Questa pagina fornisce una panoramica del concetto di combinazione tossica e dei risultati e delle richieste che tu, in qualità di analista delle vulnerabilità o di altro ruolo responsabile della protezione del tuo ambiente cloud, puoi utilizzare per identificare, dare la priorità e correggere eventuali combinazioni tossiche.
I casi e i risultati relativi alle combinazioni dannose ti aiutano a identificare in modo più efficace i rischi e a migliorare la sicurezza nei tuoi ambienti cloud, tra cui Google Cloud e Amazon Web Services (AWS) (anteprima).
Definizione di una combinazione dannosa
Una combinazione tossica è un gruppo di problemi di sicurezza che, se si verificano insieme in un determinato schema, creano un percorso per una o più delle tue risorse di alto valore che un utente malintenzionato determinato potrebbe potenzialmente utilizzare per raggiungerle e comprometterle.
Un problema di sicurezza è qualsiasi elemento che contribuisca all'esposizione delle tue risorse cloud, ad esempio una determinata configurazione delle risorse, un errore di configurazione o una vulnerabilità del software.
Il motore dei rischi di Security Command Center Enterprise rileva le combinazioni dannose durante le simulazioni dei percorsi di attacco che esegue. Per ogni combinazione di contenuti dannosi rilevata dal motore di rischio, viene emesso un rilevamento. Ogni combinazione dannosa include un punteggio di esposizione agli attacchi univoco, chiamato punteggio della combinazione dannosa, che misura il rischio della combinazione dannosa per il set di risorse di valore elevato nel tuo ambiente cloud. Risk Engine genera anche una visualizzazione del percorso di attacco creato dalla combinazione tossica per le risorse nel set di risorse di alto valore.
Puoi utilizzare i risultati relativi alle combinazioni dannose tramite le richieste, ma se devi visualizzare i risultati stessi, puoi trovarli nella pagina Risultati della console Google Cloud, dove puoi filtrare i risultati in base alla classe del risultato Combinazione tossica o ordinarli in base al Punteggio combinazione tossica.
Punteggi di esposizione agli attacchi per le combinazioni dannose
Risk Engine calcola un punteggio di esposizione all'attacco per ogni combinazione tossica. Questi punteggi di esposizione agli attacchi sono chiamati anche punteggi di combinazione tossica in alcuni contesti, ad esempio nella pagina Risultati della console Google Cloud. Il punteggio misura quanto una combinazione dannosa esponga una o più risorse del tuo set di risorse di alto valore a potenziali attacchi.
I punteggi delle combinazioni tossiche sono simili ai punteggi di esposizione agli attacchi su altri tipi di risultati, ma vengono applicati a un insieme di passaggi di attacco anziché a un risultato di una singola vulnerabilità o configurazione errata del software.
Per impostazione predefinita, le combinazioni dannose sono classificate come risultati di gravità critici e come richieste con priorità critica. Confronta i punteggi delle combinazioni dannose per stabilire la priorità tra le richieste relative a combinazioni dannose.
Come i punteggi di esposizione agli attacchi per altri risultati, i punteggi delle combinazioni dannose si basano su quanto segue:
- Il numero di risorse esposte nel set di risorse di alto valore, nonché i valori di priorità e i punteggi di esposizione agli attacchi di queste risorse.
- La probabilità che un malintenzionato determinato possa riuscire a raggiungere una risorsa di alto valore sfruttando la combinazione tossica
Per ulteriori informazioni, consulta Punteggi di esposizione agli attacchi.
Visualizzazioni del percorso di attacco per le combinazioni tossiche
Risk Engine fornisce una rappresentazione visiva dei percorsi di attacco che una combinazione tossica crea per le risorse nel set di risorse di alto valore. Un percorso di attacco rappresenta una serie di passaggi di attacco e relativi problemi e risorse di sicurezza che un potenziale utente malintenzionato potrebbe utilizzare per raggiungere le tue risorse.
Il percorso di attacco ti aiuta a comprendere le relazioni tra i problemi di una combinazione tossica e come insieme formano percorsi alle risorse nel tuo set di risorse di alto valore. La visualizzazione del percorso mostra anche quante risorse di valore sono esposte e la loro importanza relativa per il tuo ambiente cloud.
Nella console Security Operations, le risorse con problemi di sicurezza che costituiscono la combinazione tossica sono evidenziate da un bordo a forma di diamante giallo in grassetto sul percorso di attacco. Nella console Google Cloud, i percorsi di attacco sono uguali ai percorsi di attacco per altri tipi di risultati.
Nella console Security Operations, Security Command Center fornisce due versioni di un percorso di attacco con combinazione tossica. La prima è una versione semplificata che viene visualizzata nella scheda Panoramica della richiesta in una richiesta di combinazione tossica. La seconda versione mostra i percorsi di attacco completi. Puoi aprire i percorsi di attacco completi facendo clic su Esplora percorsi di attacco completi nel percorso di attacco semplificato o su Esplora il percorso di attacco della combinazione tossica nell'angolo in alto a destra della visualizzazione della richiesta.
Lo screenshot seguente è un esempio di percorso di attacco semplificato.
Nella console Google Cloud viene sempre visualizzato il percorso di attacco completo.
Per ulteriori informazioni, consulta Percorsi di attacco.
Richieste relative alla combinazione tossica
Security Command Center Enterprise apre una richiesta nella console Security Operations per ogni combinazione tossica rilevata dal motore dei rischi.
La richiesta è il modo principale per indagare e monitorare la correzione di una combinazione tossica. Nella visualizzazione della richiesta, puoi trovare le seguenti informazioni:
- Una descrizione della combinazione tossica
- Il punteggio di esposizione agli attacchi della combinazione tossica
- Una visualizzazione del percorso di attacco creato dalla combinazione tossica
- Informazioni sulla risorsa interessata
- Informazioni sui passaggi da seguire per correggere la combinazione tossica
- Informazioni su eventuali risultati correlati di altri servizi di rilevamento di Security Command Center, inclusi i link alle relative richieste
- Eventuali playbook applicabili
- Eventuali ticket associati
Nella console Security Operations, la pagina Panoramica della posizione di Security Command Center fornisce una panoramica di tutte le richieste relative alla combinazione tossica per il tuo ambiente. La pagina Panoramica della posizione contiene widget che mostrano i casi di combinazioni tossiche in base alla priorità, al punteggio di esposizione agli attacchi e al tempo rimanente dell'accordo sul livello del servizio (SLA).
Nella pagina Cases (Richieste) della console Security Operations, puoi eseguire query o filtrare le richieste con combinazioni dannose utilizzando il tag TOXIC_COMBINATION che includono. Puoi anche identificare visivamente le richieste relative alla combinazione tossica tramite la seguente icona:
Nella console Google Cloud, la pagina Panoramica dei rischi di Security Command Center mostra anche la tabella Principali casi di rischio, che può includere una combinazione di richieste di combinazione tossica con il punteggio di esposizione agli attacchi più elevato e singole richieste con la priorità più elevata. I risultati elencati includono un link alla richiesta corrispondente nella console Security Operations.
Per saperne di più sulla visualizzazione delle richieste relative alla combinazione tossica, consulta Visualizzare le richieste relative alla combinazione tossica.
Priorità della richiesta
Per impostazione predefinita, le richieste relative alla combinazione tossica hanno una priorità pari a Critical per corrispondere alla gravità del risultato relativo alla combinazione tossica e all'avviso associato nella richiesta.
Dopo aver aperto una richiesta, puoi modificare la relativa priorità o quella dell'alert.
La modifica della priorità di una richiesta o di un avviso non influisce sulla gravità del risultato.
Chiusura delle richieste
La gestione delle richieste di combinazione tossica è determinata dallo stato del risultato sottostante. Quando un rilevamento viene emesso per la prima volta, il relativo stato è Active.
Se correggi la combinazione tossica, Risk Engine rileva automaticamente la correzione durante la simulazione del percorso di attacco successivo e chiude la richiesta. Le simulazioni vengono eseguite circa ogni sei ore.
In alternativa, se ritieni che il rischio rappresentato dalla combinazione tossica sia accettabile o inevitabile, puoi chiudere una richiesta disattivando il rilevamento della combinazione tossica.
Quando disattivi un risultato relativo a una combinazione tossica, il risultato rimane attivo, ma Security Command Center chiude la richiesta e omette il risultato dalle query e dalle visualizzazioni predefinite.
Per ulteriori informazioni, consulta le seguenti informazioni:
- Come chiudere le richieste relative alla combinazione tossica
- Panoramica delle richieste
- Disattivare i risultati in Security Command Center
Risultati correlati
Molti dei singoli problemi di sicurezza che compongono una combinazione dannosa rilevata da Risk Engine vengono rilevati anche da altri servizi di rilevamento di Security Command Center. Questi altri servizi di rilevamento emettono risultati separati per questi problemi. Questi risultati sono elencati in una richiesta di combinazione tossica come risultati correlati.
Poiché i risultati correlati vengono emessi separatamente dal risultato della combinazione tossica, vengono aperte richieste separate, vengono eseguiti diversi playbook e altri membri del team potrebbero lavorare alla loro correzione indipendentemente dalla correzione del risultato della combinazione tossica.
Controlla lo stato delle richieste relative a questi risultati correlati e, se necessario, chiedi ai proprietari delle richieste di dare la priorità alla correzione per contribuire a risolvere la combinazione tossica.
In una richiesta relativa alla combinazione tossica, eventuali risultati correlati sono elencati nel widget Risultati nella scheda Panoramica. Per ogni risultato correlato, il widget include un link alla richiesta corrispondente.
I risultati correlati vengono identificati anche nel percorso di attacco della combinazione tossica.
In che modo il motore del rischio rileva le combinazioni tossiche
Risk Engine esegue simulazioni dei percorsi di attacco su tutte le tue risorse cloud circa ogni sei ore.
Durante le simulazioni, il motore dei rischi identifica potenziali percorsi di attacco al set di risorse di alto valore nel tuo ambiente cloud e calcola i punteggi di esposizione agli attacchi per i risultati e le risorse di valore. Se Risk Engine rileva una combinazione tossica durante le simulazioni, genera un risultato.
Per saperne di più sulle simulazioni del percorso di attacco, consulta Simulazioni del percorso di attacco.