ציוני חשיפה להתקפות ונתיבי התקפה

בדף הזה מוסברים מושגים, עקרונות והגבלות חשובים שיעזרו לכם להבין את הניקוד של רמת החשיפה להתקפות ואת נתיבי ההתקפה שנוצרים על ידי מנוע הסיכון של Security Command Center, ולשפר את השימוש בהם.

הניקוד של נתיבי התקפה ונתיבי התקפה נוצרים עבור:

  • ממצאים של פגיעויות וטעויות בהגדרות (ממצאי פגיעויות, ביחד) שחושפים את מופעי המשאבים בקבוצת המשאבים היעילה בעלת הערך הגבוה.
  • המשאבים בקבוצת המשאבים האפקטיבית בעלת הערך הגבוה.
  • בעיות ב-Security Command Center Premium או Enterprise, שמכילים שילובים רעילים ונקודות חולשה.

כדי להשתמש בניקוד החשיפה להתקפות ובנתיבי התקפה, צריך להפעיל את רמת Premium או Enterprise של Security Command Center ברמת הארגון. אי אפשר להשתמש בנתוני חשיפה להתקפות ובנתיבי התקפות בהפעלות ברמת הפרויקט.

נתיבי התקפה מייצגים אפשרויות

לא תראו הוכחות להתקפה בפועל בנתיב התקפה.

מנוע הסיכון יוצר נתיבי תקיפה וציוני חשיפה לתקיפה על ידי סימול של מה שתוקפים היפותטיים יכולים לעשות אם הם יקבלו גישה לסביבת Google Cloud ויגלו את נתיבי התקיפה והפגיעויות שכבר נמצאו על ידי Security Command Center.

בכל נתיב התקפה מוצגות שיטה אחת או יותר להתקפה, שפורץ יכול להשתמש בהן אם הוא יקבל גישה למשאב מסוים. חשוב להבחין בין שיטות התקפה כאלה לבין התקפות בפועל.

באופן דומה, ציון גבוה של חשיפה למתקפות באחד מהמקרים הבאים לא אומר שמתקפה מתבצעת:

  • ממצא או משאב ב-Security Command Center
  • בעיה ב-Security Command Center Premium או Enterprise

כדי לעקוב אחרי מתקפות בפועל, כדאי לעקוב אחרי הממצאים ברמה THREAT שנוצרים על ידי שירותי זיהוי האיומים, כמו Event Threat Detection ו-זיהוי איומים בקונטיינר.

מידע נוסף מופיע בקטעים הבאים בדף הזה:

ציוני חשיפה להתקפות

מופיע מדד חשיפה להתקפות עבור:

  • ממצא או משאב ב-Security Command Center
  • בעיה ב-Security Command Center Premium או Enterprise

ציון חשיפה להתקפה הוא מדד לרמת החשיפה של משאבים להתקפה פוטנציאלית אם גורם זדוני יקבל גישה לסביבת Google Cloud.

ציון החשיפה למתקפה בשילוב רעיל או בנקודת חנק נקרא בהקשרים מסוימים ציון שילוב רעיל, למשל בדף ממצאים במסוף Google Cloud .

בתיאורים של אופן חישוב הציונים, בהנחיות כלליות לגבי תעדוף של תיקון, ובהקשרים מסוימים אחרים, המונח ציון חשיפה להתקפות מתייחס גם לציונים של שילובים רעילים.

הציון של ממצא מסוים הוא מדד לרמת החשיפה של משאבים בעלי ערך גבוה למתקפות סייבר פוטנציאליות בעקבות בעיית אבטחה שאותרה. במשאב בעל ערך גבוה, הציון הוא מדד של מידת החשיפה של המשאב למתקפות סייבר פוטנציאליות.

אפשר להשתמש בציונים של ממצאי פגיעות בתוכנה, הגדרות שגויות ושילובים רעילים או נקודות חנק כדי לתעדף את הטיפול בממצאים האלה.

כדאי להשתמש בציוני החשיפה להתקפות במשאבים כדי לאבטח באופן יזום את המשאבים שהכי חשובים לעסק.

בסימולציות של נתיבי התקפה, מנוע הסיכון תמיד מתחיל את ההתקפות המדומה מהאינטרנט הציבורי. לכן, הניקוד של רמת החשיפה להתקפות לא לוקח בחשבון חשיפה אפשרית לגורמים פנימיים זדוניים או רשלניים.

ממצאים שמקבלים ציוני חשיפה להתקפה

ציוני החשיפה להתקפות חלים על סוגי ממצאים פעילים שמפורטים בקטגוריות הממצאים הנתמכות.

החישובים של סימולציות נתיבי התקפה כוללים רק ממצאים פעילים שלא הושתקו. ממצאים עם סטטוס INACTIVE או MUTED לא נכללים בסימולציות, לא מקבלים ציונים ולא נכללים בנתיבי תקיפה.

משאבים שמקבלים ציוני חשיפה להתקפות

סימולציות של נתיבי תקיפה מחשבות את ציוני החשיפה לתקיפה עבור סוגי משאבים נתמכים בקבוצת המשאבים בעלי הערך הגבוה. כדי לציין אילו משאבים שייכים לקבוצת המשאבים בעלי הערך הגבוה, יוצרים הגדרות של ערכי משאבים.

אם ל-resource ב-resource set עם ערך גבוה יש ציון חשיפה למתקפות של 0, סימולציות של נתיבי התקפה לא זיהו נתיבים ל-resource שאפשר לנצל למתקפה.

סימולציות של נתיבי תקיפה תומכות בסוגי המשאבים הבאים:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • cloudbuild.googleapis.com/BitbucketServerConfig
  • cloudbuild.googleapis.com/BuildTrigger
  • cloudbuild.googleapis.com/Connection
  • cloudbuild.googleapis.com/GithubEnterpriseConfig
  • cloudbuild.googleapis.com/Repository
  • cloudbuild.googleapis.com/WorkerPool
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • run.googleapis.com/Job
  • run.googleapis.com/Service
  • spanner.googleapis.com/Instance
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

חישוב הציון

בכל פעם שהסימולציות של נתיבי ההתקפה מופעלות, הן מחשבות מחדש את ציוני החשיפה להתקפה. בכל סימולציה של נתיב התקפה מופעלות כמה סימולציות שבהן תוקף מדומה מנסה להשתמש בשיטות ובטכניקות התקפה מוכרות כדי להגיע למשאבים החשובים ולפגוע בהם.

סימולציות של נתיבי תקיפה מופעלות בערך כל שש שעות. ככל שהארגון גדל, הסימולציות נמשכות יותר זמן, אבל הן תמיד יפעלו לפחות פעם ביום. הפעלת סימולציות לא מופעלת כשיוצרים, משנים או מוחקים משאבים או הגדרות של ערכי משאבים.

הסימולציות מחשבות את הציונים באמצעות מגוון מדדים, כולל:

  • ערך העדיפות שמוקצה למשאבים בעלי ערך גבוה שנחשפים. ערכי העדיפות שאפשר להקצות הם:
    • גבוה = 10
    • MED = 5
    • נמוך = 1
  • מספר הנתיבים האפשריים שתוקף יכול לעבור כדי להגיע למשאב נתון.
  • מספר הפעמים שבהן תוקף מדומה מצליח להגיע למשאב בעל ערך גבוה ולפגוע בו בסוף נתיב תקיפה נתון, כאחוז מתוך המספר הכולל של הסימולציות.
  • לממצאים בלבד, מספר המשאבים בעלי הערך הגבוה שנחשפים על ידי הפגיעות או ההגדרה השגויה שזוהו.

במקרה של משאבים, ציוני החשיפה להתקפות יכולים להיות בטווח שבין 0 ל-10.

ברמה גבוהה, הסימולציות מחשבות את ציוני המשאבים על ידי הכפלת אחוז המתקפות המוצלחות בערך העדיפות המספרי של המשאבים.

בממצאים, אין מגבלה עליונה קבועה לניקוד. ככל שממצא מסוים מופיע בתדירות גבוהה יותר בנתיבי התקפה למשאבים חשופים בקבוצת המשאבים בעלי הערך הגבוה, וככל שערכי העדיפות של המשאבים האלה גבוהים יותר, כך הציון גבוה יותר.

ברמה גבוהה, הסימולציות מחשבות את ציוני הממצאים באמצעות אותו חישוב שבו הן משתמשות לחישוב ציוני המשאבים, אבל כדי לחשב את ציוני הממצאים, הסימולציות מכפילות את תוצאת החישוב במספר המשאבים בעלי הערך הגבוה שהממצא חושף.

שינוי ציונים

הציונים יכולים להשתנות בכל פעם שמריצים סימולציה של נתיב תקיפה. ממצא או משאב שקיבלו היום ציון אפס יכולים לקבל מחר ציון שונה מאפס.

הציונים משתנים מסיבות שונות, כולל:

  • זיהוי או תיקון של פגיעות שחושפת באופן ישיר או עקיף משאב בעל ערך גבוה.
  • הוספה או הסרה של משאבים בסביבה שלכם.

שינויים בממצאים או במשאבים אחרי הרצת סימולציה לא משתקפים בציונים עד להרצת הסימולציה הבאה.

שימוש בציונים כדי לתעדף את הפתרונות

כדי לתעדף בצורה יעילה את הטיפול בממצאים על סמך חשיפתם להתקפות או על סמך ציוני השילוב הרעיל שלהם, כדאי לקחת בחשבון את הנקודות הבאות:

  • כל ממצא עם ציון שגדול מאפס חושף משאב בעל ערך גבוה להתקפה פוטנציאלית בדרך כלשהי, ולכן צריך לתת עדיפות לתיקון שלו על פני ממצאים עם ציון אפס.
  • ככל שהציון של ממצא גבוה יותר, כך הממצא חושף יותר מהמשאבים בעלי הערך הגבוה שלכם, וכך צריך לתת עדיפות גבוהה יותר לתיקון שלו.

באופן כללי, כדאי לתת עדיפות גבוהה לתיקון הממצאים עם הציונים הכי גבוהים, שחוסמים בצורה הכי יעילה את נתיבי התקיפה למשאבים בעלי ערך גבוה.

אם הניקוד של שילוב רעיל, של נקודת חנק ושל ממצא בסיווג אחר של ממצאים דומה בערכו, כדאי לתת עדיפות לתיקון שגיאות של השילוב הרעיל ושל נקודת החנק, כי הם מייצגים נתיב מלא מהאינטרנט הציבורי למשאב אחד או יותר בעלי ערך גבוה, שנתיב כזה יכול להיות שימושי לתוקף אם הוא יקבל גישה לסביבת הענן שלכם.

בדף Findings ב-Security Command Center בGoogle Cloud מסוף, אפשר למיין את הממצאים בחלונית הדף לפי ניקוד על ידי לחיצה על כותרת העמודה.

במסוף Google Cloud , אפשר גם להוסיף מסנן לשאילתת הממצאים כדי להציג רק ממצאים עם ציון חשיפה להתקפה שגבוה ממספר שתציינו. כך תוכלו לראות את הממצאים עם הציון הכי גבוה.

בדף Cases ב-Security Command Center Enterprise, אפשר גם למיין את השילובים הרעילים ואת הבקשות שנתקעו לפי ציון החשיפה להתקפה.

ממצאים שלא ניתן לתקן

במקרים מסוימים, יכול להיות שלא תוכלו לטפל בממצא עם ציון גבוה של חשיפה להתקפות, כי הוא מייצג סיכון מוכר ומקובל, או כי אי אפשר לטפל בממצא באופן מיידי. במקרים כאלה, יכול להיות שתצטרכו לצמצם את הסיכון בדרכים אחרות. בדיקה של נתיב התקיפה המשויך עשויה לתת לכם רעיונות לדרכים אפשריות אחרות לצמצום הסיכון.

אבטחת משאבים באמצעות ציוני חשיפה להתקפות

ציון חשיפה להתקפה שגדול מאפס במשאב מסוים מצביע על כך שהסימולציות של נתיבי ההתקפה זיהו נתיב התקפה אחד או יותר מהאינטרנט הציבורי למשאב.

כדי לראות את ציוני החשיפה להתקפות של המשאבים בעלי הערך הגבוה, פועלים לפי השלבים הבאים:

  1. במסוף Google Cloud , עוברים לדף Assets ב-Security Command Center.

    כניסה לדף 'נכסים'

  2. בוחרים את הארגון שבו הפעלתם את Security Command Center.

  3. בוחרים בכרטיסייה High value resource set (קבוצת משאבים בעלי ערך גבוה). המשאבים בקבוצת המשאבים בעלי הערך הגבוה מוצגים בסדר יורד לפי ציון החשיפה להתקפה.

  4. כדי להציג את נתיבי התקיפה של משאב, לוחצים על המספר בשורה שלו בעמודה Attack exposure score. מוצגים נתיבי התקפה מהאינטרנט הציבורי למשאב.

  5. בדיקת נתיבי התקיפה. במאמר נתיבי תקיפה מוסבר איך לפרש את נתיבי התקיפה.

  6. כדי להציג חלון פרטים עם קישורים לצפייה בממצאים קשורים, לוחצים על צומת.

  7. לוחצים על קישור לממצאים קשורים. ייפתח החלון Finding עם פרטים על הממצא ועל אופן הטיפול בו.

אפשר גם לראות את ציוני החשיפה להתקפות של הנכסים החשובים בכרטיסייה Attack path simulations (סימולציות של נתיבי התקפה) בSettings (הגדרות) > Attack Path simulation (סימולציה של נתיב התקפה). לוחצים על הצגת נכסים מוערכים שנעשה בהם שימוש בסימולציה האחרונה.

הכרטיסייה High value resource set זמינה גם בדף Assets במסוף Security Operations.

ציוני חשיפה להתקפות של 0

ציון החשיפה להתקפה 0 במשאב מסוים מציין שבסימולציות האחרונות של נתיבי התקפה, Security Command Center לא זיהה נתיבים פוטנציאליים שבהם תוקף יכול להשתמש כדי להגיע למשאב.

ציון חשיפה להתקפה של 0 בממצא מסוים מציין שבסימולציית ההתקפה האחרונה, התוקף המדומה לא הצליח להגיע למשאבים בעלי ערך גבוה דרך הממצא.

עם זאת, ציון חשיפה להתקפות של 0 לא אומר שאין סיכון. ציון החשיפה להתקפות משקף את החשיפה של שירותים, משאבים וממצאים נתמכים של Security Command Center לאיומים פוטנציאליים שמקורם באינטרנט הציבורי. Google Cloud לדוגמה, הניקוד לא לוקח בחשבון איומים מצד גורמים פנימיים, פגיעויות מסוג zero-day או תשתית של צד שלישי.

אין ציון חשיפה להתקפות

אם לתוצאה או למשאב אין ציון, יכולות להיות לכך הסיבות הבאות:

  • הממצא נוצר אחרי הסימולציה האחרונה של נתיב התקפה.
  • המשאב נוסף לקבוצת המשאבים הרווחיים אחרי הסימולציה האחרונה של נתיב התקיפה.
  • התכונה 'חשיפה להתקפות' לא תומכת בקטגוריית הממצא או בסוג המשאב.

רשימה של קטגוריות הממצאים הנתמכות זמינה במאמר תמיכה בתכונות של מנוע הסיכונים.

רשימה של סוגי המשאבים הנתמכים זמינה במאמר משאבים שמקבלים ציוני חשיפה להתקפות.

ערכי משאבים

למרות שלכל המשאבים ב- Google Cloud יש ערך, Security Command Center מזהה נתיבי תקיפה ומחשב ציוני חשיפה לתקיפה רק למשאבים שאתם מגדירים כמשאבים בעלי ערך גבוה (לפעמים נקראים משאבים מוערכים).

מקורות מידע חשובים

משאב בעל ערך גבוה ב- Google Cloud הוא משאב שחשוב במיוחד לעסק שלכם להגן עליו מפני מתקפות פוטנציאליות. לדוגמה, משאבים בעלי ערך גבוה יכולים להיות משאבים שמאחסנים נתונים חשובים או מידע אישי רגיש, או משאבים שמארחים עומסי עבודה קריטיים לעסק.

כדי להגדיר משאב כמשאב בעל ערך גבוה, צריך להגדיר את המאפיינים של המשאב בהגדרת ערך משאב. עד למגבלה של 1,000 מקרים של משאבים, מערכת Security Command Center מתייחסת לכל מקרה של משאב שתואם למאפיינים שציינתם בהגדרה כמשאב בעל ערך גבוה.

ערכי עדיפות

מבין המשאבים שמוגדרים כבעלי ערך גבוה, סביר להניח שתצטרכו לתעדף את האבטחה של חלק מהם יותר מאחרים. לדוגמה, יכול להיות שקבוצה של משאבי נתונים מכילה נתונים בעלי ערך גבוה, אבל חלק ממשאבי הנתונים האלה מכילים נתונים רגישים יותר מהשאר.

כדי שהציונים ישקפו את הצורך שלכם לתת עדיפות לאבטחת המשאבים בסט המשאבים בעל הערך הגבוה, אתם מקצים ערך עדיפות בהגדרות ערך המשאבים שמציין משאבים כבעלי ערך גבוה.

אם אתם משתמשים ב-Sensitive Data Protection, אתם יכולים גם לתת עדיפות למשאבים באופן אוטומטי לפי רמת הרגישות של הנתונים שהם מכילים.

הגדרה ידנית של ערכי עדיפות למשאבים

בהגדרת ערך משאב, אתם מקצים עדיפות למשאבים התואמים בעלי הערך הגבוה על ידי ציון אחד מערכי העדיפות הבאים:

  • LOW = 1
  • MEDIUM = 5
  • HIGH = 10
  • NONE = 0

אם מציינים ערך עדיפות של LOW בהגדרת ערך של משאב, המשאבים התואמים עדיין נחשבים למשאבים בעלי ערך גבוה. סימולציות של נתיבי התקפה פשוט מתייחסות אליהם בעדיפות נמוכה יותר ומקצות להם ציון חשיפה להתקפה נמוך יותר מאשר למשאבים בעלי ערך גבוה עם ערך עדיפות של MEDIUM או HIGH.

אם כמה הגדרות מקצות ערכים שונים לאותו משאב, המערכת תחיל את הערך הגבוה ביותר, אלא אם אחת ההגדרות מקצה ערך של NONE.

ערך המשאב NONE מונע מהמשאבים התואמים להיחשב כמשאבים בעלי ערך גבוה, ומבטל כל הגדרה אחרת של ערך משאב לאותו משאב. לכן, חשוב לוודא שכל הגדרה שמציינת NONE חלה רק על קבוצה מוגבלת של משאבים.

הגדרת ערכי עדיפות של משאבים באופן אוטומטי לפי רגישות הנתונים

אם אתם משתמשים בגילוי Sensitive Data Protection ומפרסמים את פרופילי הנתונים ב-Security Command Center, אתם יכולים להגדיר את Security Command Center כך שיקבע באופן אוטומטי את ערך העדיפות של משאבים מסוימים בעלי ערך גבוה, לפי רמת הרגישות של הנתונים שהמשאבים מכילים.

כדי להפעיל את התכונה 'תעדוף לפי רגישות נתונים', צריך לציין את המשאבים בהגדרת ערך משאב.

אם הפעלתם את התכונה הזו, ובגילוי של Sensitive Data Protection (הגנה על מידע רגיש) סווגו הנתונים במשאב כרגישות ברמה MEDIUM או HIGH, סימולציות של נתיבי תקיפה יגדירו כברירת מחדל את ערך העדיפות של המשאב לאותו ערך.

רמות הרגישות של הנתונים מוגדרות על ידי Sensitive Data Protection, אבל אפשר לפרש אותן כך:

מידע אישי רגיש ברמה גבוהה
הכלי Sensitive Data Protection גילה לפחות מופע אחד של נתונים ברמת רגישות גבוהה במשאב.
נתונים ברמת רגישות בינונית
הגילוי של Sensitive Data Protection מצא לפחות מופע אחד של נתונים ברמת רגישות בינונית במשאב, ולא מצא מופעים של נתונים ברמת רגישות גבוהה.
נתונים ברמת רגישות נמוכה
הגילוי של Sensitive Data Protection לא זיהה מידע אישי רגיש או טקסט חופשי או נתונים לא מובנים במשאב.

אם Sensitive Data Protection מזהה רק נתונים ברמת רגישות נמוכה במשאב נתונים תואם, המשאב לא יוגדר כמשאב בעל ערך גבוה.

אם אתם רוצים שמשאבי נתונים שמכילים רק נתונים ברגישות נמוכה יוגדרו כמשאבים בעלי ערך גבוה עם עדיפות נמוכה, אתם יכולים ליצור הגדרת ערך משאב כפולה, אבל לציין ערך עדיפות של LOW במקום להפעיל את העדיפות לפי רגישות הנתונים. ההגדרה שמשתמשת ב-Sensitive Data Protection מבטלת את ההגדרה שמשייכת את ערך העדיפות LOW, אבל רק למשאבים שמכילים נתוני רגישות HIGH או MEDIUM.

אתם יכולים לשנות את ערכי העדיפות שמוגדרים כברירת מחדל ושמשמשים את Security Command Center כשמזוהים מידע אישי רגיש בהגדרת ערך המשאב.

מידע נוסף על Sensitive Data Protection

הגדרת עדיפות לרגישות הנתונים וקבוצת ברירת המחדל של משאבים בעלי ערך גבוה

לפני שיוצרים קבוצת משאבים בעלי ערך גבוה משלכם, מערכת Security Command Center משתמשת בקבוצת משאבים בעלי ערך גבוה שמוגדרת כברירת מחדל כדי לחשב את ציוני החשיפה להתקפות ואת נתיבי ההתקפה.

אם אתם משתמשים באיתור של Sensitive Data Protection,‏ Security Command Center מוסיף באופן אוטומטי מופעים של סוגי משאבי נתונים נתמכים שמכילים נתוני רגישות מסוג HIGH או MEDIUM לקבוצת ברירת המחדל של משאבים בעלי ערך גבוה.

סוגי המשאבים הנתמכים Google Cloud לערכי עדיפות אוטומטיים של רגישות נתונים

סימולציות של נתיבי תקיפה יכולות להגדיר באופן אוטומטי ערכי עדיפות על סמך סיווגים של רגישות נתונים מגילוי Sensitive Data Protection רק לסוגים הבאים של משאבי נתונים:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

סוגי משאבי AWS שנתמכים לערכי עדיפות אוטומטיים של רגישות נתונים

סימולציות של נתיבי תקיפה יכולות להגדיר באופן אוטומטי ערכי עדיפות על סמך סיווגים של רגישות נתונים מSensitive Data Protection discovery רק לסוגי משאבי הנתונים הבאים ב-AWS:

  • קטגוריה ב-Amazon S3

קבוצות משאבים עם ערך גבוה

קבוצת משאבים בעלי ערך גבוה היא אוסף מוגדר של משאבים בסביבת Google Cloud שלכם, שהכי חשוב לאבטח ולהגן עליהם.

כדי להגדיר את קבוצת המשאבים עם הערך הגבוה, צריך לציין אילו משאבים בסביבה Google Cloud שלכם שייכים לקבוצת המשאבים עם הערך הגבוה. עד שתגדירו את קבוצת המשאבים בעלי הערך הגבוה, ציוני החשיפה להתקפות, נתיבי ההתקפות והממצאים לגבי שילובים רעילים לא ישקפו בצורה מדויקת את סדרי העדיפויות שלכם בנושא אבטחה.

כדי לציין את המשאבים בקבוצת המשאבים בעלי הערך הגבוה, יוצרים הגדרות של ערכי משאבים. השילוב של כל ההגדרות של ערכי המשאבים מגדיר את קבוצת המשאבים בעלי הערך הגבוה. מידע נוסף זמין במאמר הגדרות של ערכי משאבים.

עד שתגדירו את ההגדרה הראשונה של ערך משאב, Security Command Center ישתמש בקבוצת משאבים עם ערך גבוה כברירת מחדל. ההגדרה שמוגדרת כברירת מחדל חלה על כל הארגון ועל כל סוגי המשאבים שסימולציות של נתיבי תקיפה תומכות בהם. מידע נוסף מופיע במאמר בנושא קבוצת ברירת מחדל של משאבים בעלי ערך גבוה.

כדי לראות את קבוצת המשאבים בעלי הערך הגבוה ששימשה בסימולציה האחרונה של נתיב התקיפה, כולל ציוני החשיפה לתקיפה וההגדרות התואמות, אפשר לעיין במאמר בנושא הצגת קבוצת המשאבים בעלי הערך הגבוה.

הגדרות של ערכי משאבים

אתם מנהלים את המשאבים בקבוצת המשאבים בעלי הערך הגבוה באמצעות הגדרות של ערכי משאבים.

יוצרים הגדרות של ערכי משאבים בכרטיסייה Attack path simulation בדף Settings של Security Command Center במסוף Google Cloud .

בהגדרת ערך של משאב, מציינים את המאפיינים שמשאב צריך לכלול כדי ש-Security Command Center יוסיף אותו לקבוצת המשאבים בעלי הערך הגבוה.

המאפיינים שאפשר לציין כוללים את סוג המשאב, תגי המשאב, תוויות המשאב והפרויקט, התיקייה או הארגון שמעל המשאב בהיררכיה.

בנוסף, אתם מקצים ערך משאב למשאבים בהגדרה. ערך המשאב מתעדף את המשאבים בהגדרה ביחס למשאבים האחרים בקבוצת המשאבים בעלי הערך הגבוה. למידע נוסף, ראו ערכי משאבים.

אפשר ליצור עד 100 הגדרות של ערכי משאבים בGoogle Cloud ארגון.

כל ההגדרות של ערכי המשאבים שאתם יוצרים מגדירות יחד את קבוצת המשאבים בעלי הערך הגבוה ש-Security Command Center משתמש בהם לסימולציות של נתיבי התקפה.

מאפייני המשאבים

כדי שמשאב ייכלל בקבוצת המשאבים עם הערך הגבוה, המאפיינים שלו צריכים להיות זהים למאפיינים שציינתם בהגדרת ערך המשאב.

המאפיינים שאפשר לציין כוללים:

  • סוג משאב או Any. אם מציינים את Any, ההגדרה חלה על כל סוגי המשאבים הנתמכים בהיקף שצוין. ערך ברירת המחדל הוא Any.
  • ההיקף (הארגון, התיקייה או הפרויקט ברמת ההורה) שבו המשאבים צריכים להיות. היקף ברירת המחדל הוא הארגון שלכם. אם מציינים ארגון או תיקייה, ההגדרה חלה גם על המשאבים בתיקיות או בפרויקטים הצאצאים.
  • אפשר לציין תג אחד או יותר או תווית אחת או יותר שכל משאב חייב להכיל.

אם מציינים הגדרות של ערכי משאבים, אבל אף אחד מהמשאבים בסביבת Google Cloud שלכם לא תואם למאפיינים שצוינו בהגדרות, Security Command Center יוצר ממצא SCC Error וחוזר לקבוצת ברירת המחדל של משאבים בעלי ערך גבוה.

ערכת ברירת מחדל של משאבים בעלי ערך גבוה

ב-Security Command Center נעשה שימוש בקבוצת ברירת מחדל של משאבים בעלי ערך גבוה כדי לחשב את ציוני החשיפה להתקפות, אם לא הוגדרו הגדרות של ערכי משאבים או אם אף אחת מההגדרות המוגדרות לא תואמת למשאבים כלשהם.

‫Security Command Center מקצה למשאבים בערך ברירת המחדל של משאב בעל ערך גבוה את ערך העדיפות LOW, אלא אם משתמשים באיתור של Sensitive Data Protection. במקרה כזה, Security Command Center מקצה למשאבים שמכילים נתונים ברמת רגישות גבוהה או בינונית את ערך העדיפות התואם HIGH או MEDIUM.

מנוע הסיכונים משתמש בהיוריסטיקה כדי לזהות נכסים בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה שמשמשים למטרות שאינן ייצור. כדי לוודא שיש לכם מידע על הנכסים החשובים ביותר, מנוע הסיכון מחשב את ציון החשיפה להתקפה של כל הנכסים האחרים בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה, לפני שהוא מחשב את ציון החשיפה להתקפה של הנכסים האלה שאינם נכסי ייצור.

אם יש לכם לפחות הגדרת ערך משאב אחת שתואמת לפחות למשאב אחד בסביבה שלכם, Security Command Center מפסיק להשתמש בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה.

כדי לקבל ציונים של חשיפה להתקפות ושילובים רעילים שמשקפים בצורה מדויקת את סדרי העדיפויות שלכם בנושא אבטחה, צריך להחליף את קבוצת ברירת המחדל של משאבים בעלי ערך גבוה בקבוצת משאבים בעלי ערך גבוה משלכם. מידע נוסף זמין במאמר בנושא הגדרה וניהול של קבוצת משאבים בעלי ערך גבוה.

ברשימה הבאה מוצגים סוגי המשאבים שנכללים בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה:

  • aiplatform.googleapis.com/Model
  • artifactregistry.googleapis.com/Repository
  • bigquery.googleapis.com/Dataset
  • cloudbuild.googleapis.com/BuildTrigger
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • run.googleapis.com/Job
  • run.googleapis.com/Service
  • spanner.googleapis.com/Instance
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

מגבלה על משאבים בקבוצת משאבים בעלי ערך גבוה

ב-Security Command Center, מספר המשאבים בקבוצת משאבים בעלי ערך גבוה מוגבל ל-1,000 לכל ספק שירותי ענן.

אם מפרטי המאפיינים באחת או יותר מההגדרות של ערכי המשאבים רחבים מדי, מספר המשאבים שתואמים למפרטי המאפיינים יכול לעלות על 1,000.

אם מספר המשאבים התואמים חורג מהמגבלה, Security Command Center מוציא משאבים מהקבוצה עד שמספר המשאבים יהיה במסגרת המגבלה. ‫Security Command Center מחריג קודם את המשאבים עם הערך הנמוך ביותר שהוקצה להם. מבין המשאבים עם אותו ערך שהוקצה, Security Command Center מחריג מופעים של משאבים באמצעות אלגוריתם שמפיץ את המשאבים המוחרגים בין סוגי המשאבים.

משאב שמוחרג מקבוצת המשאבים בעלי הערך הגבוה לא נלקח בחשבון בחישוב של ציוני החשיפה להתקפות.

כדי להודיע לכם כשחורגים ממגבלת המקרים לחישוב הניקוד, Security Command Center יוצר ממצא SCC error ומציג הודעה בכרטיסיית ההגדרות Attack path simulation במסוף Google Cloud . ‫Security Command Center לא יוצר ממצא SCC error אם קבוצת ברירת המחדל של ערכים גבוהים חורגת ממגבלת המופע.

כדי להימנע מחריגה מהמגבלה, צריך לשנות את ההגדרות של ערכי המשאבים כדי לצמצם את מספר המקרים בקבוצת המשאבים בעלי הערך הגבוה.

אלה כמה מהפעולות שאפשר לבצע כדי לשפר את קבוצת המשאבים בעלי הערך הגבוה:

  • כדי לצמצם את מספר ההתאמות לסוג משאב נתון או בהיקף שצוין, אפשר להשתמש בתגים או בתוויות.
  • יוצרים הגדרה של ערך משאב שמקצה ערך של NONE לקבוצת משנה של המשאבים שצוינו בהגדרה אחרת. הגדרת ערך של NONE מבטלת את כל ההגדרות האחרות ומוציאה את מופעי המשאבים מקבוצת המשאבים בעלי הערך הגבוה.
  • מצמצמים את היקף ההגדרה בהגדרת ערך המשאב.
  • מוחקים הגדרות של ערכי משאבים שמקצות ערך של LOW.

מקורות מידע חשובים

כדי לאכלס את קבוצת המשאבים בעלי הערך הגבוה, צריך להחליט אילו מופעים של משאבים בסביבה הם בעלי ערך גבוה באמת.

בדרך כלל, המשאבים החשובים באמת הם המשאבים שמעבדים ומאחסנים את המידע האישי הרגיש שלכם. לדוגמה, ב- Google Cloud, אלה יכולים להיות מכונות וירטואליות ב-Compute Engine, מערך נתונים ב-BigQuery או קטגוריה של Cloud Storage.

לא צריך לסמן משאבים שסמוכים למשאבים בעלי ערך גבוה, כמו שרת מעבר, כמשאבים בעלי ערך גבוה. הסימולציות של נתיבי התקיפה כבר לוקחות בחשבון את המשאבים הסמוכים האלה, ואם תגדירו אותם גם כמשאבים בעלי ערך גבוה, יכול להיות שציוני החשיפה שלכם לתקיפה יהיו פחות מהימנים.

נתיבי התקפה

נתיב תקיפה הוא תיאור חזותי ואינטראקטיבי של נתיב פוטנציאלי אחד או יותר שתוקף היפותטי יכול לעבור כדי להגיע מהאינטרנט הציבורי לאחד ממופעי המשאבים בעלי הערך הגבוה שלכם.

סימולציות של נתיבי תקיפה מזהות נתיבי תקיפה פוטנציאליים על ידי מידול של מה שיקרה אם תוקף יפעיל שיטות תקיפה מוכרות על נקודות החולשה ועל טעויות ההגדרה ש-Security Command Center זיהה בסביבה שלכם, בניסיון להגיע למשאבים בעלי ערך גבוה.

כדי לראות את נתיבי התקיפה, לוחצים על ציון החשיפה לתקיפה בממצא או במשאב במסוף Google Cloud .

במהדורת Enterprise, כשצופים במקרה של שילוב רעיל, אפשר לראות נתיב תקיפה פשוט של השילוב הרעיל בכרטיסייה סקירה כללית של המקרה. נתיב ההתקפה הפשוט כולל קישור לנתיב ההתקפה המלא. מידע נוסף על נתיבי תקיפה של שילובים רעילים זמין במאמר נתיבי תקיפה של שילובים רעילים.

כשצופים בנתיבי התקפה גדולים יותר, אפשר לשנות את התצוגה של נתיב ההתקפה על ידי גרירת הריבוע האדום של אזור המיקוד בתצוגה הממוזערת של נתיב ההתקפה בצד שמאל של המסך.

בנתיב תקיפה, משאבים בנתיב תקיפה מיוצגים כתיבות או כצמתים. הקווים מייצגים נגישות פוטנציאלית בין משאבים. הצמתים והקווים ביחד מייצגים את נתיב המתקפה.

צמתים של נתיב התקפה

הצמתים בנתיב התקפה מייצגים את המשאבים בנתיב התקפה.

הצגת פרטי הצומת

כדי להציג מידע נוסף על כל צומת בנתיב התקפה, לוחצים עליו.

כשלוחצים על שם המשאב בצומת, מוצג מידע נוסף על המשאב ועל הממצאים שמשפיעים עליו.

אם לוחצים על Expand node, מוצגות שיטות התקפה אפשריות שאפשר להשתמש בהן אם תוקף יקבל גישה למשאב.

סוגי הצמתים

יש שלושה סוגים שונים של צמתים:

  • נקודת ההתחלה או נקודת הכניסה של המתקפה המדומה, שהיא האינטרנט הציבורי. כשלוחצים על צומת של נקודת כניסה, מוצג תיאור של נקודת הכניסה ושיטות התקפה שהאקרים יכולים להשתמש בהן כדי לקבל גישה לסביבה שלכם.
  • המשאבים שהושפעו שהתוקף יכול להשתמש בהם כדי להתקדם בנתיב.
  • המשאב שנחשף בסוף הנתיב, שהוא אחד מהמשאבים בקבוצת המשאבים בעלי הערך הגבוה. רק משאב מתוך קבוצת משאבים מוגדרת או קבוצת משאבים שמוגדרת כברירת מחדל יכול להיות משאב חשוף. כדי להגדיר קבוצה של משאבים בעלי ערך גבוה, יוצרים הגדרות של ערכי משאבים.

צמתים במעלה הזרם וצמתים במורד הזרם

בנתיב תקיפה, צומת יכול להיות upstream או downstream מצמתים אחרים. צומת במעלה הזרם קרוב יותר לנקודת הכניסה ולחלק העליון של נתיב ההתקפה. צומת במורד הזרם קרוב יותר למשאב החשוף בעל הערך הגבוה בחלק התחתון של נתיב ההתקפה.

צמתים שמייצגים מופעים מרובים של משאבי קונטיינרים

צומת יכול לייצג כמה מופעים של סוגים מסוימים של משאבי מאגר אם המופעים חולקים את אותן מאפיינים.

אפשר לייצג כמה מופעים של סוגי משאבי המאגר הבאים באמצעות צומת יחיד:

  • בקר ReplicaSet
  • בקר פריסה
  • Job Controller
  • CronJob Controller
  • DaemonSet Controller

קווים של נתיבי התקפה

בנתיב התקפה, הקווים בין התיבות מייצגים נגישות פוטנציאלית בין משאבים שהתוקף יכול לנצל כדי להגיע למשאבים בעלי ערך גבוה.

הקווים לא מייצגים קשר בין משאבים שמוגדרים ב-Google Cloud.

אם יש כמה נתיבים שמצביעים על צומת במורד הזרם מכמה צמתים במעלה הזרם, יכול להיות שבין הצמתים במעלה הזרם יש יחס AND או יחס OR.

קשר AND אומר שלתוקף נדרשת גישה לשני הצמתים במעלה הזרם כדי לגשת לצומת במורד הזרם בנתיב.

לדוגמה, קו ישיר מהאינטרנט הציבורי למשאב בעל ערך גבוה בסוף נתיב התקיפה נמצא בקשר AND עם לפחות קו אחד אחר בנתיב התקיפה. התוקף לא יכול להגיע למשאב בעל הערך הגבוה אלא אם הוא מקבל גישה גם לסביבתGoogle Cloud וגם למשאב אחד לפחות שמוצג בנתיב המתקפה.

OR קשר מסוג זה אומר שתוקף צריך גישה רק לאחד מהצמתים במעלה הזרם כדי לגשת לצומת במורד הזרם.

סימולציות של נתיבי תקיפה

כדי לקבוע את כל נתיבי התקיפה האפשריים ולחשב את מדדי החשיפה לתקיפה, Security Command Center מבצע סימולציות מתקדמות של נתיבי תקיפה.

לוח זמנים של סימולציה

סימולציות של נתיבי תקיפה מופעלות בערך כל שש שעות. ככל שהארגון גדל, הסימולציות נמשכות יותר זמן, אבל הן תמיד יפעלו לפחות פעם ביום. הפעלת סימולציות לא מופעלת כשיוצרים, משנים או מוחקים משאבים או הגדרות של ערכי משאבים.

שלבים בסימולציה של נתיב תקיפה

הסימולציה כוללת את השלבים הבאים:

  1. יצירת מודל: מודל של הסביבה שלכם Google Cloud נוצר באופן אוטומטי על סמך נתוני הסביבה. המודל הוא ייצוג גרפי של הסביבה שלכם, שמותאם לניתוח של נתיבי תקיפה.
  2. סימולציית נתיב תקיפה: סימולציות של נתיבי תקיפה מתבצעות במודל הגרף. בסימולציות, תוקף וירטואלי מנסה להגיע למשאבים בסט המשאבים בעלי הערך הגבוה ולפגוע בהם. הסימולציות מתבססות על תובנות לגבי כל משאב ספציפי והקשרים שלו, כולל רשתות, IAM, הגדרות, הגדרות שגויות ונקודות חולשה.
  3. דיווח על תובנות: על סמך הסימולציות, Security Command Center מקצה ציוני חשיפה להתקפות למשאבים בעלי ערך גבוה ולממצאים שחושפים אותם, ומציג באופן חזותי את הנתיבים הפוטנציאליים שהתוקף יכול לעבור כדי להגיע למשאבים האלה.

מאפייני ההרצה של הסימולציה

בנוסף לציון של דירוגי החשיפה להתקפות, תובנות לגבי נתיבי התקפה ונתיבי התקפה, לסימולציות של נתיבי התקפה יש את המאפיינים הבאים:

  • הסימולציות לא משפיעות על סביבת הלייב שלכם: כל הסימולציות מתבצעות במודל וירטואלי, והגישה למודל היא רק לצורך קריאה.
  • הם דינמיים: המודל נוצר ללא סוכנים באמצעות גישת קריאה בלבד ל-API, מה שמאפשר לסימולציות לעקוב באופן דינמי אחרי שינויים בסביבה לאורך זמן.
  • הם מנסים להשתמש בכמה שיותר שיטות ונקודות חולשה כדי להגיע למשאבים בעלי ערך גבוה ולפגוע בהם. זה כולל לא רק את "הידועים", כמו נקודות החולשה, ההגדרות, ההגדרות השגויות והקשרים ברשת, אלא גם "לא ידועים ידועים" שהסיכוי שלהם נמוך יותר – סיכונים שאנחנו יודעים שקיימים, כמו האפשרות של פישינג או של פרטי כניסה שנחשפו.
  • הם אוטומטיים: הלוגיקה של המתקפה מוטמעת בכלי. אתם לא צריכים ליצור או לתחזק קבוצות נרחבות של שאילתות או מערכי נתונים גדולים.

תרחיש התוקף והיכולות שלו

בסימולציות, Security Command Center מציג ייצוג לוגי של ניסיון תוקף לנצל את המשאבים בעלי הערך הגבוה שלכם על ידי קבלת גישה לסביבת Google Cloud שלכם ומעקב אחרי נתיבי גישה פוטנציאליים דרך המשאבים והפגיעויות שזוהו.

התוקף הווירטואלי

התוקף הווירטואלי שבו נעשה שימוש בסימולציות מאופיין בתכונות הבאות:

  • התוקף הוא חיצוני: התוקף הוא לא משתמש לגיטימי בסביבתGoogle Cloud שלכם. הסימולציות לא מדמות או כוללות מתקפות של משתמשים זדוניים או רשלנים שיש להם גישה לגיטימית לסביבה שלכם.
  • התוקף מתחיל מהאינטרנט הציבורי. כדי להתחיל מתקפה, התוקף צריך קודם לקבל גישה לסביבה שלכם מהאינטרנט הציבורי.
  • התוקף מתמיד. התוקף לא יתייאש או יאבד עניין בגלל הקושי של שיטת התקפה מסוימת.
  • התוקף מיומן ובעל ידע רב. התוקף מנסה שיטות וטכניקות מוכרות כדי לגשת למשאבים בעלי ערך גבוה.

גישה ראשונית

בכל סימולציה, תוקף וירטואלי מנסה להשתמש בשיטות הבאות כדי לקבל גישה מהאינטרנט הציבורי למשאבים בסביבת Google Cloud :

  • חיפוש שירותים ומשאבים שנגישים מהאינטרנט הציבורי וחיבור אליהם. בסביבת Google Cloud , זה יכול לכלול את הדברים הבאים:
    • שירותים במכונות וירטואליות (VM) של Compute Engine ובצמתים של Google Kubernetes Engine
    • מסדי נתונים
    • קונטיינרים
    • קטגוריות של Cloud Storage
    • פונקציות Cloud Run
  • קבלת גישה למפתחות ולאישורים. בסביבת Google Cloud , זה יכול לכלול את הדברים הבאים:
    • מפתחות של חשבונות שירות
    • מפתחות הצפנה באספקת המשתמש (USEK)
    • מפתחות SSH של מופע VM
    • מפתחות SSH ברמת הפרויקט
    • מערכות חיצוניות לניהול מפתחות
    • חשבונות משתמשים שלא נאכף בהם אימות רב-שלבי (MFA)
    • טוקנים וירטואליים של MFA שנחסמו
  • קבלת גישה לנכסי ענן שאפשר להגיע אליהם באופן ציבורי באמצעות שימוש בהרשאות גנובות או ניצול חולשות.

אם הסימולציה מוצאת נקודת כניסה אפשרית לסביבה, התוקף הווירטואלי מנסה להגיע למשאבים בעלי ערך גבוה ולפגוע בהם מנקודת הכניסה, על ידי חקר רציף של הגדרות האבטחה והפגיעויות בסביבה וניצול שלהן.

טקטיקות וטכניקות

הסימולציה משתמשת במגוון רחב של טקטיקות וטכניקות, כולל מינוף גישה לגיטימית, תנועה לרוחב, הרחבת הרשאות, פגיעויות, הגדרות שגויות וביצוע קוד.

שילוב נתוני CVE

בחישוב של ציוני החשיפה למתקפות עבור ממצאי נקודות החולשה, סימולציות של נתיבי מתקפה מתבססות על נתונים מרשומת ה-CVE של נקודת החולשה, על ציוני ה-CVSS ועל הערכות של מידת הניצול של נקודת החולשה שסופקו על ידי Mandiant.

המידע הבא נלקח בחשבון:

  • וקטור תקיפה: התוקף צריך להיות בעל רמת הגישה שצוינה בווקטור התקיפה של CVSS כדי להשתמש ב-CVE. לדוגמה, תוקף עם גישה לרשת יכול לנצל לרעה CVE עם וקטור התקפה ברשת שנמצא בנכס עם כתובת IP ציבורית ויציאות פתוחות. אם לתוקף יש גישה רק לרשת, וה-CVE דורש גישה פיזית, התוקף לא יכול לנצל את ה-CVE.
  • מורכבות המתקפה: בדרך כלל, נקודת חולשה או ממצא של הגדרה שגויה עם מורכבות מתקפה נמוכה יקבלו סביר יותר ציון גבוה של חשיפה למתקפה מאשר ממצא עם מורכבות מתקפה גבוהה.
  • פעילות ניצול: בדרך כלל, ממצא של פגיעות עם פעילות ניצול נרחבת, כפי שנקבע על ידי אנליסטים של מודיעין איומי סייבר ב-Mandiant, סביר יותר שיקבל ציון גבוה של חשיפה להתקפה מאשר ממצא עם פעילות ניצול צפויה בלבד. פגיעות שאין לגביה פעילות ניצול ידועה לא נכללת בסימולציות של נתיבי התקפה.

הערכות סיכונים בסביבות מרובות עננים

בנוסף ל Google Cloud, אפשר להריץ ב-Security Command Center סימולציות של נתיבי תקיפה כדי להעריך את הסיכון בפריסות שלכם בפלטפורמות של כמה ספקי שירותי ענן.

אחרי שיוצרים חיבור לפלטפורמה אחרת, אפשר להגדיר את המשאבים בעלי הערך הגבוה אצל ספק שירותי הענן האחר באמצעות יצירת הגדרות של ערכי משאבים, כמו במשאבים ב- Google Cloud.

‫Security Command Center מריץ סימולציות לפלטפורמת ענן באופן עצמאי, בלי קשר לסימולציות שמופעלות לפלטפורמות ענן אחרות.

לפני שיוצרים את הגדרת ערך המשאב הראשונה עבור ספק שירותי ענן אחר, Security Command Center משתמש בקבוצת משאבים עם ערך גבוה שמוגדרת כברירת מחדל, וספציפית לכל ספק שירותי ענן.

למידע נוסף, קראו את המאמרים הבאים:

AWS

Microsoft Azure