Vista geral das combinações tóxicas e dos pontos de estrangulamento

As combinações tóxicas são um grupo de problemas de segurança que, quando ocorrem em conjunto num padrão específico, criam um caminho para um ou mais dos seus recursos de elevado valor que um atacante determinado pode usar potencialmente para comprometer esses recursos.

O motor de risco do Security Command Center Enterprise ou Premium deteta combinações tóxicas durante as simulações de caminho de ataque que executa. Para cada combinação tóxica que o motor de risco deteta, gera uma descoberta. Cada combinação tóxica inclui uma pontuação de exposição a ataques única, denominada pontuação de combinação tóxica, que mede o risco de a combinação tóxica afetar o conjunto de recursos de valor elevado definido no seu ambiente de nuvem. O motor de risco também gera uma visualização do caminho de ataque que a combinação tóxica cria para os recursos no seu conjunto de recursos de elevado valor.

Os pontos de estrangulamento são semelhantes às combinações tóxicas, mas focam-se em recursos comuns ou grupos de recursos onde convergem vários caminhos de ataque. Consequentemente, a correção de um ponto de estrangulamento pode corrigir várias combinações tóxicas.

São detetadas combinações tóxicas e pontos de estrangulamento para as seguintes plataformas de fornecedores de serviços na nuvem:

  • Google Cloud
  • Amazon Web Services (AWS). O suporte para pontos de estrangulamento com a AWS está em pré-visualização.
  • Microsoft Azure. O suporte para pontos de estrangulamento com o Microsoft Azure está em pré-visualização.

Para ver a lista de recursos suportados, consulte o artigo Suporte de funcionalidades do motor de risco.

Veja combinações tóxicas e pontos de estrangulamento

No Security Command Center Enterprise, as combinações tóxicas e os pontos críticos de maior risco são apresentados como problemas na página Risco > Vista geral. Também pode ver combinações tóxicas na página Casos.

No Security Command Center Enterprise, pode ver todas as combinações tóxicas e pontos de estrangulamento com mais detalhes na página Risco > Problemas.

Para ver as conclusões relacionadas com combinações tóxicas e pontos críticos na Google Cloud consola, aceda à página Conclusões e filtre pela classe de conclusões Combinação tóxica ou Ponto crítico.

As conclusões relacionadas com combinações tóxicas e pontos críticos são captadas em relatórios de risco. Para mais informações, consulte a vista geral dos relatórios de riscos.

Pontuações de exposição a ataques em combinações tóxicas e pontos críticos

O motor de risco calcula uma pontuação de exposição a ataques para cada combinação tóxica e ponto de estrangulamento. Esta pontuação é uma medida da forma como uma combinação tóxica ou um ponto de estrangulamento expõe um ou mais dos recursos no seu conjunto de recursos de elevado valor a potenciais ataques. Quanto mais elevada for a pontuação, maior é o risco.

Cálculo da classificação de exposição a ataques

As pontuações de exposição a ataques para combinações tóxicas e pontos críticos são derivadas do seguinte:

  • O número de recursos no seu conjunto de recursos de elevado valor que estão expostos e os valores de prioridade e as pontuações de exposição a ataques desses recursos.
  • A probabilidade de um atacante determinado conseguir alcançar um recurso de alto valor através da combinação tóxica ou do ponto de estrangulamento.

Com base na pontuação de exposição a ataques, as combinações tóxicas podem ter uma das seguintes gravidades atribuídas:

  • Crítico: combinações tóxicas com uma pontuação de exposição a ataques ≥ 10.
  • Elevado: combinações tóxicas com uma pontuação de exposição a ataques < 10.

Os pontos de estrangulamento têm sempre uma pontuação de exposição a ataques ≥ 10 e, por isso, têm sempre uma classificação de gravidade crítica.

Para mais informações, consulte os resultados da exposição a ataques.

Visualizações do caminho de ataque para combinações tóxicas e pontos de estrangulamento

O motor de risco oferece uma representação visual da combinação tóxica e dos caminhos de ataque de estrangulamento que conduzem ao seu conjunto de recursos de elevado valor. Um caminho de ataque representa uma série de passos de ataque que incluem problemas de segurança e recursos relacionados que um potencial atacante pode usar para alcançar os seus recursos.

Os caminhos de ataque ajudam a compreender as relações entre problemas de segurança individuais numa combinação tóxica ou num ponto de estrangulamento, e como formam caminhos para recursos no seu conjunto de recursos de elevado valor. A visualização do caminho também mostra quantos recursos valiosos estão expostos e a respetiva importância relativa para o seu ambiente de nuvem.

Os recursos num caminho de ataque são codificados por cores da seguinte forma:

  • Os recursos com problemas de segurança que contribuem para uma combinação tóxica são realçados com um limite amarelo.
  • Os recursos identificados como um ponto de estrangulamento são realçados com um limite vermelho.

Existem vários locais onde pode ver caminhos de ataque.

No Security Command Center Premium, veja o caminho de ataque completo na página Caminhos de ataque. Para mais informações, consulte o artigo Caminhos de ataque.

No Security Command Center Enterprise, veja uma versão simplificada do caminho de ataque nos seguintes locais:

  • A página Risco > Vista geral, para itens no widget Problemas mais arriscados.
  • A página Risco > Problemas, quando um problema é selecionado. Pode aceder ao caminho de ataque simplificado no separador Vista geral do problema.
  • A página Risco > Registos, quando um registo é selecionado. Pode aceder ao caminho de ataque simplificado no separador Caixa Vista geral do registo.

Para ver a versão completa de um caminho de ataque, veja a versão simplificada e, em seguida, clique em Explorar caminhos de ataque completos.

A captura de ecrã seguinte é um exemplo de um percurso de ataque simplificado para uma combinação tóxica:

Um caminho de ataque de combinação tóxica simplificado

A captura de ecrã seguinte é um exemplo de um percurso de ataque simplificado para um ponto de estrangulamento:

Um caminho de ataque de ponto de estrangulamento simplificado

Muitos dos riscos individuais que compõem as combinações tóxicas e os pontos de estrangulamento também são detetados por outros serviços de deteção do Security Command Center. Estes outros serviços de deteção geram conclusões separadas para estes riscos, que são apresentadas em problemas e registos como conclusões relacionadas. As conclusões relacionadas também são identificadas em caminhos de ataque.

Para combinações tóxicas, são abertos casos separados para as conclusões relacionadas, são executados diferentes manuais de soluções e outros membros da sua equipa podem estar a trabalhar na respetiva remediação independentemente da remediação da conclusão da combinação tóxica. Verifique o estado dos registos relativos a estas conclusões relacionadas e, se necessário, peça aos proprietários dos registos que deem prioridade à respetiva correção para ajudar a resolver a combinação tóxica.

Casos

O Security Command Center Enterprise abre um registo para cada resultado de combinação tóxica gerado. Os pontos de estrangulamento não geram registos.

Na vista de detalhes do registo, pode encontrar as seguintes informações relacionadas com combinações tóxicas:

  • Uma descrição da combinação tóxica
  • A pontuação de exposição a ataques da combinação tóxica
  • Uma visualização do caminho de ataque que a combinação tóxica cria
  • Informações sobre os recursos afetados
  • Informações sobre as medidas que pode tomar para corrigir a combinação tóxica
  • Informações sobre quaisquer conclusões relacionadas de outros serviços de deteção do Security Command Center, incluindo links para os respetivos registos associados
  • Guias interativos aplicáveis
  • Bilhetes associados

Na página da consola de operações de segurança Risk > Cases, pode consultar ou filtrar registos de combinações tóxicas através da etiqueta Combinação tóxica. Também pode identificar visualmente casos de combinação tóxica na lista de registos através do seguinte ícone: Combinação tóxica ícone.

Para mais informações sobre como ver casos de combinação tóxica, consulte Veja casos de combinação tóxica.

Prioridade do registo

Por predefinição, os casos de combinação tóxica têm a prioridade definida para o mesmo valor que a gravidade da deteção de combinação tóxica e o respetivo alerta no caso relacionado. Isto significa que todos os casos de combinação tóxica têm inicialmente uma prioridade de Critical ou High.

Depois de abrir um registo, pode alterar a prioridade do registo ou do alerta. Alterar a prioridade de um registo ou um alerta não altera a gravidade da constatação.

Fechar registos

Quando uma descoberta é gerada pela primeira vez para uma combinação tóxica, o respetivo estado é Active.

Se corrigir a combinação tóxica, o motor de risco deteta automaticamente a correção durante a próxima simulação do caminho de ataque e fecha o registo. As simulações são executadas aproximadamente a cada seis horas.

Em alternativa, se determinar que o risco representado por uma combinação tóxica é aceitável ou inevitável, pode fechar um registo desativando o alerta.

Quando desativa um resultado, este permanece ativo, mas o Security Command Center fecha o registo e omite o resultado das consultas e vistas predefinidas.

Para mais informações, consulte as seguintes informações: