Angriffsrisikobewertungen und Angriffspfade

Auf dieser Seite werden die wichtigsten Konzepte, Prinzipien und Einschränkungen erläutert. damit Sie mehr über das Angriffsrisiko erfahren, es optimieren und nutzen können. Bewertungen und Angriffspfade, die von der Risk Engine generiert werden von Security Command Center.

Angriffspfadbewertungen und Angriffspfade werden für beide der folgenden Elemente generiert:

• Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen (Ergebnisse zu Sicherheitslücken, die die Ressourceninstanzen in Ihrem effektiven hochwertigen Ressourcensatz.
• Die Ressourcen in Ihrem effektiven Satz hochwertiger Ressourcen.

Angriffspfade stellen Möglichkeiten dar

Sie sehen in einem Angriffspfad keine Hinweise für einen tatsächlichen Angriff.

Risk Engine generiert Angriffspfade und Angriffsrisikobewertungen indem sie simulierten, was hypothetische Angreifer tun könnten, wenn sie sich Zugang in Ihre Google Cloud-Umgebung eingebunden und die Angriffspfade ermittelt und Sicherheitslücken, die Security Command Center bereits gefunden hat.

Jeder Angriffspfad zeigt eine oder mehrere Angriffsmethoden, die ein Angreifer könnte wenn sie Zugriff auf eine bestimmte Ressource haben. Das sollten Sie nicht tun: Angriffsmethoden mit tatsächlichen Angriffen zu verwechseln.

Eine hohe Angriffsrisikobewertung in einem Security Command Center ein Ergebnis oder eine Ressource nicht bedeutet, dass ein Angriff stattfindet.

Wenn Sie auf tatsächliche Angriffe achten möchten, überwachen Sie die Ergebnisse der Klasse THREAT, die von den Bedrohungserkennungsdiensten wie Event Threat Detection und Container Threat Detection generiert werden.

Weitere Informationen finden Sie in den folgenden Abschnitten auf dieser Seite:

• Angriffsrisikobewertungen
• Angriffspfade
• Angriffspfadsimulationen

Angriffsrisikobewertungen

Eine Angriffsbewertung für ein Security Command Center-Ergebnis oder eine Security Command Center-Ressource ist ein wie Ressourcen einem potenziellen Angriff ausgesetzt sind, wenn ein Zugriff auf Ihre Google Cloud-Umgebung erlangen.

Eine Angriffsbewertung auf einem toxische Kombination ist, wird in einigen Kontexten auch als Wert der unangemessenen Kombinationen bezeichnet, z. B. Seite Ergebnisse in der Google Cloud Console.

In der Beschreibung der Berechnung von Bewertungen finden Sie im Allgemeinen Hinweise zu und in bestimmten anderen Kontexten den Begriff Der Angriffsbewertungswert gilt auch für die Bewertung von schädlichen Kombinationen.

Der Wert eines Ergebnisses gibt an, wie stark ein erkanntes Sicherheitsproblem ist. eine oder mehrere hochwertige Ressourcen verfügbar machen auf potenzielle Cyberangriffe. Für eine hochwertige Ressource ist der Wert ein Maß für die Ressource potenziellen Cyberangriffen ausgesetzt ist.

Nutzen Sie die Werte zu Sicherheitslücken, Fehlkonfigurationen und unangemessenen Äußerungen in der Software. kombinieren, um die Korrektur dieser Ergebnisse zu priorisieren.

Nutzen Sie Angriffsrisikobewertungen für Ressourcen, um das die für Ihr Unternehmen am wertvollsten sind.

Bei den Angriffspfadsimulationen startet Risk Engine immer simulierten Angriffen aus dem Internet aus. Daher werden bei den Bewertungen der Angriffsrisiken keine möglichen Risiken durch böswillige oder nachlässige interne Akteure berücksichtigt.

Ergebnisse mit Angriffsrisikobewertungen

Angriffsrisikobewertungen werden auf aktive Ergebnisklassen angewendet, die in Unterstützte Ergebniskategorien.

Da Angriffspfadsimulationen auch ausgeblendete Ergebnisse enthalten, berechnet die Risiko-Engine auch Bewertungen und Angriffspfade für ausgeblendete Ergebnisse.

Simulationen des Angriffspfads enthalten nur aktive Ergebnisse. Ergebnisse mit den Status INACTIVE haben, sind nicht in den Simulationen enthalten, also nicht erhalten Punktzahlen und werden nicht in Angriffspfade einbezogen.

Ressourcen, die Angriffsrisikobewertungen erhalten

Angriffspfadsimulationen berechnen Angriffsrisikobewertungen für unterstützten Ressourcentypen in Ihrem Satz hochwertiger Ressourcen. Sie legen fest, gehören zum Satz hochwertiger Ressourcen, Konfigurationen für Ressourcenwerte.

Wenn eine Ressource in einem Satz hochwertiger Ressourcen eine Angriffsrisikobewertung hat 0 wurden bei den Angriffspfadsimulationen keine Pfade zur Ressource identifiziert. die ein potenzieller Angreifer nutzen könnte.

Angriffspfadsimulationen unterstützen die folgenden Ressourcentypen:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/TrainingPipeline

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Berechnung der Punktzahl

Bei jeder Ausführung der Angriffspfadsimulationen wird der Angriff neu berechnet Kontaktbewertungen Bei jeder Angriffspfadsimulation werden mehrere Simulationen ausgeführt Ein simulierter Angreifer probiert bekannte Angriffsmethoden und -techniken aus. die wertvollen Ressourcen zu erreichen und zu kompromittieren.

Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Je größer Ihre Organisation wird, desto länger dauern die Simulationen. Sie werden jedoch immer mindestens einmal täglich ausgeführt. Simulationsausführungen werden nicht durch das Erstellen, Ändern oder Ressourcen oder Ressourcenwertkonfigurationen zu löschen.

Bei den Simulationen werden die Bewertungen anhand einer Vielzahl von Messwerten berechnet, darunter Folgendes:

• Den Prioritätswert die den hochwertigen Ressourcen zugewiesen ist, die exponiert sind. Die Prioritätsstufen, die Sie zuweisen können, haben die folgenden Werte:
  • HOCH = 10
  • MED = 5
  • LOW = 1
• Die Anzahl der möglichen Pfade, die ein Angreifer nehmen könnte, um ein bestimmtes .
• Die Häufigkeit, mit der ein simulierter Angreifer Zugang zu und am Ende eines Angriffspfads eine wertvolle Ressource gefährden. als Prozentsatz der Gesamtzahl der Simulationen.
• Nur für Ergebnisse die Anzahl der hochwertigen Ressourcen, die von der Sicherheitslücken oder Fehlkonfigurationen erkannt wurden.

Für Ressourcen können Angriffsrisikobewertungen zwischen 0 und 10 liegen.

Die Simulationen berechnen Ressourcen-Scores grob anhand den Prozentsatz erfolgreicher Angriffe mit dem numerischer Prioritätswert der Ressourcen.

Für Ergebnisse gibt es keine feste Obergrenze. Je häufiger ein Ergebnis bei Angriffspfaden zu gefährdeten Ressourcen auftritt im Satz hochwertiger Ressourcen und je höher die Priorität, der Werte dieser Ressourcen, desto höher ist der Wert.

Auf übergeordneter Ebene berechnen die Simulationen Ergebniswerte mithilfe der Funktion die gleiche Berechnung wie für die Ressourcen-Scores, und multipliziere dann das Ergebnis der Berechnung mit der Zahl hochwertiger Ressourcen, die das Ergebnis zur Verfügung stellt.

Werte ändern

Die Bewertungen können sich bei jeder Ausführung einer Angriffspfadsimulation ändern. Ein Ergebnis oder Ressource, die heute einen Wert von null hat, einen Wert ungleich null haben kann Punkte morgen.

Bewertungen ändern sich aus verschiedenen Gründen, darunter:

• Die Erkennung oder Beseitigung einer Schwachstelle, die direkt oder indirekt eine hochwertige Ressource verfügbar macht.
• Das Hinzufügen oder Entfernen von Ressourcen in Ihrer Umgebung.

Änderungen an Ergebnissen oder Ressourcen nach der Ausführung einer Simulation sind nicht bis die nächste Simulation läuft.

Bewertungen verwenden, um Abhilfemaßnahmen für Ergebnisse zu priorisieren

Um die Korrektur von Ergebnissen effektiv zu priorisieren, Angriffsrisiko oder toxische Kombinationen sollten Sie folgende Punkte berücksichtigen:

• Alle Ergebnisse, die einen Wert größer als null haben eine wertvolle Ressource einem potenziellen Angriff aussetzt, Abhilfemaßnahmen sollten gegenüber Ergebnissen priorisiert werden, die einen Wert von null haben.
• Je höher die Bewertung eines Ergebnisses ist, desto stärker sind Ihre wertvollen Ressourcen gefährdet und desto höher sollten Sie die Behebung priorisieren.

Im Allgemeinen sollten Sie der Korrektur der Ergebnisse höchste Priorität einräumen. die die höchsten Punktzahlen haben und den Angriff zu Ihren hochwertigen Ressourcen.

Wenn die Bewertungen einer schädlichen Kombination und einer anderen Art von Sicherheitsrisiko ungefähr gleich sind, sollten Sie die Behebung der schädlichen Kombination priorisieren, da sie einen vollständigen Pfad vom öffentlichen Internet zu einer oder mehreren wertvollen Ressourcen darstellt, dem ein Angreifer folgen kann, wenn er Zugriff auf Ihre Cloud-Umgebung erhält.

Auf der Seite Ergebnisse des Security Command Center in der Google Cloud Console oder in der Security Operations Console können Sie die Ergebnisse im Seitenbereich nach Bewertung sortieren, indem Sie auf die Spaltenüberschrift klicken.

In der Google Cloud Console können Sie die Ergebnisse auch mit wenn Sie einen Filter hinzufügen, zur Ergebnisabfrage, die nur Ergebnisse mit einem Angriffsrisiko zurückgibt einen Wert größer als eine von Ihnen angegebene Zahl ist.

Auf der Seite Fälle in der Security Operations-Konsole können Sie auch der Fälle von unangemessenen Kombinationen nach Angriffsbewertung.

Ergebnisse, die nicht korrigiert werden können.

In einigen Fällen können Sie ein Ergebnis mit einer hohen Angriffsbewertung, entweder weil sie eine bekannte und Risiko akzeptiert oder das Ergebnis nicht einfach zu korrigieren ist. In In diesen Fällen müssen Sie das Risiko möglicherweise auf andere Weise mindern. Wird geprüft Der zugehörige Angriffspfad könnte Ihnen Ideen für andere mögliche und Abhilfemaßnahmen zu ergreifen.

Ressourcen mithilfe von Angriffsrisikobewertungen schützen

Eine Angriffsrisikobewertung ungleich null für eine Ressource bedeutet, dass die Angriffspfadsimulationen identifizierten mindestens einen Angriffspfad von aus dem öffentlichen Internet an die Ressource übertragen.

Um die Angriffsrisikobewertungen für Ihre hochwertigen Ressourcen zu sehen, führen Sie folgende Schritte aus:

1. Rufen Sie in der Google Cloud Console die Seite Assets von Security Command Center auf.

   „Assets“ aufrufen

2. Wählen Sie den Tab Satz hochwertiger Ressourcen aus. Die Ressourcen in Ihren hochwertigen Ressourcensatz werden in absteigender Reihenfolge der Angriffsbewertung angezeigt.

3. Klicken Sie auf die Zahl, um die Angriffspfade für eine Ressource aufzurufen für die entsprechende Zeile in der Spalte Angriffsrisikobewertung. Angriffspfade aus dem öffentlichen Internet zur Ressource.

4. Überprüfen Sie die Angriffspfade und suchen Sie nach roten Kreisen auf den Knoten, auf Ergebnisse hin.

5. Klicken Sie auf einen Knoten mit einem roten Kreis, um die Ergebnisse zu sehen.

6. Ergreifen Sie Maßnahmen, um die Ergebnisse zu beheben.

Sie können sich auch die Angriffsrisikobewertungen Ihrer hochwertigen Ressourcen ansehen auf dem Tab Simulationen des Angriffspfads in Einstellungen Klicken Sie dazu auf In der letzten Simulation verwendete wertvolle Ressourcen ansehen.

Der Tab Satz hochwertiger Ressourcen ist auch in der Ressourcen Seite der Security Operations-Konsole. Diese Funktion befindet sich in der Vorabversion und ist verfügbar für Nur für Security Command Center Enterprise-Kunden.

Angriffsbewertung von 0

Eine Angriffsrisikobewertung von 0 für eine Ressource bedeutet, dass in den letzten Simulationen des Angriffspfads, konnte Security Command Center keine Mögliche Pfade, über die Angreifer die Ressource erreichen könnten.

Eine Angriffsrisikobewertung von 0 für ein Ergebnis bedeutet, dass in den letzten konnte der simulierte Angreifer keine hochwertigen durch das Ergebnis zu schaffen.

Eine Angriffsrisikobewertung von 0 bedeutet jedoch nicht, dass es keine Risiko. Eine Angriffsrisikobewertung der unterstützten Google Cloud-Dienste, -Ressourcen und Security Command Center-Ergebnisse zu potenziellen Bedrohungen aus das öffentliche Internet. Bei den Bewertungen werden beispielsweise Bedrohungen durch interne Akteure, Zero-Day-Sicherheitslücken oder und Infrastruktur.

Keine Angriffsbewertung

Wenn ein Ergebnis oder eine Ressource keine Bewertung hat, kann es für Folgendes sein: Gründe:

• Die Benachrichtigung wurde nach der letzten Simulation des Angriffspfads ausgegeben.
• Die Ressource wurde dem Satz hochwertiger Ressourcen hinzugefügt nach der letzten Angriffspfadsimulation.
• Die Funktion „Angriffsrisiko“ unterstützt das Ergebnis derzeit nicht Kategorie oder den Ressourcentyp.

Eine Liste der unterstützten Ergebniskategorien finden Sie unter Unterstützung von Risk Engine-Features.

Eine Liste der unterstützten Ressourcentypen finden Sie unter Ressourcen, die Angriffsrisikobewertungen erhalten

Ressourcenwerte

Alle Ihre Ressourcen in Google Cloud haben einen Wert, Security Command Center identifiziert Angriffspfade und berechnet Angriffe Kontaktbewertungen nur für die Ressourcen, die Sie als Hochwertige Ressourcen (auch als wertvolle Ressourcen bezeichnet).

Hochwertige Ressourcen

Eine hochwertige Ressource in Google Cloud ist für Ihr Unternehmen besonders wichtig, um sich vor potenziellen . Beispiel: Ihre umsatzstark Ressourcen können die Ressourcen sein, die Ihre wertvollen oder sensiblen Daten speichern. oder die Ihre geschäftskritischen Arbeitslasten hosten.

Sie legen eine Ressource als hochwertige Ressource fest, indem Sie die Attribute definieren der Ressource in einer Konfiguration der Ressourcenwerte Bis zu einer Grenze von 1.000 Ressourceninstanzen behandelt Security Command Center jede Ressourceninstanz, die den in der Konfiguration angegebenen Attributen entspricht, als wertvolle Ressource.

Prioritätswerte

Unter den Ressourcen, die Sie als hochwertig einstufen, ist es wahrscheinlich, dass Sie die Sicherheit einiger wichtiger als andere. Beispiel: kann eine Gruppe von Datenressourcen hochwertige Daten enthalten, aber einige davon Datenressourcen enthalten können, die sensibler sind als der Rest.

Damit Ihre Bewertungen Ihren Priorisierungsanforderungen entsprechen, die Sicherheit der Ressourcen in Ihrem Satz hochwertiger Ressourcen, Sie weisen in den Konfigurationen für den Ressourcenwert einen Prioritätswert zu. die Ressourcen als hochwertig einstuft.

Wenn Sie Sensitive Data Protection verwenden, können Sie Außerdem werden Ressourcen automatisch nach der Vertraulichkeit der Daten priorisiert. die die Ressourcen enthalten.

Werte für Ressourcenpriorität manuell festlegen

In einer Konfigurationsdatei für den Wert von Ressourcen weisen Sie den entsprechenden Ressourcen mit hohem Wert eine Priorität zu, indem Sie einen der folgenden Prioritätswerte angeben:

• LOW = 1
• MEDIUM = 5
• HIGH = 10
• NONE = 0

Wenn Sie in einer Ressourcenwertkonfiguration den Prioritätswert LOW angeben, dass die übereinstimmenden Ressourcen immer noch hochwertige Ressourcen sind. Angriffspfad werden sie in den Simulationen einfach mit einer niedrigeren Priorität behandelt als hochwertige Ressourcen mit einer Prioritätswert von MEDIUM oder HIGH.

Wenn für dieselbe Ressource in mehreren Konfigurationen unterschiedliche Werte zugewiesen sind, gilt der höchste Wert, es sei denn, einer der Konfigurationen ist der Wert NONE zugewiesen.

Der Ressourcenwert NONE schließt die übereinstimmenden Ressourcen aus. werden als hochwertige Ressource betrachtet und überschreiben jeden anderen Ressourcenwert Konfigurationen für dieselbe Ressource. Achten Sie daher darauf, dass jede Konfiguration, in der NONE angegeben ist, nur auf eine begrenzte Anzahl von Ressourcen angewendet wird.

Prioritätswerte für Ressourcen automatisch anhand der Vertraulichkeit von Daten festlegen

Wenn Sie Erkennung sensibler Daten und Datenprofile in Security Command Center veröffentlichen, können Sie Security Command Center so konfigurieren, bestimmter hochwertiger Ressourcen durch die Vertraulichkeit der Daten, Ressourcen enthalten.

Sie aktivieren die Priorisierung der Datensensibilität, wenn Sie die Ressourcen in einer Konfiguration des Ressourcenwerts angeben.

Wenn die Erkennung sensibler Daten aktiviert ist und die Daten in einer Ressource als MEDIUM oder HIGH klassifiziert werden, wird in den Simulationen von Angriffspfaden standardmäßig derselbe Wert als Prioritätswert der Ressource festgelegt.

Die Stufen der Datensensibilität werden vom Schutz sensibler Daten definiert. Sie können sie jedoch so interpretieren:

Hochsensible Daten

Bei der Erkennung sensibler Daten wurde mindestens ein Ergebnis gefunden Instanz von Daten mit hoher Vertraulichkeit in der Ressource.

Daten mit mittlerer Vertraulichkeit

Bei der Erkennung sensibler Daten wurde mindestens eine Instanz von gefunden Daten mit mittlerer Vertraulichkeit in der Ressource und keine Instanzen mit hoher Vertraulichkeit Daten.

Daten mit geringer Vertraulichkeit

Bei der Erkennung sensibler Daten wurden keine vertraulichen Daten erkannt Daten oder Freitext oder unstrukturierte Daten in der Ressource.

Wenn bei der Erkennung sensibler Daten festgestellt wird, in einer übereinstimmenden Datenressource, Die Ressource ist nicht als hochwertige Ressource vorgesehen.

Wenn Datenressourcen, die nur Daten mit geringer Vertraulichkeit enthalten, als Ressourcen mit hohem Wert und niedriger Priorität gekennzeichnet werden sollen, erstellen Sie eine Ressourcenwertkonfiguration, die der vorhandenen entspricht, geben Sie aber einen Prioritätswert von LOW an, anstatt die Priorisierung nach Vertraulichkeit zu aktivieren. Die Konfiguration, die Sensitive Data Protection verwendet überschreibt die Konfiguration, die dem Prioritätswert LOW zuweist, aber nur für Ressourcen, die HIGH oder MEDIUM enthalten sensible Daten.

Sie können die von Security Command Center verwendeten Standardprioritätswerte ändern wenn sensible Daten in der Konfiguration des Ressourcenwerts erkannt werden.

Weitere Informationen zu Sensitive Data Protection finden Sie unter Schutz sensibler Daten

Priorisierung von Datensensibilität und der Standardsatz hochwertiger Ressourcen

Bevor Sie Ihren eigenen Satz hochwertiger Ressourcen erstellen, verwendet einen Standardsatz hochwertiger Ressourcen, um Angriffsrisikobewertungen zu berechnen und Angriffspfaden.

Wenn Sie Sensitive Data Protection Security Command Center fügt Instanzen mit unterstützten Daten automatisch hinzu Ressourcentypen, die Vertraulichkeitsdaten vom Typ HIGH oder MEDIUM enthalten, Standardsatz hochwertiger Ressourcen.

Unterstützte Ressourcentypen für automatisierte Prioritätswerte für sensible Daten

Bei Simulationen von Angriffspfaden können Prioritätswerte nur für die folgenden Datenressourcentypen automatisch anhand der Klassifizierungen der Datensensibilität aus dem Schutz sensibler Daten festgelegt werden:

• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Sets hochwertiger Ressourcen

Ein Satz hochwertiger Ressourcen ist eine definierte Sammlung der Ressourcen. in Ihrer Google Cloud-Umgebung befinden, sicher und geschützt.

Um Ihren Satz hochwertiger Ressourcen zu definieren, müssen Sie angeben, Ressourcen in Ihrer Google Cloud-Umgebung gehören zu Ihrem Satz hochwertiger Ressourcen. Bis Sie Ihre hochwertigen Ressourcensatz, Angriffsrisikobewertungen, Angriffspfade und schädliche Kombinationen Die Ergebnisse spiegeln nicht genau Ihre Sicherheitsprioritäten wider.

Sie geben die Ressourcen in Ihrem Satz hochwertiger Ressourcen an, indem Sie Konfigurationen für den Wert von Ressourcen. Die Kombination all Ihrer Ressourcenwerte Konfigurationen Ihren Satz hochwertiger Ressourcen definieren. Weitere Informationen Siehe Ressourcenwertkonfigurationen.

Bis Sie Ihre erste Konfiguration für den Ressourcenwert definiert haben, Security Command Center verwendet einen Standardsatz hochwertiger Ressourcen. Die Standardeinstellungen gelten für alle Ressourcentypen in Ihrer Organisation, die von Simulationen von Angriffspfaden unterstützt werden. Weitere Informationen finden Sie unter Standardsatz hochwertiger Ressourcen:

Sie sehen den Satz hochwertiger Ressourcen, der im letzten Angriffspfad verwendet wurde in der Google Cloud Console auf der Seite Assets indem Sie auf den Tab Satz hochwertiger Ressourcen klicken. Sie können sie auch sehen, auf dem Tab Simulation des Angriffspfads auf der Seite mit den Security Command Center-Einstellungen.

Konfigurationen von Ressourcenwerten

Sie verwalten die Ressourcen in Ihrem Satz hochwertiger Ressourcen mit Konfigurationen für den Ressourcenwert.

Sie erstellen Konfigurationen für Ressourcenwerte auf dem Tab Simulation des Angriffspfads der Seite Einstellungen des Security Command Center in der Google Cloud Console.

In einer Ressourcenwertkonfiguration geben Sie die Attribute an, Ressource erforderlich, damit Security Command Center sie Ihrem hinzufügen kann Satz hochwertiger Ressourcen.

Zu den Attributen, die Sie angeben können, gehören der Ressourcentyp, Ressourcen-Tags, Ressourcenlabels und das übergeordnete Projekt. Ordner oder Organisation.

Außerdem weisen Sie den Ressourcen in einer Konfiguration einen Ressourcenwert zu. Der Ressourcenwert priorisiert die Ressourcen in einer Konfiguration relativ mit den anderen Ressourcen in der Gruppe hochwertiger Ressourcen. Weitere Informationen Weitere Informationen finden Sie unter Ressourcenwerte.

Sie können bis zu 100 Konfigurationen für Ressourcenwerte in einer Google Cloud-Organisation.

Alle von Ihnen erstellten Konfigurationen für den Ressourcenwert Satz hochwertiger Ressourcen definieren, den Security Command Center für die Angriffspfadsimulationen.

Ressourcenattribute

Damit eine Ressource in den Satz hochwertiger Ressourcen aufgenommen wird, Die Attribute müssen mit den Attributen übereinstimmen, die Sie in einem Ressourcenwert angeben. Konfiguration.

Sie können folgende Attribute angeben:

• Einen Ressourcentyp oder Any. Wenn Any angegeben ist, gilt die Konfiguration für alle unterstützten Ressourcentypen im angegebenen Umfang. Any ist der Standardwert.
• Ein Bereich (übergeordnete Organisation, übergeordneter Ordner oder Projekt), innerhalb dessen müssen sich die Ressourcen befinden. Der Standardumfang ist Ihr Unternehmen. Wenn Sie eine Organisation oder einen Ordner angeben, gilt die Konfiguration auch für die Ressourcen in den untergeordneten Ordnern oder Projekten.
• Optional: Ein oder mehrere Tags oder Labels, die jede Ressource enthalten muss.

Wenn Sie eine oder mehrere Konfigurationen für Ressourcenwerte, aber keine Ressourcen in Ihrer Google Cloud-Umgebung übereinstimmen die in einer der Konfigurationen angegebenen Attribute, Security Command Center gibt ein SCC Error-Ergebnis aus und greift auf Standardsatz hochwertiger Ressourcen.

Standardsatz hochwertiger Ressourcen

Security Command Center verwendet für die Berechnung Angriffsrisikobewertungen, wenn keine Konfigurationen für Ressourcenwerte definiert sind oder wenn keine definierten Konfigurationen mit Ressourcen übereinstimmen.

Security Command Center weist Ressourcen in der hochwertigen Standardressource zu Prioritätswert von LOW, es sei denn, Sie verwenden Sensitive Data Protection In diesem Fall weist Security Command Center Ressourcen zu, Daten mit hoher oder mittlerer Vertraulichkeit enthalten, ein entsprechendes Prioritätswert von HIGH oder MEDIUM.

Wenn Sie mindestens eine Ressourcenwertkonfiguration haben, die mit mindestens eine Ressource in Ihrer Umgebung, Security Command Center wird der Standardsatz hochwertiger Ressourcen nicht mehr verwendet.

Wenn Sie Angriffsrisikobewertungen und Bewertungen für schädliche Kombinationen erhalten möchten, die Ihre Sicherheitsprioritäten genau widerspiegeln, ersetzen Sie den Standardsatz hochwertiger Ressourcen durch Ihren eigenen. Weitere Informationen finden Sie unter Satz hochwertiger Ressourcen definieren und verwalten

In der folgenden Liste sind die Ressourcentypen aufgeführt, die in der Standardsatz hochwertiger Ressourcen:

• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

Limit für Ressourcen in einem Satz hochwertiger Ressourcen

Security Command Center begrenzt die Anzahl der Ressourcen in einer hochwertige Ressource auf 1.000 festgelegt.

Wenn die Attributspezifikationen in einer oder mehreren Konfigurationen für den Wert von Ressourcen sehr weit gefasst sind, kann die Anzahl der Ressourcen, die mit den Attributspezifikationen übereinstimmen, 1.000 überschreiten.

Wenn die Anzahl der übereinstimmenden Ressourcen das Limit überschreitet, Security Command Center schließt Ressourcen aus der Gruppe bis zur Anzahl der Ressourcen im Limit. In Security Command Center werden zuerst Ressourcen mit dem niedrigsten zugewiesenen Wert ausgeschlossen. Unter den Ressourcen mit demselben zugewiesenen Wert hat, schließt Security Command Center die Ressource aus Instanzen durch einen Algorithmus, der die ausgeschlossenen Ressourcen Ressourcentypen.

Eine Ressource, die aus dem Satz hochwertiger Ressourcen ausgeschlossen ist, bei der Berechnung der Angriffsrisikobewertungen berücksichtigt werden.

Um Sie zu benachrichtigen, wenn das Instanzlimit für die Berechnung des Werts überschritten wird, Security Command Center gibt ein SCC error-Ergebnis aus und zeigt eine Nachricht an auf dem Tab mit den Einstellungen für die Simulation des Angriffspfads in der Google Cloud Console. Security Command Center weist kein Problem auf Ein SCC error-Ergebnis, wenn der Standardsatz für hohe Werte den Wert Instanzlimit.

Passen Sie Ihre Konfigurationen für den Ressourcenwert so an, dass das Limit nicht überschritten wird: damit Sie die Instanzen in Ihrem Satz hochwertiger Ressourcen optimieren können.

Sie haben folgende Möglichkeiten, Ihren Satz hochwertiger Ressourcen zu optimieren:

• Tags verwenden oder Labels um die Anzahl der Übereinstimmungen für einen bestimmten Ressourcentyp zu reduzieren oder innerhalb eines bestimmten Umfangs liegen.
• Erstellen Sie eine Konfiguration für den Ressourcenwert, die diesem den Wert NONE zuweist. Eine Teilmenge der in einer anderen Konfiguration angegebenen Ressourcen. Wenn Sie den Wert NONE angeben, werden alle anderen Konfigurationen und die Ressourceninstanzen aus Ihrem Satz hochwertiger Ressourcen ausschließt.
• Reduzieren Sie die Bereichsspezifikation in der Konfiguration des Ressourcenwerts.
• Löschen Sie Konfigurationen für den Ressourcenwert, die den Wert LOW zuweisen.

Hochwertige Ressourcen auswählen

Um Ihren Satz hochwertiger Ressourcen zu füllen, müssen Sie entscheiden, welche Ressource in Ihrer Umgebung einen wirklich hohen Wert haben.

Im Allgemeinen sind Ihre wahren hochwertigen Ressourcen die Ressourcen, und Ihre sensiblen Daten zu speichern. In Google Cloud können dies beispielsweise Compute Engine-Instanzen, ein BigQuery-Dataset oder ein Cloud Storage-Bucket sein.

Sie müssen keine benachbarten Ressourcen angeben wie einen Jump-Server als hochwertig einstufen. Die Angriffspfadsimulationen berücksichtigen diese benachbarten Ressourcen bereits, Und wenn Sie sie als hochwertig kennzeichnen, sind Angriffsrisikobewertungen weniger zuverlässig.

Multi-Cloud-Unterstützung

Mit Angriffspfadsimulationen können Sie die Risiken Ihrer Bereitstellungen auf anderen Plattformen von Cloud-Dienstanbietern bewerten.

Nachdem Sie eine Verbindung zu einer anderen Plattform hergestellt haben, können Sie Ihre wertvollen Ressourcen beim anderen Cloud-Dienstanbieter angeben, indem Sie Konfigurationen für Ressourcenwerte erstellen, wie Sie es für Ressourcen in Google Cloud tun würden.

In Security Command Center werden Simulationen für eine Cloud-Plattform unabhängig von Simulationen ausgeführt, die für andere Cloud-Plattformen ausgeführt werden.

Bevor Sie Ihre erste Konfiguration für Ressourcenwerte für einen anderen Cloud-Dienstanbieter erstellen, verwendet Security Command Center ein standardmäßiges Ressourcenset mit hohem Wert, das für den Cloud-Dienstanbieter spezifisch ist. Standardeinstellung dass der Satz hochwertiger Ressourcen unterstützte Ressourcen als hochwertige Ressourcen.

Unterstützte Plattformen von Cloud-Dienstanbietern

Neben Google Cloud kann Security Command Center Simulationen von Angriffspfaden für Amazon Web Services (AWS). Weitere Informationen finden Sie unter:

• Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen
• Risk Engine-Unterstützung für AWS

Angriffspfade

Ein Angriffspfad ist eine interaktive, visuelle Darstellung einer oder mehrerer Mögliche Pfade, die ein hypothetischer Angreifer nutzen könnte, um aus dem aus dem öffentlichen Internet zu einer Ihrer hochwertigen Ressourceninstanzen.

Angriffspfadsimulationen identifizieren potenzielle Angriffspfade durch Modellierung was passieren würde, wenn ein Angreifer bekannte Angriffsmethoden Sicherheitslücken und Fehlkonfigurationen in Security Command Center in Ihrer Umgebung erkannt werden, um Ihre hochwertigen Ressourcen zu erreichen.

Sie können Angriffspfade ansehen, indem Sie auf die Angriffsbewertung für ein Ergebnis oder eine Ressource in der Google Cloud Console erstellen.

Wenn Sie sich einen Fall zu schädlichen Kombinationen in der Security Operations Console ansehen, können Sie auf dem Tab „Fallübersicht“ einen vereinfachten Angriffspfad für die schädliche Kombination aufrufen. Der vereinfachte Angriffspfad enthält einen Link zum vollständiger Angriffspfad. Weitere Informationen zu Angriffspfaden für toxische Inhalte kombinierten Ergebnissen, siehe Angriffspfade mit schädlichen Kombinationen:

Wenn Sie sich größere Angriffspfade ansehen, können Sie Ihre Ansicht des Angriffspfads ändern, indem Sie Ziehen Sie den Auswahlbereich für den Fokusbereich aus dem roten Quadrat um die Miniatur Ansicht des Angriffspfads auf der rechten Seite des Bildschirms.

Wenn der Angriffspfad in der Google Cloud Console angezeigt wird, können Sie auf KI-Zusammenfassung^Vorschau um eine Erläuterung des Angriffspfads anzuzeigen. Die Erläuterung wird generiert mithilfe von künstlicher Intelligenz (KI) dynamisch erstellen. Weitere Informationen finden Sie unter KI-generierte Zusammenfassungen:

In einem Angriffspfad: Ressourcen in einem Angriffspfad werden als Felder oder nodes dargestellt. Die Linien stehen für die potenzielle Barrierefreiheit zwischen den Ressourcen. Zusammen stellen die Knoten und Linien des Angriffspfads.

Knoten des Angriffspfads

Die Knoten in einem Angriffspfad stellen die Ressourcen auf einem Angriffspfad.

Knoteninformationen anzeigen

Sie können weitere Informationen zu jedem Knoten in einem Angriffspfad anzeigen lassen indem Sie darauf klicken.

Wenn Sie auf den Ressourcennamen in einem Knoten klicken, werden weitere Informationen zu die Ressource sowie alle Ergebnisse, die sich auf die Ressource auswirken.

Durch Klicken auf Knoten maximieren werden mögliche Angriffsmethoden angezeigt, die wenn ein Angreifer Zugriff auf die Ressource erlangt hat.

Knotentypen

Es gibt drei verschiedene Knotentypen:

• Der Start- oder Einstiegspunkt des simulierten Angriffs. das öffentliche Internet. Beim Klicken auf einen Einstiegspunktknoten wird ein Beschreibung des Einstiegspunkts und die Angriffsmethoden eines Angreifers um Zugriff auf Ihre Umgebung zu erhalten.
• Die betroffenen Ressourcen, über die ein Angreifer einen Pfad verfolgen kann.
• Die freigegebene Ressource am Ende eines Pfads, die einer der folgenden ist: in Ihrem Satz hochwertiger Ressourcen. Nur eine Ressource in einem definierten oder Standard-Satz hochwertiger Ressourcen kann eine freigegebene Ressource sein. Sie definieren eine einen Satz hochwertiger Ressourcen Konfigurationen für Ressourcenwerte.

Vorgelagerte und nachgelagerte Knoten

In einem Angriffspfad kann sich ein Knoten vorgelagert oder nachgelagert befinden. anderen Knoten. Ein Upstream-Knoten befindet sich näher am Einstiegspunkt und oben des Angriffspfads. Ein nachgelagerter Knoten befindet sich näher am exponierten hochwertigen Knoten Ressource am Ende des Angriffspfads.

Knoten, die mehrere Containerressourceninstanzen darstellen

Ein Knoten kann mehrere Instanzen bestimmter Containerressourcentypen darstellen, wenn die Instanzen dieselben Eigenschaften haben.

Mehrere Instanzen der folgenden Containerressourcentypen können durch einen einzelnen Knoten dargestellt werden:

• ReplicaSet-Controller
• Bereitstellungscontroller
• Jobcontroller
• CronJob-Controller
• DaemonSet-Controller

Angriffspfadlinien

In einem Angriffspfad stellen Linien zwischen den Rechtecken potenzielle Zugänglichkeit zwischen Ressourcen, die ein Angreifer nutzen könnte, um wertvolle Ressourcen.

Die Linien stellen keine Beziehung zwischen Ressourcen dar, die in Google Cloud

Wenn es mehrere Pfade gibt, die von mehreren vorgelagerten Knoten können die Upstream-Knoten entweder einen AND-Wert haben Beziehung zueinander oder eine OR-Beziehung zueinander ist.

Eine AND-Beziehung bedeutet, dass ein Angreifer Zugriff auf vorgelagerte Systeme benötigt, um auf einen nachgelagerten Knoten im Pfad zuzugreifen.

Eine direkte Linie vom öffentlichen Internet zu einer wertvollen Ressource am Ende eines Angriffspfads hat beispielsweise eine AND-Beziehung zu mindestens einer anderen Linie im Angriffspfad. Ein Angreifer konnte nicht erreichen wertvolle Ressource, es sei denn, sie erhalten Zugriff auf Ihre Google Cloud-Umgebung und mindestens eine weitere Ressource die im Angriffspfad angezeigt werden.

Eine OR-Beziehung bedeutet, dass ein Angreifer nur auf einen der Upstream-Knoten zugreifen muss, um auf den Downstream-Knoten zuzugreifen.

Angriffspfadsimulationen

Um alle möglichen Angriffspfade zu bestimmen und das Angriffsrisiko zu berechnen führt Security Command Center erweiterte Angriffspfadsimulationen durch.

Simulationszeitplan

Angriffspfadsimulationen können bis zu viermal täglich (alle sechs Stunden) ausgeführt werden. Je größer Ihre Organisation wird, desto länger dauern die Simulationen. Sie werden jedoch immer mindestens einmal täglich ausgeführt. Simulationsausführungen werden nicht durch das Erstellen, Ändern oder Ressourcen oder Ressourcenwertkonfigurationen zu löschen.

Schritte der Angriffspfadsimulation

Die Simulationen umfassen drei Schritte:

1. Modellgenerierung: Ein Modell Ihrer Google Cloud-Umgebung basierend auf den Umgebungsdaten automatisch generiert wird. Das Modell ist ein Graph Darstellung Ihrer Umgebung, die auf Analysen von Angriffspfaden zugeschnitten ist.
2. Angriffspfadsimulation: Angriffspfadsimulationen werden auf der Graph-Modells zeichnen. Bei den Simulationen versucht ein virtueller Angreifer, die Ressourcen in Ihrem Satz hochwertiger Ressourcen kompromittieren. Die nutzen Simulationen die Erkenntnisse bestimmte Ressourcen und Beziehungen, darunter Netzwerke, IAM, Fehlkonfigurationen und Sicherheitslücken.
3. Statistikberichte: Auf Grundlage der Simulationen weist Security Command Center Ihren wertvollen Ressourcen und den Ergebnissen, die sie offenlegen, Angriffsrisikobewertungen zu und visualisiert die potenziellen Pfade, die ein Angreifer zu diesen Ressourcen nehmen könnte.

Merkmale der Simulationsausführung

Zusätzlich zu den Angriffsrisikobewertungen, Statistiken und Angriffspfad-Simulationen die folgenden Merkmale haben:

• Sie haben keinen Einfluss auf Ihre Live-Umgebung: Alle Simulationen werden in einem virtuelles Modell erstellen und nur Lesezugriff für die Modellerstellung verwenden.
• Sie sind dynamisch: Das Modell wird ohne Agents über API-Lesevorgänge erstellt. -Zugriff, sodass die Simulationen im Laufe der Zeit an Ihrer Umgebung.
• Ein virtueller Angreifer versucht, so viele Methoden und Schwachstellen wie möglich Ihre hochwertigen Ressourcen zu nutzen. Dazu gehören nicht nur „die bekannten“, wie Sicherheitslücken, Konfigurationen, Fehlkonfigurationen Gemeinsamkeiten, sondern auch von „bekannten Unbekannten“ mit geringerer Wahrscheinlichkeit – Risiken, zum Beispiel Phishing oder gehackte Anmeldedaten.
• Sie sind automatisiert: Die Angriffslogik ist in das Tool integriert. Sie müssen keine umfangreichen Abfragen oder großen Datensätze erstellen oder verwalten.

Angriffsszenario und -funktionen

In den Simulationen zeigt Security Command Center eine logische Darstellung eines Angriffsversuchs, bei dem ein Angreifer versucht, Ihre wertvollen Ressourcen auszunutzen, indem er Zugriff auf Ihre Google Cloud-Umgebung erlangt und potenzielle Zugriffspfade durch Ihre Ressourcen und erkannte Sicherheitslücken verfolgt.

Der virtuelle Angreifer

Der virtuelle Angreifer, den die Simulationen nutzen, hat Folgendes: Eigenschaften:

• Der Angreifer ist extern: Der Angreifer ist kein legitimer Nutzer Ihrer Google Cloud-Umgebung. In den Simulationen werden keine Modelle von böswilligen oder fahrlässigen Nutzern, die legitimen Zugriff auf für Ihre Umgebung.
• Der Angreifer beginnt im öffentlichen Internet. Um einen Angriff zu starten, Angreifer müssen sich zuerst aus der Öffentlichkeit Zugang zu Ihrer Umgebung verschaffen Internet.
• Der Angreifer ist hartnäckig. Der Angreifer wird nicht entmutigt oder verliert das Interesse, weil eine bestimmte Angriffsmethode schwierig ist.
• Der Angreifer ist kompetent und sachkundig. Der Angreifer versucht, Methoden und Techniken für den Zugriff auf Ihre hochwertigen Ressourcen nutzen können.

Anfänglicher Zugriff

Bei jeder Simulation testet ein virtueller Angreifer die folgenden Methoden, Sie können über das öffentliche Internet auf die Ressourcen in Ihrer Umgebung zugreifen:

• Dienste und Ressourcen finden und verbinden, auf die über das öffentliche Internet zugegriffen werden kann:
  • Dienste auf Compute Engine-VM-Instanzen und Google Kubernetes Engine-Knoten
  • Datenbanken
  • Container
  • Cloud Storage-Buckets
  • Cloud Run-Funktionen
• Sie erhalten Zugriff auf Schlüssel und Anmeldedaten, darunter:
  • Dienstkontoschlüssel
  • Vom Nutzer bereitgestellte Verschlüsselungsschlüssel
  • SSH-Schlüssel der VM-Instanz
  • Projektweite SSH-Schlüssel
  • Externe Schlüsselverwaltungssysteme
  • Nutzerkonten, bei denen die Multi-Faktor-Authentifizierung (MFA) nicht erzwungen wird
  • Abgefangene virtuelle MFA-Tokens
• Zugriff auf öffentlich erreichbare Cloud-Assets durch gestohlene Anmeldedaten ausnutzen oder Sicherheitslücken ausnutzen, Mandiant Attack Surface Management und VM Manager

Findet die Simulation einen möglichen Einstiegspunkt in die Umgebung, versucht der virtuelle Angreifer dann, Ihre hochwertigen Ressourcen vom Einstiegspunkt aus durch fortlaufende Untersuchung und Sicherheitslücken ausnutzen, innerhalb der Umgebung.

Taktiken und Techniken

Die Simulation nutzt eine Vielzahl von Taktiken und Techniken, Nutzung legitimer Zugriffsrechte, seitlicher Bewegung, Rechteausweitung Sicherheitslücken, Fehlkonfigurationen und Codeausführungen zu erkennen.

Einbeziehung von CVE-Daten

Bei der Berechnung von Angriffsrisikobewertungen für Sicherheitslücken werden bei den Angriffspfadsimulationen Daten aus dem CVE-Eintrag der Sicherheitslücke, die CVSS-Werte sowie Bewertungen der Ausnutzbarkeit der Sicherheitslücke berücksichtigt, die von Mandiant bereitgestellt werden.

Die folgenden CVE-Informationen werden berücksichtigt:

• Angriffsvektor: Der Angreifer muss über die entsprechende Zugriffsebene verfügen. der im CVSS-Angriffsvektor angegeben ist, um das CVE zu verwenden. Beispielsweise kann ein CVE mit einem Netzwerkangriffsvektor, der auf einem Asset mit einer öffentlichen IP-Adresse und offenen Ports gefunden wird, von einem Angreifer mit Netzwerkzugriff ausgenutzt werden. Wenn ein Angreifer nur Netzwerkzugriff hat und die CVE physischen Zugriff erfordert, dann das CVE ausnutzen kann.
• Angriffskomplexität: Im Allgemeinen ist die Wahrscheinlichkeit höher, dass eine Sicherheitslücke oder Fehlkonfiguration mit geringer Angriffskomplexität eine hohe Angriffsbewertung erhält, als bei einer Sicherheitslücke oder Fehlkonfiguration mit hoher Angriffskomplexität.
• Ausnutzungsaktivitäten: Im Allgemeinen ist ein Sicherheitslückenergebnis mit groß angelegte Angriffsaktivitäten, ermittelt durch Cyber Threat Intelligence bei Mandiant, ist es wahrscheinlicher, dass sie als bei einem Ergebnis ohne bekannte Angriffsaktivität.