En esta página, se describe la propiedad severity de los resultados de Security Command Center y sus posibles valores.
La propiedad severity proporciona un indicador general de cómo
importante que es corregir los hallazgos de una categoría de hallazgo en particular
o, en algunos casos, subcategoría.
Por lo general, debes corregir los resultados de gravedad HIGH antes que los resultados de gravedad LOW, pero, según el recurso afectado o alguna otra consideración, es posible que corregir un resultado de gravedad LOW en particular sea más importante que corregir un resultado de gravedad HIGH.
Gravedad en comparación con la puntuación de exposición a ataques
Puedes usar las gravedades de los hallazgos y las puntuaciones de exposición a ataques para priorizar la corrección de los hallazgos, pero es importante comprender las diferencias entre ambos.
La gravedad es un indicador general predeterminado según la del hallazgo. Se asigna la misma gravedad predeterminada a todos los resultados de una categoría o subcategoría determinada.
Una puntuación de exposición a ataques es un indicador dinámico que se calcula para un hallazgo después de que se emite. La puntuación es específica a la instancia del hallazgo y se basa en una serie de factores, entre los que se incluyen: instancias de recursos que el hallazgo afecta y la dificultad que un atacante hipotético enfrentaría atravesar el camino desde un punto potencial de acceso al recurso de alto valor afectado.
Todos los resultados pueden tener una gravedad. Solo vulnerabilidad y configuración incorrecta resultados que son compatibles con las simulaciones de rutas de ataque puede tener un puntuación de exposición a ataques.
Cuando priorices los hallazgos de vulnerabilidades y parámetros de configuración incorrectos, hazlo según las puntuaciones de exposición a ataques antes de priorizarlos según la gravedad.
Clasificaciones de gravedad
Security Command Center usa las siguientes clasificaciones de gravedad, que se muestran en la columna Gravedad cuando se muestran los resultados en la consola de Google Cloud:
CriticalHighMediumLowUnspecified
Gravedad Critical
Una vulnerabilidad crítica es fácil de detectar y se puede aprovechar para mejorar la capacidad de ejecutar el código arbitrario, robar datos y, de lo contrario, obtener acceso y privilegios adicionales en recursos y flujos de trabajo en la nube. En los ejemplos, se incluyen los datos del usuario de acceso público y el acceso SSH público con contraseñas débiles o nulas.
Una amenaza crítica puede acceder a los datos, modificarlos o borrarlos, o ejecutar código no autorizado en sus recursos existentes.
Un hallazgo de clase SCC error crítico significa cualquiera de los siguientes puntos:
- Un error de configuración impide que Security Command Center genere nuevos hallazgos de cualquier gravedad.
- Un error de configuración te impide ver todos los hallazgos de un servicio.
- Un error de configuración evita que las simulaciones de rutas de ataque generen puntuaciones de exposición a ataques y rutas de ataque.
Gravedad High
Una vulnerabilidad de alto riesgo es fácilmente detectable y puede aprovecharse con otras vulnerabilidades para obtener acceso directo y ejecutar operaciones código o el robo de datos, y obtener acceso y privilegios adicionales para a los recursos y las cargas de trabajo. Por ejemplo, una base de datos con poca seguridad o sin contraseña y solo que se puede acceder a ella de forma interna, puede ser un actor que tiene acceso a la red interna.
Una amenaza de alto riesgo es capaz de crear recursos de procesamiento en una en un entorno de ejecución, pero no puede acceder a los datos ni ejecutar un código de Google Cloud.
Un hallazgo de clase SCC error de alto riesgo indica que un error de configuración está causando uno de los siguientes problemas:
- No puedes ver ni exportar algunos de los hallazgos de un servicio.
- Para las simulaciones de rutas de ataque, las puntuaciones de exposición a ataques y las rutas de ataque podrían estar incompletas o ser imprecisas.
Gravedad Medium
Una vulnerabilidad de riesgo medio podría permitir que un atacante obtenga acceso recursos o privilegios que les permitan obtener acceso y robar datos o ejecutar códigos arbitrarios. Por ejemplo, si una cuenta de servicio tiene acceso innecesario a proyectos y un actor obtiene acceso a la cuenta de servicio, este puede usar esa cuenta de servicio para manipular un proyecto.
Una amenaza de riesgo medio podría generar un problema más grave, pero es posible que no indique acceso a datos actual ni ejecución de código no autorizado.
Gravedad Low
Una vulnerabilidad de bajo riesgo afecta la capacidad de un equipo de seguridad de detectar vulnerabilidades o amenazas activas en su implementación, o evitan la causa raíz de los problemas de seguridad. Por ejemplo, una situación en la que la supervisión y los registros están inhabilitados para la configuración y el acceso a los recursos.
Una amenaza de bajo riesgo obtuvo acceso mínimo a un entorno, pero no puede acceder a los datos, ejecutar el código ni crear recursos.
Gravedad de Unspecified
Una clasificación de gravedad de Unspecified indica que el servicio que
generado el hallazgo no estableció un valor de gravedad para el hallazgo.
Si obtienes un resultado con una gravedad de Unspecified, debes evaluar
la gravedad por tu cuenta investigando el hallazgo y revisando cualquier
documentación que proporciona el producto o servicio que generó el hallazgo.
Gravedad variable
La gravedad de los hallazgos en una categoría puede variar en ciertas circunstancias.
Gravedad que varía según la puntuación de exposición a ataques
Si usas el nivel empresarial de Security Command Center, los niveles de gravedad de los resultados de vulnerabilidad y configuración incorrecta reflejan con mayor precisión el riesgo de cada resultado individual, ya que la gravedad de un resultado puede cambiar para reflejar la puntuación de exposición al ataque del resultado.
Con el nivel Enterprise, los hallazgos de vulnerabilidades y parámetros de configuración se emiten con un nivel de gravedad predeterminado o de referencia común a todos de los hallazgos dentro de una categoría determinada. Después de que se emite un resultado, si las simulaciones de rutas de ataque de Security Command Center determinan que el resultado expone uno o más recursos que designaste como recurso de alto valor, las simulaciones le asignan una puntuación de exposición a ataques al resultado y aumentan el nivel de gravedad según corresponda. Si el resultado permanece activo, pero las simulaciones reducen más adelante la puntuación de exposición al ataque, el nivel de gravedad del resultado también puede disminuir, pero no debe ser inferior al nivel predeterminado original.
Si usas el nivel Premium o Estándar de Security Command Center, los niveles de gravedad de todos los resultados permanecen estáticos.
Gravedad que varía según el problema detectado
En el caso de algunas categorías de resultados, Security Command Center puede asignar un nivel de gravedad predeterminado diferente a un resultado según los detalles del problema de seguridad que se detectó.
Por ejemplo, la clasificación de gravedad del hallazgo IAM anomalous grant que genera Event Threat Detection suele ser HIGH, pero si el hallazgo se genera por el otorgamiento de permisos sensibles a un rol de IAM personalizado, la gravedad es MEDIUM.
Cómo ver las severidades de los hallazgos en la consola de Google Cloud
Puedes ver los hallazgos de Security Command Center por gravedad de varias maneras en la Consola de Google Cloud:
- En la página Descripción general, puedes ver cuántos resultados de cada nivel de gravedad están activos en tus recursos en la sección Vulnerabilidades por tipo de recurso.
- En la página Amenazas, puedes ver cuántos hallazgos de amenazas existen en cada uno. nivel de gravedad.
- En la página Vulnerabilidades, puedes filtrar la vulnerabilidad que se muestra. de detección de eventos por nivel de gravedad para mostrar solo los módulos que tienen hallazgos activos en ese nivel de gravedad.
- En la página Resultados, puedes agregar filtros para niveles de gravedad específicos a tus búsquedas de resultados desde el panel Filtros rápidos.