Behebung von Sicherheitslücken priorisieren

Auf dieser Seite werden einige der Informationen und Methoden erläutert, mit denen Sie die Ergebnisse von Security Command Center zu Softwarelücken, Fehlkonfigurationen und, bei der Enterprise-Stufe, schädlichen Kombinationen (zusammen Sicherheitsstatus-Ergebnisse) priorisieren können, um das Risiko zu senken und die Sicherheit im Vergleich zu den anwendbaren Sicherheitsstandards schneller und effizienter zu verbessern.

Der Zweck der Priorisierung

Da Ihre Zeit begrenzt ist und die Anzahl der Ergebnisse der Security Command Center-Analyse insbesondere in größeren Organisationen überwältigend sein kann, müssen Sie die Sicherheitslücken, die das größte Risiko für Ihr Unternehmen darstellen, schnell erkennen und darauf reagieren.

Sie müssen Sicherheitslücken schließen, um das Risiko eines Cyberangriffs auf Ihre Organisation zu verringern und die Einhaltung der anwendbaren Sicherheitsstandards durch Ihre Organisation aufrechtzuerhalten.

Um das Risiko eines Cyberangriffs effektiv zu senken, müssen Sie die Sicherheitslücken finden und beheben, die Ihre Ressourcen am stärksten gefährden, am ehesten ausgenutzt werden können oder bei einer Ausnutzung den schwersten Schaden verursachen würden.

Wenn Sie Ihren Sicherheitsstatus im Hinblick auf einen bestimmten Sicherheitsstandard effektiv verbessern möchten, müssen Sie die Sicherheitslücken finden und beheben, die gegen die Kontrollen der Sicherheitsstandards verstoßen, die für Ihr Unternehmen gelten.

In den folgenden Abschnitten wird erläutert, wie Sie die Ergebnisse der Security Command Center-Analyse priorisieren können, um diese Zwecke zu erfüllen.

Ergebnisse zur Körperhaltung priorisieren, um das Risiko zu senken

Die Ergebnisse der Bewertung umfassen die folgenden Informationen, mit denen Sie die Behebung des zugrunde liegenden Sicherheitsproblems priorisieren können:

  • Angriffsbewertung oder Wert für schädliche Kombination
  • CVE-Einträge mit CVE-Bewertungen von MandiantVorabversion
  • Schweregrad

Priorisieren nach Angriffsbewertung

Priorisieren Sie im Allgemeinen die Behebung eines Sicherheitsrisikos mit einer hohen Angriffsbewertung vor einem Sicherheitsrisiko mit einer niedrigeren Bewertung oder ohne Bewertung.

Die Ergebnisse zur Gefährdungslage umfassen auch Ergebnisse zu schädlichen Kombinationen. Wenn die Bewertung für ein Ergebnis vom Typ „Schädliche Kombination“ ungefähr der Bewertung für ein Ergebnis in einer anderen Ergebnisklasse entspricht, sollten Sie die Behebung des Ergebnisses vom Typ „Schädliche Kombination“ priorisieren, da es einen vollständigen Pfad darstellt, dem ein potenzieller Angreifer vom öffentlichen Internet zu einer oder mehreren Ihrer wertvollen Ressourcen folgen könnte.

Wenn die Bewertung des Angriffsrisikos eines Ergebnisses in einer anderen Ergebnisklasse deutlich höher ist als die Bewertung eines Ergebnisses für schädliche Kombinationen, priorisieren Sie das Ergebnis mit der deutlich höheren Bewertung.

Hier finden Sie weitere Informationen:

Punktzahlen in der Security Operations Console ansehen

In der Security Operations Console arbeiten Sie hauptsächlich mit Anfragen, in denen Ergebnisse als Benachrichtigungen dokumentiert werden.

Die Fälle mit den höchsten Werten für die Angriffsexposition finden Sie auf der Seite Status > Übersicht.

Auf der Seite Anfragen finden Sie die Bewertungen für alle Anfragen. Dort können Sie die Anfragen auch nach dem Angriffsrisiko sortieren. Auf der Seite Bedrohungslage > Ergebnisse können Sie die Ergebnisse auch nach dem Angriffsrisikowert sortieren.

Informationen dazu, wie Sie speziell nach Fällen zu schädlichen Kombinationen suchen, finden Sie unter Details zu einem Fall zu schädlichen Kombinationen ansehen.

Bewertungen in der Google Cloud Console ansehen

In der Google Cloud Console werden die Bewertungen zusammen mit den Ergebnissen an mehreren Stellen angezeigt, darunter:

  • Auf der Seite Risikoübersicht, auf der die zehn Ergebnisse mit den höchsten Bewertungen angezeigt werden.
  • In einer Spalte auf der Seite Ergebnisse, in der Sie Ergebnisse abfragen und nach Bewertung sortieren können.
  • Wenn Sie sich die Details eines Sicherheitsstatus-Eintrags ansehen, der sich auf eine Ressource mit hohem Wert auswirkt.

Auf der Seite Ergebnisse in der Google Cloud Console werden die Bewertungen der Angriffsrisiken von Ergebnissen mit schädlichen Kombinationen in der Spalte Bewertung der schädlichen Kombination getrennt von den Bewertungen der Angriffsrisiken anderer Ergebnisklassen angezeigt.

So rufen Sie in der Google Cloud Console die Ergebnisse mit den höchsten Werten für die Angriffsexposition auf:

  1. Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:

    Zur Risikoübersicht

  2. Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:

    Projektauswahl

  3. Sehen Sie sich im Abschnitt Top-Fälle zu schädlichen Kombinationen die Ergebnisse mit den höchsten Bewertungen für schädliche Kombinationen an.

    • Klicken Sie auf den Link Fall ansehen, um den entsprechenden Fall in der Security Operations Console zu öffnen.
  4. Sehen Sie sich im Abschnitt Aktive Sicherheitslücken die Ergebnisse zur Gefährdungslage mit den höchsten Angriffsrisiken an. Ergebnisse zu schädlichen Kombinationen sind in diesem Abschnitt nicht enthalten.

    • Klicken Sie in der Spalte Angriffsexpositions-Bewertung auf eine Bewertung, um die Seite mit den Details zum Angriffspfad für das Ergebnis zu öffnen.

    • Klicken Sie auf den Namen eines Ergebnisses, um den Bereich mit den Ergebnisdetails auf der Seite Ergebnisse zu öffnen.

Priorisieren Sie nach Ausnutzbarkeit und Auswirkungen von CVEs

Priorisieren Sie in der Regel die Behebung von Ergebnissen mit einer CVE-Bewertung mit hoher Ausnutzbarkeit und hohen Auswirkungen vor Ergebnissen mit einer CVE-Bewertung mit geringer Ausnutzbarkeit und geringen Auswirkungen.

CVE-Informationen, einschließlich der von Mandiant bereitgestellten Bewertungen der Ausnutzbarkeit und Auswirkungen der CVE, basieren auf der Softwarelücke selbst.

Auf der Seite Übersicht im Bereich Top-CVE-Ergebnisse werden die Ergebnisse zu Sicherheitslücken in einem Diagramm oder einer Heatmap nach der Ausnutzbarkeit und den Auswirkungen gruppiert, die von Mandiant bereitgestellt werden.

Wenn Sie sich die Details zu den Ergebnissen der Softwarelückenprüfung in der Console ansehen, finden Sie die CVE-Informationen auf dem Tab Zusammenfassung im Abschnitt Sicherheitslücke. Der Abschnitt Sicherheitslücke enthält neben den Auswirkungen und der Ausnutzbarkeit auch die CVSS-Bewertung, Links zu Referenzen und weitere Informationen zur Definition der CVE-Sicherheitslücke.

So können Sie schnell die Ergebnisse mit der größten Auswirkung und Nutzbarkeit ermitteln:

  1. Rufen Sie in der Google Cloud Console die Seite Übersicht auf:

    Zur Übersicht

  2. Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:

    Projektauswahl

  3. Klicken Sie auf der Seite Übersicht im Bereich Top CVE-Ergebnisse auf den Block mit einer nicht nullwertigen Zahl, der die höchste Ausnutzbarkeit und Auswirkung hat. Die Seite Ergebnisse nach CVE wird geöffnet. Darauf ist eine Liste mit CVE-IDs zu sehen, die dieselbe Auswirkung und Ausnutzbarkeit haben.

  4. Klicken Sie im Bereich Ergebnisse nach CVE-ID auf eine CVE-ID. Die Seite Ergebnisse wird geöffnet und zeigt eine Liste der Ergebnisse mit der entsprechenden CVE-ID an.

  5. Klicken Sie auf der Seite Ergebnisse auf den Namen eines Ergebnisses, um die Details des Ergebnisses und die empfohlenen Maßnahmen zur Behebung zu sehen.

Nach Schweregrad priorisieren

Priorisieren Sie im Allgemeinen ein Ergebnis mit dem Schweregrad CRITICAL vor einem Ergebnis mit dem Schweregrad HIGH, einen Schweregrad HIGH vor einem Schweregrad MEDIUM usw.

Die Schweregrade der Ergebnisse basieren auf der Art des Sicherheitsproblems und werden den Ergebniskategorien im Security Command Center zugewiesen. Alle Ergebnisse in einer bestimmten Kategorie oder Unterkategorie haben dieselbe Schwere.

Sofern Sie nicht die Enterprise-Stufe von Security Command Center verwenden, sind die Schweregrade von Sicherheitslücken statische Werte, die sich während der Lebensdauer der Sicherheitslücke nicht ändern.

Bei der Enterprise-Stufe spiegeln die Schweregrade der Bewertungen das Echtzeitrisiko eines Ergebnisses genauer wider. Die Ergebnisse werden mit der Standardstufe der Schwere der Ergebniskategorie ausgegeben. Solange das Ergebnis aktiv bleibt, kann die Schwerestufe jedoch steigen oder sinken, wenn der Wert für die Angriffsexposition des Ergebnisses steigt oder sinkt.

Am einfachsten lassen sich die Sicherheitslücken mit der höchsten Schwere mithilfe der Schnellfilter auf der Seite Ergebnisse in der Google Cloud Console ermitteln.

So rufen Sie die Ergebnisse mit der höchsten Schwere auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:

    Zu Ergebnissen

  2. Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:

    Projektauswahl

  3. Wählen Sie auf der Seite Ergebnisse im Bereich Schnellfilter die folgenden Eigenschaften aus:

    • Wählen Sie unter Finding class (Klasse für Suchergebnisse) die Option Vulnerability (Sicherheitslücke) aus.
    • Wählen Sie unter Schweregrad die Option Kritisch, Hoch oder beide aus.

    Im Bereich Ergebnisse der Suchanfrage werden nur Ergebnisse mit dem angegebenen Schweregrad angezeigt.

Die Schwere der Sicherheitsrisiken sehen Sie auch auf der Seite Übersicht im Abschnitt Ergebnisse zu aktiven Sicherheitslücken.

Ergebnisse zur Compliance-Position priorisieren

Bei der Priorisierung von Ergebnissen zur Compliance sollten Sie sich vor allem auf die Ergebnisse konzentrieren, die gegen die Kontrollen des anwendbaren Compliance-Standards verstoßen.

So rufen Sie die Ergebnisse auf, die gegen die Vorgaben eines bestimmten Benchmarks verstoßen:

  1. Rufen Sie in der Google Cloud Console die Seite Compliance auf:

    Zu Compliance

  2. Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:

    Projektauswahl

  3. Klicken Sie neben dem Namen des Sicherheitsstandards, den Sie einhalten müssen, auf Details ansehen. Die Seite Compliance-Details wird geöffnet.

  4. Wenn der erforderliche Sicherheitsstandard nicht angezeigt wird, geben Sie ihn auf der Seite Compliance-Details im Feld Compliance-Standard an.

  5. Sie können die aufgeführten Regeln nach Ergebnissen sortieren, indem Sie auf die Spaltenüberschrift klicken.

  6. Klicken Sie bei jeder Regel, für die eine oder mehrere Ergebnisse angezeigt werden, in der Spalte Regeln auf den Namen der Regel. Die Seite Ergebnisse wird geöffnet und die Ergebnisse für diese Regel werden angezeigt.

  7. Beheben Sie die Probleme, bis keine mehr vorhanden sind. Wenn nach dem nächsten Scan keine neuen Sicherheitslücken für die Regel gefunden werden, erhöht sich der Prozentsatz der bestandenen Prüfungen.