שילובים רעילים הם קבוצה של בעיות אבטחה, שאם הן מתרחשות יחד בדפוס מסוים, יוצרות נתיב למשאב אחד או יותר בעלי ערך גבוה. תוקף נחוש עלול להשתמש בנתיב הזה כדי לפגוע במשאבים האלה.
מנוע הסיכון מזהה שילובים רעילים במהלך סימולציות של נתיבי תקיפה שהוא מריץ. לכל שילוב רעיל שמנוע הסיכון מזהה, הוא יוצר ממצא. כל שילוב רעיל כולל ציון חשיפה ייחודי להתקפה, שנקרא ציון שילוב רעיל, שמודד את הסיכון של השילוב הרעיל למערך המשאבים בעלי הערך הגבוה בסביבת הענן שלכם. מנוע הסיכונים יוצר גם תצוגה חזותית של נתיב המתקפה שנוצר על ידי השילוב הרעיל למשאבים בקבוצת המשאבים בעלי הערך הגבוה.
נקודות חולשה דומות לשילובים רעילים, אבל הן מתמקדות במשאבים נפוצים או בקבוצות משאבים שבהם מתלכדים כמה נתיבי תקיפה. כתוצאה מכך, תיקון נקודת צוואר בקבוק יכול לתקן כמה שילובים רעילים.
הכלי מזהה שילובי הרשאות רעילים ונקודות חולשה בפלטפורמות של ספקי שירותי הענן הבאים:
- Google Cloud. זמין במסלולי השירות Premium ו-Enterprise.
- Amazon Web Services (AWS) (תצוגת מקדימה). זמין ברמת השירות Enterprise.
- Microsoft Azure (תצוגה מקדימה). זמין ברמת השירות Enterprise.
רשימת המשאבים הנתמכים מופיעה במאמר תמיכה בתכונות של מנוע הסיכונים.
הצגת שילובים רעילים ונקודות חולשה
השילובים הרעילים והנקודות הקריטיות עם הסיכון הגבוה ביותר מוצגים כבעיות בדף סקירת סיכונים (מהדורת Premium) או בדף סקירה כללית (מהדורת Enterprise). אפשר לראות את כל השילובים הרעילים והנקודות הקריטיות בפירוט רב יותר בדפים הבאים, בהתאם למהדורה של Security Command Center:
- הדף Issues במדרגת השירות Premium
- בדף Risk > Issues ברמת השירות Enterprise
אפשר לראות שילובים רעילים גם בדף מקרים ברמת השירות Enterprise.
כדי לראות ממצאים שקשורים לשילובים רעילים ולנקודות חסימה בGoogle Cloud מסוף, עוברים לדף ממצאים ומסננים לפי סוג הממצא שילוב רעיל או נקודת חסימה.
ממצאים שקשורים לשילובים רעילים ולנקודות חולשה מתועדים בדוחות סיכון. מידע נוסף מופיע במאמר סקירה כללית של דוחות סיכון.
ציוני חשיפה להתקפות על שילובים רעילים ונקודות חולשה
מנוע הסיכון מחשב ציון חשיפה להתקפה לכל שילוב רעיל ונקודת צוואר בקבוק. הציון הזה הוא מדד לרמת החשיפה של אחד או יותר מהמשאבים בסט המשאבים בעלי הערך הגבוה להתקפות פוטנציאליות, בגלל שילוב רעיל או נקודת חולשה. ככל שהציון גבוה יותר, כך הסיכון גבוה יותר.
חישוב ציון החשיפה להתקפות
הציונים של חשיפה להתקפות בשילובים רעילים ובנקודות חולשה נגזרים מהנתונים הבאים:
- מספר המשאבים בקבוצת המשאבים בעלי הערך הגבוה שחשופים, וערכי העדיפות וציוני החשיפה להתקפות של המשאבים האלה.
- הסבירות שתוקף נחוש יצליח להגיע למשאב בעל ערך גבוה באמצעות השילוב הרעיל או נקודת החולשה.
על סמך ציון החשיפה להתקפות, לשילובים רעילים יכול להיות אחד מהערכים הבאים של חומרה:
- קריטיות: שילובים רעילים עם ציון חשיפה למתקפה של ≥ 10.
- גבוהה: שילובים רעילים עם ציון חשיפה להתקפה < 10.
לנקודות חולשה תמיד יש ציון חשיפה להתקפות של ≥ 10, ולכן הן תמיד מקבלות דירוג חומרה קריטי.
מידע נוסף זמין במאמר בנושא דירוג החשיפה להתקפות.
המחשות של נתיבי תקיפה לשילובים רעילים ולנקודות חסימה
מנוע הסיכונים מספק תיאור חזותי של השילוב הרעיל ונתיבי ההתקפה של נקודות החולשה שמובילים לקבוצת המשאבים בעלי הערך הגבוה. נתיב תקיפה מייצג סדרה של שלבי תקיפה, שכוללים בעיות אבטחה קשורות ומשאבים שתוקף פוטנציאלי יכול להשתמש בהם כדי להגיע למשאבים שלכם.
נתיבי תקיפה עוזרים לכם להבין את הקשרים בין בעיות אבטחה ספציפיות בשילוב רע או בנקודת חולשה, ואיך הן יוצרות נתיבים למשאבים בקבוצת המשאבים בעלי הערך הגבוה. בנוסף, בתרשים הנתיב מוצג מספר המשאבים החשובים שנחשפים והחשיבות היחסית שלהם לסביבת הענן שלכם.
המשאבים בנתיב התקפה מקודדים בצבעים באופן הבא:
- משאבים עם בעיות אבטחה שמובילות לשילוב רעיל מודגשים במסגרת צהובה.
- משאבים שמזוהים כנקודת צוואר בקבוק מודגשים עם גבול אדום.
יש כמה מקומות שבהם אפשר לראות נתיבי תקיפה.
ברמת השירות Premium, אפשר לראות את נתיב ההתקפה המלא בדף נתיבי התקפה. מידע נוסף זמין במאמר נתיבי תקיפה. בנוסף, אפשר לראות גרסה פשוטה של נתיב התקיפה במקומות הבאים:
- בדף סקירת סיכונים, בפריטים בווידג'ט הבעיות הכי מסוכנות.
- הדף בעיות, כשבוחרים בעיה. אפשר לגשת לנתיב התקיפה הפשוט בכרטיסייה סקירה כללית של הבעיה.
במהדורת Enterprise של שירות Google Cloud, אפשר לראות גרסה פשוטה של נתיב התקיפה במקומות הבאים:
- בדף Risk > Overview, עבור פריטים בווידג'ט Riskiest issues.
- הדף סיכון > בעיות, כשבעיה נבחרת. אפשר לגשת לנתיב התקיפה הפשוט בכרטיסייה סקירה כללית של הבעיה.
- הדף Risk > Cases, כשבוחרים פנייה. אפשר לגשת לנתיב התקיפה הפשוט בכרטיסייה
סקירה כללית של האירוע.
כדי לראות את הגרסה המלאה של נתיב התקיפה, צופים בגרסה הפשוטה ואז לוחצים על הצגת נתיבי התקיפה המלאים.
צילום המסך הבא מציג דוגמה לנתיב תקיפה פשוט של שילוב רעיל:

צילום המסך הבא מציג דוגמה לנתיב תקיפה פשוט של נקודת חולשה:

ממצאים קשורים
רבים מהסיכונים האינדיבידואליים שמרכיבים שילובים רעילים ונקודות חולשה מזוהים גם על ידי שירותי זיהוי אחרים של Security Command Center. שירותי הזיהוי האחרים האלה יוצרים ממצאים נפרדים לגבי הסיכונים האלה, והם מופיעים בבעיות ובמקרים כממצאים קשורים. ממצאים קשורים מזוהים גם בנתיבי תקיפה.
במקרים של שילובים רעילים, נפתחים מקרים נפרדים לגבי הממצאים הקשורים, מופעלים תרחישי שימוש שונים, ועוד חברים בצוות שלכם עשויים לעבוד על התיקון שלהם בנפרד מהתיקון של הממצא לגבי השילוב הרעיל. צריך לבדוק את הסטטוס של הבקשות שקשורות לממצאים האלה, ואם צריך, לבקש מבעלי הבקשות לתת עדיפות לתיקון שלהן כדי לפתור את השילוב הבעייתי.
בקשות תמיכה
במהדורת Enterprise של Security Command Center, נפתח כרטיס תמיכה לכל ממצא של שילוב רעיל שנוצר. נקודות חולשה לא יוצרות פניות לתמיכה.
בתצוגת פרטי הפנייה, אפשר למצוא את המידע הבא שקשור לשילובים רעילים:
- תיאור של השילוב הרעיל
- ציון החשיפה להתקפה של השילוב הרעיל
- הדמיה של נתיב התקיפה שנוצר מהשילוב הרעיל
- מידע על המשאבים המושפעים
- מידע על הפעולות שאפשר לבצע כדי לתקן את השילוב הרעיל
- מידע על ממצאים קשורים משירותי זיהוי אחרים של Security Command Center, כולל קישורים למקרים המשויכים
- מדריכים רלוונטיים
- כרטיסים משויכים
בדף Risk > Cases במסוף Security Operations, אפשר להריץ שאילתות או לסנן מקרים של שילובים רעילים באמצעות התג Toxic Combination. אפשר גם לזהות חזותית מקרים של שילובים רעילים ברשימת המקרים באמצעות הסמל הבא: .
מידע נוסף על צפייה במקרים של שילובים רעילים זמין במאמר בנושא צפייה במקרים של שילובים רעילים.
עדיפות הפנייה
כברירת מחדל, העדיפות של מקרים שקשורים לשילובים רעילים מוגדרת לאותו ערך כמו חומרת הממצא של השילוב הרעיל וההתראה שמשויכת אליו במקרה הקשור. כלומר, לכל המקרים של שילובים רעילים יש בהתחלה עדיפות של Critical או High.
אחרי שפותחים בקשת תמיכה, אפשר לשנות את רמת העדיפות שלה או של ההתראה. שינוי העדיפות של בקשת תמיכה או התראה לא משנה את מידת החומרה של הממצא.
סגירת בקשות תמיכה
כשממצא נוצר בפעם הראשונה לשילוב רעיל, המצב שלו הוא Active.
אם תטפלו בשילוב הרעיל, מנוע הסיכון יזהה אוטומטית את הטיפול במהלך הסימולציה הבאה של נתיב התקיפה ויסגור את המקרה. הסימולציות פועלות בערך כל שש שעות.
לחלופין, אם קבעתם שהסיכון שנובע משילוב רעיל הוא מקובל או בלתי נמנע, אתם יכולים להשתיק את הממצא כדי לסגור את הבעיה.
כשמשתיקים ממצא, הוא נשאר פעיל, אבל Security Command Center סוגר את המקרה ומשמיט את הממצא משאילתות ותצוגות ברירת המחדל.
מידע נוסף זמין במאמרים הבאים:
- איך סוגרים בקשות תמיכה בנושא שילובים רעילים
- סקירה כללית בנושא פניות
- השתקת ממצאים ב-Security Command Center
המאמרים הבאים
מידע נוסף על ניהול שילובים רעילים ונקודות חולשה