攻击风险得分和攻击路径

本页介绍了关键概念、原则和限制,帮助您了解、优化和使用 Security Command Center 风险引擎生成的攻击风险得分和攻击路径。

系统会针对以下两种情况生成攻击路径得分和攻击路径:

  • 漏洞和错误配置发现结果(统称为漏洞发现结果,它们会暴露有效的高价值资源集中的资源实例)。
  • 有效高价值资源集中的资源。

如需使用攻击风险得分和攻击路径,您必须在组织级层激活 Security Command Center 高级或企业层级。您无法将攻击风险得分和攻击路径与项目级启用搭配使用。

攻击路径代表可能性

您不会在攻击路径中看到实际攻击的证据。

风险引擎会模拟假想的攻击者在获得 Google Cloud 环境访问权限并发现 Security Command Center 已发现的攻击路径和漏洞后可能采取的行动,从而生成攻击路径和攻击风险得分。

每个攻击路径都会显示攻击者在获得特定资源的访问权限后可能使用的一种或多种攻击方法。请勿将这些攻击方法与实际攻击混淆。

同样,Security Command Center 发现结果或资源的攻击风险得分较高并不代表正在遭受攻击。

如需监控实际攻击,请监控 Event Threat DetectionContainer Threat Detection 等威胁检测服务生成的 THREAT 类发现结果。

如需了解详情,请参阅本页面的以下部分:

攻击风险得分

Security Command Center 发现结果或资源的攻击风险得分可衡量如果恶意行为者获得对您 Google Cloud 环境的访问权限,资源会受到潜在攻击的程度。

在某些上下文中(例如 Google Cloud 控制台的发现结果页面),有害组合发现结果的攻击风险得分被称为有害组合得分

在说明得分计算方式的部分、关于确定发现结果修复优先级的一般指南中,以及在某些其他情境中,攻击风险得分一词也适用于恶意组合得分。

对于某项发现结果,该得分可衡量检测到的安全问题将一项或多项高价值资源暴露在潜在网络攻击下的程度。对于高价值资源,该得分可衡量该资源面临潜在网络攻击的风险程度。

您可以根据软件漏洞、配置错误和恶意组合发现结果的得分,确定修复这些发现结果的优先级。

针对资源使用攻击风险得分,以主动保护对您的业务最有价值的资源。

在攻击路径模拟中,风险引擎始终从公共互联网开始模拟攻击。因此,攻击风险得分不会考虑怀有恶意或过失的内部操作者可能造成的任何风险。

获得攻击风险得分的发现结果

攻击风险得分适用于受支持的发现结果类别中列出的活跃的发现结果类别。

由于攻击路径模拟包含已忽略的发现结果,因此风险引擎也会为已忽略的发现结果计算得分和攻击路径。

攻击路径模拟仅包含活跃的发现结果。状态为 INACTIVE 的发现结果不包含在模拟中,因此不会收到得分,也不会包含在攻击路径中。

获得攻击风险得分的资源

攻击路径模拟会为高价值资源集中受支持的资源类型计算攻击风险得分。您可以通过创建资源值配置来指定哪些资源属于高价值资源集。

如果高价值资源集中的某项资源的攻击风险得分为 0,则表示攻击路径模拟未发现潜在攻击者可以利用的任何到达该资源的路径。

攻击路径模拟支持以下资源类型:

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

分数计算

每次运行攻击路径模拟时,系统都会重新计算攻击风险得分。每个攻击路径模拟实际上会运行多次模拟,在此过程中,模拟攻击者会尝试使用已知的攻击方法和技术访问和入侵重要的资源。

攻击路径模拟每天最多可运行四次(每六小时一次)。随着组织的发展,模拟需要更长的时间,但每天始终至少运行一次。模拟运行不会因创建、修改或删除资源或资源值配置而触发。

模拟会使用各种指标计算得分,包括:

  • 分配给暴露的高价值资源的优先级值。您可以分配的优先级值具有以下值:
    • 高 = 10
    • 中 = 5
    • 低 = 1
  • 攻击者到达给定资源的可能途径的数量。
  • 模拟攻击者能够在给定攻击路径的末尾访问并入侵高价值资源的次数,表示为模拟总次数的百分比。
  • 仅限发现结果,表示被检测到的漏洞或配置错误暴露的高价值资源的数量。

对于资源,攻击风险得分介于 0 到 10 之间。

概括地说,模拟会将成功攻击的百分比乘以资源的数值优先级值,以此来计算资源得分。

对于发现结果,得分没有固定的上限。发现结果出现在高价值资源集中暴露资源的攻击路径上的频率越高,这些资源的优先级值越高,得分就越高。

概括地说,模拟会使用与计算资源得分相同的计算方法来计算发现结果得分,但对于发现结果得分,模拟会将计算结果乘以该发现结果暴露的高价值资源数量。

更改分数

每次运行攻击路径模拟时,得分都可能发生变化。今天得分为零的发现结果或资源明天得分可能就不为零。

得分发生变化的原因有很多,包括以下各项:

  • 检测到或修复了直接或间接暴露高价值资源的漏洞。
  • 添加或移除环境中的资源。

在模拟运行后,发现结果或资源更改直到下一次模拟运行才会反映到得分中。

使用得分确定修复措施的优先级

要根据攻击风险得分或危险组合得分有效地确定修复发现结果的优先级,请考虑以下几点:

  • 得分大于零的任何发现结果都会以某种方式将高价值资源暴露在潜在攻击之下,因此应优先对此类发现结果而不是得分为零的发现结果进行修复。
  • 发现结果的得分越高,它将高价值资源暴露的程度就越高,您就越应该优先对其进行修复。

通常,应最先修复得分最高且最能有效阻止高价值资源的攻击路径的发现结果。

如果有毒组合问题的得分与另一类问题的得分大致相同,请优先修复有毒组合问题,因为它代表了从公共互联网到一个或多个高价值资源的完整路径,攻击者如果获得对您云环境的访问权限,就可能会沿着该路径进行攻击。

Google Cloud 控制台或 Security Operations 控制台中的 Security Command Center 发现结果页面上,您可以点击列标题,按得分对页面面板中的发现结果进行排序。

在 Google Cloud 控制台中,您还可以查看得分最高的发现结果,方法是向发现结果查询添加过滤条件,仅返回攻击风险得分大于指定数字的发现结果。

在安全运营控制台的支持请求页面上,您还可以按攻击风险得分对有害组合支持请求进行排序。

无法修复的发现结果。

在某些情况下,您可能无法修复攻击风险得分较高的发现结果,因为它表示可接受的已知风险,或者表示发现结果无法轻易修复。在这些情况下,您可能需要通过其他方式降低风险。查看相关攻击路径也许有助于您了解其他可能的缓解措施。

使用攻击风险得分来保护资源

资源的攻击风险得分不为零意味着攻击路径模拟已识别出一条或多条从公共互联网到该资源的攻击路径。

如需查看高价值资源的攻击风险得分,请按以下步骤操作:

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的资产页面。

    前往“素材资源”页面

  2. 选择高价值资源集标签页。高价值资源集中的资源会按攻击风险得分从高到低的顺序显示。

  3. 点击攻击风险得分列中相应资源所在行中的数字,即可显示该资源的攻击路径。系统会显示从公共互联网到资源的攻击路径。

  4. 查看攻击路径,在表示发现结果的节点上查找红色圆圈。如需了解如何解读攻击路径,请参阅攻击路径

  5. 点击带有红色圆圈的节点,查看发现的问题。

  6. 采取措施来解决发现的问题。

您还可以在设置攻击路径模拟标签页中,点击查看上次模拟使用的重要资源,查看高价值资源的攻击风险得分。

攻击风险得分为 0

资源的攻击风险得分为 0 意味着在最新的攻击路径模拟中,Security Command Center 未识别出攻击者访问该资源时可能采取的任何潜在路径。

发现结果的攻击风险得分为 0 意味着在最新的攻击模拟中,模拟攻击者无法通过发现结果访问任何高价值资源。

但是,攻击风险得分为 0 并不意味着没有风险。攻击风险得分反映了受支持的 Google Cloud 服务、资源和 Security Command Center 发现结果暴露在公共互联网的潜在威胁之下。例如,得分不考虑内部操作者、零日漏洞或第三方基础架构的威胁。

无攻击风险得分

如果发现结果或资源没有得分,可能有以下原因:

  • 发现结果是在最新的攻击路径模拟之后发出的。
  • 该资源是在最新的攻击路径模拟之后添加到您的高价值资源集中的。
  • 攻击风险功能目前不支持该发现结果类别或资源类型。

如需查看受支持的发现结果类别列表,请参阅风险引擎功能支持

如需查看支持的资源类型列表,请参阅会收到攻击风险得分的资源

资源值

虽然您在 Google Cloud 上的所有资源都有价值,但 Security Command Center 仅会识别攻击路径并计算您指定为高价值资源(有时也称为有价值的资源)的资源的攻击风险得分。

高价值资源

Google Cloud 上的高价值资源是指对您的业务来说特别重要的资源,需要受到保护以免遭到潜在攻击。例如,高价值资源可能是存储重要或敏感数据的资源,或者托管业务关键型工作负载的资源。

您可以通过在资源值配置中定义资源的属性,将资源指定为高价值资源。最多可包含 1,000 个资源实例,Security Command Center 会将与您在配置中指定的属性匹配的任何资源实例视为高价值资源。

优先级值

在您指定为高价值的资源中,您可能需要优先考虑某些资源的安全性。例如,一组数据资源可能包含高价值数据,但其中某些数据资源可能包含比其他数据资源更敏感的数据。

为了让得分反映出您需要优先保障高价值资源集内资源的安全,您可以在资源值配置中为指定为高价值的资源分配优先级值。

如果您使用敏感数据保护功能,还可以根据资源包含的数据的敏感性自动确定资源的优先级。

手动设置资源优先级值

在资源值配置中,您可以通过指定以下优先级值之一,为匹配的高价值资源分配优先级:

  • LOW = 1
  • MEDIUM = 5
  • HIGH = 10
  • NONE = 0

如果您在资源值配置中指定优先级值为 LOW,则匹配的资源仍然是高价值资源;攻击路径模拟只是将其视为优先级较低的资源,并为其分配的攻击风险得分低于优先级值为 MEDIUMHIGH 的高价值资源。

如果多个配置为同一资源分配不同的值,则以最大值为准,除非配置分配的值为 NONE

资源值 NONE 会使匹配的资源不被视为高价值资源,并替换同一资源的任何其他资源值配置。因此,请确保指定 NONE 的任何配置仅应用于一组有限的资源。

自动按数据敏感度设置资源优先级值

如果您使用敏感数据保护发现功能将数据分析文件发布到 Security Command Center,则可以配置 Security Command Center,以根据资源包含的数据的敏感性自动设置某些高价值资源的优先级值。

资源值配置中指定资源时,您可以启用数据敏感性优先级。

启用后,如果 Sensitive Data Protection 发现功能将资源中的数据分类为 MEDIUMHIGH 敏感度,攻击路径模拟功能会默认将资源的优先级值设置为相同的值。

数据敏感度级别由敏感数据保护定义,但您可以按如下方式对其进行解读:

高敏感数据
敏感数据保护发现服务在资源中发现了至少 1 个高敏感数据实例。
中等敏感度数据
敏感数据保护发现服务在资源中发现了至少一个中敏感度数据实例,但没有发现高敏感度数据实例。
低敏感度数据
敏感数据保护发现功能未在资源中检测到敏感数据或任何自由格式文本或非结构化数据。

如果敏感数据保护发现功能仅在匹配的数据资源中识别出低敏感度数据,则不会将该资源指定为高价值资源。

如果您需要将仅包含低敏感度数据的数据资源指定为优先级较低的高价值资源,请创建重复的资源值配置,但指定优先级值为 LOW,而不是启用数据敏感度优先级。使用敏感数据保护功能的配置会替换分配 LOW 优先级值的配置,但仅适用于包含 HIGHMEDIUM 敏感度数据的资源。

您可以更改 Security Command Center 在资源值配置中检测到敏感数据时使用的默认优先级值。

如需详细了解敏感数据保护,请参阅敏感数据保护概览

按数据敏感度确定优先级和默认的高价值资源集

在您创建自己的高价值资源集之前,Security Command Center 会使用默认的高价值资源集来计算攻击风险得分和攻击路径。

如果您使用敏感数据保护发现功能,Security Command Center 会自动将包含 HIGHMEDIUM 敏感度数据的受支持数据资源类型的实例添加到默认的高价值资源集中。

支持自动设置数据敏感度优先级值的 Google Cloud 资源类型

攻击路径模拟功能只能针对以下数据资源类型根据 Sensitive Data Protection 发现中的数据敏感度分类自动设置优先级值:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

支持自动设置数据敏感度优先级值的 AWS 资源类型

攻击路径模拟功能只能针对以下 AWS 数据资源类型,根据 Sensitive Data Protection 发现中的数据敏感性分类自动设置优先级值:

  • Amazon S3 存储桶

高价值资源集

高价值资源集是 Google Cloud 环境中定义的最需要保护的重要资源集合。

若要定义高价值资源集,您需要指定 Google Cloud 环境中哪些资源属于高价值资源集。在您定义高价值资源集之前,攻击风险得分、攻击路径和恶意组合发现结果无法准确反映您的安全优先级。

您可以通过创建资源值配置,来指定高价值资源集中的资源。所有资源值配置的组合定义了您的高价值资源集。如需了解详情,请参阅资源值配置

在您定义第一个资源值配置之前,Security Command Center 将使用默认的高价值资源集。默认集将在整个组织中应用于攻击路径模拟支持的所有资源类型。如需了解详情,请参阅默认的高价值资源集

如需查看上次攻击路径模拟中使用的高价值资源集(包括攻击风险得分和匹配配置),请参阅查看高价值资源集

资源值配置

您可以使用资源值配置管理高价值资源集中的资源。

您可以在 Google Cloud 控制台中 Security Command Center 设置页面的攻击路径模拟标签页上创建资源值配置。

在资源值配置中,您可以指定资源必须具有的属性,以便 Security Command Center 将其添加到高价值资源集中。

您可以指定的属性包括资源类型、资源标记、资源标签以及父级项目、文件夹或组织。

您还需要在配置中为资源分配资源值。资源值会相对于高价值资源集中的其他资源确定配置中资源的优先级。如需了解详情,请参阅资源值

您最多可以在一个 Google Cloud 组织中创建 100 个资源值配置。

您创建的所有资源值配置共同定义了 Security Command Center 用于攻击路径模拟的高价值资源集。

资源属性

对于要纳入高价值资源集的资源,其属性必须与您在资源值配置中指定的属性一致。

您可以指定的属性包括:

  • 一个资源类型,或 Any。指定 Any 时,配置将应用于指定范围内所有受支持的资源类型。Any 为默认值。
  • 资源必须所在的范围(父级组织、文件夹或项目)。默认范围是您的组织。如果您指定了组织或文件夹,则配置也会应用于子文件夹或项目中的资源。
  • (可选)每个资源必须包含的一个或多个标记标签

如果指定了一个或多个资源值配置,但 Google Cloud 环境中没有资源与任何配置中指定的属性匹配,则 Security Command Center 会发出 SCC Error 发现结果并回退到默认的高价值资源集。

默认的高价值资源集

如果未定义资源值配置或定义的配置与任何资源都不匹配,则 Security Command Center 会使用默认的高价值资源集来计算攻击风险得分。

除非您使用敏感数据保护发现功能,否则 Security Command Center 会为默认高价值资源中的资源分配优先级值 LOW。如果您使用敏感数据保护发现功能,Security Command Center 会为包含高敏感度或中敏感度数据的资源分配相应的优先级值 HIGHMEDIUM

如果至少一个资源值配置与环境中至少一个资源匹配,则 Security Command Center 将停止使用默认的高价值资源集。

为了接收准确反映安全优先级的攻击风险得分和有害组合得分,请将默认的高价值资源集替换为您自己的高价值资源集。如需了解详情,请参阅定义和管理高价值资源集

以下列表显示了默认的高价值资源集中包含的资源类型:

  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

高价值资源集中的资源限制

Security Command Center 将高价值资源中的资源数量限制为 1000。

如果一个或多个资源值配置中的属性规范非常广泛,则与属性规范匹配的资源数量可能会超过 1,000。

如果匹配资源的数量超过限制,Security Command Center 会从资源集中排除资源,直到资源数量在限制范围内。Security Command Center 首先排除分配值最低的资源。在具有相同分配值的资源中,Security Command Center 通过一种算法来排除资源实例,该算法可跨各个资源类型分配排除的资源。

计算攻击风险得分时不考虑从高价值资源集中排除的资源。

为了在超过得分计算的实例限制时提醒您,Security Command Center 会发出 SCC error 发现结果,并在 Google Cloud 控制台中的攻击路径模拟设置标签页上显示消息。如果默认的最大值集超过实例限制,则 Security Command Center 不会发出 SCC error 发现结果。

为避免超出限制,请调整资源值配置,以优化高价值资源集中的实例。

您可以采取以下措施来优化高价值资源集,包括:

  • 使用标记标签来减少给定资源类型或指定范围内的匹配数量。
  • 创建资源值配置,以将值 NONE 分配给在另一配置中指定的部分资源。指定 NONE 值时会替换任何其他配置,并排除高价值资源集中的资源实例。
  • 缩小资源值配置中的范围规范。
  • 删除分配了 LOW 值的资源值配置。

选择高价值资源

如需填充高价值资源集,您需要确定环境中哪些资源实例确实具有高价值。

通常,真正的高价值资源是处理和存储敏感数据的资源。例如,在 Google Cloud 上,这些资源可能是 Compute Engine 实例、BigQuery 数据集或 Cloud Storage 存储桶。

您无需将高价值资源(例如跳转服务器)附近的资源指定为高价值资源。攻击路径模拟会考虑这些相邻的资源,如果您也将其指定为高价值资源,可能会使得攻击风险得分不那么可靠。

多云支持

攻击路径模拟功能可评估您在其他云服务提供商平台上的部署存在的风险。

与其他平台建立连接后,您可以通过创建资源值配置来指定其他云服务提供商上的高价值资源,就像在 Google Cloud 上指定资源一样。

Security Command Center 会为某个云平台运行模拟,而不会影响为其他云平台运行的模拟。

在您为其他云服务提供商创建第一个资源值配置之前,Security Command Center 会使用特定于该云服务提供商的默认高价值资源集。默认的高价值资源集会将所有受支持的资源指定为高价值资源。

支持的云服务提供商平台

除了 Google Cloud 之外,Security Command Center 还可以针对 Amazon Web Services (AWS) 运行攻击路径模拟。如需了解详情,请参阅以下主题:

攻击路径

攻击路径以可视化的交互方式描述了假想的攻击者可能会采取的一条或多条潜在路径,他们通过此类潜在路径从公共互联网到达您的某个高价值资源实例。

攻击路径模拟可模仿攻击者将已知的攻击方法应用于 Security Command Center 已在您的环境中检测到的漏洞和配置错误以尝试访问您的高价值目标时发生的情况,从而识别潜在的攻击路径。

您可以在 Google Cloud 控制台中点击某个发现结果或资源的攻击风险得分来查看攻击路径。

在安全运营控制台中查看危险组合案例时,您可以在“案例概览”标签页上查看危险组合的简化攻击路径。简化后的攻击路径包含指向完整攻击路径的链接。如需详细了解恶意组合问题的攻击路径,请参阅恶意组合攻击路径

查看较大的攻击路径时,您可以在显示画面右侧攻击路径的微型视图上拖动红色方形焦点区域选择器,以更改攻击路径的视图。

在 Google Cloud 控制台中显示攻击路径时,您可以点击 AI 摘要预览版以显示攻击路径的说明。该说明是使用人工智能 (AI) 动态生成的。如需了解详情,请参阅 AI 生成的摘要

在攻击路径中,攻击路径上的资源表示为方框或节点。线条表示资源之间的潜在可访问性。节点和线条共同表示攻击路径。

攻击路径节点

攻击路径中的节点代表攻击路径上的资源。

显示节点信息

点击攻击路径中的每个节点,即可显示有关它的更多信息。

点击节点中的资源名称后,系统会显示有关该资源的详细信息以及影响该资源的任何发现结果。

点击展开节点可显示在攻击者获得资源访问权限时可能使用的攻击方法。

节点类型

节点有三种不同的类型:

  • 模拟攻击的起点或入口点,即公共互联网。点击某个入口点节点后,系统会显示入口点的说明以及攻击者可用来访问您的环境的攻击方法。
  • 攻击者可用于在路径上前进的受影响的资源
  • 路径末尾存在攻击风险的资源,即高价值资源集中的资源之一。只有已定义或默认的高价值资源集中的资源才是存在攻击风险的资源。您可以通过创建资源值配置来定义高价值资源集。

上游和下游节点

在攻击路径中,节点可以是其他节点的上游或下游。上游节点更接近入口点和攻击路径的顶部。下游节点更靠近攻击路径底部存在攻击风险的高价值资源。

表示多个容器资源实例的节点

节点可以表示某些容器资源类型的多个实例,前提是这些实例具有相同的特征。

以下容器资源类型的多个实例可以由单个节点表示:

  • ReplicaSet 控制器
  • Deployment 控制器
  • Job 控制器
  • CronJob 控制器
  • DaemonSet 控制器

攻击路径线

在攻击路径中,方框之间的线条表示资源之间的潜在可访问性,攻击者可以加以利用以访问高价值资源。

这些线条并不表示 Google Cloud 中定义的资源之间的关系。

如果有多个路径从多个上游节点指向一个下游节点,则上游节点之间可以是 AND 关系,也可以是 OR 关系。

AND 关系表示攻击者需要这两个上游节点的访问权限,才能访问路径上的下游节点。

例如,从公共互联网到攻击路径末尾的高价值资源的直接行与攻击路径中的另一行具有 AND 关系。除非攻击者同时访问您的 Google Cloud 环境和攻击路径中显示的至少一个其他资源,否则他们无法访问高价值资源。

OR 关系表示攻击者只需要其中一个上游节点的访问权限即可访问下游节点。

攻击路径模拟

为了确定所有可能的攻击路径并计算攻击风险得分,Security Command Center 会执行高级攻击路径模拟。

模拟时间表

攻击路径模拟每天最多可运行四次(每六小时一次)。随着组织的发展,模拟需要更长的时间,但每天始终至少运行一次。模拟运行不会因创建、修改或删除资源或资源值配置而触发。

攻击路径模拟步骤

模拟包含三个步骤:

  1. 模型生成:Google Cloud 环境的模型会根据环境数据自动生成。该模型是环境的图表表示形式,专为攻击路径分析量身定制。
  2. 攻击路径模拟:在图表模型上进行攻击路径模拟。这些模拟会让虚拟攻击者尝试访问并入侵高价值资源集中的资源。模拟利用针对每个特定资源和关系(包括网络、IAM、配置、配置错误和漏洞)的分析洞见。
  3. 分析洞见报告:Security Command Center 会根据模拟对高价值资源和暴露这些资源的发现结果分配攻击风险得分,并直观呈现攻击者访问这些资源的潜在路径。

模拟执行特征

攻击路径模拟除了提供攻击风险得分、攻击路径分析洞见和攻击路径之外,还具有以下特征:

  • 它们不会影响您的实际环境:所有模拟都是在虚拟模型上进行的,并且仅使用读取权限来创建模型。
  • 它们是动态的:模型是在不使用代理的情况下仅通过 API 读取权限创建的,这使得模拟能够随着时间的推移动态地跟随环境的变化。
  • 它们会让虚拟攻击者尝试尽可能多的方法和漏洞来访问和入侵您的高价值资源。这不仅包括“已知内容”(例如漏洞、配置、配置错误和网络关系),还包括低概率的“已知的未知内容”,即我们已知存在的风险,例如可能的钓鱼式攻击或凭据泄露。
  • 它们是自动的:攻击逻辑内置于工具中。您无需构建或维护大量查询或大型数据集。

攻击者的情况和能力

在模拟中,Security Command Center 以逻辑方式表示攻击者尝试通过访问您的 Google Cloud 环境并通过您的资源和检测到的漏洞按照潜在访问路径来利用您的高价值资源。

虚拟攻击者

模拟使用的虚拟攻击者具有以下特征:

  • 攻击者来自外部:攻击者不是 Google Cloud 环境的合法用户。对于可合法访问环境的怀有恶意或过失的用户,模拟无法模仿或包含他们发起的攻击。
  • 攻击者从公共互联网开始攻击。若要发起攻击,攻击者必须先从公共互联网访问您的环境。
  • 攻击者会坚持不懈。攻击者不会因为特定攻击方法太难而气馁或失去兴趣。
  • 攻击者很熟练,并且知识渊博。攻击者会尝试使用已知的方法和技术来访问高价值资源。

初始访问

每个模拟都会让一名虚拟攻击者尝试使用以下方法从公共互联网访问环境中的资源:

  • 发现并连接可通过公共互联网访问的任何服务和资源:
    • Compute Engine 虚拟机实例和 Google Kubernetes Engine 节点上的服务
    • 数据库
    • 容器
    • Cloud Storage 存储桶
    • Cloud Run functions
  • 获取密钥和凭据的访问权限,包括:
    • 服务账号密钥
    • 用户提供的加密密钥
    • 虚拟机实例 SSH 密钥
    • 项目范围的 SSH 密钥
    • 外部密钥管理系统
    • 未强制执行多重身份验证 (MFA) 的用户账号
    • 拦截的虚拟 MFA 令牌
  • 使用被盗凭据或利用 Mandiant Attack Surface Management 和虚拟机管理器报告的漏洞,访问可公开访问的云资产

如果模拟找到环境的可能入口点,则会让虚拟攻击者不断探索和利用环境中的安全配置和漏洞,以尝试从入口点访问和入侵高价值资源。

战术和方法

该模拟使用各种策略和技术,包括利用合法访问、横向移动、提升权限、漏洞、配置错误和代码执行。

纳入 CVE 数据

在计算漏洞发现结果的攻击风险得分时,攻击路径模拟会考虑漏洞的 CVE 记录CVSS 评分中的数据,以及 Mandiant 提供的漏洞可利用性评估。

考虑以下 CVE 信息:

  • 攻击途径:攻击者需要具有 CVSS 攻击途径中指定的访问权限级别才能使用 CVE。例如,在具有公共 IP 地址和开放端口的资产上发现具有网络攻击途径的 CVE 可能会被具有网络访问权限的攻击者利用。如果攻击者仅具有网络访问权限,并且 CVE 需要物理访问权限,攻击者就无法利用 CVE。
  • 攻击复杂性:通常,相较于复杂度高的发现结果,攻击复杂度低的漏洞或配置错误发现结果更有可能获得较高的攻击风险得分。
  • 利用活动:通常,相较于没有已知利用活动的发现结果,存在广泛利用活动的漏洞发现结果更有可能获得较高的攻击风险得分(由 Mandiant 的网络威胁情报分析师确定)。