Menemukan tingkat keparahan

Halaman ini menjelaskan properti severity dari temuan Security Command Center dan kemungkinan nilainya.

Properti severity memberikan indikator umum tentang pentingnya memperbaiki temuan dari kategori temuan tertentu atau, dalam beberapa kasus, subkategori.

Umumnya, Anda harus memperbaiki temuan tingkat keparahan HIGH sebelum temuan tingkat keparahan LOW, tetapi bergantung pada resource yang terpengaruh atau pertimbangan lain, mungkin memperbaiki temuan tingkat keparahan LOW tertentu lebih penting daripada temuan tingkat keparahan HIGH.

Keparahan dibandingkan dengan skor eksposur serangan

Anda dapat menggunakan tingkat keparahan temuan dan menemukan skor eksposur serangan untuk memprioritaskan perbaikan temuan, tetapi penting untuk memahami perbedaan di antara keduanya.

Tingkat keparahan adalah indikator umum yang telah ditentukan sebelumnya berdasarkan kategori temuan. Tingkat keparahan default yang sama ditetapkan ke semua temuan dalam kategori atau subkategori tertentu.

Skor eksposur serangan adalah indikator dinamis yang dihitung untuk temuan setelah temuan dikeluarkan. Skor ini khusus untuk instance temuan dan didasarkan pada sejumlah faktor, termasuk instance resource yang terpengaruh oleh temuan dan kesulitan yang akan dihadapi penyerang hipotetis saat melintasi jalur dari titik akses potensial ke resource bernilai tinggi yang terpengaruh.

Semua temuan dapat memiliki tingkat keparahan. Hanya temuan kerentanan dan kesalahan konfigurasi yang didukung oleh simulasi jalur serangan yang dapat memiliki skor eksposur serangan.

Saat memprioritaskan temuan kerentanan dan kesalahan konfigurasi, prioritaskan berdasarkan skor eksposur serangan sebelum memprioritaskan berdasarkan tingkat keparahan.

Klasifikasi tingkat keparahan

Security Command Center menggunakan klasifikasi tingkat keparahan berikut, yang ditampilkan di kolom Severity saat temuan ditampilkan di konsol Google Cloud:

  • Critical
  • High
  • Medium
  • Low
  • Unspecified

Tingkat keparahan Critical

Kerentanan kritis mudah ditemukan dan dapat dieksploitasi sehingga menghasilkan kemampuan langsung untuk mengeksekusi kode arbitrer, mengeksfiltrasi data, dan mendapatkan akses dan hak istimewa tambahan di resource dan alur kerja cloud. Contohnya termasuk data pengguna yang dapat diakses secara publik dan akses SSH publik dengan sandi yang lemah atau tidak ada.

Ancaman kritis dapat mengakses, mengubah, atau menghapus data, atau menjalankan kode yang tidak sah dalam resource yang ada.

Temuan class SCC error yang penting berarti salah satu hal berikut:

  • Error konfigurasi mencegah Security Command Center menghasilkan temuan baru dengan tingkat keparahan apa pun.
  • Error konfigurasi mencegah Anda melihat semua temuan layanan.
  • Error konfigurasi mencegah simulasi jalur serangan menghasilkan skor eksposur serangan dan jalur serangan.

Tingkat keparahan High

Kerentanan berisiko tinggi mudah ditemukan dan dapat dieksploitasi dengan kerentanan lain untuk mendapatkan akses langsung guna mengeksekusi kode arbitrer atau mengeksfiltrasi data, serta mendapatkan akses dan hak istimewa tambahan ke resource dan workload. Misalnya, database yang memiliki sandi lemah atau tidak memiliki sandi dan hanya dapat diakses secara internal dapat disusupi oleh pelaku yang memiliki akses ke jaringan internal.

Ancaman berisiko tinggi dapat membuat resource komputasi di lingkungan, tetapi tidak dapat mengakses data atau menjalankan kode di resource yang ada.

Penemuan class SCC error berisiko tinggi menunjukkan bahwa error konfigurasi menyebabkan salah satu masalah berikut:

  • Anda tidak dapat melihat atau mengekspor beberapa temuan layanan.
  • Untuk simulasi jalur serangan, skor eksposur serangan dan jalur serangan mungkin tidak lengkap atau tidak akurat.

Tingkat keparahan Medium

Kerentanan berisiko sedang dapat memungkinkan pelaku mendapatkan akses ke resource atau hak istimewa yang pada akhirnya memungkinkan mereka mendapatkan akses dan kemampuan untuk memindahkan data secara tidak sah atau menjalankan kode arbitrer. Misalnya, jika akun layanan memiliki akses yang tidak perlu ke project dan pelaku mendapatkan akses ke akun layanan, pelaku dapat menggunakan akun layanan tersebut untuk memanipulasi project.

Ancaman berisiko sedang dapat menyebabkan masalah yang lebih serius, tetapi mungkin tidak menunjukkan akses data saat ini atau eksekusi kode yang tidak sah.

Tingkat keparahan Low

Kerentanan berisiko rendah menghambat kemampuan tim keamanan untuk mendeteksi kerentanan atau ancaman aktif dalam deployment mereka, atau mencegah investigasi akar masalah terkait masalah keamanan. Misalnya, skenario saat pemantauan dan log dinonaktifkan untuk konfigurasi dan akses resource.

Ancaman berisiko rendah telah memperoleh akses minimal ke lingkungan, tetapi tidak dapat mengakses data, menjalankan kode, atau membuat resource.

Tingkat keparahan Unspecified

Klasifikasi tingkat keparahan Unspecified menunjukkan bahwa layanan yang menghasilkan temuan tidak menetapkan nilai tingkat keparahan untuk temuan tersebut.

Jika mendapatkan temuan dengan tingkat keparahan Unspecified, Anda harus menilai tingkat keparahannya sendiri dengan menyelidiki temuan tersebut dan meninjau dokumentasi apa pun yang disediakan produk atau layanan yang menghasilkan temuan tersebut.

Keparahan variabel

Tingkat keparahan temuan dalam kategori temuan dapat bervariasi dalam keadaan tertentu.

Tingkat keparahan yang bervariasi berdasarkan skor eksposur serangan

Jika Anda menggunakan tingkat Enterprise Security Command Center, tingkat keparahan temuan kerentanan dan kesalahan konfigurasi akan mencerminkan risiko setiap temuan secara lebih akurat, karena keparahan temuan dapat berubah untuk mencerminkan skor eksposur serangan temuan.

Dengan tingkat Enterprise, temuan kerentanan dan kesalahan konfigurasi akan dikeluarkan dengan tingkat keparahan default atau dasar pengukuran yang umum untuk semua temuan dalam kategori temuan tertentu. Setelah temuan dikeluarkan, jika simulasi jalur serangan Security Command Center menentukan bahwa temuan tersebut mengekspos satu atau beberapa resource yang telah Anda tetapkan sebagai resource bernilai tinggi, simulasi akan menetapkan skor eksposur serangan ke temuan tersebut dan meningkatkan tingkat keparahannya. Jika temuan tetap aktif, tetapi simulasi kemudian mengurangi skor eksposur serangan, tingkat keparahan temuan juga dapat menurun, tetapi tidak lebih rendah dari tingkat default awal.

Jika Anda menggunakan paket Premium atau Standar Security Command Center, tingkat keparahan semua temuan akan tetap statis.

Tingkat keparahan yang bervariasi berdasarkan masalah yang terdeteksi

Untuk beberapa kategori temuan, Security Command Center dapat menetapkan tingkat keparahan default yang berbeda untuk temuan, bergantung pada detail masalah keamanan yang terdeteksi.

Misalnya, klasifikasi tingkat keparahan temuan IAM anomalous grant yang dihasilkan oleh Event Threat Detection biasanya HIGH, tetapi jika temuan dihasilkan untuk pemberian izin sensitif ke peran IAM kustom, tingkat keparahannya adalah MEDIUM.

Melihat tingkat keparahan temuan di konsol Google Cloud

Anda dapat melihat temuan Security Command Center berdasarkan tingkat keparahan dengan beberapa cara di konsol Google Cloud:

  • Di halaman Ringkasan, Anda dapat melihat jumlah temuan pada setiap tingkat keparahan yang aktif di resource Anda di bagian Kerentanan per jenis resource.
  • Di halaman Ancaman, Anda dapat melihat jumlah temuan ancaman yang ada di setiap tingkat keparahan.
  • Di halaman Kerentanan, Anda dapat memfilter modul deteksi kerentanan yang ditampilkan berdasarkan tingkat keparahan untuk hanya menampilkan modul yang memiliki temuan aktif pada tingkat keparahan tersebut.
  • Di halaman Temuan, Anda dapat menambahkan filter untuk tingkat keparahan tertentu ke kueri temuan dari panel Filter cepat.