Gravedad de las detecciones

En esta página se describe la propiedad severity de los resultados de Security Command Center y sus posibles valores.

La propiedad severity proporciona un indicador general de la importancia de corregir los resultados de una categoría o, en algunos casos, una subcategoría concreta.

Por lo general, debes corregir las detecciones de gravedad HIGH antes que las de gravedad LOW, pero, en función del recurso afectado u otras consideraciones, es posible que sea más importante corregir una detección de gravedad LOW que una de gravedad HIGH.

Gravedad en comparación con la puntuación de exposición a ataques

Puede usar tanto las gravedades de las detecciones como las puntuaciones de exposición a ataques para priorizar la corrección de las detecciones, pero es importante que entienda las diferencias entre ambas.

La gravedad es un indicador general predeterminado en función de la categoría del hallazgo. Se asigna la misma gravedad predeterminada a todos los resultados de una categoría o subcategoría determinada.

La puntuación de exposición a ataques es un indicador dinámico que se calcula para un hallazgo después de que se genere. La puntuación es específica de la instancia del hallazgo y se basa en varios factores, como las instancias de recursos a las que afecta el hallazgo y la dificultad que tendría un atacante hipotético para recorrer la ruta desde un posible punto de acceso hasta el recurso de alto valor afectado.

Todos los resultados pueden tener una gravedad. Solo las vulnerabilidades y los errores de configuración compatibles con las simulaciones de rutas de ataque pueden tener una puntuación de exposición a ataques.

Cuando priorices los resultados de vulnerabilidades y configuraciones erróneas, hazlo según las puntuaciones de exposición a los ataques antes de hacerlo según la gravedad.

Clasificaciones de gravedad

Security Command Center usa las siguientes clasificaciones de gravedad, que se muestran en la columna Gravedad cuando los hallazgos se muestran en la consola Google Cloud :

• Critical
• High
• Medium
• Low
• Unspecified

Critical gravedad

Una vulnerabilidad crítica se puede descubrir fácilmente y se puede aprovechar para ejecutar código arbitrario, extraer datos y obtener acceso y privilegios adicionales en recursos y flujos de trabajo de la nube. Por ejemplo, datos de usuario accesibles públicamente y acceso SSH público con contraseñas débiles o sin contraseñas.

Una amenaza crítica puede acceder, modificar o eliminar datos, o ejecutar código no autorizado en tus recursos.

Un SCC errorresultado crítico de la clase significa que se da alguna de las siguientes situaciones:

• Un error de configuración impide que Security Command Center genere nuevos resultados de cualquier gravedad.
• Un error de configuración impide que veas todos los resultados de un servicio.
• Un error de configuración impide que las simulaciones de rutas de ataque generen puntuaciones de exposición a ataques y rutas de ataque.

High gravedad

Una vulnerabilidad de alto riesgo es fácil de descubrir y podría aprovecharse con otras vulnerabilidades para obtener acceso directo y ejecutar código arbitrario o extraer datos, así como para obtener acceso y privilegios adicionales a recursos y cargas de trabajo. Por ejemplo, una base de datos que no tenga contraseñas o que tenga contraseñas poco seguras y a la que solo se pueda acceder internamente podría verse comprometida por un agente que tenga acceso a la red interna.

Una amenaza de alto riesgo puede crear recursos computacionales en un entorno, pero no puede acceder a los datos ni ejecutar código en los recursos existentes.

Un hallazgo de clase SCC error de alto riesgo indica que un error de configuración está provocando alguno de los siguientes problemas:

• No puedes ver ni exportar algunas de las detecciones de un servicio.
• En el caso de las simulaciones de rutas de ataque, las puntuaciones de exposición a ataques y las rutas de ataque pueden estar incompletas o ser inexactas.

Medium gravedad

Una vulnerabilidad de riesgo medio podría permitir que un agente obtuviera acceso a recursos o privilegios que le permitieran acceder y exfiltrar datos o ejecutar código arbitrario. Por ejemplo, si una cuenta de servicio tiene acceso innecesario a proyectos y un actor obtiene acceso a la cuenta de servicio, el actor podría usar esa cuenta de servicio para manipular un proyecto.

Una amenaza de riesgo medio podría provocar un problema más grave, pero no necesariamente indica que se haya accedido a los datos o que se haya ejecutado código no autorizado.

Low gravedad

Una vulnerabilidad de bajo riesgo dificulta la capacidad de un equipo de seguridad para detectar vulnerabilidades o amenazas activas en su implementación, o bien impide la investigación de la causa raíz de los problemas de seguridad. Por ejemplo, un caso en el que la monitorización y los registros están inhabilitados para las configuraciones y el acceso a los recursos.

Una amenaza de bajo riesgo ha obtenido un acceso mínimo a un entorno, pero no puede acceder a los datos, ejecutar código ni crear recursos.

Unspecified gravedad

Una clasificación de gravedad Unspecified indica que el servicio que ha generado el resultado no ha definido un valor de gravedad para él.

Si recibes una detección con una gravedad de Unspecified, debes evaluar la gravedad por tu cuenta investigando la detección y consultando la documentación que proporcione el producto o servicio que la haya generado.

Gravedad variable

La gravedad de las detecciones de una categoría puede variar en determinadas circunstancias.

Gravedades que varían en función de la puntuación de exposición a ataques

Si usas el nivel Enterprise de Security Command Center, los niveles de gravedad de los hallazgos de vulnerabilidades y errores de configuración reflejan con mayor precisión el riesgo de cada hallazgo, ya que la gravedad de un hallazgo puede cambiar para reflejar su puntuación de exposición a ataques.

Con el nivel Enterprise, los hallazgos de vulnerabilidades y errores de configuración se generan con un nivel de gravedad predeterminado o de referencia que es común a todos los hallazgos de una categoría determinada. Cuando se genera un hallazgo, si las simulaciones de rutas de ataque de Security Command Center determinan que el hallazgo expone uno o varios recursos que has designado como recursos de alto valor, las simulaciones asignan una puntuación de exposición a ataques al hallazgo y aumentan el nivel de gravedad en consecuencia. Si la detección sigue activa, pero las simulaciones reducen posteriormente la puntuación de exposición a ataques, el nivel de gravedad de la detección también puede disminuir, pero no por debajo del nivel predeterminado original.

Si utilizas el nivel Premium o Standard de Security Command Center, los niveles de gravedad de todos los hallazgos se mantienen estáticos.

Gravedades que varían en función del problema detectado

En algunas categorías de hallazgos, Security Command Center puede asignar un nivel de gravedad predeterminado diferente a un hallazgo en función de las características del problema de seguridad detectado.

Por ejemplo, la clasificación de gravedad de la IAM anomalous grant detección que genera Event Threat Detection suele ser HIGH. Sin embargo, si la conclusión se genera al conceder permisos sensibles a un rol de gestión de identidades y accesos personalizado, la gravedad es MEDIUM.

Ver las gravedades de los hallazgos en la consola de Google Cloud

En laGoogle Cloud consola, puede ver los resultados de Security Command Center por gravedad de varias formas: