本页面简要介绍了恶意组合的概念,以及您(作为漏洞分析师或负责保护云环境的其他角色)可以用来识别、确定优先级和修复任何恶意组合的发现和案例。
有毒组合发现和案例可帮助您更有效地识别风险并提高云环境(包括 Google Cloud 和 Amazon Web Services [AWS])的安全性(预览版)。
危险组合的定义
有害组合是指一组安全问题,如果这些问题以特定模式同时出现,就会形成通往您的一个或多个高价值资源的路径,而有决心的攻击者可能会利用这些路径来访问和破坏这些资源。
安全问题是指导致云资源暴露的任何因素,例如资源的特定配置、配置错误或软件漏洞。
Security Command Center Enterprise 的风险引擎会在运行攻击路径模拟期间检测有害组合。对于风险信号引擎检测到的每种有毒组合,它都会发出相应发现。每个危险组合都包含一个唯一的攻击风险得分(称为危险组合得分),用于衡量危险组合对云环境中高价值资源集的风险。风险引擎还会生成一个可视化图表,显示有害组合对高价值资源集中的资源造成的攻击路径。
您可以通过支持请求处理有毒组合发现结果,但如果您需要查看发现结果本身,可以在 Google Cloud 控制台的发现结果页面上查看,您可以在该页面上按有毒组合发现结果类过滤发现结果,也可以按有毒组合得分对发现结果进行排序。
危险组合的攻击风险得分
风险引擎会为每个有害组合计算攻击风险得分。在某些上下文中(例如 Google Cloud 控制台的发现结果页面),这些攻击风险得分也称为有害组合得分。该得分用于衡量有害组合会使高价值资源集中的一个或多个资源面临潜在攻击的程度。
恶意组合得分与其他类型发现结果的攻击风险得分类似,但适用于一组攻击步骤,而不是单个软件漏洞或配置错误的发现结果。
默认情况下,危险组合会被归类为严重级别的发现结果和重要优先级的支持请求。比较危险组合得分,以便确定危险组合支持请求的优先级。
与其他发现结果的攻击风险得分一样,危险组合得分也基于以下因素得出:
- 高价值资源集中存在攻击风险的资源数量,以及这些资源的优先级值和攻击风险得分。
- 有决心的攻击者利用恶意组合成功访问高价值资源的可能性
如需了解详情,请参阅攻击风险得分。
危险组合的攻击路径可视化
风险引擎会以直观的方式描绘有害组合对高价值资源集中资源造成的攻击路径。攻击路径是指潜在攻击者可以用于获取您的资源的一系列攻击步骤及其相关的安全问题和资源。
攻击路径有助于您了解有害组合中问题之间的关系,以及这些问题如何共同构成高价值资源集中资源的路径。路径可视化图表还会显示有多少重要资源处于公开状态,以及这些资源对您的云环境的相对重要性。
在安全运营控制台中,攻击路径上存在构成有害组合的安全问题的资源会以粗体黄色菱形边框突出显示。在 Google Cloud 控制台中,此类攻击路径与其他类型的攻击路径看起来一样。
在安全运维控制台中,Security Command Center 提供了两种版本的毒性组合攻击路径。第一种是简化版,会显示在危险组合案例的“案例概览”标签页中。第二个版本会显示完整的攻击路径。您可以通过以下任一方式打开完整攻击路径:点击简化攻击路径中的探索完整攻击路径,或点击案例视图右上角的探索恶意组合攻击路径。
以下屏幕截图是简化攻击路径示例。
在 Google Cloud 控制台中,系统始终会显示完整的攻击路径。
如需了解详情,请参阅攻击路径。
危险组合支持请求
Security Command Center Enterprise 会针对风险引擎发出的每项有毒组合发现结果在 Security Operations 控制台中打开一个支持请求。
支持请求是调查和跟踪有毒组合修复情况的主要方式。在支持请求视图中,您可以找到以下信息:
- 危险组合的说明
- 恶意组合的攻击风险得分
- 恶意组合创建的攻击路径的可视化图表
- 受影响资源的相关信息
- 有关您可以采取哪些措施来解决有害组合问题的信息
- 其他 Security Command Center 检测服务中的任何相关发现结果的相关信息,包括指向其关联支持请求的链接
- 任何适用的 Playbook
- 任何关联的工单
在安全运营控制台中,Security Command Center 状况概览页面概述了您的环境中的所有危险组合案例。状况概览页面包含一些微件,可按优先级、攻击暴露得分和服务等级协议 (SLA) 剩余时间显示有毒组合情况。
在安全运营控制台的支持请求页面上,您可以使用包含的 TOXIC_COMBINATION 标记查询或过滤有毒组合支持请求。您还可以通过以下图标直观地识别危险组合案例:
在 Google Cloud 控制台中,Security Command Center 风险概览页面还会显示风险最高的案例表格,其中可能包含攻击风险得分最高的有毒组合案例和优先级最高的个别案例。列出的发现结果包含指向 Security Operations 控制台中相应支持请求的链接。
如需详细了解如何查看危险组合支持请求,请参阅查看危险组合支持请求。
支持请求优先级
默认情况下,危险组合支持请求的优先级为 Critical,与危险组合支持请求中的危险组合发现结果及其关联警报的严重级别一致。
支持请求打开后,您可以更改支持请求或提醒的优先级。
更改支持请求或提醒的优先级不会更改相应发现的严重程度。
关闭支持请求
恶意组合案例的处理方式取决于其基本发现的状态。首次发出发现结果时,其状态为 Active。
如果您修复了恶意组合,风险引擎会在下一次攻击路径模拟期间自动检测修复情况,并关闭支持请求。模拟大约每 6 小时运行一次。
或者,如果您确定有毒组合带来的风险可接受或不可避免,则可以通过静音有毒组合发现来关闭支持请求。
当您忽略有害组合发现结果时,该发现结果仍会保持有效状态,但 Security Command Center 会关闭相应支持请求,并从默认查询和视图中忽略该发现结果。
如需了解详情,请参阅以下信息:
相关发现结果
风险引擎检测到的很多安全问题也是其他 Security Command Center 检测服务检测到的。这些其他检测服务会针对这些问题分别发出检测结果。这些发现结果会在危险组合支持请求中列为相关发现结果。
由于相关问题的发现结果与危险组合问题的发现结果是分开发出的,因此系统会为相关问题单独打开支持请求,并为其运行不同的手册,并且您团队的其他成员可能会独立于危险组合问题的修复工作来处理相关问题的修复工作。
检查这些相关发现的支持请求的状态,并在必要时要求支持请求的所有者优先解决这些问题,以帮助解决有害组合。
在危险组合案例中,所有相关发现结果都会列在“概览”标签页的发现结果 widget 中。对于每个相关发现,该微件都会包含指向其相应支持请求的链接。
恶意组合攻击路径中也会显示相关发现结果。
风险引擎如何检测有害组合
风险引擎大约每 6 小时对您的所有云资源运行一次攻击路径模拟。
在模拟期间,风险引擎会识别云环境中高价值资源集的潜在攻击路径,并计算发现结果和重要资源的攻击风险得分。如果风险引擎在模拟期间检测到有毒组合,则会发出发现结果。
如需详细了解攻击路径模拟,请参阅攻击路径模拟。