有害組合是指一組安全問題,如果這些問題同時以特定模式發生,就會導致一或多個高價值資源產生漏洞,讓準備充分的攻擊者獲得入侵資源的機會。
風險引擎會在執行的攻擊路徑模擬期間偵測有害組合。風險引擎偵測到每個有害組合時,都會產生發現項目。每個有害組合都包含獨特的受攻擊風險分數 (稱為有害組合分數),可衡量雲端環境中高價值資源集遭受有害組合攻擊的風險。風險引擎也會產生攻擊路徑的視覺化效果,顯示有害組合對高價值資源集中資源造成的影響。
瓶頸與有害組合類似,但著重於多條攻擊路徑匯聚的常見資源或資源群組。因此,修正瓶頸問題可同時修正多個有害組合。
系統會偵測下列雲端服務供應商平台中的有害組合和瓶頸:
- Google Cloud. 適用於 Premium 和 Enterprise 服務層級。
- Amazon Web Services (AWS) (預先發布版)。適用於 Enterprise 服務層級。
- Microsoft Azure (預先發布版)。適用於 Enterprise 服務層級。
如需支援的資源清單,請參閱「風險引擎功能支援」。
查看有害組合和瓶頸
風險最高的有害組合和瓶頸會顯示為「風險總覽」(Premium 服務層級) 或「總覽」 (Enterprise 服務層級) 頁面上的問題。視 Security Command Center 層級而定,您可以在下列頁面查看所有有害組合和瓶頸的詳細資料:
- 「問題」頁面 (適用於進階服務層級)
- 企業服務層級的「風險」>「問題」頁面
您也可以在 Enterprise 服務層級的「案件」頁面中查看有害組合。
如要在Google Cloud 控制台中查看與有害組合和瓶頸相關的發現項目,請前往「發現項目」頁面,然後依「有害組合」或「瓶頸」發現項目類別進行篩選。
與有害組合和瓶頸相關的發現項目會記錄在風險報告中。詳情請參閱「風險報告總覽」。
有害組合和瓶頸的受攻擊風險分數
風險引擎會計算每個有害組合和瓶頸的受攻擊風險分數。這項分數是用來衡量有害組合或瓶頸,使高價值資源組合中一或多個資源暴露於潛在攻擊的程度。分數越高,風險就越高。
受攻擊風險分數計算方式
有害組合和瓶頸的攻擊風險分數是根據下列因素計算得出:
- 高價值資源集中受攻擊的資源數量,以及這些資源的優先順序值和受攻擊風險分數。
- 準備充足的攻擊者利用有害組合或瓶頸,成功存取高價值資源的可能性。
根據攻擊暴露分數,有害組合可指派下列其中一個嚴重程度:
- 重大:有害組合的受攻擊風險分數 ≥ 10。
- 高:攻擊暴露分數 < 10 的有害組合。
瓶頸的攻擊暴露分數一律 ≥ 10,因此嚴重程度評分一律為「重大」。
詳情請參閱「攻擊暴露程度分數」。
有害組合和瓶頸的攻擊路徑視覺化
風險引擎會以視覺化方式呈現導致高價值資源集出現的有害組合和瓶頸攻擊路徑。攻擊路徑代表一系列攻擊步驟,包括潛在攻擊者可能用來入侵資源的相關安全問題和資源。
攻擊路徑可協助您瞭解有害組合或瓶頸中個別安全問題之間的關係,以及這些問題如何形成通往高價值資源集內資源的路徑。路徑視覺化效果也會顯示有多少高價值資源暴露於風險中,以及這些資源對雲端環境的重要性。
攻擊路徑上的資源會以不同顏色標示:
- 如果資源有安全問題,導致組合產生不良影響,系統會以黃色邊框醒目顯示。
- 系統會以紅色邊框標示出瓶頸資源。
您可以透過多種方式查看攻擊路徑。
在 Premium 服務層級中,您可以在「攻擊路徑」頁面查看完整攻擊路徑。詳情請參閱「攻擊路徑」。 此外,您也可以在下列位置查看簡化版攻擊路徑:
- 「風險總覽」頁面,適用於「風險最高的問題」小工具中的項目。
- 選取問題時的「問題」頁面。您可以在問題的「總覽」分頁中,查看簡化的攻擊路徑。
在企業服務層級中,您可以在下列位置查看簡化版的攻擊路徑:
- 「風險」>「總覽」頁面,適用於「風險最高的問題」小工具中的項目。
- 選取問題時,「風險」> 問題頁面。您可以在問題的「總覽」分頁中,查看簡化版攻擊路徑。
- 選取案件時,「風險」> 案件頁面。您可以在「案件總覽」分頁中存取簡化的攻擊路徑。
如要查看完整攻擊路徑,請先查看簡化版本,然後按一下「瞭解完整攻擊路徑」。
以下螢幕截圖是簡化版有害組合攻擊路徑的範例:
以下螢幕截圖是瓶頸的簡化攻擊路徑範例:
相關發現項目
構成有害組合和瓶頸的許多個別風險,也會由其他 Security Command Center 偵測服務偵測到。這些其他偵測服務會針對這些風險產生個別的發現項目,並列為問題和案件中的相關發現項目。相關發現項目也會在攻擊路徑中標示。
如果是屬於有害組合,系統會為相關發現項目開啟個別案件、執行不同的應對手冊,且團隊其他成員可能會獨立處理這些案件,與有害組合發現項目的補救措施無關。請檢查這些相關發現項目的案件狀態,並視需要要求案件擁有者優先處理,協助解決有害組合問題。
案件
在 Enterprise 服務層級中,Security Command Center 會為每個產生的有害組合發現項目開啟案件。瓶頸不會產生案件。
在案件詳細資料檢視畫面中,您可以找到下列與有害組合相關的資訊:
- 有害組合的說明
- 有害組合的受攻擊風險分數
- 有害組合建立的攻擊路徑圖表
- 受影響資源的相關資訊
- 可採取哪些步驟來修正有害組合
- 其他 Security Command Center 偵測服務的相關發現項目資訊,包括相關聯案件的連結
- 適用的應對手冊
- 相關支援單
在 Security Operations 控制台的「風險」> 案件頁面,您可以使用「有害組合」標記查詢或篩選有害組合案件。您也可以在案件清單中,透過以下圖示 
找出有害組合案件。
如要進一步瞭解如何查看有害組合案件,請參閱「查看有害組合案件」。
案件優先順序
根據預設,有害組合案件的優先順序會設為與相關案件中,有害組合發現項目和相關聯快訊的嚴重程度相同。這表示所有有害組合案件的初始優先順序為 Critical 或 High。
案件開啟後,您可以變更案件或快訊的優先順序。變更案件或快訊的優先順序不會改變調查結果的嚴重程度。
關閉案件
系統首次為有害組合產生發現項目時,其狀態為 Active。
如果修正有害組合,Risk Engine 會在下次模擬攻擊路徑時自動偵測到修正作業,並結案。模擬作業大約每六小時執行一次。
或者,如果您認為有害組合造成的風險可接受或無法避免,可以將調查結果設為靜音,藉此結案。
忽略發現項目後,該項目仍會保持有效,但 Security Command Center 會關閉案件,並從預設查詢和檢視畫面中省略該項目。
詳情請參閱下列資訊: