Esta página foi traduzida pela API Cloud Translation.

Visão geral de combinações ruins e pontos de estrangulamento
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

As combinações perigosas são um grupo de problemas de segurança que, quando ocorrem juntos em um padrão específico, criam um caminho para um ou mais dos seus recursos de alto valor que um invasor determinado poderia usar para comprometer esses recursos.

O mecanismo de risco do Security Command Center Enterprise detecta combinações tóxicas durante as simulações de caminho de ataque que ele executa. Para cada combinação tóxica detectada pelo mecanismo de risco, uma descoberta é gerada. Cada combinação tóxica inclui uma pontuação de exposição a ataques única, chamada de pontuação de combinação tóxica, que mede o risco da combinação tóxica para o conjunto de recursos de alto valor no seu ambiente de nuvem. O Risk Engine também gera uma visualização do caminho de ataque que a combinação tóxica cria para os recursos no seu conjunto de recursos de alto valor.

Os gargalos (pré-lançamento) são semelhantes às combinações tóxicas, mas se concentram em recursos ou grupos de recursos comuns em que vários caminhos de ataque convergem. Como consequência, a correção de um gargalo pode corrigir várias combinações tóxicas.

Combinações tóxicas podem ser encontradas para Google Cloud e Amazon Web Services (AWS) (pré-lançamento). Pontos de estrangulamento podem ser encontrados para Google Cloud.

Conferir combinações ruins e pontos de estrangulamento

As combinações tóxicas e os pontos de estrangulamento de maior risco são mostrados como problemas (Visualização) na página Visão geral do risco > no console de operações de segurança.

É possível conferir todas as combinações tóxicas e pontos de estrangulamento com mais detalhes na página Problemas de > risco. As combinações tóxicas também podem ser visualizadas na página Casos.

Para conferir descobertas relacionadas a combinações tóxicas e pontos de estrangulamento no console do Google Cloud, acesse a página Descobertas e filtre pela classe de descoberta Toxic combination ou Chokepoint.

Pontuações de exposição a ataques em combinações ruins e pontos de estrangulamento

O Risk Engine calcula uma pontuação de exposição a ataques para cada combinação tóxica e ponto de estrangulamento. Essa pontuação é uma medida de quanto uma combinação tóxica ou um gargalo expõe um ou mais dos recursos do seu conjunto de recursos de alto valor a possíveis ataques. Quanto maior a pontuação, maior o risco.

As pontuações de exposição a ataques para combinações tóxicas e pontos de estrangulamento são derivadas do seguinte:

O número de recursos no seu conjunto de recursos de alto valor que estão expostos e os valores de prioridade e as pontuações de exposição a ataques desses recursos.
A probabilidade de um invasor determinado conseguir alcançar um recurso de alto valor usando a combinação tóxica ou o ponto de estrangulamento.

Com base na pontuação de exposição a ataques, as combinações tóxicas podem ter uma das seguintes gravidades atribuídas a elas:

Crítico: combinações tóxicas com uma pontuação de exposição a ataques ≥ 10.
Alta: combinações tóxicas com uma pontuação de exposição a ataques menor que 10.

Os gargalos sempre têm uma pontuação de exposição a ataques ≥ 10 e, portanto, sempre têm uma classificação de gravidade crítica.

Para mais informações, consulte Pontuações de exposição a ataques.

Visualizações de caminho de ataque para combinações tóxicas e pontos de estrangulamento

O Risk Engine fornece uma representação visual da combinação tóxica e dos caminhos de ataque de estrangulamento que levam ao conjunto de recursos de alto valor. Um caminho de ataque representa uma série de etapas de ataque, que incluem problemas de segurança relacionados e recursos que um invasor em potencial pode usar para alcançar seus recursos.

Os caminhos de ataque ajudam a entender as relações entre problemas de segurança individuais em uma combinação tóxica ou ponto de estrangulamento e como eles formam caminhos para recursos no seu conjunto de recursos de alto valor. A visualização de caminho também mostra quantos recursos de valor estão expostos e a importância relativa deles para seu ambiente de nuvem.

No console da Security Operations, os recursos em um caminho de ataque são codificados por cores da seguinte maneira:

Os recursos com problemas de segurança que contribuem para uma combinação tóxica são realçados com uma borda amarela.
Os recursos identificados como gargalo são destacados com uma borda vermelha.

Há vários lugares no console de operações de segurança em que é possível conferir as rotas de ataque. Uma versão simplificada do caminho de ataque é mostrada nos seguintes locais:

A página Risco > Visão geral, para itens no widget Problemas mais arriscados.
A página Riscos > Problemas, quando um problema é selecionado. É possível acessar o caminho de ataque simplificado na guia Visão geral do problema.
Na página Casos, quando um caso é selecionado. É possível acessar o caminho de ataque simplificado na guia Visão geral do caso.

Para conferir a versão completa de um caminho de ataque, acesse a versão simplificada e clique em Analisar caminhos de ataque completos.

A captura de tela a seguir é um exemplo de um caminho de ataque simplificado para uma combinação tóxica:

Um caminho de ataque de combinação tóxica simplificado, conforme mostrado no console de operações de segurança

A captura de tela a seguir é um exemplo de um caminho de ataque simplificado para um gargalo:

Um caminho de ataque simplificado, conforme mostrado no console de operações de segurança

No console do Google Cloud, o caminho de ataque completo é sempre exibido.

Para mais informações, consulte Caminhos de ataque.

Descobertas relacionadas

Muitos dos riscos individuais que compõem combinações tóxicas e pontos de estrangulamento também são detectados por outros serviços de detecção do Security Command Center. Esses outros serviços de detecção geram descobertas separadas para esses riscos, que são listados em problemas (pré-lançamento) e casos como descobertas relacionadas. As descobertas relacionadas também são identificadas nos caminhos de ataque.

Para combinações tóxicas, são abertos casos separados para as descobertas relacionadas, diferentes playbooks são executados e outros membros da sua equipe podem estar trabalhando na remediação de forma independente da remediação da descoberta de combinação tóxica. Verifique o status dos casos para essas descobertas relacionadas e, se necessário, peça aos proprietários dos casos que priorizem a correção para ajudar a resolver a combinação tóxica.

Casos

O Security Command Center Enterprise abre um caso no console do Security Operations para cada descoberta de combinação tóxica gerada. Os pontos de estrangulamento não geram casos.

Na visualização de caso, você encontra as seguintes informações relacionadas a combinações tóxicas:

Uma descrição da combinação tóxica
A pontuação de exposição a ataques da combinação tóxica
Uma visualização do caminho de ataque que a combinação tóxica cria
Informações sobre os recursos afetados
Informações sobre as etapas que você pode seguir para corrigir a combinação tóxica
Informações sobre descobertas relacionadas de outros serviços de detecção do Security Command Center, incluindo links para os casos associados
Playbooks aplicáveis
Ingressos associados

Na página Casos do console de Operações de segurança, é possível consultar ou filtrar casos de combinação tóxica usando a tag Toxic Combination. Também é possível identificar visualmente casos de combinação tóxica na lista de casos pelo ícone abaixo: .

Para mais informações sobre como visualizar casos de combinação tóxica, consulte Visualizar casos de combinação tóxica.

Prioridade do caso

Por padrão, a prioridade dos casos de combinação tóxica é definida com o mesmo valor da gravidade da descoberta de combinação tóxica e do alerta associado no caso relacionado. Isso significa que todos os casos de combinação tóxica têm inicialmente uma prioridade de Critical ou High.

Depois que um caso é aberto, você pode mudar a prioridade dele ou do alerta. Alterar a prioridade de um caso ou de um alerta não muda a gravidade da detecção.

Encerramento de casos

Quando uma descoberta é gerada pela primeira vez para uma combinação tóxica, o estado dela é Active.

Se você corrigir a combinação tóxica, o mecanismo de risco detectará automaticamente a correção durante a próxima simulação de caminho de ataque e encerrará o caso. As simulações são executadas aproximadamente a cada seis horas.

Como alternativa, se você determinar que o risco de uma combinação tóxica é aceitável ou inevitável, poderá fechar um caso desativando a descoberta.

Quando você silencia uma descoberta, ela continua ativa, mas o Security Command Center fecha o caso e omite a descoberta das consultas e visualizações padrão.

Para mais informações, consulte: