Las combinaciones tóxicas son un grupo de problemas de seguridad que, cuando ocurren juntos en un patrón particular, crean una ruta de acceso a uno o más de tus recursos de alto valor que un atacante determinado podría usar para vulnerarlos.
El motor de riesgo detecta combinaciones tóxicas durante las simulaciones de rutas de ataque que ejecuta. Para cada combinación tóxica que detecta el motor de riesgo, se genera un hallazgo. Cada combinación tóxica incluye una puntuación única de exposición a ataques. Esta se denomina puntuación de combinación tóxica, la cual mide el riesgo de la combinación tóxica para el conjunto de recursos de alto valor alojados en tu entorno de nube. El motor de riesgo también genera una visualización de la ruta de ataque que crea la combinación tóxica para los recursos de tu conjunto de recursos de alto valor.
Los puntos críticos son similares a las combinaciones tóxicas, pero se enfocan en los recursos o grupos de recursos comunes en los que convergen varias rutas de ataque. Como consecuencia, corregir un punto crítico puede solucionar varias combinaciones tóxicas.
Las combinaciones tóxicas y los puntos críticos se detectan para las siguientes plataformas de proveedores de servicios en la nube:
- Google Cloud. Disponible para los niveles de servicio Premium y Enterprise.
- Amazon Web Services (AWS) (versión preliminar). Disponible para el nivel de servicio Enterprise.
- Microsoft Azure (versión preliminar). Disponible para el nivel de servicio Enterprise.
Para obtener la lista de recursos compatibles, consulta Compatibilidad con las funciones del motor de riesgo.
Visualiza las combinaciones tóxicas y los puntos críticos
Las combinaciones tóxicas y los puntos críticos de mayor riesgo se muestran como problemas en la página Descripción general de riesgos (nivel de servicio Premium) o Descripción general (nivel de servicio Enterprise), y puedes ver todas las combinaciones tóxicas y los puntos críticos con mayor detalle en las páginas siguientes según el nivel de Security Command Center con el que cuentes:
- Página Problemas en el nivel de servicio Premium
- Página Riesgo > Problemas en el nivel de servicio Enterprise
Las combinaciones tóxicas también se pueden ver en la página Casos del nivel de servicio Enterprise.
Para ver los hallazgos relacionados con combinaciones tóxicas y puntos críticos en la consola deGoogle Cloud , accede a la página Hallazgos y filtra por la clase de hallazgo Combinación tóxica o Punto crítico.
Los hallazgos relacionados con las combinaciones tóxicas y los puntos críticos se registran en los informes de riesgo. Para obtener más información, consulta la Descripción general de los informes de riesgo.
Puntuaciones de exposición a ataques en combinaciones tóxicas y puntos críticos
El motor de riesgo calcula una puntuación de exposición a ataques para cada combinación tóxica y punto crítico. Esta puntuación es una medida de la exposición de uno o más recursos de tu conjunto de recursos de alto valor a ataques potenciales debido a una combinación tóxica o un punto crítico. Cuanto más alta sea la puntuación, mayor será el riesgo.
Cálculo de la puntuación de exposición a ataques
Las puntuaciones de exposición a ataques para las combinaciones tóxicas y los puntos críticos se derivan de lo siguiente:
- La cantidad de recursos presentes en tu conjunto de recursos de alto valor que están expuestos, así como los valores de prioridad y las puntuaciones de exposición a ataques de esos recursos
- La probabilidad de que un atacante determinado pueda alcanzar un recurso de alto valor aprovechando la combinación tóxica o el punto crítico
Según la puntuación de exposición a ataques, las combinaciones tóxicas pueden tener una de las siguientes gravedades asignadas:
- Críticas: Son combinaciones tóxicas con una puntuación de exposición a ataques ≥ 10.
- Altas: Son combinaciones tóxicas con una puntuación de exposición a ataques < 10.
Los puntos críticos siempre tienen una puntuación de exposición a ataques ≥ 10 y, por lo tanto, siempre tienen una calificación de gravedad crítica.
Para obtener más información, consulta Puntuaciones de exposición a ataques.
Visualizaciones de rutas de ataque para combinaciones tóxicas y puntos críticos
El motor de riesgo proporciona una representación visual de las rutas de ataque de combinaciones tóxicas y puntos críticos que conducen a tu conjunto de recursos de alto valor. Una ruta de ataque representa una serie de pasos de ataque que incluyen problemas de seguridad y recursos relacionados que un atacante potencial podría usar para alcanzar tus recursos.
Las rutas de ataque facilitan la comprensión de las relaciones entre los problemas de seguridad individuales de una combinación tóxica o un punto crítico, y cómo forman rutas hacia los recursos de tu conjunto de recursos de alto valor. La visualización de la ruta también muestra cuántos recursos valiosos se exponen y su importancia relativa para tu entorno de nube.
Los recursos de una ruta de ataque se codifican por color de la manera siguiente:
- Los recursos con problemas de seguridad que contribuyen a una combinación tóxica se resaltan con un borde amarillo.
- Los recursos que se identifican como un punto crítico se resaltan con un borde rojo.
Hay varias ubicaciones en las que puedes ver las rutas de ataque.
En el nivel de servicio Premium, puedes ver la ruta de ataque completa en la página Rutas de ataque. Para obtener más información, consulta Rutas de ataque. También puedes ver una versión simplificada de la ruta de ataque en las secciones siguientes:
- La página Descripción general de riesgos, para los elementos del widget Problemas más riesgosos
- La página Problemas, cuando se selecciona un problema. Puedes acceder a la ruta de ataque simplificada en la pestaña Descripción general del problema
En el nivel de servicio Enterprise, puedes ver una versión simplificada de la ruta de ataque en las secciones siguientes:
- La página Riesgo > Descripción general, para los elementos del widget Problemas más riesgosos
- La página Riesgo > Problemas, cuando se selecciona un problema. Puedes acceder a la ruta de ataque simplificada en la pestaña Descripción general del problema
- La página Riesgo > Casos, cuando se selecciona un caso. Puedes
acceder a la ruta de ataque simplificada en la pestaña
Descripción general del caso
Para ver la versión completa de una ruta de ataque, consulta la versión simplificada y, luego, haz clic en Explorar rutas de ataque completas.
En la siguiente captura de pantalla, se muestra un ejemplo de una ruta de ataque simplificada para una combinación tóxica:
En la siguiente captura de pantalla, se muestra un ejemplo de una ruta de ataque simplificada para un punto crítico:
Hallazgos relacionados
Muchos de los riesgos individuales que componen las combinaciones tóxicas y los puntos críticos también se detectan a través de otros servicios de detección de Security Command Center. Estos otros servicios de detección generan hallazgos independientes para estos riesgos, que se enumeran en los problemas y casos como hallazgos relacionados. Los hallazgos relacionados también se identifican en las rutas de ataque.
En el caso de las combinaciones tóxicas, se abren casos independientes para los hallazgos relacionados, se ejecutan diferentes guías, y otros miembros de tu equipo pueden trabajar en la solución por separado de la corrección del hallazgo de la combinación tóxica. Verifica el estado de los casos relacionados para estos hallazgos y, si es necesario, pide a los propietarios de los casos que prioricen la corrección para ayudar a resolver la combinación tóxica.
Casos
En el nivel de servicio Enterprise, Security Command Center abre un caso para cada hallazgo de combinación tóxica que se genera. Los puntos críticos no generan casos.
En la vista de detalles del caso, puedes encontrar la siguiente información relacionada con las combinaciones tóxicas:
- Una descripción de la combinación tóxica
- La puntuación de exposición a ataques de la combinación tóxica
- Una visualización de la ruta de ataque que crea la combinación tóxica
- Información sobre los recursos afectados
- Información sobre los pasos que puedes seguir para corregir la combinación tóxica
- Información sobre los hallazgos relacionados de otros servicios de detección de Security Command Center, incluidos los vínculos a sus casos asociados
- Guías aplicables
- Tickets asociados
En la página Riesgo > Casos de la consola de operaciones de seguridad,
puedes consultar o filtrar los casos de combinaciones tóxicas con la etiqueta Combinación tóxica. También
puedes identificar visualmente los casos de combinación tóxica en la lista de casos con el ícono siguiente: 
.
Para obtener más información sobre cómo ver los casos de combinación tóxica, consulta Visualiza casos de combinación tóxica.
Prioridad del caso
De forma predeterminada, los casos de combinaciones tóxicas tienen su prioridad establecida en el mismo valor que
la gravedad del hallazgo de la combinación tóxica y su alerta asociada en el
caso relacionado. Esto significa que todos los casos de combinaciones tóxicas tienen
inicialmente una prioridad de Critical o High.
Después de abrir un caso, puedes cambiar su prioridad o la prioridad de la alerta. Cambiar la prioridad de un caso o una alerta no modifica la gravedad del hallazgo.
Cierre de casos
Cuando se genera un hallazgo por primera vez para una combinación tóxica, su estado es
Active.
Si corriges la combinación tóxica, el motor de riesgo detectará automáticamente la corrección durante la próxima simulación de ruta de ataque y cerrará el caso. Las simulaciones se ejecutan aproximadamente cada seis horas.
Como alternativa, si determinas que el riesgo que plantea una combinación tóxica es aceptable o inevitable, puedes silenciar el hallazgo para cerrar un caso.
Cuando silencias un hallazgo, este permanece activo, pero Security Command Center cierra el caso y omite el hallazgo de las vistas y las consultas predeterminadas.
Para obtener más información, consulta lo siguiente:
- Cómo cerrar casos de combinaciones tóxicas
- Descripción general de casos
- Silenciar hallazgos en Security Command Center