En esta página, se proporciona una descripción general del concepto de combinación tóxica y de los hallazgos y casos que los analistas de vulnerabilidades pueden usar para identificar, priorizar y corregir las combinaciones tóxicas en Security Command Center Enterprise.
Los hallazgos y los casos de combinaciones tóxicas te ayudan a identificar el riesgo de manera más eficaz y a mejorar la seguridad en tus entornos de nube.
Definición de combinación tóxica
Una combinación tóxica es un grupo de problemas de seguridad que, cuando se producen juntos en un patrón particular, crean una ruta a uno o más de tus recursos de alto valor que un atacante determinado podría usar para alcanzar y comprometer esos recursos.
Un problema de seguridad es todo lo que contribuye a la exposición de tus recursos en la nube, como una configuración particular de recursos, una configuración o una vulnerabilidad de software.
El motor de riesgos de Security Command Center Enterprise detecta combinaciones tóxicas durante las simulaciones de rutas de ataque que ejecuta. Por cada combinación tóxica que detecta Risk Engine, se emite un hallazgo. Cada hallazgo incluye una puntuación de exposición a ataques que mide el riesgo de la combinación tóxica para los recursos de alto valor en tu entorno de nube. Risk Engine también genera una visualización de la ruta de ataque que la combinación tóxica crea para los recursos de alto valor.
Puntuaciones de exposición a ataques en combinaciones tóxicas
Risk Engine calcula una puntuación de exposición a ataques para cada hallazgo de combinación tóxica. La puntuación es una estimación de la cantidad de riesgo que representa la combinación tóxica para tus recursos de alto valor.
Una puntuación en un hallazgo de combinación tóxica es similar a las puntuaciones de exposición a ataques de otros tipos de hallazgos, pero se puede considerar que se aplica a una ruta en lugar de un hallazgo de una configuración o vulnerabilidad de software individual.
Por lo general, una combinación tóxica representa un riesgo mayor para la implementación de la nube que un problema de seguridad individual. Sin embargo, compara la puntuación de un hallazgo de combinación tóxica con las puntuaciones de otros resultados de combinaciones y posturas tóxicas para determinar sobre cuál debes actuar primero.
Si la puntuación de un hallazgo de un problema de seguridad individual es mucho más alta que la puntuación de un hallazgo de combinación tóxica, debes priorizar el hallazgo que tenga la puntuación más alta.
Al igual que las puntuaciones de exposición a ataques de otros hallazgos, las puntuaciones de exposición a ataques de combinaciones tóxicas se derivan de lo siguiente:
- La cantidad de recursos de alto valor expuestos, los valores de prioridad y las puntuaciones de exposición
- La probabilidad de que un atacante determinado tenga éxito en alcanzar un recurso de alto valor
Para obtener más información, consulta Puntuaciones de exposición a ataques.
Visualizaciones de rutas de ataque para combinaciones tóxicas
Risk Engine proporciona una representación visual de las rutas de ataque que una combinación tóxica crea a tus recursos de alto valor. Una ruta de ataque representa una serie de problemas y recursos de seguridad que un posible atacante podría usar para alcanzar un recurso de alto valor.
La ruta de ataque te ayuda a comprender las relaciones entre los problemas de una combinación tóxica y cómo juntos forman una ruta hacia tus recursos de alto valor. La visualización de la ruta también te muestra cuántos recursos de alto valor están expuestos y cuáles son las prioridades relativas de los recursos expuestos.
En la consola de operaciones de seguridad, los problemas de seguridad que conforman la combinación tóxica se destacan con un borde amarillo negrita en forma de diamante en la ruta de ataque.
En la consola de operaciones de seguridad, Security Command Center proporciona dos versiones de una ruta de ataque de combinación tóxica. La primera es una versión simplificada que aparece en la pestaña de descripción general del caso como una combinación tóxica. La segunda muestra la ruta de ataque completa. Para abrir la ruta de ataque completa, haz clic en Explorar todas las rutas de ataque en la ruta de ataque simplificada o en Explorar la ruta de ataque de combinación tóxica en la esquina superior derecha de la vista del caso.
La siguiente captura de pantalla es un ejemplo de una ruta de ataque simplificada.
Para obtener más información, consulta Rutas de ataque.
Casos de combinación tóxicos
Security Command Center Enterprise abre un caso en la consola de operaciones de seguridad por cada hallazgo de combinación tóxica que produce el motor de riesgo.
Puedes consultar o filtrar casos de combinación tóxicos con la etiqueta TOXIC_COMBINATION que incluyen. También puedes identificar de forma visual los casos combinados tóxicos en la consola de operaciones de seguridad con el siguiente ícono:
Un caso de combinación tóxica nunca contiene más de un hallazgo de combinación tóxica o una alerta.
El caso es la forma principal de investigar y rastrear la solución de una combinación tóxica. En la vista de casos, puedes encontrar la siguiente información:
- Una descripción de la combinación tóxica
- La puntuación de exposición a ataques de la combinación tóxica
- Una visualización de la ruta de ataque que crea la combinación tóxica
- Información sobre el recurso afectado
- Información sobre los pasos que puedes seguir para remediar la combinación tóxica
- Información sobre cualquier resultado relacionado de otros servicios de detección de Security Command Center, incluidos vínculos a sus casos asociados
- Cualquier guía aplicable
- Cualquier boleto asociado
Puedes ver a simple vista los casos de combinación tóxicos de tu entorno en la página Descripción general de la postura de Security Command Center en la consola de operaciones de seguridad. La página Descripción general de la postura contiene widgets que muestran casos de combinaciones tóxicas por prioridad, puntuación de exposición a ataques y por el tiempo restante en el Acuerdo de Nivel de Servicio (ANS).
Para obtener más información sobre cómo ver casos de combinación tóxicos, consulta Consulta casos de combinación tóxica.
Prioridad del caso
De forma predeterminada, los casos de combinación tóxica tienen una prioridad de Critical para coincidir con la gravedad del hallazgo de combinación tóxica y su alerta asociada en el caso de combinación tóxica.
Después de que se abre un caso, puedes cambiar su prioridad o de la alerta.
Cambiar la prioridad de un caso o una alerta no cambia la gravedad del hallazgo.
Cierre de casos
La disposición de los casos de combinación tóxica está determinada por el estado del hallazgo subyacente. Cuando se emite un resultado por primera vez, su estado es Active.
Si corriges la combinación tóxica, Risk Engine detecta automáticamente la solución durante la siguiente simulación de la ruta de ataque y cierra el caso. Las simulaciones se ejecutan, aproximadamente, cada seis horas.
Como alternativa, si determinas que el riesgo que representa la combinación tóxica es aceptable o inevitable, puedes cerrar un caso si silencias el hallazgo de combinación tóxica.
Cuando silencias un hallazgo de combinación tóxica, el hallazgo permanece activo, pero Security Command Center cierra el caso y omite el hallazgo de las consultas y vistas predeterminadas.
Para obtener más información, consulta los siguientes vínculos:
- Cómo cerrar casos de combinación tóxicos
- Descripción general de casos
- Silenciar resultados en Security Command Center
Resultados relacionados
Otros servicios de detección de Security Command Center también detectan muchos de los problemas de seguridad individuales que conforman una combinación tóxica que detecta Risk Engine. Estos otros servicios de detección emiten hallazgos separados para estos problemas. Estos hallazgos se enumeran en un caso de combinación tóxico como hallazgos relacionados.
Debido a que los hallazgos relacionados se emiten por separado del hallazgo de combinación tóxica, se abren casos separados para ellos, se ejecutan diferentes guías para ellos y otros miembros de tu equipo pueden trabajar en su solución independientemente de la solución del hallazgo de combinación tóxica.
Verifica el estado de los casos de estos hallazgos relacionados y, si es necesario, pídeles a los propietarios de los casos que prioricen su solución para ayudar a resolver la combinación tóxica.
En un caso de combinación tóxica, cualquier resultado relacionado se enumera en el widget Hallazgos en la pestaña de descripción general de un caso de combinación tóxico. Para cada resultado relacionado, el widget incluye un vínculo a su caso correspondiente.
Los hallazgos relacionados también se identifican en la ruta de ataque de combinaciones tóxicas.
Cómo detecta Risk Engine las combinaciones tóxicas
Risk Engine ejecuta simulaciones de rutas de ataque en todos tus recursos en la nube aproximadamente cada seis horas.
Durante las simulaciones, Risk Engine identifica posibles rutas de ataque a los recursos de alto valor en tu entorno de nube y calcula las puntuaciones de exposición a ataques de los hallazgos y los recursos de alto valor. Si Risk Engine detecta una combinación tóxica durante las simulaciones, emite un hallazgo.
Para obtener más información sobre las simulaciones de rutas de ataque, consulta Simulaciones de rutas de ataque.