ציוני חשיפה להתקפות ונתיבי התקפה

בדף הזה מוסברים מושגים, עקרונות והגבלות חשובים שיעזרו לכם להבין את הניקוד של חשיפת הסיכון להתקפה ואת נתיבי ההתקפה שנוצרים על ידי מנוע הסיכון של Security Command Center, ולשפר את השימוש בהם.

הניקוד של נתיבי התקפה ונתיבי התקפה נוצרים עבור:

• ממצאים של פגיעות ושל הגדרות שגויות (ממצאים של פגיעות, ביחד) שחושפים את מופעי המשאבים בקבוצת המשאבים היעילה בעלת הערך הגבוה.
• המשאבים בקבוצת המשאבים היעילה והחשובה.
• בעיות ב-Security Command Center Premium או Enterprise, שכוללות שילובים רעילים ונקודות חולשה.

כדי להשתמש בנתוני הניקוד של החשיפה למתקפות ובנתיבי התקפה, צריך להפעיל את רמת Security Command Center Premium או Enterprise ברמת הארגון. אי אפשר להשתמש בנתונים של חשיפה להתקפות ובנתיבי התקפה בהפעלות ברמת הפרויקט.

נתיבי התקפה מייצגים אפשרויות

לא תראו הוכחות להתקפה בפועל בנתיב התקפה.

מנוע הסיכון יוצר נתיבי תקיפה וציוני חשיפה לתקיפה על ידי הדמיה של מה שתוקפים היפותטיים יכולים לעשות אם הם יקבלו גישה לסביבת Google Cloud שלכם ויגלו את נתיבי התקיפה והפגיעויות שכבר נמצאו על ידי Security Command Center.

בכל נתיב התקפה מוצגות שיטה אחת או יותר להתקפה, שפורץ יכול להשתמש בהן אם הוא יקבל גישה למשאב מסוים. אל תבלבלו בין שיטות ההתקפה האלה לבין התקפות בפועל.

באופן דומה, ציון גבוה של חשיפה למתקפה באחד מהמקרים הבאים לא אומר שמתקפה מתבצעת:

• ממצא או משאב של Security Command Center
• בעיה ב-Security Command Center Premium או ב-Enterprise

כדי לעקוב אחרי מתקפות בפועל, כדאי לעקוב אחרי הממצאים ברמה THREAT שנוצרים על ידי שירותי זיהוי האיומים, כמו Event Threat Detection ו-זיהוי איומים בקונטיינר.

מידע נוסף מופיע בקטעים הבאים בדף הזה:

• ציוני חשיפה להתקפות
• נתיבי התקפה
• סימולציות של נתיבי תקיפה

ציוני חשיפה להתקפות

מדד החשיפה להתקפות מופיע עבור:

• ממצא או משאב של Security Command Center
• בעיה ב-Security Command Center Premium או ב-Enterprise

ציון חשיפה להתקפה הוא מדד לרמת החשיפה של משאבים להתקפה פוטנציאלית, אם גורם זדוני יקבל גישה לסביבת Google Cloudשלכם.

ציון חשיפה למתקפה בשילוב רעיל או בנקודת חנק נקרא בהקשרים מסוימים ציון השילוב הרעיל, למשל בדף ממצאים במסוף Google Cloud .

בתיאורים של אופן חישוב הציונים, בהנחיות כלליות לגבי מתן עדיפות למציאת פתרון ובחלק מההקשרים האחרים, המונח ציון חשיפה להתקפה חל גם על ציוני שילוב רעיל.

הציון של ממצא מסוים הוא מדד לרמת החשיפה של משאבים בעלי ערך גבוה למתקפות סייבר פוטנציאליות, כתוצאה מבעיית אבטחה שזוהתה. במשאב בעל ערך גבוה, הציון הוא מדד לרמת החשיפה של המשאב למתקפות סייבר פוטנציאליות.

אפשר להשתמש בציונים של ממצאי נקודות חולשה בתוכנה, הגדרות שגויות ושילובים רעילים או נקודות חנק כדי לתעדף את הטיפול בממצאים האלה.

כדאי להשתמש בציוני החשיפה להתקפות במשאבים כדי לאבטח באופן יזום את המשאבים שהכי חשובים לעסק.

בסימולציות של נתיבי התקפה, מנוע הסיכון תמיד מתחיל את ההתקפות המדומה מהאינטרנט הציבורי. לכן, הניקוד של חשיפה להתקפות לא כולל חשיפה אפשרית לגורמים פנימיים זדוניים או רשלניים.

ממצאים שמקבלים ציוני חשיפה להתקפה

ציוני החשיפה להתקפות חלים על סיווגים פעילים של ממצאים שמפורטים בקטגוריות הממצאים הנתמכות.

הסימולציות של נתיבי התקפה כוללות בחישובים שלהן רק ממצאים פעילים שלא הושתקו. ממצאים עם סטטוס INACTIVE או MUTED לא נכללים בסימולציות, לא מקבלים ציונים ולא נכללים בנתיבי התקפה.

משאבים שמקבלים ציוני חשיפה להתקפות

סימולציות של נתיבי תקיפה מחשבות את ציוני החשיפה לתקיפה עבור סוגי משאבים נתמכים בקבוצת המשאבים בעלי הערך הגבוה. כדי לציין אילו משאבים שייכים לקבוצת המשאבים בעלי הערך הגבוה, יוצרים הגדרות של ערכי משאבים.

אם ל-resource בערכת משאבים בעלי ערך גבוה יש ציון חשיפה להתקפה של 0, סימולציות של נתיבי התקפה לא זיהו נתיבים למשאב שאפשר לנצל למתקפה פוטנציאלית.

סימולציות של נתיבי תקיפה תומכות בסוגי המשאבים הבאים:

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/ReasoningEngine
• aiplatform.googleapis.com/TrainingPipeline
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudbuild.googleapis.com/BitbucketServerConfig
• cloudbuild.googleapis.com/BuildTrigger
• cloudbuild.googleapis.com/Connection
• cloudbuild.googleapis.com/GithubEnterpriseConfig
• cloudbuild.googleapis.com/Repository
• cloudbuild.googleapis.com/WorkerPool
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• container.googleapis.com/Cluster
• dataproc.googleapis.com/Cluster
• dataproc.googleapis.com/Job
• run.googleapis.com/Job
• run.googleapis.com/Service
• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

חישוב הציון

בכל פעם שהסימולציות של נתיבי התקיפה מופעלות, הן מחשבות מחדש את ציוני החשיפה לתקיפה. כל סימולציה של נתיב התקפה מריצה בפועל כמה סימולציות שבהן תוקף מדומה מנסה שיטות וטכניקות התקפה ידועות כדי להגיע למשאבים בעלי הערך ולפגוע בהם.

סימולציות של נתיבי תקיפה מופעלות בערך כל שש שעות. ככל שהארגון גדל, הסימולציות נמשכות זמן רב יותר, אבל הן תמיד יפעלו לפחות פעם ביום. הפעלות של סימולציות לא מופעלות על ידי יצירה, שינוי או מחיקה של משאבים או של הגדרות ערך משאבים.

הסימולציות מחשבות את הציונים באמצעות מגוון מדדים, כולל:

• ערך העדיפות שמוקצה למשאבים בעלי ערך גבוה שנחשפים. ערכי העדיפות שאפשר להקצות הם:
  • גבוה = 10
  • MED = 5
  • LOW = 1
• מספר הנתיבים האפשריים שתוקף יכול לעבור כדי להגיע למשאב נתון.
• מספר הפעמים שבהן תוקף מדומה מצליח להגיע למשאב בעל ערך גבוה ולפגוע בו בסוף נתיב תקיפה נתון, בביטוי כאחוז מתוך המספר הכולל של הסימולציות.
• לממצאים בלבד, מספר המשאבים בעלי הערך הגבוה שנחשפים על ידי הפגיעות או ההגדרה השגויה שזוהו.

במשאבים, ציוני החשיפה להתקפות יכולים להיות בטווח שבין 0 ל-10.

באופן כללי, הסימולציות מחשבות את ציוני המשאבים על ידי הכפלת אחוז המתקפות המוצלחות בערך העדיפות המספרי של המשאבים.

בממצאים, אין מגבלה עליונה קבועה לניקוד. ככל שממצא מסוים מופיע בתדירות גבוהה יותר בנתיבי התקפה למשאבים חשופים בקבוצת המשאבים בעלי הערך הגבוה, וככל שערכי העדיפות של המשאבים האלה גבוהים יותר, כך הציון גבוה יותר.

ברמה גבוהה, הסימולציות מחשבות את ציוני הממצאים באמצעות אותו חישוב שבו הן משתמשות לחישוב ציוני המשאבים, אבל כדי לחשב את ציוני הממצאים, הסימולציות מכפילות את תוצאת החישוב במספר המשאבים בעלי הערך הגבוה שהממצא חושף.

שינוי הציונים

הציונים יכולים להשתנות בכל פעם שמריצים סימולציה של נתיב תקיפה. יכול להיות שממצא או משאב שקיבלו היום ציון אפס יקבלו מחר ציון שונה מאפס.

הציונים משתנים מסיבות שונות, כולל:

• זיהוי או תיקון של פגיעות שחושפת באופן ישיר או עקיף משאב בעל ערך גבוה.
• הוספה או הסרה של משאבים בסביבה.

שינויים בממצאים או במשאבים אחרי הרצת סימולציה לא משתקפים בציונים עד להרצת הסימולציה הבאה.

שימוש בציונים כדי לתת עדיפות לממצאים

כדי לתעדף בצורה יעילה את הטיפול בממצאים על סמך חשיפתם להתקפות או על סמך ציוני השילוב הרעיל שלהם, כדאי לקחת בחשבון את הנקודות הבאות:

• כל ממצא עם ציון גדול מאפס חושף משאב בעל ערך גבוה להתקפה פוטנציאלית בדרך כלשהי, ולכן צריך לתת עדיפות לתיקון שלו על פני ממצאים עם ציון אפס.
• ככל שהציון של ממצא גבוה יותר, כך הממצא חושף יותר מהמשאבים בעלי הערך הגבוה שלכם, וכך עולה סדר העדיפות לתיקון שלו.

באופן כללי, כדאי לתת עדיפות גבוהה לתיקון הממצאים עם הציונים הכי גבוהים, שחוסמים בצורה הכי יעילה את נתיבי המתקפה למשאבים בעלי ערך גבוה.

אם הניקוד של שילוב רעיל, של נקודת חנק ושל ממצא בסיווג אחר של ממצאים דומה בערכו, כדאי לתת עדיפות לטיפול בשילוב הרעיל ובנקודת החנק, כי הם מייצגים נתיב מלא מהאינטרנט הציבורי למשאב אחד או יותר בעלי ערך גבוה, שתוקף יכול לעקוב אחריו אם הוא יקבל גישה לסביבת הענן שלכם.

בדף Findings ב-Security Command Center בGoogle Cloud מסוף, אפשר למיין את הממצאים בחלונית הדף לפי ניקוד. לשם כך, לוחצים על כותרת העמודה.

במסוף Google Cloud , אפשר גם להוסיף מסנן לשאילתת הממצאים כדי להציג רק ממצאים עם ציון חשיפה להתקפה שגבוה ממספר שאתם מציינים. כך תוכלו לראות את הממצאים עם הציונים הכי גבוהים.

בדף Cases ב-Security Command Center Enterprise, אפשר גם למיין את השילובים הרעילים ואת הבקשות שנתקעו בנקודות צוואר בקבוק לפי ציון החשיפה להתקפה.

ממצאים שלא ניתן לטפל בהם

במקרים מסוימים, יכול להיות שלא תוכלו לטפל בממצא עם ציון גבוה של חשיפה להתקפות, או כי הוא מייצג סיכון מוכר ומקובל, או כי אי אפשר לטפל בממצא באופן מיידי. במקרים כאלה, יכול להיות שתצטרכו לצמצם את הסיכון בדרכים אחרות. בדיקה של נתיב התקיפה המשויך עשויה לתת לכם רעיונות לדרכי פעולה אפשריות אחרות.

אבטחת משאבים באמצעות ציוני חשיפה להתקפות

ציון חשיפה להתקפה שגדול מאפס במשאב מסוים מצביע על כך שהסימולציות של נתיבי ההתקפה זיהו נתיב התקפה אחד או יותר מהאינטרנט הציבורי למשאב.

כדי לראות את ציוני החשיפה להתקפות של המשאבים בעלי הערך הגבוה:

1. במסוף Google Cloud , עוברים לדף Assets של Security Command Center.

   עוברים לדף 'נכסים'.

2. בוחרים את הארגון שבו הפעלתם את Security Command Center.

3. בוחרים בכרטיסייה קבוצת משאבים בעלי ערך גבוה. המשאבים בקבוצת המשאבים בעלי הערך הגבוה מוצגים בסדר יורד לפי ציון החשיפה להתקפה.

4. כדי להציג את נתיבי התקיפה של משאב, לוחצים על המספר בשורה שלו בעמודה ציון החשיפה להתקפה. מוצגים נתיבי התקיפה מהאינטרנט הציבורי למשאב.

5. בודקים את נתיבי התקיפה. במאמר נתיבי תקיפה מוסבר איך לפרש את נתיבי התקיפה.

6. כדי להציג חלון פרטים עם קישורים לצפייה בממצאים קשורים, לוחצים על צומת.

7. לוחצים על קישור לממצאים קשורים. ייפתח החלון Finding עם פרטים על הממצא ועל אופן הטיפול בו.

אפשר גם לראות את ציוני החשיפה להתקפות של המשאבים החשובים בכרטיסייה Attack path simulations (סימולציות של נתיבי התקפה) בSettings (הגדרות) > Attack Path simulation (סימולציה של נתיב התקפה). לוחצים על הצגת נכסים מוערכים שנעשה בהם שימוש בסימולציה האחרונה.

הכרטיסייה High value resource set זמינה גם בAssets page במסוף Security Operations.

ציוני חשיפה להתקפות של 0

ציון החשיפה להתקפה 0 במשאב מסוים מציין שבסימולציות האחרונות של נתיבי התקפה, Security Command Center לא זיהה נתיבים פוטנציאליים שבהם תוקף יכול להשתמש כדי להגיע למשאב.

ציון חשיפה למתקפה של 0 בממצא מסוים מציין שבסימולציית המתקפה האחרונה, התוקף המדומה לא הצליח להגיע למשאבים בעלי ערך גבוה דרך הממצא.

עם זאת, ציון חשיפה להתקפות של 0 לא אומר שאין סיכון. ציון החשיפה להתקפות משקף את החשיפה של שירותים, משאבים וממצאים נתמכים של Security Command Center לאיומים פוטנציאליים שמקורם באינטרנט הציבורי. Google Cloud לדוגמה, הניקוד לא לוקח בחשבון איומים מצד גורמים פנימיים, פגיעויות מסוג zero-day או תשתית של צד שלישי.

אין ציון חשיפה להתקפות

אם לתוצאה או למשאב אין ציון, יכולות להיות לכך הסיבות הבאות:

• הממצא נוצר אחרי הסימולציה האחרונה של נתיב התקפה.
• המשאב נוסף לקבוצת המשאבים בעלי הערך הגבוה אחרי הסימולציה האחרונה של נתיב התקיפה.
• התכונה 'חשיפה להתקפות' לא תומכת בקטגוריית הממצא או בסוג המשאב.

רשימה של קטגוריות הממצאים הנתמכות מופיעה במאמר תמיכה בתכונות של מנוע הסיכונים.

רשימה של סוגי המשאבים הנתמכים זמינה במאמר משאבים שמקבלים ציוני חשיפה להתקפות.

ערכי משאבים

למרות שלכל המשאבים ב- Google Cloud יש ערך, Security Command Center מזהה נתיבי תקיפה ומחשב את מדדי החשיפה לתקיפה רק עבור המשאבים שאתם מגדירים כמשאבים בעלי ערך גבוה (לפעמים נקראים משאבים מוערכים).

מקורות מידע חשובים

משאב בעל ערך גבוה ב- Google Cloud הוא משאב שחשוב במיוחד לעסק שלכם להגן עליו מפני מתקפות פוטנציאליות. לדוגמה, יכול להיות שהמשאבים בעלי הערך הגבוה הם המשאבים שבהם מאוחסנים מידע אישי רגיש או נתונים בעלי ערך, או המשאבים שמארחים את עומסי העבודה הקריטיים לעסק.

כדי להגדיר משאב כמשאב בעל ערך גבוה, צריך להגדיר את המאפיינים של המשאב בהגדרת ערך משאב. עד למגבלה של 1,000 מקרים של משאבים, מערכת Security Command Center מתייחסת לכל מקרה של משאב שתואם למאפיינים שציינתם בהגדרה כמשאב בעל ערך גבוה.

ערכי עדיפות

מבין המשאבים שמוגדרים כבעלי ערך גבוה, סביר להניח שתצטרכו לתעדף את האבטחה של חלק מהם יותר מאחרים. לדוגמה, יכול להיות שקבוצה של משאבי נתונים מכילה נתונים בעלי ערך גבוה, אבל חלק ממשאבי הנתונים האלה מכילים נתונים רגישים יותר מהשאר.

כדי שהציונים ישקפו את הצורך לתת עדיפות לאבטחת המשאבים בקבוצת המשאבים בעלי הערך הגבוה, צריך להקצות ערך עדיפות בהגדרות ערך המשאבים שמציין משאבים כבעלי ערך גבוה.

אם אתם משתמשים ב-Sensitive Data Protection, אתם יכולים גם לתעדף משאבים באופן אוטומטי לפי רמת הרגישות של הנתונים שהם מכילים.

הגדרת ערכי עדיפות של משאבים באופן ידני

בהגדרת ערך משאב, מקצים עדיפות למשאבים התואמים בעלי הערך הגבוה על ידי ציון אחד מערכי העדיפות הבאים:

• LOW = 1
• MEDIUM = 5
• ‫HIGH = 10
• ‫NONE = 0

אם מציינים ערך עדיפות של LOW בהגדרת ערך משאב, המשאבים התואמים עדיין נחשבים למשאבים בעלי ערך גבוה. סימולציות של נתיבי התקפה פשוט מתייחסות אליהם בעדיפות נמוכה יותר ומקצות להם ציון חשיפה להתקפה נמוך יותר מאשר למשאבים בעלי ערך גבוה עם ערך עדיפות של MEDIUM או HIGH.

אם כמה הגדרות מקצות ערכים שונים לאותו משאב, המערכת תחיל את הערך הכי גבוה, אלא אם אחת ההגדרות מקצה ערך של NONE.

ערך המשאב NONE מונע מהמשאבים התואמים להיחשב כמשאבים בעלי ערך גבוה, ומבטל כל הגדרה אחרת של ערך משאב לאותו משאב. לכן, חשוב לוודא שכל הגדרה שמציינת NONE חלה רק על קבוצה מוגבלת של משאבים.

הגדרת ערכי עדיפות של משאבים באופן אוטומטי לפי רגישות הנתונים

אם אתם משתמשים בSensitive Data Protection discovery ומפרסמים את פרופילי הנתונים ב-Security Command Center, אתם יכולים להגדיר את Security Command Center כך שיקבע באופן אוטומטי את ערך העדיפות של משאבים מסוימים בעלי ערך גבוה, לפי רמת הרגישות של הנתונים שהמשאבים מכילים.

כדי להפעיל את התכונה 'תעדוף לפי רגישות הנתונים', צריך לציין את המשאבים בהגדרת ערך משאב.

כשהתכונה 'Sensitive Data Protection' מופעלת, אם גילוי נתונים רגישים מסווג את הנתונים במשאב כרגישים ברמה MEDIUM או HIGH, סימולציות נתיבי התקפה יגדירו כברירת מחדל את ערך העדיפות של המשאב לאותו ערך.

רמות הרגישות של הנתונים מוגדרות על ידי Sensitive Data Protection, אבל אפשר לפרש אותן כך:

נתונים ברמת רגישות גבוהה

הכלי Sensitive Data Protection גילה לפחות מופע אחד של נתונים ברמת רגישות גבוהה במשאב.

נתונים ברמת רגישות בינונית

הגילוי של Sensitive Data Protection מצא לפחות מופע אחד של נתונים ברמת רגישות בינונית במשאב, ולא מצא מופעים של נתונים ברמת רגישות גבוהה.

נתונים ברמת רגישות נמוכה

הגילוי של Sensitive Data Protection לא זיהה מידע אישי רגיש או טקסט חופשי או נתונים לא מובנים במשאב.

אם Sensitive Data Protection מזהה רק נתונים ברמת רגישות נמוכה במשאב נתונים תואם, המשאב לא יוגדר כמשאב בעל ערך גבוה.

אם אתם רוצים שמשאבי נתונים שמכילים רק נתונים ברגישות נמוכה יוגדרו כמשאבים בעלי ערך גבוה עם עדיפות נמוכה, אתם יכולים ליצור הגדרת ערך משאב כפולה, אבל לציין ערך עדיפות של LOW במקום להפעיל את העדיפות לפי רגישות הנתונים. ההגדרה שמשתמשת ב-Sensitive Data Protection מבטלת את ההגדרה שמשייכת את ערך העדיפות LOW, אבל רק למשאבים שמכילים נתוני רגישות HIGH או MEDIUM.

אתם יכולים לשנות את ערכי העדיפות שמוגדרים כברירת מחדל ושמשמשים את Security Command Center כשמזוהים מידע אישי רגיש בהגדרת ערך המשאב.

מידע נוסף על Sensitive Data Protection זמין במאמר סקירה כללית על Sensitive Data Protection.

מתן עדיפות לרגישות הנתונים וקבוצת ברירת המחדל של משאבים בעלי ערך גבוה

לפני שיוצרים קבוצת משאבים בעלי ערך גבוה משלכם, מערכת Security Command Center משתמשת בקבוצת משאבים בעלי ערך גבוה שמוגדרת כברירת מחדל כדי לחשב את ציוני החשיפה להתקפות ואת נתיבי ההתקפה.

אם אתם משתמשים באיתור של Sensitive Data Protection,‏ Security Command Center מוסיף באופן אוטומטי מופעים של סוגי משאבי נתונים נתמכים שמכילים נתוני רגישות מסוג HIGH או MEDIUM לקבוצת ברירת המחדל של משאבים בעלי ערך גבוה.

סוגי המשאבים הנתמכים Google Cloud לערכי עדיפות אוטומטיים של רגישות נתונים

סימולציות של נתיבי תקיפה יכולות להגדיר באופן אוטומטי ערכי עדיפות על סמך סיווגים של רגישות נתונים מתוך Sensitive Data Protection discovery רק לסוגים הבאים של מקורות נתונים:

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

סוגי משאבי AWS שנתמכים לערכי עדיפות אוטומטיים של רגישות נתונים

סימולציות של נתיבי תקיפה יכולות להגדיר באופן אוטומטי ערכי עדיפות על סמך סיווגים של רגישות נתונים מSensitive Data Protection discovery רק לסוגי משאבי הנתונים הבאים ב-AWS:

• קטגוריה ב-Amazon S3

קבוצות משאבים בעלות ערך גבוה

קבוצת משאבים בעלי ערך גבוה היא אוסף מוגדר של משאבים בסביבת Google Cloud , שהכי חשוב לאבטח ולהגן עליהם.

כדי להגדיר את קבוצת המשאבים עם הערך הגבוה, צריך לציין אילו משאבים בסביבה שלכם Google Cloud שייכים לקבוצת המשאבים עם הערך הגבוה. עד שתגדירו את קבוצת המשאבים בעלי הערך הגבוה, ציוני החשיפה להתקפות, נתיבי ההתקפות והממצאים לגבי שילובים רעילים לא ישקפו בצורה מדויקת את סדרי העדיפויות שלכם בנושא אבטחה.

כדי לציין את המשאבים בקבוצת המשאבים בעלי הערך הגבוה, יוצרים הגדרות של ערכי משאבים. השילוב של כל ההגדרות של ערכי המשאבים מגדיר את קבוצת המשאבים בעלי הערך הגבוה. מידע נוסף זמין במאמר הגדרות של ערכי משאבים.

עד שתגדירו את ההגדרה הראשונה של ערך משאב, Security Command Center ישתמש בקבוצת ברירת מחדל של משאבים בעלי ערך גבוה. ההגדרה שמוגדרת כברירת מחדל חלה על כל הארגון ועל כל סוגי המשאבים שסימולציות של נתיבי תקיפה תומכות בהם. מידע נוסף מופיע במאמר בנושא קבוצת ברירת מחדל של משאבים בעלי ערך גבוה.

כדי לראות את קבוצת המשאבים בעלי הערך הגבוה ששימשה בסימולציה האחרונה של נתיב התקיפה, כולל ציוני החשיפה לתקיפה וההגדרות התואמות, אפשר לעיין במאמר בנושא הצגת קבוצת המשאבים בעלי הערך הגבוה.

הגדרות של ערכי משאבים

אתם מנהלים את המשאבים בקבוצת המשאבים בעלי הערך הגבוה באמצעות הגדרות של ערכי משאבים.

יוצרים הגדרות של ערכי משאבים בכרטיסייה Attack path simulation בדף Settings של Security Command Center במסוף Google Cloud .

בהגדרת ערך של משאב, מציינים את המאפיינים שמשאב צריך לכלול כדי ש-Security Command Center יוסיף אותו לקבוצת המשאבים בעלי הערך הגבוה.

המאפיינים שאפשר לציין כוללים את סוג המשאב, תגי המשאב, תוויות המשאב והפרויקט, התיקייה או הארגון שמעליו בהיררכיה.

בנוסף, אתם מקצים ערך משאב למשאבים בהגדרה. ערך המשאב מתעדף את המשאבים בהגדרה ביחס למשאבים האחרים בקבוצת המשאבים בעלי הערך הגבוה. למידע נוסף, ראו ערכי משאבים.

אפשר ליצור עד 100 הגדרות של ערכי משאבים בGoogle Cloud ארגון.

כל ההגדרות של ערכי המשאבים שאתם יוצרים מגדירות יחד את קבוצת המשאבים בעלי הערך הגבוה ש-Security Command Center משתמש בהם לסימולציות של נתיבי התקפה.

מאפייני המשאבים

כדי שמשאב ייכלל בקבוצת המשאבים עם הערך הגבוה, המאפיינים שלו צריכים להיות זהים למאפיינים שציינתם בהגדרת ערך המשאב.

המאפיינים שאפשר לציין כוללים:

• סוג משאב או Any. אם מציינים את Any, ההגדרה חלה על כל סוגי המשאבים הנתמכים בהיקף שצוין. ערך ברירת המחדל הוא Any.
• ההיקף (הארגון, התיקייה או הפרויקט ברמת ההורה) שבו המשאבים צריכים להיות. היקף ברירת המחדל הוא הארגון שלכם. אם מציינים ארגון או תיקייה, ההגדרה חלה גם על המשאבים בתיקיות או בפרויקטים הצאצאים.
• אפשר לציין תג אחד או יותר או תווית אחת או יותר שכל משאב חייב להכיל.

אם מציינים הגדרות של ערכי משאבים, אבל אף אחד מהמשאבים בסביבת Google Cloud לא תואם למאפיינים שצוינו בהגדרות, Security Command Center יוצר ממצא SCC Error וחוזר לקבוצת ברירת המחדל של משאבים בעלי ערך גבוה.

קבוצת ברירת מחדל של משאבים בעלי ערך גבוה

ב-Security Command Center נעשה שימוש בקבוצת ברירת מחדל של משאבים בעלי ערך גבוה כדי לחשב את ציוני החשיפה להתקפות, אם לא מוגדרים משאבים בעלי ערך או אם אין משאבים שתואמים להגדרות המוגדרות.

‫Security Command Center מקצה למשאבים בערך ברירת המחדל של משאב בעל ערך גבוה את ערך העדיפות LOW, אלא אם משתמשים באיתור של Sensitive Data Protection. במקרה כזה, Security Command Center מקצה למשאבים שמכילים נתונים ברמת רגישות גבוהה או בינונית את ערך העדיפות התואם HIGH או MEDIUM.

מנוע הסיכונים משתמש בהיוריסטיקה כדי לזהות את ציון החשיפה לסיכון של משאבים על ידי ניתוח של מינוח נפוץ בתעשייה שמשמש בתגים, בתוויות ובשמות של משאבים. בעיות האבטחה הקריטיות ביותר בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה מקבלות קודם את הניקוד של הסיכון לחשיפה. לאחר מכן, מנוע הסיכון מחשב את ציון החשיפה להתקפות עבור משאבים שאינם משאבי ייצור, שנחשבים לחשובים פחות.

אם יש לכם לפחות הגדרת ערך משאב אחת שתואמת לפחות למשאב אחד בסביבה שלכם, Security Command Center מפסיק להשתמש בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה.

כדי לקבל ציונים של חשיפה להתקפות ושילובים רעילים שמשקפים בצורה מדויקת את סדרי העדיפויות שלכם בנושא אבטחה, צריך להחליף את ברירת המחדל של קבוצת המשאבים בעלי הערך הגבוה בקבוצת משאבים בעלי ערך גבוה משלכם. מידע נוסף זמין במאמר בנושא הגדרה וניהול של קבוצת משאבים בעלי ערך גבוה.

ברשימה הבאה מוצגים סוגי המשאבים שנכללים בקבוצת ברירת המחדל של משאבים בעלי ערך גבוה:

• aiplatform.googleapis.com/Model
• aiplatform.googleapis.com/ReasoningEngine
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudbuild.googleapis.com/BuildTrigger
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance
• run.googleapis.com/Job
• run.googleapis.com/Service
• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

מגבלה על משאבים בקבוצת משאבים בעלת ערך גבוה

ב-Security Command Center, מספר המשאבים בקבוצת משאבים בעלי ערך גבוה מוגבל ל-1,000 לכל ספק שירותי ענן.

אם מפרטי המאפיינים באחת או יותר מההגדרות של ערכי המשאבים רחבים מאוד, מספר המשאבים שתואמים למפרטי המאפיינים יכול לעלות על 1,000.

אם מספר המשאבים התואמים חורג מהמגבלה, Security Command Center מוציא משאבים מהקבוצה עד שמספר המשאבים יהיה במסגרת המגבלה. ‫Security Command Center מחריג קודם את המשאבים עם הערך הנמוך ביותר שהוקצה להם. מבין המשאבים עם אותו ערך שהוקצה, Security Command Center מחריג מופעים של משאבים באמצעות אלגוריתם שמפיץ את המשאבים המוחרגים בין סוגי המשאבים.

משאב שמוחרג מקבוצת המשאבים בעלי הערך הגבוה לא נלקח בחשבון בחישוב של ציוני החשיפה להתקפות.

כדי להזהיר אתכם כשחורגים ממגבלת המקרים לחישוב הניקוד, Security Command Center יוצר ממצא SCC error ומציג הודעה בכרטיסיית ההגדרות Attack path simulation במסוף Google Cloud . ‫Security Command Center לא יוצר ממצא SCC error אם קבוצת ברירת המחדל של ערכים גבוהים חורגת ממגבלת המופע.

כדי להימנע מחריגה מהמגבלה, צריך לשנות את ההגדרות של ערכי המשאבים כדי לצמצם את מספר המקרים בקבוצת המשאבים בעלי הערך הגבוה.

אלה כמה מהפעולות שאפשר לבצע כדי לשפר את קבוצת המשאבים בעלי הערך הגבוה:

• כדי לצמצם את מספר ההתאמות לסוג משאב מסוים או בהיקף מסוים, אפשר להשתמש בתגים או בתוויות.
• יוצרים הגדרת ערך משאב שמקצה ערך של NONE לקבוצת משנה של המשאבים שצוינו בהגדרה אחרת. אם מציינים ערך של NONE, הוא מבטל את כל ההגדרות האחרות ומוציא את מופעי המשאבים מקבוצת המשאבים בעלי הערך הגבוה.
• מצמצמים את היקף ההגדרה של ערך המשאב.
• מוחקים הגדרות של ערכי משאבים שמקצות ערך של LOW.

מקורות מידע חשובים

כדי לאכלס את קבוצת המשאבים בעלי הערך הגבוה, צריך להחליט אילו מופעים של משאבים בסביבה הם בעלי ערך גבוה באמת.

בדרך כלל, המשאבים החשובים באמת הם המשאבים שמעבדים ומאחסנים את המידע האישי הרגיש שלכם. לדוגמה, ב- Google Cloud, אלה יכולים להיות מכונות וירטואליות ב-Compute Engine, מערך נתונים ב-BigQuery או קטגוריה של Cloud Storage.

לא צריך לסמן משאבים שסמוכים למשאבים בעלי ערך גבוה, כמו שרת מעבר, כמשאבים בעלי ערך גבוה. הסימולציות של נתיבי התקיפה כבר לוקחות בחשבון את המשאבים הסמוכים האלה, ואם תגדירו אותם גם כמשאבים בעלי ערך גבוה, יכול להיות שציוני החשיפה שלכם לתקיפה יהיו פחות מהימנים.

נתיבי התקפה

נתיב תקיפה הוא תיאור חזותי אינטראקטיבי של נתיב פוטנציאלי אחד או יותר שתוקף היפותטי יכול לעבור כדי להגיע מהאינטרנט הציבורי לאחד ממופעי המשאבים בעלי הערך הגבוה שלכם.

סימולציות של נתיבי תקיפה מזהות נתיבי תקיפה פוטנציאליים על ידי מידול של מה שיקרה אם תוקף יפעיל שיטות תקיפה מוכרות על נקודות החולשה וההגדרות השגויות ש-Security Command Center זיהה בסביבה שלכם, בניסיון להגיע למשאבים בעלי ערך גבוה.

כדי לראות את נתיבי התקיפה, לוחצים על ציון החשיפה לתקיפה בממצא או במשאב במסוף Google Cloud .

במהדורת Enterprise, כשצופים במקרה של שילוב רעיל, אפשר לראות נתיב תקיפה פשוט של השילוב הרעיל בכרטיסייה סקירה כללית של המקרה. נתיב ההתקפה הפשוט כולל קישור לנתיב ההתקפה המלא. מידע נוסף על נתיבי תקיפה של שילובים רעילים זמין במאמר נתיבי תקיפה של שילובים רעילים.

כשצופים בנתיבי תקיפה גדולים יותר, אפשר לשנות את התצוגה של נתיב התקיפה על ידי גרירת הריבוע האדום של אזור המיקוד בתצוגה המיניאטורית של נתיב התקיפה בצד שמאל של המסך.

בנתיב תקיפה, משאבים בנתיב תקיפה מיוצגים כתיבות או כצמתים. הקווים מייצגים נגישות פוטנציאלית בין משאבים. הצמתים והקווים ביחד מייצגים את נתיב המתקפה.

צמתים של נתיב התקפה

הצמתים בנתיב התקפה מייצגים את המשאבים בנתיב התקפה.

הצגת פרטי הצומת

כדי להציג מידע נוסף על כל צומת בנתיב התקפה, לוחצים עליו.

כשלוחצים על שם המשאב בצומת, מוצג מידע נוסף על המשאב ועל הממצאים שמשפיעים עליו.

אם לוחצים על Expand node, מוצגות שיטות התקפה אפשריות שאפשר להשתמש בהן אם תוקף יקבל גישה למשאב.

סוגי צמתים

יש שלושה סוגים שונים של צמתים:

• נקודת ההתחלה או נקודת הכניסה של המתקפה המדומה, שהיא האינטרנט הציבורי. כשלוחצים על צומת של נקודת כניסה, מוצג תיאור של נקודת הכניסה ושיטות התקפה שהתוקף יכול להשתמש בהן כדי לקבל גישה לסביבה שלכם.
• המשאבים המושפעים שהתוקף יכול להשתמש בהם כדי להתקדם בנתיב.
• מקור המידע שנחשף בסוף הנתיב, שהוא אחד ממקורות המידע בקבוצת מקורות המידע בעלי הערך הגבוה. רק משאב מתוך קבוצת משאבים מוגדרת או ברירת מחדל בעלת ערך גבוה יכול להיות משאב חשוף. כדי להגדיר קבוצה של משאבים בעלי ערך גבוה, יוצרים הגדרות של ערכי משאבים.

צמתים במעלה הזרם וצמתים במורד הזרם

בנתיב תקיפה, צומת יכול להיות upstream או downstream מצמתים אחרים. צומת במעלה הזרם קרובה יותר לנקודת הכניסה ולחלק העליון של נתיב ההתקפה. צומת במורד הזרם קרוב יותר למשאב החשוף בעל הערך הגבוה בתחתית נתיב ההתקפה.

צמתים שמייצגים מופעים מרובים של משאבי קונטיינרים

צומת יכול לייצג כמה מופעים של סוגים מסוימים של משאבי מאגר אם המופעים חולקים את אותן מאפיינים.

אפשר לייצג כמה מופעים של סוגי משאבי המאגר הבאים באמצעות צומת יחיד:

• בקר ReplicaSet
• בקר פריסה
• Job Controller
• CronJob Controller
• DaemonSet Controller

קווים של נתיבי התקפה

בנתיב התקפה, הקווים בין התיבות מייצגים נגישות פוטנציאלית בין משאבים שהתוקף יכול לנצל כדי להגיע למשאבים בעלי ערך גבוה.

הקווים לא מייצגים קשר בין משאבים שמוגדרים ב-Google Cloud.

אם יש כמה נתיבים שמצביעים על צומת במורד הזרם מכמה צמתים במעלה הזרם, יכול להיות שבין הצמתים במעלה הזרם יש קשר AND או קשר OR.

קשר AND אומר שלתוקף נדרשת גישה לשני הצמתים במעלה הזרם כדי לגשת לצומת במורד הזרם בנתיב.

לדוגמה, קו ישיר מהאינטרנט הציבורי למשאב בעל ערך גבוה בסוף נתיב התקיפה נמצא בקשר AND עם לפחות קו אחד אחר בנתיב התקיפה. התוקף לא יכול להגיע למשאב בעל הערך הגבוה אלא אם הוא מקבל גישה גם לסביבתGoogle Cloud שלכם וגם למשאב אחד לפחות שמוצג בנתיב המתקפה.

קשר OR אומר שלתוקף צריך להיות גישה רק לאחד מהצמתים במעלה הזרם כדי לקבל גישה לצומת במורד הזרם.

סימולציות של נתיבי תקיפה

כדי לקבוע את כל נתיבי התקיפה האפשריים ולחשב את ציוני החשיפה להתקפה, Security Command Center מבצע סימולציות מתקדמות של נתיבי תקיפה.

לוח זמנים של סימולציה

סימולציות של נתיבי תקיפה מופעלות בערך כל שש שעות. ככל שהארגון גדל, הסימולציות נמשכות זמן רב יותר, אבל הן תמיד יפעלו לפחות פעם ביום. הפעלות של סימולציות לא מופעלות על ידי יצירה, שינוי או מחיקה של משאבים או של הגדרות ערך משאבים.

שלבים בסימולציה של נתיב תקיפה

הסימולציה כוללת את השלבים הבאים:

1. יצירת מודל: מודל של סביבת Google Cloud שלכם נוצר באופן אוטומטי על סמך נתוני הסביבה. המודל הוא ייצוג גרפי של הסביבה שלכם, שמותאם לניתוח של נתיבי תקיפה.
2. סימולציית נתיב תקיפה: סימולציות של נתיבי תקיפה מתבצעות במודל הגרף. בסימולציות, תוקף וירטואלי מנסה להגיע למשאבים בסט המשאבים בעלי הערך הגבוה ולפגוע בהם. הסימולציות מתבססות על התובנות לגבי כל משאב ספציפי והקשרים שלו, כולל רשתות, IAM, הגדרות, הגדרות שגויות ונקודות חולשה.
3. דיווח על תובנות: על סמך הסימולציות, Security Command Center מקצה ציוני חשיפה להתקפות למשאבים בעלי ערך גבוה ולממצאים שחושפים אותם, ומציג באופן חזותי את הנתיבים הפוטנציאליים שהתוקף יכול לעבור כדי להגיע למשאבים האלה.

מאפייני ההרצה של הסימולציה

בנוסף לציון של נקודות החשיפה להתקפות, תובנות לגבי נתיבי התקפה ונתיבי התקפה, לסימולציות של נתיבי התקפה יש את המאפיינים הבאים:

• הם לא משפיעים על סביבת הלייב שלכם: כל הסימולציות מתבצעות במודל וירטואלי, והגישה למודל היא רק לצורך קריאה.
• הם דינמיים: המודל נוצר ללא סוכנים באמצעות גישת קריאה בלבד ל-API, מה שמאפשר לסימולציות לעקוב באופן דינמי אחרי שינויים בסביבה שלכם לאורך זמן.
• הם מנסים להשתמש בכמה שיותר שיטות ונקודות חולשה כדי להגיע למשאבים בעלי ערך גבוה ולפגוע בהם. זה כולל לא רק את "הידועים", כמו נקודות החולשה, ההגדרות, ההגדרות השגויות והקשרים ברשת, אלא גם "לא ידועים ידועים" שהסיכוי שלהם נמוך יותר – סיכונים שאנחנו יודעים שקיימים, כמו האפשרות של פישינג או של פרטי כניסה שנחשפו.
• הם אוטומטיים: לוגיקת המתקפה מוטמעת בכלי. אתם לא צריכים ליצור או לתחזק קבוצות נרחבות של שאילתות או מערכי נתונים גדולים.

תרחיש של תוקף ויכולות

בסימולציות, Security Command Center מציג ייצוג לוגי של ניסיון של תוקף לנצל את המשאבים בעלי הערך הגבוה שלכם על ידי קבלת גישה לסביבת Google Cloud שלכם ומעקב אחרי נתיבי גישה פוטנציאליים דרך המשאבים והפגיעויות שזוהו.

התוקף הווירטואלי

התוקף הווירטואלי שבו נעשה שימוש בסימולציות כולל את המאפיינים הבאים:

• התוקף הוא חיצוני: התוקף הוא לא משתמש לגיטימי בסביבתGoogle Cloud שלכם. הסימולציות לא כוללות או מדמות מתקפות של משתמשים זדוניים או רשלניים שיש להם גישה לגיטימית לסביבה שלכם.
• התוקף מתחיל מהאינטרנט הציבורי. כדי להתחיל מתקפה, התוקף צריך קודם לקבל גישה לסביבה שלכם מהאינטרנט הציבורי.
• התוקף מתמיד. התוקף לא יתייאש או יאבד עניין בגלל הקושי של שיטת התקפה מסוימת.
• התוקף מיומן ובעל ידע רב. התוקף מנסה שיטות וטכניקות מוכרות כדי לגשת למשאבים בעלי ערך גבוה.

גישה ראשונית

בכל סימולציה, תוקף וירטואלי מנסה להשתמש בשיטות הבאות כדי לקבל גישה מהאינטרנט הציבורי למשאבים בסביבת Google Cloud שלכם:

• חיפוש שירותים ומשאבים שנגישים מהאינטרנט הציבורי וחיבור אליהם. בסביבת Google Cloud , זה יכול לכלול את הדברים הבאים:
  • שירותים במכונות וירטואליות (VM) של Compute Engine ובצמתים של Google Kubernetes Engine
  • מסדי נתונים
  • קונטיינרים
  • קטגוריות של Cloud Storage
  • פונקציות Cloud Run
• קבלת גישה למפתחות ולפרטי הכניסה. בסביבת Google Cloud , זה יכול לכלול את הדברים הבאים:
  • מפתחות של חשבונות שירות
  • מפתחות הצפנה באספקת המשתמש (USEK)
  • מפתחות SSH של מופע VM
  • מפתחות SSH ברמת הפרויקט
  • מערכות חיצוניות לניהול מפתחות
  • חשבונות משתמשים שלא נאכף בהם אימות רב-שלבי (MFA)
  • טוקנים וירטואליים של MFA שנחסמו
• קבלת גישה לנכסי ענן שאפשר להגיע אליהם באופן ציבורי באמצעות שימוש בהרשאות גנובות או ניצול של נקודות חולשה.

אם הסימולציה מוצאת נקודת כניסה אפשרית לסביבה, התוקף הווירטואלי מנסה להגיע למשאבים בעלי ערך גבוה ולפגוע בהם מנקודת הכניסה, על ידי בחינה רצופה של הגדרות האבטחה והפגיעויות בסביבה וניצול שלהן.

טקטיקות וטכניקות

הסימולציה משתמשת במגוון רחב של טקטיקות וטכניקות, כולל מינוף גישה לגיטימית, תנועה לרוחב, הרחבת הרשאות, פגיעויות, הגדרות שגויות והפעלת קוד.

שילוב נתוני CVE

בחישוב של ציוני החשיפה למתקפות עבור ממצאי נקודות החולשה, הסימולציות של נתיבי המתקפות מתבססות על נתונים מרשומת ה-CVE של נקודת החולשה, על ציוני ה-CVSS ועל הערכות של מידת הניצול של נקודת החולשה שסופקו על ידי Mandiant.

המידע הבא נלקח בחשבון:

• וקטור התקפה: כדי להשתמש ב-CVE, לתוקף צריכה להיות רמת הגישה שמצוינת בווקטור ההתקפה של CVSS. לדוגמה, תוקף עם גישה לרשת יכול לנצל לרעה CVE עם וקטור התקפה ברשת שנמצא בנכס עם כתובת IP ציבורית ויציאות פתוחות. אם לתוקף יש גישה רק לרשת, וה-CVE דורש גישה פיזית, התוקף לא יכול לנצל את ה-CVE.
• מורכבות ההתקפה: באופן כללי, ממצא של פגיעות או של הגדרה שגויה עם מורכבות התקפה נמוכה צפוי לקבל ציון גבוה יותר של חשיפה להתקפה מאשר ממצא עם מורכבות התקפה גבוהה.
• פעילות ניצול: בדרך כלל, ממצא של פגיעות עם פעילות ניצול נרחבת, כפי שנקבע על ידי אנליסטים של מודיעין איומי סייבר ב-Mandiant, יקבל סביר להניח ציון גבוה יותר של חשיפה להתקפה מאשר ממצא עם פעילות ניצול צפויה בלבד. פגיעות שאין לגביה פעילות ניצול ידועה לא נכללת בסימולציות של נתיבי התקפה.

הערכות סיכונים בסביבות מרובות עננים

בנוסף ל- Google Cloud, אפשר להריץ ב-Security Command Center סימולציות של נתיבי תקיפה כדי להעריך את הסיכון בפריסות שלכם בפלטפורמות של ספקי שירותי ענן שונים.

אחרי שיוצרים חיבור לפלטפורמה אחרת, אפשר להגדיר את המשאבים בעלי הערך הגבוה אצל ספק שירותי הענן האחר באמצעות יצירת הגדרות של ערכי משאבים, כמו במשאבים ב- Google Cloud.

‫Security Command Center מריץ סימולציות לפלטפורמת ענן באופן עצמאי, בלי קשר לסימולציות שמופעלות לפלטפורמות ענן אחרות.

לפני שיוצרים את הגדרת ערך המשאב הראשונה עבור ספק שירותי ענן אחר, Security Command Center משתמש בקבוצת משאבים עם ערך גבוה שמוגדרת כברירת מחדל, וספציפית לכל ספק שירותי ענן.

למידע נוסף, קראו את המאמרים הבאים: