Visão geral de combinações ruins e pontos de estrangulamento

Combinações tóxicas são um grupo de problemas de segurança que, quando ocorrem juntos em um padrão específico, criam um caminho para um ou mais dos seus recursos de alto valor que um invasor determinado pode usar para comprometer esses recursos.

O mecanismo de risco detecta combinações tóxicas durante as simulações de caminho de ataque que ele executa. Para cada combinação tóxica detectada, o Risk Engine gera uma descoberta. Cada combinação tóxica inclui uma pontuação de exposição a ataques exclusiva, chamada de pontuação de combinação tóxica, que mede o risco da combinação tóxica para o conjunto de recursos de alto valor no seu ambiente de nuvem. O Risk Engine também gera uma visualização do caminho de ataque que a combinação tóxica cria para os recursos no seu conjunto de recursos de alto valor.

Os pontos de estrangulamento são semelhantes às combinações tóxicas, mas se concentram em recursos ou grupos de recursos comuns em que vários caminhos de ataque convergem. Como consequência, a correção de um ponto de estrangulamento pode corrigir várias combinações tóxicas.

Combinações tóxicas e gargalos são detectados nas seguintes plataformas de provedores de serviços de nuvem:

  • Google Cloud. Disponível para os níveis de serviço Premium e Enterprise.
  • Amazon Web Services (AWS) (prévia). Disponível para o nível de serviço Enterprise.
  • Microsoft Azure (pré-lançamento). Disponível para o nível de serviço Enterprise.

Para conferir a lista de recursos compatíveis, consulte Suporte a recursos do Risk Engine.

Ver combinações ruins e pontos de estrangulamento

As combinações tóxicas e os pontos de estrangulamento de maior risco são mostrados como problemas na página Visão geral de risco (nível de serviço Premium) ou Visão geral (nível de serviço Enterprise). É possível conferir todos os pontos de estrangulamento e combinações tóxicas com mais detalhes nas seguintes páginas, dependendo do seu nível do Security Command Center:

  • Página Problemas no nível de serviço Premium
  • Página Risco > Problemas na camada de serviço Enterprise

As combinações tóxicas também podem ser visualizadas na página Casos no nível de serviço Enterprise.

Para conferir descobertas relacionadas a combinações tóxicas e pontos de estrangulamento no console doGoogle Cloud , acesse a página Descobertas e filtre pela classe de descoberta Combinação tóxica ou Ponto de estrangulamento.

As descobertas relacionadas a combinações ruins e pontos de estrangulamento são capturadas em relatórios de risco. Para mais informações, consulte a Visão geral dos relatórios de risco.

Pontuações de exposição a ataques em combinações ruins e pontos de estrangulamento

O Risk Engine calcula uma pontuação de exposição a ataques para cada combinação tóxica e ponto de estrangulamento. Essa pontuação é uma medida de quanto uma combinação tóxica ou um ponto de gargalo expõe um ou mais recursos no seu conjunto de recursos de alto valor a possíveis ataques. Quanto maior a pontuação, maior o risco.

Cálculo da pontuação de exposição a ataques

As pontuações de exposição a ataques para combinações tóxicas e pontos de estrangulamento são derivadas do seguinte:

  • O número de recursos no seu conjunto de recursos de alto valor que estão expostos e os valores de prioridade e pontuações de exposição a ataques desses recursos.
  • A probabilidade de um invasor determinado conseguir alcançar um recurso de alto valor usando a combinação tóxica ou o ponto de gargalo.

Com base na pontuação de exposição a ataques, as combinações tóxicas podem ter uma das seguintes gravidades atribuídas:

  • Crítica: combinações tóxicas com uma pontuação de exposição a ataques ≥ 10.
  • Alta: combinações tóxicas com uma pontuação de exposição a ataques < 10.

Os pontos de estrangulamento sempre têm uma pontuação de exposição a ataques ≥ 10 e, portanto, sempre têm uma classificação de gravidade crítica.

Para mais informações, consulte Pontuações de exposição a ataques.

Visualizações de caminho de ataque para combinações ruins e pontos de estrangulamento

O Risk Engine oferece uma representação visual dos caminhos de ataque de combinação tóxica e ponto de estrangulamento que levam ao seu conjunto de recursos de alto valor. Um caminho de ataque representa uma série de etapas de ataque, incluindo problemas de segurança e recursos relacionados que um possível invasor pode usar para alcançar seus recursos.

Os caminhos de ataque ajudam a entender as relações entre problemas de segurança individuais em uma combinação tóxica ou ponto de gargalo e como eles formam caminhos para recursos no seu conjunto de recursos de alto valor. A visualização de caminho também mostra quantos recursos valiosos estão expostos e a importância relativa deles para seu ambiente de nuvem.

Os recursos em um caminho de ataque são codificados por cores da seguinte maneira:

  • Os recursos com problemas de segurança que contribuem para uma combinação tóxica são destacados com uma borda amarela.
  • Os recursos identificados como um gargalo são destacados com uma borda vermelha.

Há vários lugares em que você pode ver os caminhos de ataque.

No nível de serviço Premium, confira o caminho de ataque completo na página Caminhos de ataque. Para mais informações, consulte Caminhos de ataque. Além disso, confira uma versão simplificada do caminho de ataque nos seguintes lugares:

  • A página Visão geral de riscos, para itens no widget Problemas mais riscados.
  • A página Problemas, quando um problema é selecionado. Você pode acessar o caminho de ataque simplificado na guia Visão geral do problema.

No nível de serviço Enterprise, confira uma versão simplificada do caminho de ataque nos seguintes lugares:

  • A página Risco > Visão geral, para itens no widget Problemas mais arriscados.
  • A página Risco > Problemas, quando um problema é selecionado. Você pode acessar o caminho de ataque simplificado na guia Visão geral do problema.
  • A página Risco > Casos, quando um caso é selecionado. Você pode acessar o caminho de ataque simplificado na guia Caso Visão geral do caso.

Para ver a versão completa de um caminho de ataque, confira a versão simplificada e clique em Analisar os caminhos de ataque completos.

A captura de tela a seguir é um exemplo de um caminho de ataque simplificado para uma combinação tóxica:

Um caminho simplificado de ataque de combinação tóxica

A captura de tela a seguir é um exemplo de um caminho de ataque simplificado para um ponto de estrangulamento:

Um caminho simplificado de ataque de ponto de estrangulamento

Muitos dos riscos individuais que compõem combinações tóxicas e gargalos também são detectados por outros serviços de detecção do Security Command Center. Esses outros serviços de detecção geram descobertas separadas para esses riscos, que são listadas em problemas e casos como descobertas relacionadas. As descobertas relacionadas também são identificadas nos caminhos de ataque.

Para combinações tóxicas, casos separados são abertos para as descobertas relacionadas, diferentes playbooks são executados, e outros membros da sua equipe podem trabalhar na correção deles de forma independente da correção da descoberta de combinação tóxica. Verifique o status dos casos relacionados a essas descobertas e, se necessário, peça aos proprietários dos casos para priorizar a correção e ajudar a resolver a combinação tóxica.

Casos

No nível de serviço Enterprise, o Security Command Center abre um caso para cada descoberta de combinação tóxica gerada. Os pontos de estrangulamento não geram casos.

Na visualização de detalhes do caso, você encontra as seguintes informações relacionadas a combinações tóxicas:

  • Uma descrição da combinação tóxica
  • A pontuação de exposição a ataques da combinação tóxica
  • Uma visualização do caminho de ataque que a combinação tóxica cria
  • Informações sobre os recursos afetados
  • Informações sobre as etapas que você pode seguir para corrigir a combinação tóxica
  • Informações sobre descobertas relacionadas de outros serviços de detecção do Security Command Center, incluindo links para os casos associados
  • Playbooks aplicáveis
  • Tíquetes associados

Na página Risco > Casos do console do Security Operations, é possível consultar ou filtrar casos de combinação tóxica usando a tag Combinação tóxica. Também é possível identificar visualmente casos de combinação tóxica na lista de casos usando o seguinte ícone: Ícone de combinação tóxica.

Para mais informações sobre como ver casos de combinação tóxica, consulte Ver casos de combinação tóxica.

Prioridade do caso

Por padrão, a prioridade dos casos de combinação tóxica é definida com o mesmo valor da gravidade da descoberta de combinação tóxica e do alerta associado no caso relacionado. Isso significa que todos os casos de combinação tóxica têm inicialmente uma prioridade de Critical ou High.

Depois que um caso é aberto, você pode mudar a prioridade dele ou do alerta. Mudar a prioridade de um caso ou alerta não altera a gravidade da descoberta.

Como fechar casos

Quando uma descoberta é gerada pela primeira vez para uma combinação tóxica, o estado dela é Active.

Se você corrigir a combinação tóxica, o mecanismo de risco vai detectar automaticamente a correção durante a próxima simulação de caminho de ataque e fechar o caso. As simulações são executadas aproximadamente a cada seis horas.

Como alternativa, se você determinar que o risco representado por uma combinação tóxica é aceitável ou inevitável, poderá fechar um caso silenciando a descoberta.

Quando você silencia uma descoberta, ela permanece ativa, mas o Security Command Center fecha o caso e omite a descoberta das consultas e visualizações padrão.

Para mais informações, consulte: