En esta página, se describe la propiedad severity de los resultados de Security Command Center y sus posibles valores.
La propiedad severity proporciona un indicador general de lo importante que es corregir los resultados de una categoría de resultados en particular o, en algunos casos, de una subcategoría.
Por lo general, debes corregir los resultados de gravedad HIGH antes que los resultados de gravedad LOW, pero, según el recurso afectado o alguna otra consideración, es posible que corregir un resultado de gravedad LOW en particular sea más importante que corregir un resultado de gravedad HIGH.
Gravedad en comparación con la puntuación de exposición a ataques
Puedes usar las gravedades de los hallazgos y las puntuaciones de exposición a ataques para priorizar la corrección de los hallazgos, pero es importante comprender las diferencias entre ambos.
La gravedad es un indicador general que se determina de forma predeterminada según la categoría del hallazgo. Se asigna la misma gravedad predeterminada a todos los resultados de una categoría o subcategoría determinada.
Una puntuación de exposición a ataques es un indicador dinámico que se calcula para un hallazgo después de que se emite. La puntuación es específica para la instancia del hallazgo y se basa en varios factores, como las instancias de recursos a las que afecta el hallazgo y la dificultad que un atacante hipotético tendría para recorrer la ruta desde un posible punto de acceso al recurso de alto valor afectado.
Todos los resultados pueden tener una gravedad. Solo los hallazgos de vulnerabilidades y parámetros de configuración incorrectos que son compatibles con las simulaciones de rutas de ataque pueden tener una puntuación de exposición a los ataques.
Cuando priorices los hallazgos de vulnerabilidades y parámetros de configuración incorrectos, hazlo según las puntuaciones de exposición a ataques antes de priorizarlos según la gravedad.
Clasificaciones de gravedad
Security Command Center usa las siguientes clasificaciones de gravedad, que se muestran en la columna Gravedad cuando se muestran los resultados en la consola de Google Cloud:
CriticalHighMediumLowUnspecified
Gravedad de Critical
Una vulnerabilidad crítica es fácil de detectar y se puede aprovechar para mejorar la capacidad de ejecutar el código arbitrario, robar datos y, de lo contrario, obtener acceso y privilegios adicionales en recursos y flujos de trabajo en la nube. En los ejemplos, se incluyen los datos del usuario de acceso público y el acceso SSH público con contraseñas débiles o nulas.
Una amenaza crítica puede acceder a los datos, modificarlos o borrarlos, o ejecutar código no autorizado en sus recursos existentes.
Un hallazgo de clase SCC error crítico significa cualquiera de los siguientes puntos:
- Un error de configuración impide que Security Command Center genere resultados nuevos de cualquier gravedad.
- Un error de configuración te impide ver todos los resultados de un servicio.
- Un error de configuración evita que las simulaciones de rutas de ataque generen puntuaciones de exposición a ataques y rutas de ataque.
Gravedad de High
Una vulnerabilidad de alto riesgo se puede detectar fácilmente y podría explotarse con otras vulnerabilidades para obtener acceso directo a fin de ejecutar código arbitrario o robar datos, y obtener acceso y privilegios adicionales a recursos y cargas de trabajo. Por ejemplo, una base de datos con poca seguridad o sin contraseña y solo que se puede acceder a ella de forma interna, puede ser un actor que tiene acceso a la red interna.
Una amenaza de alto riesgo es crear recursos de procesamiento en un entorno, pero no puede acceder a datos ni ejecutar código en recursos existentes.
Un hallazgo de clase SCC error de alto riesgo indica que un error de configuración está causando uno de los siguientes problemas:
- No puedes ver ni exportar algunos de los resultados de un servicio.
- En el caso de las simulaciones de rutas de ataque, las puntuaciones de exposición a ataques y las rutas de ataque pueden estar incompletas o ser imprecisas.
Gravedad de Medium
Una vulnerabilidad de riesgo medio podría permitir a un actor obtener acceso a recursos o privilegios que le permitan finalmente acceder a él y la capacidad de robar datos o ejecutar código arbitrario. Por ejemplo, si una cuenta de servicio tiene acceso innecesario a proyectos y un actor obtiene acceso a la cuenta de servicio, este puede usar esa cuenta de servicio para manipular un proyecto.
Una amenaza de riesgo medio podría generar un problema más grave, pero es posible que no indique acceso a datos actual ni ejecución de código no autorizado.
Gravedad de Low
Una vulnerabilidad de bajo riesgo afecta la capacidad de un equipo de seguridad de detectar vulnerabilidades o amenazas activas en su implementación, o evitan la causa raíz de los problemas de seguridad. Por ejemplo, una situación en la que la supervisión y los registros están inhabilitados para la configuración y el acceso a los recursos.
Una amenaza de bajo riesgo obtuvo acceso mínimo a un entorno, pero no puede acceder a los datos, ejecutar el código ni crear recursos.
Gravedad de Unspecified
Una clasificación de gravedad de Unspecified indica que el servicio que generó el hallazgo no estableció un valor de gravedad para este.
Si obtienes un hallazgo con una gravedad de Unspecified, debes evaluarla por tu cuenta. Para ello, investiga el hallazgo y revisa la documentación que proporciona el producto o servicio que lo generó.
Gravedad de la variable
La gravedad de los hallazgos de una categoría puede variar en ciertas circunstancias.
Gravedades que varían según la puntuación de exposición a ataques
Si usas el nivel empresarial de Security Command Center, los niveles de gravedad de los resultados de vulnerabilidad y configuración incorrecta reflejan con mayor precisión el riesgo de cada resultado individual, ya que la gravedad de un resultado puede cambiar para reflejar la puntuación de exposición al ataque del resultado.
Con el nivel empresarial, los hallazgos de vulnerabilidad y configuración incorrecta se emiten con un nivel de gravedad predeterminado o de referencia que es común a todos los hallazgos dentro de una categoría determinada. Después de que se emite un hallazgo, si las simulaciones de rutas de ataque de Security Command Center determinan que el hallazgo expone uno o más recursos que designaste como recurso de alto valor, las simulaciones le asignan una puntuación de exposición a ataques y aumentan el nivel de gravedad según corresponda. Si el resultado permanece activo, pero las simulaciones reducen más adelante la puntuación de exposición al ataque, el nivel de gravedad del resultado también puede disminuir, pero no debe ser inferior al nivel predeterminado original.
Si usas el nivel Premium o Estándar de Security Command Center, los niveles de gravedad de todos los resultados permanecen estáticos.
Gravedades que varían según el problema detectado
En el caso de algunas categorías de resultados, Security Command Center puede asignar un nivel de gravedad predeterminado diferente a un resultado según los detalles del problema de seguridad que se detectó.
Por ejemplo, la clasificación de gravedad del hallazgo IAM anomalous grant que genera Event Threat Detection suele ser HIGH, pero si el hallazgo se genera por la concesión de permisos sensibles a un rol de IAM personalizado, la gravedad es MEDIUM.
Consulta las gravedades de los hallazgos en la consola de Google Cloud
Puedes ver los resultados de Security Command Center por gravedad de varias maneras en la console de Google Cloud:
- En la página Descripción general, puedes ver cuántos resultados de cada nivel de gravedad están activos en tus recursos en la sección Vulnerabilidades por tipo de recurso.
- En la página Amenazas, puedes ver cuántos resultados de amenazas existen en cada nivel de gravedad.
- En la página Vulnerabilidades, puedes filtrar los módulos de detección de vulnerabilidades que se muestran por nivel de gravedad para mostrar solo los módulos que tienen resultados activos en ese nivel de gravedad.
- En la página Resultados, puedes agregar filtros para niveles de gravedad específicos a tus búsquedas de resultados desde el panel Filtros rápidos.