In questa pagina viene descritta la proprietà severity dei risultati di Security Command Center e i relativi valori possibili.
La proprietà severity fornisce un indicatore generale di quanto sia importante risolvere i risultati relativi a una determinata categoria di risultati o, in alcuni casi, a una sottocategoria.
In genere, dovresti risolvere i risultati relativi alla gravità HIGH prima dei risultati relativi alla gravità LOW, ma, a seconda della risorsa interessata o di altre considerazioni, è possibile che la correzione di un determinato rilevamento della gravità di LOW possa essere più importante di un risultato della gravità di HIGH.
Gravità rispetto al punteggio di esposizione agli attacchi
Puoi utilizzare sia il rilevamento delle gravità sia l'individuazione dei punteggi di esposizione agli attacchi per dare priorità alla correzione dei risultati, ma è importante comprendere le differenze tra i due.
La gravità è un indicatore generale predeterminato in base alla categoria del risultato. A tutti i risultati di una determinata categoria o sottocategoria viene assegnata la stessa gravità predefinita.
Un punteggio di esposizione agli attacchi è un indicatore dinamico che viene calcolato per un risultato dopo l'emissione. Il punteggio è specifico per l'istanza del risultato e si basa su una serie di fattori, tra cui le istanze delle risorse interessate dal risultato e la difficoltà che un ipotetico utente malintenzionato insisterà per attraversare il percorso da un potenziale punto di accesso alla risorsa di valore elevato interessata.
Tutti i risultati possono avere una gravità. Solo i rilevamenti di vulnerabilità ed errori di configurazione supportati dalle simulazioni dei percorsi di attacco possono avere un punteggio di esposizione agli attacchi.
Quando dai priorità ai risultati relativi a vulnerabilità ed errori di configurazione, dai la priorità ai punteggi di esposizione agli attacchi prima di dare la priorità in base alla gravità.
Classificazioni della gravità
Security Command Center utilizza le seguenti classificazioni di gravità, visualizzate nella colonna Gravità quando i risultati vengono visualizzati nella console Google Cloud:
CriticalHighMediumLowUnspecified
Gravità Critical
Una vulnerabilità critica è facilmente individuabile e può essere sfruttata per comportare la capacità diretta di eseguire codice arbitrario, esfiltrare dati e altrimenti ottenere ulteriori accessi e privilegi nelle risorse e nei flussi di lavoro cloud. Alcuni esempi sono i dati utente accessibili al pubblico e l'accesso SSH pubblico con password deboli o nessuna.
Una minaccia critica è in grado di accedere, modificare o eliminare i dati oppure eseguire codice non autorizzato all'interno delle risorse esistenti.
Un risultato critico di classe SCC error indica uno dei seguenti
risultati:
- Un errore di configurazione impedisce a Security Command Center di generare nuovi risultati di qualsiasi gravità.
- Un errore di configurazione ti impedisce di visualizzare tutti i risultati di un servizio.
- Un errore di configurazione impedisce alle simulazioni del percorso di attacco di generare punteggi di esposizione agli attacchi e percorsi di attacco.
Gravità High
Una vulnerabilità ad alto rischio è facilmente rilevabile e potrebbe essere sfruttata con altre vulnerabilità per ottenere l'accesso diretto all'esecuzione di codice arbitrario o all'esfiltrazione di dati e ottenere ulteriori accessi e privilegi a risorse e carichi di lavoro. Ad esempio, un database che ha password deboli o nessuna ed è accessibile solo internamente potrebbe essere compromesso da un aggressore che ha accesso alla rete interna.
Una minaccia ad alto rischio è in grado di creare risorse di calcolo in un ambiente, ma non è in grado di accedere ai dati o eseguire codice nelle risorse esistenti.
Un risultato di classe SCC error ad alto rischio indica che uno dei seguenti problemi è dovuto a un errore di configurazione:
- Non puoi visualizzare o esportare alcuni risultati di un servizio.
- Per le simulazioni dei percorsi di attacco, i punteggi di esposizione agli attacchi e i percorsi di attacco potrebbero essere incompleti o imprecisi.
Gravità Medium
Una vulnerabilità a rischio medio potrebbe consentire a un aggressore di accedere a risorse o privilegi che gli consentano di accedere e di esfiltrare dati o di eseguire codice arbitrario. Ad esempio, se un account di servizio ha accesso non necessario ai progetti e un attore ottiene l'accesso all'account di servizio, può utilizzare quell'account di servizio per manipolare un progetto.
Una minaccia a rischio medio potrebbe portare a un problema più grave, ma potrebbe non indicare un accesso ai dati attuale o un'esecuzione di codice non autorizzata.
Gravità Low
Una vulnerabilità a basso rischio ostacola la capacità di un team di sicurezza di rilevare vulnerabilità o minacce attive durante il deployment oppure impedisce l'analisi della causa principale dei problemi di sicurezza. Ad esempio, uno scenario in cui il monitoraggio e i log sono disabilitati per l'accesso e le configurazioni delle risorse.
Una minaccia a basso rischio ha ottenuto un accesso minimo a un ambiente, ma non è in grado di accedere ai dati, eseguire codice o creare risorse.
Gravità Unspecified
Una classificazione di gravità Unspecified indica che il servizio che ha generato il risultato non ha impostato un valore di gravità per il risultato.
Se ottieni un risultato con gravità Unspecified, devi valutarne autonomamente la gravità esaminando il risultato ed esaminando la documentazione fornita dal prodotto o servizio che ha generato il risultato.
Gravità variabile
La gravità dei risultati in una categoria di risultati può variare in determinate circostanze.
Gravità che variano in base al punteggio di esposizione agli attacchi
Se utilizzi il livello Enterprise di Security Command Center, i livelli di gravità dei risultati relativi a vulnerabilità ed errori di configurazione riflettono in modo più accurato il rischio di ogni singolo risultato, poiché la gravità di un risultato può cambiare per riflettere il punteggio di esposizione agli attacchi del risultato.
Con il livello Enterprise, i risultati relativi a vulnerabilità ed errori di configurazione vengono emessi con un livello di gravità predefinito o di base comune a tutti i risultati all'interno di una determinata categoria di risultati. Dopo aver generato un risultato, se le simulazioni dei percorsi di attacco di Security Command Center stabiliscono che il risultato espone una o più risorse che hai designato come risorsa di alto valore, le simulazioni assegnano un punteggio di esposizione agli attacchi al risultato e aumentano il livello di gravità di conseguenza. Se il risultato rimane attivo, ma le simulazioni in seguito riducono il punteggio di esposizione agli attacchi, anche il livello di gravità del risultato può diminuire, ma non inferiore al livello predefinito originale.
Se utilizzi il livello Premium o Standard di Security Command Center, i livelli di gravità di tutti i risultati rimangono statici.
Gravità che variano in base al problema rilevato
Per alcune categorie di risultati, Security Command Center può assegnare a un risultato un livello di gravità predefinito diverso, in base alle particolarità del problema di sicurezza rilevato.
Ad esempio, la classificazione della gravità del risultato IAM anomalous grant generato da Event Threat Detection è di solito HIGH, ma se il risultato viene generato per concedere autorizzazioni sensibili a un ruolo IAM personalizzato, la gravità è MEDIUM.
Visualizza gravità dei risultati nella console Google Cloud
Puoi visualizzare i risultati di Security Command Center in base alla gravità in diversi modi nella console Google Cloud:
- Nella pagina Panoramica, puoi vedere quanti risultati a ogni livello di gravità sono attivi nelle tue risorse nella sezione Vulnerabilità per tipo di risorsa.
- Nella pagina Minacce puoi vedere il numero di minacce rilevate per ogni livello di gravità.
- Nella pagina Vulnerabilità puoi filtrare i moduli di rilevamento delle vulnerabilità visualizzati in base al livello di gravità per mostrare solo i moduli con risultati attivi per quel livello di gravità.
- Nella pagina Risultati, puoi aggiungere filtri per livelli di gravità specifici alle query dei risultati dal riquadro Filtri rapidi.