Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di combinazioni dannose e punti di congestione
Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Le combinazioni dannose sono un gruppo di problemi di sicurezza che, se si verificano insieme in un determinato schema, creano un percorso verso una o più delle tue risorse di alto valore che un utente malintenzionato determinato potrebbe potenzialmente utilizzare per comprometterle.

Il motore dei rischi di Security Command Center Enterprise rileva le combinazioni dannose durante le simulazioni dei percorsi di attacco che esegue. Per ogni combinazione tossica rilevata dal motore di rischio, viene generato un rilevamento. Ogni combinazione dannosa include un punteggio dell'esposizione agli attacchi univoco, chiamato punteggio della combinazione dannosa, che misura il rischio della combinazione dannosa per il set di risorse di alto valore nel tuo ambiente cloud. Il motore dei rischi genera anche una visualizzazione del percorso di attacco creato dalla combinazione tossica alle risorse del set di risorse di alto valore.

I punti di passaggio obbligato (Anteprima) sono simili alle combinazioni tossiche, ma si concentrano su risorse o gruppi di risorse comuni in cui convergono più percorsi di attacco. Di conseguenza, la correzione di un punto di saturazione può correggere più combinazioni dannose.

Le combinazioni dannose sono disponibili per Google Cloud e Amazon Web Services (AWS) (anteprima). I chokepoint sono disponibili per Google Cloud.

Visualizza combinazioni dannose e colli di bottiglia

Le combinazioni dannose e i colli di bottiglia con il rischio più elevato vengono visualizzati come problemi (Anteprima) nella pagina Rischio > Panoramica della console Security Operations.

Puoi visualizzare tutte le combinazioni e i colli di bottiglia dannosi in modo più dettagliato nella pagina Rischio > Problemi. Le combinazioni dannose possono essere visualizzate anche nella pagina Richieste.

Per visualizzare i risultati relativi a combinazioni tossiche e chokepoint nella console Google Cloud, vai alla pagina Risultati e filtra in base alla classe di risultati Combinazione tossica o Chokepoint.

Punteggi di esposizione agli attacchi per combinazioni dannose e punti di passaggio obbligato

Risk Engine calcola un punteggio di esposizione agli attacchi per ogni combinazione e punto di saturazione dannosi. Questo punteggio misura quanto una combinazione o un punto di attacco tossici espongono una o più risorse del tuo set di risorse di alto valore a potenziali attacchi. Più alto è il punteggio, maggiore è il rischio.

I punteggi di esposizione agli attacchi per combinazioni dannose e punti di passaggio obbligato si basano su quanto segue:

Il numero di risorse nel set di risorse di alto valore esposte, nonché i valori di priorità e i punteggi di esposizione agli attacchi di queste risorse.
La probabilità che un malintenzionato determinato possa riuscire a raggiungere una risorsa di alto valore sfruttando la combinazione tossica o il punto di strozzamento.

In base al punteggio di esposizione all'attacco, alle combinazioni dannose può essere assegnata una delle seguenti severità:

Critica: combinazioni dannose con un punteggio di esposizione agli attacchi pari o superiore a 10.
Alta: combinazioni dannose con un punteggio di esposizione agli attacchi inferiore a 10.

I colli di bottiglia hanno sempre un punteggio di esposizione agli attacchi pari o superiore a 10 e, di conseguenza, hanno sempre un'esatta valutazione della gravità.

Per ulteriori informazioni, consulta Punteggi di esposizione agli attacchi.

Visualizzazioni del percorso di attacco per combinazioni tossiche e punti di passaggio obbligato

Risk Engine fornisce una rappresentazione visiva della combinazione tossica e dei percorsi di attacco che portano al tuo set di risorse di alto valore. Un percorso di attacco rappresenta una serie di passaggi di attacco, che includono problemi di sicurezza correlati e risorse che un potenziale utente malintenzionato potrebbe utilizzare per raggiungere le tue risorse.

I percorsi di attacco ti aiutano a comprendere le relazioni tra i singoli problemi di sicurezza in una combinazione tossica o in un punto di congestione e come formano percorsi alle risorse nel tuo set di risorse di alto valore. La visualizzazione del percorso mostra anche il numero di risorse di valore esposte e la relativa importanza per il tuo ambiente cloud.

Nella console Security Operations, le risorse in un percorso di attacco sono codificate in base al colore nel seguente modo:

Le risorse con problemi di sicurezza che contribuiscono a una combinazione tossica sono messe in evidenza con un bordo giallo.
Le risorse identificate come colli di bottiglia sono evidenziate con un bordino rosso.

Nella console Security Operations sono disponibili più posizioni in cui puoi visualizzare i percorsi di attacco. Una versione semplificata del percorso di attacco viene mostrata nei seguenti luoghi:

Pagina Rischio > Panoramica, per gli elementi del widget Problemi più gravi.
La pagina Rischio > Problemi, quando è selezionato un problema. Puoi accedere al percorso di attacco semplificato nella scheda Panoramica del problema.
La pagina Richieste, quando è selezionata una richiesta. Puoi accedere al percorso di attacco semplificato nella scheda Panoramica della richiesta.

Per visualizzare la versione completa di un percorso di attacco, visualizza la versione semplificata e poi fai clic su Esplora percorsi di attacco completi.

Lo screenshot seguente è un esempio di percorso di attacco semplificato per una combinazione tossica:

Un percorso di attacco della combinazione tossica semplificato, come mostrato nella console Security Operations

Lo screenshot seguente è un esempio di percorso di attacco semplificato per un punto di blocco:

Un percorso di attacco del punto di saturazione semplificato, come mostrato nella console Operations Security

Nella console Google Cloud, viene sempre visualizzato il percorso di attacco completo.

Per ulteriori informazioni, consulta Percorsi di attacco.

Risultati correlati

Molti dei singoli rischi che compongono combinazioni tossiche e colli di bottiglia vengono rilevati anche da altri servizi di rilevamento di Security Command Center. Questi altri servizi di rilevamento generano risultati separati per questi rischi, che sono elencati nei problemi (Anteprima) e nelle richieste come risultati correlati. I risultati correlati vengono identificati anche nei percorsi di attacco.

Per le combinazioni tossiche, vengono aperte richieste separate per i relativi risultati, vengono eseguiti diversi playbook e altri membri del team potrebbero lavorare alla loro correzione indipendentemente dalla correzione del risultato della combinazione tossica. Controlla lo stato delle richieste relative a questi risultati correlati e, se necessario, chiedi ai proprietari delle richieste di dare la priorità alla correzione per contribuire a risolvere la combinazione tossica.

Richieste

Security Command Center Enterprise apre una richiesta nella console Security Operations per ogni risultato di combinazione tossica generato. I colli di bottiglia non generano richieste.

Nella visualizzazione della richiesta, puoi trovare le seguenti informazioni relative alle combinazioni tossiche:

Una descrizione della combinazione tossica
Il punteggio di esposizione agli attacchi della combinazione tossica
Una visualizzazione del percorso di attacco creato dalla combinazione tossica
Informazioni sulle risorse interessate
Informazioni sui passaggi da seguire per correggere la combinazione tossica
Informazioni su eventuali risultati correlati di altri servizi di rilevamento di Security Command Center, inclusi i link alle relative richieste
Playbook applicabili
Ticket associati

Nella pagina Richieste della console Security Operations, puoi eseguire query o filtrare le richieste di combinazione tossica utilizzando il tag Combinazione tossica. Puoi anche identificare visivamente le richieste di combinazione tossica nell'elenco delle richieste tramite la seguente icona:.

Per saperne di più sulla visualizzazione delle richieste relative alla combinazione tossica, consulta Visualizzare le richieste relative alla combinazione tossica.

Priorità della richiesta

Per impostazione predefinita, la priorità delle richieste relative alla combinazione tossica è impostata sullo stesso valore della gravità del risultato relativo alla combinazione tossica e dell'avviso associato nella richiesta correlata. Ciò significa che tutte le richieste relative alla combinazione tossica hanno inizialmente una priorità di Critical o High.

Dopo aver aperto una richiesta, puoi modificare la relativa priorità o quella dell'avviso. La modifica della priorità di una richiesta o di un avviso non influisce sulla gravità del risultato.

Chiusura delle richieste

Quando un risultato viene generato per la prima volta per una combinazione tossica, il relativo stato è Active.

Se correggi la combinazione tossica, Risk Engine rileva automaticamente la correzione durante la simulazione del percorso di attacco successiva e chiude la richiesta. Le simulazioni vengono eseguite circa ogni sei ore.

In alternativa, se ritieni che il rischio rappresentato da una combinazione tossica sia accettabile o inevitabile, puoi chiudere una richiesta disattivando il rilevamento.

Quando disattivi un risultato, questo rimane attivo, ma Security Command Center chiude la richiesta e omette il risultato dalle query e dalle visualizzazioni predefinite.

Per ulteriori informazioni, consulta le seguenti informazioni: