Les combinaisons toxiques sont un groupe de problèmes de sécurité qui, lorsqu'ils surviennent ensemble selon un schéma particulier, créent un chemin d'accès à une ou plusieurs de vos ressources à forte valeur qu'un pirate informatique déterminé pourrait potentiellement utiliser pour les compromettre.
Risk Engine détecte les combinaisons toxiques lors des simulations de chemins d'attaque qu'il exécute. Pour chaque combinaison toxique détectée, Risk Engine génère un résultat. Chaque combinaison toxique inclut un score d'exposition aux attaques unique, appelé score de combinaison toxique, qui mesure le risque que la combinaison toxique représente pour l'ensemble de ressources à forte valeur dans votre environnement cloud. Risk Engine génère également une visualisation du chemin d'attaque que la combinaison toxique crée vers les ressources de votre ensemble de ressources à forte valeur.
Les goulets d'étranglement sont semblables aux combinaisons toxiques, mais se concentrent sur les ressources ou les groupes de ressources communs où convergent plusieurs chemins d'attaque. Par conséquent, la correction d'un goulet d'étranglement peut corriger plusieurs combinaisons toxiques.
Les combinaisons toxiques et les goulets d'étranglement sont détectés pour les plates-formes de fournisseurs de services cloud suivantes :
- Google Cloud. Disponible pour les niveaux de service Premium et Enterprise.
- Amazon Web Services (AWS) (aperçu). Disponible pour le niveau de service Enterprise.
- Microsoft Azure (aperçu). Disponible pour le niveau de service Enterprise.
Pour obtenir la liste des ressources compatibles, consultez Prise en charge des fonctionnalités de Risk Engine.
Afficher les combinaisons toxiques et les goulets d'étranglement
Les combinaisons toxiques et les goulets d'étranglement les plus risqués sont affichés sous forme de problèmes sur la page Aperçu des risques (niveau de service Premium) ou Aperçu (niveau de service Enterprise) . Vous pouvez afficher toutes les combinaisons toxiques et tous les goulets d'étranglement plus en détail sur les pages suivantes, en fonction de votre niveau Security Command Center :
- Page Problèmes dans le niveau de service Premium
- Page Risque > Problèmes dans le niveau de service Enterprise
Les combinaisons toxiques peuvent également être affichées sur la page Demandes dans le niveau de service Enterprise.
Pour afficher les résultats liés aux combinaisons toxiques et aux goulets d'étranglement dans la Google Cloud console, accédez à la page Résultats , puis filtrez par la classe de résultat Combinaison toxique ou Goulet d'étranglement.
Les résultats liés aux combinaisons toxiques et aux goulets d'étranglement sont capturés dans les rapports sur les risques. Pour en savoir plus, consultez Vue d'ensemble des rapports sur les risques.
Scores d'exposition aux attaques sur les combinaisons toxiques et les goulets d'étranglement
Risk Engine calcule un score d'exposition aux attaques pour chaque combinaison toxique et chaque goulet d'étranglement. Ce score mesure le niveau d'exposition d'une ou de plusieurs ressources de votre ensemble de ressources à forte valeur à des attaques potentielles par une combinaison toxique ou un goulet d'étranglement. Plus le score est élevé, plus le risque est élevé.
Calcul du score d'exposition aux attaques
Les scores d'exposition aux attaques pour les combinaisons toxiques et les goulets d'étranglement sont dérivés des éléments suivants :
- Le nombre de ressources exposées dans votre ensemble de ressources à forte valeur, ainsi que les valeurs de priorité et les scores d'exposition aux attaques de ces ressources.
- La probabilité qu'un pirate informatique déterminé parvienne à atteindre une ressource à forte valeur en exploitant la combinaison toxique ou le goulet d'étranglement.
En fonction du score d'exposition aux attaques, les combinaisons toxiques peuvent se voir attribuer l'une des gravités suivantes :
- Critique : combinaisons toxiques avec un score d'exposition aux attaques ≥ 10.
- Élevée : combinaisons toxiques avec un score d'exposition aux attaques < 10.
Les goulets d'étranglement ont toujours un score d'exposition aux attaques ≥ 10 et sont donc toujours classés comme critiques.
Pour en savoir plus, consultez Scores d'exposition aux attaques.
Visualisations des chemins d'attaque pour les combinaisons toxiques et les goulets d'étranglement
Risk Engine fournit une représentation visuelle des chemins d'attaque des combinaisons toxiques et des goulets d'étranglement qui mènent à votre ensemble de ressources à forte valeur. Un chemin d'attaque représente une série d'étapes d'attaque, qui incluent des problèmes de sécurité et des ressources associés qu'un pirate informatique potentiel pourrait utiliser pour atteindre vos ressources.
Les chemins d'attaque vous aident à comprendre les relations entre les problèmes de sécurité individuels dans une combinaison toxique ou un goulet d'étranglement, et comment ils forment des chemins vers les ressources de votre ensemble de ressources à forte valeur. La visualisation du chemin indique également le nombre de ressources de valeur exposées et leur importance relative pour votre environnement cloud.
Les ressources d'un chemin d'attaque sont codées par couleur de la manière suivante :
- Les ressources présentant des problèmes de sécurité qui contribuent à une combinaison toxique sont mises en évidence par une bordure jaune.
- Les ressources identifiées comme goulet d'étranglement sont mises en évidence par une bordure rouge.
Vous pouvez afficher les chemins d'attaque à plusieurs endroits.
Dans le niveau de service Premium, affichez le chemin d'attaque complet sur la page Chemins d'attaque. Pour en savoir plus, consultez Chemins d'attaque. Vous pouvez également afficher une version simplifiée du chemin d'attaque aux emplacements suivants :
- La page Aperçu des risques, pour les éléments du widget Problèmes les plus risqués.
- La page Problèmes, lorsqu'un problème est sélectionné. Vous pouvez accéder au chemin d'attaque simplifié dans l'onglet Aperçu du problème.
Dans le niveau de service Enterprise, affichez une version simplifiée du chemin d'attaque aux emplacements suivants :
- La page Risque > Aperçu, pour les éléments du widget Problèmes les plus risqués.
- La page Risque > Problèmes, lorsqu'un problème est sélectionné. Vous pouvez accéder au chemin d'attaque simplifié dans l'onglet Aperçu du problème.
- La page Risque > Demandes, lorsqu'une demande est sélectionnée. Vous pouvez
accéder au chemin d'attaque simplifié dans l'
Aperçu de la demande onglet.
Pour afficher la version complète d'un chemin d'attaque, affichez la version simplifiée, puis cliquez sur Explorer les chemins d'attaque complets.
La capture d'écran suivante est un exemple de chemin d'attaque simplifié pour une combinaison toxique :
La capture d'écran suivante est un exemple de chemin d'attaque simplifié pour un goulet d'étranglement :
Résultats associés
De nombreux risques individuels qui composent les combinaisons toxiques et les goulets d'étranglement sont également détectés par d'autres services de détection Security Command Center. Ces autres services de détection génèrent des résultats distincts pour ces risques, qui sont listés dans les problèmes et les demandes en tant que résultats associés. Les résultats associés sont également identifiés dans les chemins d'attaque.
Pour les combinaisons toxiques, des demandes distinctes sont ouvertes pour les résultats associés, différents playbooks sont exécutés et d'autres membres de votre équipe peuvent travailler sur leur correction indépendamment de la correction du résultat de la combinaison toxique. Vérifiez l'état des demandes pour ces résultats associés et, si nécessaire, demandez aux propriétaires des demandes de hiérarchiser leur correction pour résoudre la combinaison toxique.
Demandes
Dans le niveau de service Enterprise, Security Command Center ouvre une demande pour chaque résultat de combinaison toxique généré. Les goulets d'étranglement ne génèrent pas de demandes.
Dans la vue détaillée de la demande, vous trouverez les informations suivantes concernant les combinaisons toxiques :
- Une description de la combinaison toxique
- Le score d'exposition aux attaques de la combinaison toxique
- Une visualisation du chemin d'attaque que la combinaison toxique crée
- Des informations sur les ressources concernées
- Des informations sur les mesures que vous pouvez prendre pour corriger la combinaison toxique
- Des informations sur les résultats associés d'autres services de détection Security Command Center, y compris des liens vers leurs demandes associées
- Les playbooks applicables
- Les demandes associées
Sur la page Risque > Demandes de la console Security Operations, vous pouvez interroger
ou filtrer les demandes concernant des combinaisons toxiques à l’aide du tag Combinaison toxique. Vous
pouvez également identifier visuellement les demandes concernant des combinaisons toxiques dans la liste des demandes à l'aide de l'
icône suivante : 
.
Pour en savoir plus sur l'affichage des demandes concernant des combinaisons toxiques, consultez Afficher les demandes concernant des combinaisons toxiques.
Priorité des demandes
Par défaut, la priorité des demandes concernant des combinaisons toxiques est définie sur la même valeur que la gravité du résultat de la combinaison toxique et de l'alerte associée dans la demande correspondante. Cela signifie que toutes les demandes concernant des combinaisons toxiques ont initialement une
priorité Critical ou High.
Une fois la demande ouverte, vous pouvez modifier sa priorité ou celle de l'alerte. La modification de la priorité d'une demande ou d'une alerte ne modifie pas la gravité du résultat.
Clôturer des demandes
Lorsqu'un résultat est généré pour la première fois pour une combinaison toxique, son état est
Active.
Si vous corrigez la combinaison toxique, Risk Engine détecte automatiquement la correction lors de la prochaine simulation de chemin d'attaque et clôture la demande. Les simulations s'exécutent environ toutes les six heures.
Vous pouvez également clôturer une demande en désactivant le résultat si vous déterminez que le risque posé par une combinaison toxique est acceptable ou inévitable.
Lorsque vous désactivez un résultat, celui-ci reste actif, mais Security Command Center clôture la demande et omet le résultat des requêtes et des vues par défaut.
Pour en savoir plus, consultez les informations suivantes :
- Clôturer les demandes concernant des combinaisons toxiques
- Vue d'ensemble des demandes
- Ignorer les résultats dans Security Command Center