Le combinazioni tossiche sono un gruppo di problemi di sicurezza che, quando si verificano insieme in un determinato pattern, creano un percorso verso una o più risorse di alto valore che un attaccante determinato potrebbe potenzialmente utilizzare per compromettere queste risorse.
Risk Engine rileva le combinazioni tossiche durante le simulazioni del percorso di attacco che esegue. Per ogni combinazione tossica rilevata, Risk Engine genera un risultato. Ogni combinazione tossica include un punteggio di esposizione agli attacchi univoco, chiamato punteggio di combinazione tossica, che misura il rischio di la combinazione tossica per il set di risorse di alto valore nel tuo ambiente cloud. Risk Engine genera anche una visualizzazione del percorso di attacco che la combinazione tossica crea per le risorse nel set di risorse di alto valore.
I chokepoint sono simili alle combinazioni tossiche, ma si concentrano su risorse o gruppi di risorse comuni in cui convergono più percorsi di attacco. Di conseguenza, la correzione di un chokepoint può correggere più combinazioni tossiche.
Le combinazioni tossiche e i chokepoint vengono rilevati per le seguenti piattaforme di fornitori di servizi cloud:
- Google Cloud. Disponibile per i livelli di servizio Premium ed Enterprise.
- Amazon Web Services (AWS) (anteprima). Disponibile per il livello di servizio Enterprise.
- Microsoft Azure (anteprima). Disponibile per il livello di servizio Enterprise.
Per l'elenco delle risorse supportate, vedi Supporto delle funzionalità di Risk Engine.
Visualizzare combinazioni tossiche e chokepoint
Le combinazioni tossiche e i chokepoint a rischio più elevato vengono visualizzati come problemi nella pagina Panoramica dei rischi (livello di servizio Premium) o Panoramica (livello di servizio Enterprise) e puoi visualizzare tutte le combinazioni tossiche e i chokepoint in modo più dettagliato nelle seguenti pagine, a seconda del livello di Security Command Center:
- Pagina Problemi nel livello di servizio Premium
- Pagina Rischia > Problemi nel livello di servizio Enterprise
Le combinazioni tossiche possono essere visualizzate anche nella pagina Richieste nel livello di servizio Enterprise.
Per visualizzare i risultati relativi a combinazioni tossiche e chokepoint nella Google Cloud console, vai alla pagina Risultati e filtra per la classe di risultati Combinazione tossica o Chokepoint.
I risultati relativi a combinazioni tossiche e chokepoint vengono acquisiti nei report sui rischi. Per ulteriori informazioni, vedi Panoramica dei report sui rischi.
Punteggi di esposizione agli attacchi su combinazioni tossiche e chokepoint
Risk Engine calcola un punteggio di esposizione agli attacchi per ogni combinazione tossica e chokepoint. Questo punteggio è una misura di quanto una combinazione tossica o un chokepoint espone una o più risorse nel set di risorse di alto valore a potenziali attacchi. Più alto è il punteggio, maggiore è il rischio.
Calcolo del punteggio di esposizione agli attacchi
I punteggi di esposizione agli attacchi per combinazioni tossiche e chokepoint derivano da quanto segue:
- Il numero di risorse nel set di risorse di alto valore esposte e i valori di priorità e i punteggi di esposizione agli attacchi di queste risorse.
- La probabilità che un attaccante determinato possa raggiungere una risorsa di alto valore sfruttando la combinazione tossica o il chokepoint.
In base al punteggio di esposizione agli attacchi, alle combinazioni tossiche può essere assegnata una delle seguenti gravità:
- Critica: combinazioni tossiche con un punteggio di esposizione agli attacchi ≥ 10.
- Alta: combinazioni tossiche con un punteggio di esposizione agli attacchi < 10.
I chokepoint hanno sempre un punteggio di esposizione agli attacchi ≥ 10 e quindi hanno sempre una valutazione di gravità critica.
Per ulteriori informazioni, vedi Punteggi di esposizione agli attacchi.
Visualizzazioni del percorso di attacco per combinazioni tossiche e chokepoint
Risk Engine fornisce una rappresentazione visiva dei percorsi di attacco di combinazioni tossiche e chokepoint che portano al set di risorse di alto valore. Un percorso di attacco rappresenta una serie di passaggi di attacco, che includono problemi di sicurezza e risorse correlate che un potenziale attaccante potrebbe utilizzare per raggiungere le tue risorse.
I percorsi di attacco ti aiutano a comprendere le relazioni tra i singoli problemi di sicurezza in una combinazione tossica o in un chokepoint e come formano i percorsi verso le risorse nel set di risorse di alto valore. La visualizzazione del percorso mostra anche il numero di risorse di valore esposte e la loro importanza relativa per il tuo ambiente cloud.
Le risorse in un percorso di attacco sono codificate a colori nel seguente modo:
- Le risorse con problemi di sicurezza che contribuiscono a una combinazione tossica sono evidenziate con un bordo giallo.
- Le risorse identificate come chokepoint sono evidenziate con un bordo rosso.
Esistono più posizioni in cui puoi visualizzare i percorsi di attacco.
Nel livello di servizio Premium, visualizza il percorso di attacco completo nella pagina Percorsi di attacco. Per ulteriori informazioni, vedi Percorsi di attacco. Inoltre, visualizza una versione semplificata del percorso di attacco nelle seguenti posizioni:
- La pagina Panoramica dei rischi, per gli elementi nel widget Problemi più rischiosi.
- La pagina Problemi, quando è selezionato un problema. Puoi accedere al percorso di attacco semplificato nella scheda Panoramica del problema.
Nel livello di servizio Enterprise, visualizza una versione semplificata del percorso di attacco nelle seguenti posizioni:
- La pagina Rischio > Panoramica, per gli elementi nel widget Problemi più rischiosi.
- La pagina Rischio > Problemi, quando è selezionato un problema. Puoi accedere al percorso di attacco semplificato nella scheda Panoramica del problema.
- La pagina Rischio > Richieste, quando è selezionata una richiesta. Puoi
accedere al percorso di attacco semplificato nella
Panoramica della richiesta scheda.
Per visualizzare la versione completa di un percorso di attacco, visualizza la versione semplificata e poi fai clic su Esplora percorsi di attacco completi.
Lo screenshot seguente è un esempio di percorso di attacco semplificato per una combinazione tossica:
Lo screenshot seguente è un esempio di percorso di attacco semplificato per un chokepoint:
Risultati correlati
Molti dei singoli rischi che compongono combinazioni tossiche e chokepoint vengono rilevati anche da altri servizi di rilevamento di Security Command Center. Questi altri servizi di rilevamento generano risultati separati per questi rischi, che sono elencati in problemi e richieste come risultati correlati. I risultati correlati vengono identificati anche nei percorsi di attacco.
Per le combinazioni tossiche, vengono aperte richieste separate per i risultati correlati, vengono eseguiti playbook diversi e altri membri del tuo team potrebbero lavorare alla loro correzione indipendentemente dalla correzione del risultato della combinazione tossica. Controlla lo stato delle richieste per questi risultati correlati e, se necessario, chiedi ai proprietari delle richieste di dare la priorità alla loro correzione per risolvere la combinazione tossica.
Richieste
Nel livello di servizio Enterprise, Security Command Center apre una richiesta per ogni risultato di combinazione tossica generato. I chokepoint non generano richieste.
Nella visualizzazione dei dettagli della richiesta, puoi trovare le seguenti informazioni relative alle combinazioni tossiche:
- Una descrizione della combinazione tossica
- Il punteggio di esposizione agli attacchi della combinazione tossica
- Una visualizzazione del percorso di attacco che la combinazione tossica crea
- Informazioni sulle risorse interessate
- Informazioni sui passaggi da seguire per correggere la combinazione tossica
- Informazioni su eventuali risultati correlati di altri servizi di rilevamento di Security Command Center, inclusi i link alle richieste associate
- Playbook applicabili
- Ticket associati
Nella pagina della console Security Operations Rischio > Richieste, puoi eseguire query
o filtrare le richieste di combinazione tossica utilizzando il tag Combinazione tossica. Puoi
anche identificare visivamente le richieste di combinazione tossica nell'elenco delle richieste tramite la
seguente icona: 
.
Per ulteriori informazioni sulla visualizzazione delle richieste di combinazione tossica, vedi Visualizzare le richieste di combinazione tossica.
Priorità della richiesta
Per impostazione predefinita, le richieste di combinazione tossica hanno la stessa priorità della gravità del risultato della combinazione tossica e dell'avviso associato nella richiesta correlata. Ciò significa che tutte le richieste di combinazione tossica hanno inizialmente una
priorità Critical o High.
Dopo l'apertura di una richiesta, puoi modificarne la priorità o quella dell'avviso. La modifica della priorità di una richiesta o di un avviso non modifica la gravità del risultato.
Chiusura delle richieste
Quando viene generato per la prima volta un risultato per una combinazione tossica, il suo stato è
Active.
Se correggi la combinazione tossica, Risk Engine rileva automaticamente la correzione durante la successiva simulazione del percorso di attacco e chiude la richiesta. Le simulazioni vengono eseguite all'incirca ogni sei ore.
In alternativa, se ritieni che il rischio posto da una combinazione tossica sia accettabile o inevitabile, puoi chiudere una richiesta disattivando il risultato.
Quando disattivi un risultato, questo rimane attivo, ma Security Command Center chiude la richiesta e omette il risultato dalle query e dalle visualizzazioni predefinite.
Per ulteriori informazioni, vedi quanto segue:
- Come chiudere le richieste di combinazione tossica
- Panoramica delle richieste
- Disattivazione dei risultati in Security Command Center