En esta página, se describe la propiedad severity de los resultados de Security Command Center y sus valores posibles.
La propiedad severity proporciona un indicador general de la importancia de corregir los resultados de una categoría de resultado o, en algunos casos, de una subcategoría específica.
En general, debes corregir los resultados de gravedad HIGH antes que los resultados de gravedad LOW, pero, según el recurso afectado o alguna otra consideración, es posible que remediar un resultado de gravedad LOW particular sea más importante que un resultado de gravedad HIGH.
Gravedad comparada con la puntuación de exposición a ataques
Puedes usar la detección de gravedades y la búsqueda de puntuaciones de exposición a ataques para priorizar la corrección de los hallazgos, pero es importante comprender las diferencias entre ambos.
Una gravedad es un indicador general que se predeterminado según la categoría del resultado. Se asigna la misma gravedad predeterminada a todos los resultados dentro de una categoría o subcategoría determinada.
Una puntuación de exposición a ataques es un indicador dinámico que se calcula para un resultado después de su emisión. La puntuación es específica de la instancia del hallazgo y se basa en una serie de factores, incluidas las instancias de recursos que afecta el hallazgo y la dificultad que tendría un atacante hipotético para desviar la ruta desde un posible punto de acceso al recurso de alto valor afectado.
Todos los resultados pueden tener una gravedad. Solo los resultados de vulnerabilidades y parámetros de configuración incorrectos compatibles con las simulaciones de rutas de ataque pueden tener una puntuación de exposición a ataques.
Cuando priorices los hallazgos de vulnerabilidades y parámetros de configuración incorrectos, prioriza las puntuaciones de exposición a ataques antes de priorizar por gravedad.
Clasificaciones de gravedad
Security Command Center usa las siguientes clasificaciones de gravedad, que se muestran en la columna Gravedad cuando los resultados se muestran en la consola de Google Cloud:
CriticalHighMediumLowUnspecified
Gravedad Critical
Una vulnerabilidad crítica es fácil de detectar y se puede aprovechar para mejorar la capacidad de ejecutar el código arbitrario, robar datos y, de lo contrario, obtener acceso y privilegios adicionales en recursos y flujos de trabajo en la nube. En los ejemplos, se incluyen los datos del usuario de acceso público y el acceso SSH público con contraseñas débiles o nulas.
Una amenaza crítica puede acceder a los datos, modificarlos o borrarlos, o ejecutar código no autorizado en sus recursos existentes.
Un resultado de clase SCC error crítico significa cualquiera de las siguientes opciones:
- Un error de configuración evita que Security Command Center genere resultados nuevos de cualquier gravedad.
- Un error de configuración te impide ver todos los resultados de un servicio.
- Un error de configuración evita que las simulaciones de rutas de ataque generen puntuaciones de exposición a ataques y rutas de ataque.
Gravedad High
Una vulnerabilidad de alto riesgo es fácil de descubrir y se puede explotar junto con otras vulnerabilidades a fin de obtener acceso directo para ejecutar código arbitrario o robar datos y obtener acceso y privilegios adicionales a los recursos y las cargas de trabajo. Por ejemplo, una base de datos con poca seguridad o sin contraseña y solo que se puede acceder a ella de forma interna, puede ser un actor que tiene acceso a la red interna.
Una amenaza de alto riesgo puede crear recursos de procesamiento en un entorno, pero no puede acceder a los datos ni ejecutar código en los recursos existentes.
Un hallazgo de la clase SCC error de alto riesgo indica que un error de configuración está causando alguno de los siguientes problemas:
- No puedes ver ni exportar algunos de los resultados de un servicio.
- Para las simulaciones de rutas de ataque, las puntuaciones de exposición a ataques y las rutas de ataque pueden estar incompletas o ser imprecisas.
Gravedad Medium
Una vulnerabilidad de riesgo medio podría permitir que un actor obtenga acceso a recursos o privilegios que, en algún momento, le permita obtener acceso y la capacidad de exfiltrar datos o ejecutar código arbitrario. Por ejemplo, si una cuenta de servicio tiene acceso innecesario a proyectos y un actor obtiene acceso a la cuenta de servicio, este puede usar esa cuenta de servicio para manipular un proyecto.
Una amenaza de riesgo medio podría generar un problema más grave, pero podría no indicar el acceso actual a los datos o la ejecución no autorizada de código.
Gravedad Low
Una vulnerabilidad de bajo riesgo obstaculiza la capacidad de un equipo de seguridad de detectar vulnerabilidades o amenazas activas en su implementación o evita la investigación de la causa raíz de los problemas de seguridad. Por ejemplo, una situación en la que la supervisión y los registros están inhabilitados para la configuración y el acceso a los recursos.
Una amenaza de riesgo bajo obtuvo acceso mínimo a un entorno, pero no puede acceder a los datos, ejecutar código ni crear recursos.
Gravedad Unspecified
Una clasificación de gravedad de Unspecified indica que el servicio que generó el resultado no estableció un valor de gravedad para el resultado.
Si obtienes un resultado con una gravedad de Unspecified, debes evaluarla tú mismo. Para ello, investiga el resultado y revisa la documentación que proporcione el producto o servicio que generó el resultado.
Gravedad de la variable
La gravedad de los resultados en una categoría de resultado puede variar en ciertas circunstancias.
Gravedades que varían según la puntuación de exposición a ataques
Si usas el nivel empresarial de Security Command Center, los niveles de gravedad de los hallazgos de vulnerabilidades y parámetros de configuración incorrectos reflejan con mayor precisión el riesgo de cada resultado individual, ya que la gravedad de un resultado puede cambiar para reflejar su puntuación de exposición a ataques.
Con el nivel empresarial, los hallazgos de vulnerabilidades y parámetros de configuración incorrectos se emiten con un nivel de gravedad predeterminado o de referencia que es común a todos los resultados dentro de una categoría determinada. Después de que se emite un resultado, si las simulaciones de rutas de ataque de Security Command Center determinan que este expone uno o más recursos que designaste como recurso de alto valor, las simulaciones asignan una puntuación de exposición a ataques al resultado y aumentan el nivel de gravedad según corresponda. Si el resultado permanece activo, pero las simulaciones luego reducen la puntuación de exposición a ataques, su nivel de gravedad también puede disminuir, pero no por debajo del nivel predeterminado original.
Si usas el nivel Premium o Estándar de Security Command Center, los niveles de gravedad de todos los resultados permanecen estáticos.
Gravedad que varía según el problema detectado
Para algunas categorías de resultados, Security Command Center puede asignar un nivel de gravedad predeterminado diferente a un resultado según los detalles del problema de seguridad que se detectó.
Por ejemplo, la clasificación de gravedad del resultado IAM anomalous grant que genera Event Threat Detection suele ser HIGH, pero si el resultado se genera para otorgar permisos sensibles a una función de IAM personalizada, la gravedad es MEDIUM.
Consulta la gravedad de los resultados en la consola de Google Cloud
Puedes ver los resultados de Security Command Center por gravedad de varias maneras en la consola de Google Cloud:
- En la página Descripción general, puedes ver cuántos resultados de cada nivel de gravedad están activos en tus recursos en la sección Vulnerabilidades por tipo de recurso.
- En la página Threats, puedes ver cuántos hallazgos de amenazas existen en cada nivel de gravedad.
- En la página Vulnerabilidades, puedes filtrar los módulos de detección de vulnerabilidades que se muestran según el nivel de gravedad para que se muestren solo los módulos con hallazgos activos en ese nivel.
- En la página Resultados, puedes agregar filtros para niveles de gravedad específicos en tus consultas de resultados desde el panel Filtros rápidos.