Como encontrar gravidades

Nesta página, descrevemos a propriedade severity das descobertas do Security Command Center e os valores possíveis.

A propriedade severity fornece um indicador geral da importância de corrigir as descobertas de uma determinada categoria ou, em alguns casos, uma subcategoria.

Geralmente, é necessário corrigir as descobertas de gravidade HIGH antes das descobertas de gravidade LOW, mas, dependendo do recurso afetado ou de outras considerações, corrigir uma determinada gravidade LOW pode ser mais importante do que uma descoberta de gravidade HIGH.

Gravidade em comparação com a pontuação de exposição a ataques

É possível usar a gravidade de descoberta e as pontuações de exposição a ataques para priorizar a correção de descobertas, mas é importante entender as diferenças entre as duas.

Uma gravidade é um indicador geral predeterminado com base na categoria da descoberta. A mesma gravidade padrão é atribuída a todas as descobertas em uma determinada categoria ou subcategoria.

A pontuação de exposição a ataques é um indicador dinâmico calculado para uma descoberta após a emissão. A pontuação é específica da instância de descoberta e se baseia em vários fatores, incluindo quais instâncias de recursos a descoberta afeta e a dificuldade que um invasor hipotético teria de atravessar o caminho a partir de um ponto potencial de acesso ao recurso de alto valor afetado.

Todas as descobertas podem ter uma gravidade. Somente as descobertas de vulnerabilidade e configuração incorreta que são compatíveis com simulações de caminho de ataque podem ter uma pontuação de exposição a ataques.

Ao priorizar as descobertas de vulnerabilidade e configurações incorretas, priorize as pontuações de exposição a ataques antes de priorizar por gravidade.

Classificações de gravidade

O Security Command Center usa as seguintes classificações de gravidade, que são exibidas na coluna Gravidade quando as descobertas são exibidas no Console do Google Cloud:

  • Critical
  • High
  • Medium
  • Low
  • Unspecified

Gravidade Critical

Uma vulnerabilidade crítica é facilmente detectada e pode ser explorada para resultar na capacidade direta de executar código arbitrário, exfiltrar dados e receber acesso e privilégios adicionais em recursos e fluxos de nuvem. Exemplos incluem dados de usuário acessíveis ao público e acesso SSH público com senhas fracas ou sem acesso.

Uma ameaça crítica pode acessar, modificar ou excluir dados ou executar código não autorizado nos recursos atuais.

Uma descoberta de classe SCC error crítica significa qualquer um dos itens a seguir:

  • Um erro de configuração impede que o Security Command Center gere novas descobertas de qualquer gravidade.
  • Um erro de configuração impede que você visualize todas as descobertas de um serviço.
  • Um erro de configuração impede que as simulações de caminho de ataque gerem pontuações de exposição a ataques e caminhos de ataque.

Gravidade High

Uma vulnerabilidade de alto risco é facilmente descoberta e pode ser explorada com outras vulnerabilidades para ter acesso direto à execução de código arbitrário ou exfiltração de dados, além de privilégios e acesso extra a recursos e cargas de trabalho. Por exemplo, um banco de dados que tem senhas fracas ou nenhuma senha e só é acessado internamente pode ser comprometido por um agente que tenha acesso à rede interna.

Uma ameaça de alto risco pode criar recursos computacionais em um ambiente, mas não consegue acessar dados nem executar códigos em recursos atuais.

Uma descoberta de classe SCC error de alto risco indica que um erro de configuração está causando um dos seguintes problemas:

  • Não é possível visualizar ou exportar algumas das descobertas de um serviço.
  • Para simulações de caminho de ataque, as pontuações de exposição a ataques e os caminhos de ataque podem estar incompletos ou imprecisos.

Gravidade Medium

Uma vulnerabilidade de risco médio pode permitir que um ator consiga acesso a recursos ou privilégios para ter acesso e a capacidade de exfiltrar dados ou executar códigos arbitrários. Por exemplo, se uma conta de serviço tiver acesso desnecessário a projetos e um agente acessar a conta de serviço, esse agente poderá usar a conta para manipular um projeto.

Uma ameaça de risco médio pode levar a um problema mais grave, mas pode não indicar o acesso atual a dados ou a execução não autorizada do código.

Gravidade Low

Uma vulnerabilidade de baixo risco impede que uma organização de segurança detecte vulnerabilidades ou ameaças ativas na implantação ou impede a investigação da causa raiz dos problemas de segurança. Por exemplo, um cenário em que o monitoramento e os registros são desativados para configurações de recursos e acesso.

Uma ameaça de baixo risco tem acesso mínimo a um ambiente, mas não consegue acessar dados, executar código ou criar recursos.

Gravidade Unspecified

Uma classificação de gravidade de Unspecified indica que o serviço que gerou a descoberta não definiu um valor de gravidade para a descoberta.

Se você receber uma descoberta com gravidade Unspecified, será necessário avaliar a gravidade investigando a descoberta e analisando qualquer documentação fornecida pelo produto ou serviço.

Gravidade variável

A gravidade das descobertas em uma categoria pode variar em determinadas circunstâncias.

Gravidades que variam com base na pontuação de exposição a ataques

Se você estiver usando o nível Enterprise do Security Command Center, os níveis de gravidade das descobertas de vulnerabilidade e configuração incorreta refletem com mais precisão o risco de cada descoberta individual, porque a gravidade de uma descoberta pode mudar para refletir a pontuação de exposição a ataques.

Com o nível Enterprise, as descobertas de vulnerabilidade e configuração incorreta são emitidas com um nível de gravidade padrão ou de referência comum a todas as descobertas em uma determinada categoria. Depois que uma descoberta é emitida, se as simulações de caminho de ataque do Security Command Center determinarem que a descoberta expõe um ou mais recursos que você designou como de alto valor, as simulações atribuem uma pontuação de exposição a ataques à descoberta e aumentam o nível de gravidade de acordo com isso. Se a descoberta permanecer ativa, mas as simulações reduzirem a pontuação de exposição ao ataque, o nível de gravidade da descoberta também poderá diminuir, mas não abaixo do nível padrão original.

Se você estiver usando o nível Premium ou Standard do Security Command Center, os níveis de gravidade de todas as descobertas vão permanecer estáticos.

Severidades que variam com base no problema detectado

Para algumas categorias de descobertas, o Security Command Center pode atribuir um nível de gravidade padrão diferente a uma descoberta, dependendo dos detalhes do problema de segurança detectado.

Por exemplo, a classificação de gravidade da descoberta IAM anomalous grant gerada pelo Event Threat Detection é geralmente HIGH, mas, se a descoberta for gerada para a concessão de permissões sensíveis a um papel personalizado do IAM, a gravidade será MEDIUM.

Ver gravidades de descoberta no Console do Google Cloud

É possível ver as descobertas do Security Command Center por gravidade de várias maneiras no Console do Google Cloud:

  • Na página Visão geral, é possível consultar quantas descobertas em cada nível de gravidade estão ativas nos recursos na seção Vulnerabilidades por tipo de recurso.
  • Na página Threats, veja quantas descobertas de ameaças existem em cada nível de gravidade.
  • Na página Vulnerabilidades, é possível filtrar os módulos de detecção de vulnerabilidades exibidos por nível de gravidade para mostrar apenas os módulos que têm descobertas ativas nesse nível de gravidade.
  • Na página Descobertas, é possível adicionar filtros para níveis de gravidade específicos às consultas de descobertas no painel Filtros rápidos.