En esta página, se explica parte de la información y los métodos que puedes usar para priorizar los hallazgos de Security Command Center sobre vulnerabilidades de software, parámetros de configuración incorrectos y, con el nivel Enterprise, combinaciones tóxicas (hallazgos de postura, en conjunto), de modo que puedas reducir el riesgo y mejorar tu postura de seguridad en relación con los estándares de seguridad aplicables de forma más rápida y eficiente.
El propósito de la priorización
Debido a que tu tiempo es limitado y el volumen de los hallazgos de la postura de Security Command Center puede ser abrumador, en especial en organizaciones más grandes, debes identificar y responder rápidamente a las vulnerabilidades que representan el mayor riesgo para tu organización.
Debes corregir las vulnerabilidades para reducir el riesgo de un ciberataque en tu organización y mantener el cumplimiento de tu organización con los estándares de seguridad aplicables.
Para reducir de manera eficaz el riesgo de un ciberataque, debes encontrar y corregir las vulnerabilidades que más exponen tus recursos, que son más explotables o que podrían causar el daño más grave si se explotaran.
Para mejorar de manera eficaz tu postura de seguridad con respecto a un estándar de seguridad en particular, debes encontrar y corregir las vulnerabilidades que incumplen los controles de los estándares de seguridad que se aplican a tu organización.
En las siguientes secciones, se explica cómo puedes priorizar los hallazgos de la postura de Security Command Center para cumplir con estos propósitos.
Prioriza los hallazgos de la postura para reducir el riesgo
Los hallazgos de la postura incluyen la siguiente información que puedes usar para priorizar la solución del problema de seguridad subyacente:
- Puntuación de exposición al ataque o puntuación de combinación tóxica
- Registros de CVE con evaluaciones de CVE de MandiantVersión preliminar
- Gravedad
Prioriza las tareas según las puntuaciones de exposición a ataques
Por lo general, prioriza la solución de un hallazgo de postura que tenga una puntuación alta de exposición a ataques sobre un hallazgo de postura que tenga una puntuación más baja o ninguna.
Los resultados de la postura incluyen los resultados de las combinaciones tóxicas. Si la puntuación de un resultado de combinación tóxica es aproximadamente igual a la puntuación de exposición a ataques de un resultado en una clase de resultados diferente, debes priorizar la solución del resultado de combinación tóxica, ya que representa una ruta completa que un atacante potencial podría seguir desde la Internet pública hasta uno o más de tus recursos de alto valor.
Si la puntuación de exposición a ataques de un hallazgo en otra clase de hallazgo es significativamente más alta que la puntuación de un hallazgo de combinación tóxica, prioriza el hallazgo con la puntuación más alta.
Para obtener más información, consulta lo siguiente:
- Cómo usar las puntuaciones para priorizar la búsqueda de soluciones
- Puntuaciones de exposición a ataques en combinaciones tóxicas
Cómo ver las puntuaciones en la consola de Security Operations
En la consola de Security Operations, trabajas principalmente con casos, en los que los hallazgos se documentan como alertas.
Puedes ver los casos de combinaciones tóxicas con las puntuaciones de exposición a ataques más altas en la página Postura > Descripción general.
Puedes ver las puntuaciones de todos los casos en la página Casos, donde puedes ordenarlos según sus puntuaciones de exposición a ataques. También puedes ordenar los hallazgos según la puntuación de exposición al ataque en la página Posición > Hallazgos.
Para obtener información sobre cómo consultar casos de combinaciones tóxicas de forma específica, consulta Cómo ver los detalles de un caso de combinación tóxica.
Consulta las puntuaciones en la consola de Google Cloud
En la consola de Google Cloud, las puntuaciones aparecen con los resultados en varios lugares, incluidos los siguientes:
- En la página Descripción general de riesgos, donde se muestran los 10 hallazgos con las puntuaciones más altas.
- En una columna de la página Resultados, en la que puedes consultar y ordenar los resultados por puntuación.
- Cuando veas los detalles de un hallazgo de postura que afecta a un recurso de alto valor.
En la página Resultados de la consola de Google Cloud, las puntuaciones de exposición a ataques de los resultados de combinación tóxica se presentan en la columna Puntuación de combinación tóxica, por separado de las puntuaciones de exposición a ataques de otras clases de resultados.
En la consola de Google Cloud, puedes ver los hallazgos que tienen las puntuaciones de exposición a ataques más altas siguiendo estos pasos:
Ve a la página Resumen de riesgos en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para la que debes priorizar las vulnerabilidades:
En la sección Casos de combinaciones tóxicas principales, revisa los resultados con las puntuaciones de combinaciones tóxicas más altas.
- Haz clic en el vínculo Ver caso para abrir el caso correspondiente en la consola de Security Operations.
En la sección Resultados de vulnerabilidades activas, revisa los resultados de la postura que tienen las puntuaciones de exposición a ataques más altas. Los resultados de las combinaciones tóxicas no se incluyen en esta sección.
Haz clic en una puntuación de la columna Puntuación de exposición al ataque para abrir la página de detalles de la ruta de ataque del resultado.
Haz clic en el nombre de un resultado para abrir el panel de detalles del resultado en la página Resultados.
Prioriza según la capacidad de explotación y el impacto de las CVE
Por lo general, prioriza la solución de los hallazgos que tienen una evaluación de CVE de alta capacidad de explotación y alto impacto sobre los hallazgos con una evaluación de CVE de baja capacidad de explotación y bajo impacto.
La información del CVE, incluidas las evaluaciones de impacto y capacidad de explotación del CVE que proporciona Mandiant, se basan en la vulnerabilidad del software.
En la página Resumen, en la sección Hallazgos de CVE principales, un gráfico o mapa de calor agrupa los hallazgos de vulnerabilidades en bloques según la explotabilidad y las evaluaciones de impacto que proporciona Mandiant.
Cuando veas los detalles de los resultados de vulnerabilidades de software en la consola, podrás encontrar la información del CVE en la sección Vulnerabilidad de la pestaña Resumen. Además del impacto y la explotabilidad, la sección Vulnerabilidad incluye la puntuación CVSS, vínculos de referencias y otra información sobre la definición de la vulnerabilidad CVE.
Para identificar rápidamente los hallazgos que tienen el mayor impacto y la mayor exploitabilidad, sigue estos pasos:
Ve a la página Descripción general en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para la que debes priorizar las vulnerabilidades:
En la sección Resultados principales de CVE de la página Resumen, haz clic en el bloque con un número distinto de cero que tenga la mayor capacidad de explotación y el mayor impacto. Se abrirá la página Resultados por CVE para mostrar una lista de IDs de CVE que tienen el mismo impacto y la misma explotabilidad.
En la sección Hallazgos por ID de CVE, haz clic en un ID de CVE. Se abre la página Resultados para mostrar la lista de resultados que comparten ese ID de CVE.
En la página Resultados, haz clic en el nombre de un resultado para ver sus detalles y los pasos de solución recomendados.
Prioriza según la gravedad
En general, prioriza un hallazgo de postura con una gravedad CRITICAL
sobre un hallazgo de postura con una gravedad HIGH
, prioriza la gravedad HIGH
sobre una gravedad MEDIUM
, y así sucesivamente.
Las gravedades de los resultados se basan en el tipo de problema de seguridad y Security Command Center las asigna a las categorías de resultados. Todos los hallazgos de una categoría o subcategoría en particular se emiten con el mismo nivel de gravedad.
A menos que uses el nivel empresarial de Security Command Center, los niveles de gravedad de los hallazgos son valores estáticos que no cambian durante el ciclo de vida del hallazgo.
Con el nivel empresarial, los niveles de gravedad de los hallazgos de la postura representan con mayor precisión el riesgo en tiempo real de un hallazgo. Los resultados se emiten con el nivel de gravedad predeterminado de la categoría de hallazgo, pero, mientras el hallazgo permanezca activo, el nivel de gravedad puede aumentar o disminuir a medida que aumenta o disminuye la puntuación de exposición al ataque del hallazgo.
Quizás la forma más fácil de identificar las vulnerabilidades de mayor gravedad sea usar los Filtros rápidos en la página Resultados de la consola de Google Cloud.
Para ver los resultados de mayor gravedad, sigue estos pasos:
Ve a la página Resultados en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para la que debes priorizar las vulnerabilidades:
En el panel Filtros rápidos de la página Resultados, selecciona las siguientes propiedades:
- En Finding class, selecciona Vulnerability.
- En Gravedad, selecciona Crítica, Alta o ambas.
El panel Resultados de la búsqueda se actualiza para mostrar solo los hallazgos que tengan la gravedad especificada.
También puedes ver las gravedades de los hallazgos de postura en la página Resumen, en la sección Hallazgos de vulnerabilidades activas.
Prioriza los resultados de la postura para mejorar el cumplimiento
Cuando priorizas los hallazgos de postura para el cumplimiento, tu principal preocupación son los hallazgos que incumplen los controles del estándar de cumplimiento aplicable.
Para ver los resultados que incumplen los controles de una comparativa en particular, sigue estos pasos:
Ve a la página Cumplimiento en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para la que debes priorizar las vulnerabilidades:
Junto al nombre del estándar de seguridad con el que debes cumplir, haz clic en Ver detalles. Se abrirá la página Detalles de cumplimiento.
Si no se muestra el estándar de seguridad que necesitas, especifícalo en el campo Estándar de cumplimiento de la página Detalles de cumplimiento.
Para ordenar las reglas enumeradas por Resultados, haz clic en el encabezado de la columna.
Para cualquier regla que muestre uno o más resultados, haz clic en el nombre de la regla en la columna Rules. Se abrirá la página Hallazgos para mostrar los hallazgos de esa regla.
Soluciona los problemas hasta que no queden. Después del siguiente análisis, si no se encuentran vulnerabilidades nuevas para la regla, aumenta el porcentaje de controles aprobados.