이 페이지에서는 Security Command Center 발견 항목의 severity 속성과 여기에 가능한 값에 대해 설명합니다.
severity 속성은 특정 발견 항목 카테고리 또는 경우에 따라 하위 카테고리의 발견 항목을 해결하는 것이 얼마나 중요한지 보여주는 일반 지표를 제공합니다.
일반적으로 HIGH 심각도 발견 항목을 LOW 심각도 발견 항목보다 먼저 해결해야 하지만 영향을 받는 리소스 또는 다른 고려사항에 따라 특정 LOW 심각도 발견 항목을 해결하는 것이 HIGH 심각도 발견 항목보다 더 중요할 수 있습니다.
공격 노출 점수 및 심각도 비교
발견 항목 심각도와 공격 노출 점수를 모두 사용하여 발견 항목의 해결 우선 순위를 지정할 수 있지만 이 둘의 차이를 이해하는 것이 중요합니다.
심각도는 발견 항목의 카테고리를 기준으로 미리 결정되는 일반 지표입니다. 지정된 카테고리 또는 하위 카테고리 내에서 모든 발견 항목에 동일한 기본 심각도가 지정됩니다.
공격 노출 점수는 발견 항목이 실행된 후에 발견 항목에 대해 계산되는 동적 지표입니다. 이 점수는 발견 항목 인스턴스에 따라 달라지며, 발견 항목이 영향을 주는 리소스 인스턴스는 물론 가상의 공격자가 잠재적 액세스 지점에서 영향을 받는 고가치 리소스로 이어지는 경로를 순회할 때 직면하는 난이도를 포함한 여러 요소를 기반으로 합니다.
모든 발견 항목에 하나의 심각도가 있을 수 있습니다. 공격 경로 시뮬레이션에서 지원되는 취약점 및 잘못된 구성 발견 항목만 공격 노출 점수를 지정할 수 있습니다.
취약점 및 구성 오류 발견 항목의 우선순위를 지정할 때는 심각도에 따라 우선순위를 정하기 전에 공격 노출 점수로 우선순위를 지정합니다.
심각도 분류
Security Command Center는 발견 항목이 Google Cloud 콘솔에 표시될 때 심각도 열에 표시되는 다음 심각도 분류를 사용합니다.
CriticalHighMediumLowUnspecified
Critical 심각도
심각한 취약점을 쉽게 탐색할 수 있고, 임의의 코드를 실행하고, 데이터를 유출할 수 있으며, 클라우드 리소스와 워크플로에서 추가 액세스 및 권한을 얻을 수 있는 능력으로 악용될 수도 있습니다. 예를 들어 공개적으로 액세스할 수 있는 사용자 데이터 및 비밀번호가 취약하거나 존재하지 않는 공개 SSH 액세스가 있습니다.
중요한 위협은 데이터에 액세스하거나 데이터를 수정 또는 삭제하거나 기존 리소스 내에서 승인되지 않은 코드를 실행할 수 있습니다.
심각도가 매우 높은 SCC error 클래스 발견 항목은 다음 중 하나를 의미합니다.
- 구성 오류로 인해 Security Command Center에서 심각도의 새 발견 항목을 생성하지 못합니다.
- 구성 오류로 인해 서비스의 발견 항목이 모두 표시되지 않습니다.
- 구성 오류로 인해 공격 경로 시뮬레이션에서 공격 노출 점수와 공격 경로를 생성하지 못합니다.
High 심각도
고위험 취약점은 쉽게 탐색할 수 있고 다른 취약점과 함께 악용되어 직접적인 액세스를 확보해 임의 코드를 실행하거나 데이터를 유출하고, 리소스와 워크로드에 대한 추가 액세스와 권한을 얻을 수 있습니다. 예를 들어 비밀번호가 취약하거나 존재하지 않고 내부적으로만 액세스할 수 있는 데이터베이스는 내부 네트워크에 액세스할 수 있는 행위자가 도용할 수 있습니다.
위험도가 높은 위협은 환경에서 컴퓨팅 리소스를 만들 수 있지만 데이터에 액세스하거나 기존 리소스에서 코드를 실행할 수는 없습니다.
위험도가 높은 SCC error 클래스 발견 항목은 구성 오류로 인해 다음 문제가 발생함을 나타냅니다.
- 일부 서비스 발견 항목을 보거나 내보낼 수 없습니다.
- 공격 경로 시뮬레이션의 경우 공격 노출 점수와 공격 경로가 불완전하거나 정확하지 않을 수 있습니다.
Medium 심각도
행위자가 중간 위험 취약점을 이용해 리소스에 대한 액세스 권한을 얻거나, 최종적으로 액세스할 수 있는 권한에 접근하여 데이터를 유출하거나 임의 코드를 실행할 수 있습니다. 예를 들어 서비스 계정에 프로젝트에 대한 불필요한 액세스 권한이 있고 행위자가 서비스 계정에 액세스하는 경우 해당 서비스 계정을 사용하여 프로젝트를 조작할 수 있습니다.
중간 위험도 위협은 더 심각한 문제로 이어질 수 있지만 현재 데이터 액세스 또는 승인되지 않은 코드 실행을 나타내지 않을 수 있습니다.
Low 심각도
낮은 위험 취약점으로 인해 보안 팀은 배포에서 취약점이나 활성 위협을 감지하거나 보안 문제의 근본 원인을 예방하지 못하게 됩니다. 예를 들어 리소스 구성 및 액세스를 위해 모니터링 및 로그가 사용 중지된 시나리오가 있습니다.
위험성이 낮은 위협은 환경에 대한 최소한의 액세스 권한을 얻을 수 있지만 데이터에 액세스하고 코드를 실행하거나 리소스를 만들 수 없습니다.
Unspecified 심각도
심각도 분류 Unspecified는 발견 항목을 생성한 서비스가 발견 항목의 심각도 값을 설정하지 않았음을 나타냅니다.
심각도가 Unspecified인 발견 항목이 있으면 발견 항목을 조사하고 해당 발견 항목이 생성된 제품 또는 서비스에서 제공하는 문서를 검토하여 직접 심각도를 평가해야 합니다.
변동성 있는 심각도
발견 항목 카테고리에서 발견 항목의 심각도는 특정 상황에 따라 달라질 수 있습니다.
공격 노출 점수를 기반으로 달라지는 심각도
Security Command Center 엔터프라이즈 등급을 사용 중이면 취약점 및 구성 오류 발견 항목의 심각도 수준에 개별 발견 항목의 위험이 보다 정확하게 반영됩니다. 발견 항목의 공격 노출 점수를 반영하여 발견 항목의 심각도가 변경될 수 있기 때문입니다.
엔터프라이즈 등급에서 취약점과 구성 오류 발견 항목은 지정된 발견 항목 카테고리 내에서 모든 발견 항목에 대해 공통적인 기본 또는 기준 심각도 수준으로 생성됩니다. 발견 항목이 생성된 후 Security Command Center의 공격 경로 시뮬레이션에 따라 발견 항목이 중요 리소스로 지정된 하나 이상의 리소스를 노출하는 것으로 확인되면 시뮬레이션이 발견 항목에 공격 노출 점수를 할당하고 그에 따라 심각도 수준을 늘립니다. 발견 항목이 활성 상태로 유지되지만 나중에 시뮬레이션에 따라 공격 노출 점수가 낮아지면 발견 항목의 심각도 수준도 낮아지지만 원래 기본 수준보다 낮아질 수 없습니다.
Security Command Center 프리미엄 등급 또는 표준 등급을 사용 중이면 모든 발견 항목의 심각도 수준이 정적으로 유지됩니다.
감지된 문제를 기반으로 달라지는 심각도
일부 발견 항목 카테고리의 경우 Security Command Center는 감지된 보안 문제의 특성에 따라 발견 항목에 서로 다른 기본 심각도 수준을 할당할 수 있습니다.
예를 들어 Event Threat Detection에서 생성된 IAM anomalous grant 발견 항목의 심각도 분류는 일반적으로 HIGH이지만 커스텀 IAM 역할에 민감한 권한이 부여되어 발견 항목이 생성된 경우에는 심각도가 MEDIUM입니다.
Google Cloud 콘솔에서 발견 항목 심각도 보기
Google Cloud 콘솔에서 여러 방법으로 Security Command Center 발견 항목을 심각도별로 볼 수 있습니다.
- 개요 페이지의 리소스 유형별 취약점 섹션에서 리소스에 활성화된 각 심각도 수준의 발견 항목의 수를 확인할 수 있습니다.
- 위협 페이지에서 각 심각도 수준의 위협 발견 항목 수를 확인할 수 있습니다.
- 취약점 페이지에서 표시된 취약점 감지 모듈을 심각도 수준으로 필터링하여 해당 심각도 수준의 활성 발견 항목이 있는 모듈만 표시할 수 있습니다.
- 발견 항목 페이지의 빠른 필터 패널에서 특정 심각도 수준에 대한 필터를 발견 항목 쿼리에 추가할 수 있습니다.