Visão geral de combinações ruins e pontos de estrangulamento

Combinações tóxicas são um grupo de problemas de segurança que, quando ocorrem juntos em um padrão específico, criam um caminho para um ou mais dos seus recursos de alto valor que um invasor determinado pode usar para comprometer esses recursos.

O mecanismo de risco do Security Command Center Enterprise ou Premium detecta combinações tóxicas durante as simulações de caminho de ataque que ele executa. Para cada combinação tóxica detectada, o Risk Engine gera uma descoberta. Cada combinação tóxica inclui uma pontuação única de exposição a ataques, chamada de pontuação de combinação tóxica, que mede o risco da combinação tóxica para o conjunto de recursos de alto valor no seu ambiente de nuvem. O Risk Engine também gera uma visualização do caminho de ataque que a combinação tóxica cria para os recursos no seu conjunto de recursos de alto valor.

Os pontos de estrangulamento (prévia) são semelhantes às combinações tóxicas, mas se concentram em recursos ou grupos de recursos comuns em que vários caminhos de ataque convergem. Como consequência, a correção de um ponto de estrangulamento pode corrigir várias combinações tóxicas.

Combinações ruins e pontos de estrangulamento são detectados nas seguintes plataformas de provedores de serviços de nuvem:

  • Google Cloud
  • Amazon Web Services (AWS). O suporte para pontos de estrangulamento com a AWS está em pré-lançamento.
  • Microsoft Azure. O suporte para pontos de estrangulamento com o Microsoft Azure está em pré-lançamento.

Para conferir a lista de recursos compatíveis, consulte Suporte a recursos do Risk Engine.

Ver combinações ruins e pontos de estrangulamento

No Security Command Center Enterprise, as combinações tóxicas e os pontos de estrangulamento de maior risco são mostrados como problemas (prévia) na página Visão geral de > risco. As combinações tóxicas também podem ser visualizadas na página Casos.

No Security Command Center Enterprise, é possível conferir todos os gargalos e combinações tóxicas com mais detalhes na página Problemas de > risco.

Para conferir descobertas relacionadas a combinações ruins e pontos de estrangulamento no console do Google Cloud , acesse a página Descobertas e filtre pela classe de descoberta Combinação tóxica ou Ponto de estrangulamento.

As descobertas relacionadas a combinações ruins e pontos de estrangulamento são capturadas em relatórios de risco. Para mais informações, consulte a Visão geral dos relatórios de risco.

Pontuações de exposição a ataques em combinações ruins e pontos de estrangulamento

O Risk Engine calcula uma pontuação de exposição a ataques para cada combinação tóxica e ponto de estrangulamento. Essa pontuação é uma medida de quanto uma combinação tóxica ou um ponto de gargalo expõe um ou mais recursos no seu conjunto de recursos de alto valor a possíveis ataques. Quanto maior a pontuação, maior o risco.

Cálculo da pontuação de exposição a ataques

As pontuações de exposição a ataques para combinações ruins e pontos de estrangulamento são derivadas do seguinte:

  • O número de recursos no seu conjunto de recursos de alto valor que estão expostos e os valores de prioridade e pontuações de exposição a ataques desses recursos.
  • A probabilidade de um invasor determinado conseguir alcançar um recurso de alto valor usando a combinação tóxica ou o ponto de gargalo.

Com base na pontuação de exposição a ataques, as combinações tóxicas podem ter uma das seguintes gravidades atribuídas:

  • Crítica: combinações tóxicas com uma pontuação de exposição a ataques ≥ 10.
  • Alta: combinações tóxicas com uma pontuação de exposição a ataques < 10.

Os pontos de estrangulamento sempre têm uma pontuação de exposição a ataques ≥ 10 e, portanto, sempre têm uma classificação de gravidade crítica.

Para mais informações, consulte Pontuações de exposição a ataques.

Visualizações de caminho de ataque para combinações ruins e pontos de estrangulamento

O Risk Engine oferece uma representação visual dos caminhos de ataque de combinação tóxica e ponto de estrangulamento que levam ao seu conjunto de recursos de alto valor. Um caminho de ataque representa uma série de etapas de ataque, que incluem problemas de segurança e recursos relacionados que um possível invasor pode usar para alcançar seus recursos.

Os caminhos de ataque ajudam a entender as relações entre problemas de segurança individuais em uma combinação tóxica ou ponto de gargalo e como eles formam caminhos para recursos no seu conjunto de recursos de alto valor. A visualização de caminho também mostra quantos recursos valiosos estão expostos e a importância relativa deles para seu ambiente de nuvem.

Os recursos em um caminho de ataque são codificados por cores da seguinte maneira:

  • Os recursos com problemas de segurança que contribuem para uma combinação tóxica são destacados com uma borda amarela.
  • Os recursos identificados como um gargalo são destacados com uma borda vermelha.

Há vários lugares em que você pode ver os caminhos de ataque.

No Security Command Center Premium, confira o caminho de ataque completo na página Caminhos de ataque. Para mais informações, consulte Caminhos de ataque.

No Security Command Center Enterprise, confira uma versão simplificada do caminho de ataque nos seguintes locais:

  • A página Visão geral de >riscos, para itens no widget Problemas mais arriscados.
  • A página Risco > Problemas, quando um problema é selecionado. Você pode acessar o caminho de ataque simplificado na guia Visão geral do problema.
  • A página Risco > Casos, quando um caso é selecionado. Você pode acessar o caminho de ataque simplificado na guia Caso Visão geral do caso.

Para ver a versão completa de um caminho de ataque, confira a versão simplificada e clique em Analise os caminhos de ataque completos.

A captura de tela a seguir é um exemplo de um caminho de ataque simplificado para uma combinação tóxica:

Um caminho simplificado de ataque de combinação tóxica

A captura de tela a seguir é um exemplo de um caminho de ataque simplificado para um ponto de estrangulamento:

Um caminho simplificado de ataque de ponto de estrangulamento

Muitos dos riscos individuais que compõem combinações tóxicas e gargalos também são detectados por outros serviços de detecção do Security Command Center. Esses outros serviços de detecção geram descobertas separadas para esses riscos, que são listados em problemas (prévia) e casos como descobertas relacionadas. As descobertas relacionadas também são identificadas nos caminhos de ataque.

Para combinações tóxicas, casos separados são abertos para os resultados relacionados, diferentes playbooks são executados, e outros membros da sua equipe podem trabalhar na correção deles de forma independente da correção do resultado da combinação tóxica. Verifique o status dos casos relacionados a essas descobertas e, se necessário, peça aos proprietários dos casos para priorizar a correção e ajudar a resolver a combinação tóxica.

Casos

O Security Command Center Enterprise abre um caso para cada descoberta de combinação tóxica gerada. Os pontos de estrangulamento não geram casos.

Na visualização de detalhes do caso, você encontra as seguintes informações relacionadas a combinações tóxicas:

  • Uma descrição da combinação tóxica
  • A pontuação de exposição a ataques da combinação tóxica
  • Uma visualização do caminho de ataque que a combinação tóxica cria
  • Informações sobre os recursos afetados
  • Informações sobre as etapas que você pode seguir para corrigir a combinação tóxica
  • Informações sobre descobertas relacionadas de outros serviços de detecção do Security Command Center, incluindo links para os casos associados
  • Playbooks aplicáveis
  • Tíquetes associados

Na página Risco > Casos do console do Security Operations, é possível consultar ou filtrar casos de combinação tóxica usando a tag Combinação tóxica. Também é possível identificar visualmente os casos de combinação tóxica na lista de casos usando o seguinte ícone: Ícone de combinação tóxica.

Para mais informações sobre como ver casos de combinação tóxica, consulte Ver casos de combinação tóxica.

Prioridade do caso

Por padrão, a prioridade dos casos de combinação tóxica é definida com o mesmo valor da gravidade da descoberta de combinação tóxica e do alerta associado no caso relacionado. Isso significa que todos os casos de combinação tóxica têm inicialmente uma prioridade de Critical ou High.

Depois que um caso é aberto, você pode mudar a prioridade dele ou do alerta. Mudar a prioridade de um caso ou alerta não altera a gravidade da descoberta.

Como fechar casos

Quando uma descoberta é gerada pela primeira vez para uma combinação tóxica, o estado dela é Active.

Se você corrigir a combinação tóxica, o mecanismo de risco vai detectar automaticamente a correção durante a próxima simulação de caminho de ataque e fechar o caso. As simulações são executadas aproximadamente a cada seis horas.

Como alternativa, se você determinar que o risco representado por uma combinação tóxica é aceitável ou inevitável, poderá fechar um caso silenciando a descoberta.

Quando você silencia uma descoberta, ela permanece ativa, mas o Security Command Center fecha o caso e omite a descoberta das consultas e visualizações padrão.

Para mais informações, consulte: