée. Les résultats listés incluent un lien vers la demande correspondante dans la console Security Operations.
Pour en savoir plus sur l'affichage des cas de combinaison toxique, consultez Afficher les cas de combinaison toxique.
Priorité des demandes
Par défaut, les cas de combinaison toxique ont une priorité de Critical pour correspondre à la gravité de la combinaison toxique et à l'alerte associée dans le cas de combinaison toxique.
Une fois une demande ouverte, vous pouvez modifier sa priorité ou celle de l'alerte.
Modifier la priorité d'un ticket ou d'une alerte ne modifie pas la gravité de la non-conformité.
Clôturer les demandes
La disposition des cas de combinaison toxique est déterminée par l'état de la conclusion sous-jacente. Lorsqu'un résultat est émis pour la première fois, son état est Active.
Si vous corrigez la combinaison toxique, Risk Engine détecte automatiquement la correction lors de la prochaine simulation du chemin d'attaque et clôture la demande. Les simulations s'exécutent toutes les six heures environ.
Si vous déterminez que le risque posé par la combinaison toxique est acceptable ou inévitable, vous pouvez clôturer une demande en désactivant la détection de la combinaison toxique.
Lorsque vous désactivez un résultat de combinaison toxique, il reste actif, mais Security Command Center ferme la demande et l'omet des requêtes et des vues par défaut.
Pour en savoir plus, consultez les informations suivantes:
- Clôturer des cas de combinaison toxique
- Présentation des cas
- Ignorer les résultats dans Security Command Center
Résultats associés
De nombreux problèmes de sécurité individuels qui constituent une combinaison toxique détectée par l'outil Risk Engine sont également détectés par d'autres services de détection de Security Command Center. Ces autres services de détection génèrent des résultats distincts pour ces problèmes. Ces résultats sont listés dans un cas de combinaison toxique en tant que résultats associés.
Étant donné que les résultats associés sont émis séparément de la combinaison toxique, des demandes distinctes sont ouvertes, des playbooks différents sont exécutés et d'autres membres de votre équipe peuvent travailler sur leur résolution indépendamment de la résolution de la combinaison toxique.
Vérifiez l'état des demandes pour ces résultats associés et, si nécessaire, demandez aux propriétaires des demandes de donner la priorité à leur résolution pour résoudre la combinaison toxique.
Dans un cas de combinaison toxique, tous les résultats associés sont listés dans le widget Findings (Résultats) de l'onglet "Overview" (Vue d'ensemble). Pour chaque résultat associé, le widget inclut un lien vers la demande correspondante.
Les résultats associés sont également identifiés dans le chemin d'attaque de la combinaison toxique.
Comment le moteur de risque détecte-t-il les combinaisons toxiques ?
Risk Engine exécute des simulations de chemins d'attaque sur toutes vos ressources cloud environ toutes les six heures.
Lors des simulations, le moteur de gestion des risques identifie les chemins d'attaque potentiels vers l'ensemble de ressources à forte valeur de votre environnement cloud et calcule les scores d'exposition aux attaques pour les résultats et vos ressources de valeur. Si Risk Engine détecte une combinaison toxique lors des simulations, il génère un résultat.
Pour en savoir plus sur les simulations de chemin d'attaque, consultez la section Simulations de chemin d'attaque.