Nesta página, descrevemos a propriedade severity
das descobertas do Security Command Center e os valores possíveis.
A propriedade severity
fornece um indicador geral de como
é importante remediar as descobertas de uma categoria de descoberta específica
ou, em alguns casos, subcategoria.
Geralmente, é necessário corrigir as descobertas de gravidade HIGH
antes das descobertas de gravidade LOW
, mas, dependendo do recurso afetado ou de outras considerações, corrigir uma determinada gravidade LOW
pode ser mais importante do que uma descoberta de gravidade HIGH
.
Gravidade em comparação com a pontuação de exposição a ataques
É possível usar a gravidade de descoberta e as pontuações de exposição a ataques para priorizar a correção de descobertas, mas é importante entender as diferenças entre as duas.
A gravidade é um indicador geral predeterminado com base na da descoberta. A mesma gravidade padrão é atribuída descobertas em uma determinada categoria ou subcategoria.
A pontuação de exposição a ataques é um indicador dinâmico calculado para uma descoberta após a emissão. A pontuação é específica da instância de descoberta e se baseia em vários fatores, incluindo quais instâncias de recursos a descoberta afeta e a dificuldade que um invasor hipotético teria de atravessar o caminho a partir de um ponto potencial de acesso ao recurso de alto valor afetado.
Todas as descobertas podem ter uma gravidade. Apenas vulnerabilidade e configurações incorretas descobertas que são compatíveis com simulações de caminho de ataque pode ter um pontuação de exposição a ataques.
Ao priorizar as descobertas de vulnerabilidade e configurações incorretas, priorize as pontuações de exposição a ataques antes de priorizar por gravidade.
Classificações de gravidade
O Security Command Center usa as seguintes classificações de gravidade, que são exibidas na coluna Gravidade quando as descobertas são exibidas no Console do Google Cloud:
Critical
High
Medium
Low
Unspecified
Gravidade Critical
Uma vulnerabilidade crítica é facilmente detectada e pode ser explorada para resultar na capacidade direta de executar código arbitrário, exfiltrar dados e receber acesso e privilégios adicionais em recursos e fluxos de nuvem. Exemplos incluem dados de usuário acessíveis ao público e acesso SSH público com senhas fracas ou sem acesso.
Uma ameaça crítica pode acessar, modificar ou excluir dados ou executar código não autorizado nos recursos atuais.
Uma descoberta de classe SCC error
crítica significa qualquer um dos itens a seguir:
- Um erro de configuração impede que o Security Command Center gere novas descobertas de qualquer gravidade.
- Um erro de configuração impede que você visualize todas as descobertas de um serviço.
- Um erro de configuração impede que as simulações de caminho de ataque gerem pontuações de exposição a ataques e caminhos de ataque.
Gravidade High
Uma vulnerabilidade de alto risco é facilmente descoberta e pode ser explorada com outras vulnerabilidades para ter acesso direto à execução de código arbitrário ou exfiltração de dados, além de privilégios e acesso extra a recursos e cargas de trabalho. Por exemplo, um banco de dados que tem senhas fracas ou nenhuma senha e só é acessado internamente pode ser comprometido por um agente que tenha acesso à rede interna.
Uma ameaça de alto risco pode criar recursos computacionais em um ambiente, mas não consegue acessar dados nem executar códigos em recursos atuais.
Uma descoberta de classe SCC error
de alto risco indica que um erro de configuração está causando um dos seguintes problemas:
- Não é possível visualizar ou exportar algumas das descobertas de um serviço.
- Para simulações de caminho de ataque, as pontuações de exposição a ataques e os caminhos de ataque podem estar incompletos ou imprecisos.
Gravidade Medium
Uma vulnerabilidade de risco médio pode permitir que um ator consiga acesso a recursos ou privilégios para ter acesso e a capacidade de exfiltrar dados ou executar códigos arbitrários. Por exemplo, se uma conta de serviço tiver acesso desnecessário a projetos e um agente acessar a conta de serviço, esse agente poderá usar a conta para manipular um projeto.
Uma ameaça de risco médio pode levar a um problema mais grave, mas pode não indicar o acesso atual a dados ou a execução não autorizada do código.
Gravidade Low
Uma vulnerabilidade de baixo risco impede que uma organização de segurança detecte vulnerabilidades ou ameaças ativas na implantação ou impede a investigação da causa raiz dos problemas de segurança. Por exemplo, um cenário em que o monitoramento e os registros são desativados para configurações de recursos e acesso.
Uma ameaça de baixo risco tem acesso mínimo a um ambiente, mas não consegue acessar dados, executar código ou criar recursos.
Gravidade Unspecified
Uma classificação de gravidade de Unspecified
indica que o serviço que gerou a descoberta não definiu um valor de gravidade para a descoberta.
Se você receber uma descoberta com gravidade Unspecified
, será necessário avaliar a gravidade investigando a descoberta e analisando qualquer documentação fornecida pelo produto ou serviço.
Gravidade variável
A gravidade das descobertas em uma categoria de descoberta pode variar em cada situação.
Gravidades que variam com base na pontuação de exposição a ataques
Se você estiver usando o nível Enterprise do Security Command Center, a gravidade os níveis de vulnerabilidade e configurações incorretas refletem com mais precisão o risco de cada descoberta, porque a gravidade de uma descoberta podem mudar para refletir a pontuação de exposição a ataques da descoberta.
No nível Enterprise, as descobertas de vulnerabilidades e configurações incorretas são emitido com um nível de gravidade padrão ou de referência que seja comum a todos das descobertas em uma determinada categoria. Depois que uma descoberta é emitida, se as simulações de caminho de ataque do Security Command Center determinarem que a descoberta expõe um ou mais recursos designados como recurso de alto valor, as simulações atribuem uma pontuação de exposição a ataques à descoberta e aumentar o nível de gravidade de acordo com isso. Se a descoberta permanecer ativa, mas as simulações depois reduzem a pontuação de exposição a ataques, a gravidade da descoberta também pode diminuir, mas não menos que o nível padrão original.
Se você estiver usando o nível Premium ou Standard do Security Command Center, os níveis de gravidade de todas as descobertas vão permanecer estáticos.
Gravidades que variam de acordo com o problema detectado
Para algumas categorias de descobertas, o Security Command Center pode atribuir um nível de gravidade padrão diferente a uma descoberta, dependendo dos detalhes do problema de segurança detectado.
Por exemplo, a classificação de gravidade do
IAM anomalous grant
descoberta
gerada pela detecção de ameaças a eventos geralmente é HIGH
, mas se
a descoberta é gerada para conceder permissões confidenciais a um
papel do IAM personalizado,
a gravidade será MEDIUM
.
Ver gravidades de descoberta no Console do Google Cloud
É possível ver as descobertas do Security Command Center por gravidade de várias maneiras no Console do Google Cloud:
- Na página Visão geral, é possível consultar quantas descobertas em cada nível de gravidade estão ativas nos recursos na seção Vulnerabilidades por tipo de recurso.
- Na página Threats, veja quantas descobertas de ameaças existem em cada nível de gravidade.
- Na página Vulnerabilidades, é possível filtrar os módulos de detecção de vulnerabilidades exibidos por nível de gravidade para mostrar apenas os módulos que têm descobertas ativas nesse nível de gravidade.
- Na página Descobertas, é possível adicionar filtros para níveis de gravidade específicos às consultas de descobertas no painel Filtros rápidos.