Prioriser la correction des failles

Cette page explique certaines des informations et méthodes que vous pouvez utiliser pour hiérarchiser les résultats de Security Command Center concernant les failles logicielles, les mauvaises configurations et, avec le niveau Enterprise, les combinaisons toxiques (résultats de l'état de sécurité, collectivement), afin de réduire les risques et d'améliorer votre état de sécurité par rapport aux normes de sécurité applicables plus rapidement et plus efficacement.

But de la hiérarchisation

Votre temps est limité et le volume de résultats de la posture de Security Command Center peut être écrasant, en particulier dans les grandes entreprises. Vous devez donc identifier et traiter rapidement les failles qui présentent le plus de risques pour votre organisation.

Vous devez corriger les failles pour réduire le risque de cyberattaque sur votre organisation et pour maintenir la conformité de votre organisation avec les normes de sécurité applicables.

Pour réduire efficacement le risque de cyberattaque, vous devez trouver et corriger les failles qui exposent le plus vos ressources, qui sont les plus exploitables ou qui entraîneraient les dommages les plus graves si elles étaient exploitées.

Pour améliorer efficacement votre posture de sécurité par rapport à une norme de sécurité particulière, vous devez rechercher et corriger les failles qui ne respectent pas les contrôles des normes de sécurité qui s'appliquent à votre organisation.

Les sections suivantes expliquent comment hiérarchiser les résultats de la posture de Security Command Center pour atteindre ces objectifs.

Prioriser les résultats de l'analyse de la posture pour réduire les risques

Les résultats de l'évaluation de la posture incluent les informations suivantes, que vous pouvez utiliser pour hiérarchiser la résolution du problème de sécurité sous-jacent:

  • Niveau d'exposition aux attaques ou score de combinaison toxique
  • Enregistrements CVE avec évaluations CVE par MandiantPreview
  • Gravité

Prioriser les problèmes en fonction des scores d'exposition aux attaques

En règle générale, priorisez la correction d'un résultat d'évaluation de la posture qui présente un score d'exposition aux attaques élevé par rapport à un résultat d'évaluation de la posture qui présente un score inférieur ou aucun score.

Les résultats de la posture incluent les résultats des combinaisons toxiques. Si le score d'une combinaison toxique est à peu près égal au score d'exposition aux attaques d'une autre classe de résultats, vous devez donner la priorité à la correction de la combinaison toxique, car elle représente un chemin complet qu'un pirate informatique potentiel pourrait suivre depuis l'Internet public vers une ou plusieurs de vos ressources à forte valeur.

Si le score d'exposition aux attaques d'une anomalie d'une autre classe est nettement supérieur à celui d'une anomalie de combinaison toxique, priorisez l'anomalie dont le score est nettement plus élevé.

Pour en savoir plus, consultez les ressources suivantes :

Afficher les scores dans la console Security Operations

Dans la console Security Operations, vous travaillez principalement sur des demandes, dans lesquelles les résultats sont documentés sous forme d'alertes.

Vous pouvez consulter les cas de combinaison toxique avec les scores d'exposition aux attaques les plus élevés sur la page Posture > Overview (Posture > Vue d'ensemble).

Vous pouvez consulter les scores de toutes les demandes sur la page Demandes, où vous pouvez les trier en fonction de leur score d'exposition aux attaques. Vous pouvez également trier les résultats par score d'exposition aux attaques sur la page Posture > Résultats.

Pour savoir comment effectuer des requêtes spécifiques sur les cas de combinaison toxique, consultez la section Afficher les détails d'un cas de combinaison toxique.

Afficher les scores dans la console Google Cloud

Dans la console Google Cloud, les scores s'affichent avec les résultats à plusieurs endroits, y compris:

  • Sur la page Vue d'ensemble des risques, où les 10 résultats les plus élevés sont affichés.
  • Dans une colonne de la page Résultats, où vous pouvez interroger et trier les résultats par score.
  • Lorsque vous consultez les détails d'un résultat d'évaluation de la posture qui affecte une ressource de grande valeur.

Sur la page Findings (Résultats) de la console Google Cloud, les scores d'exposition aux attaques des résultats de combinaison toxique sont présentés dans la colonne Toxic combination score (Score de combinaison toxique), séparément des scores d'exposition aux attaques des autres classes de résultats.

Dans la console Google Cloud, vous pouvez afficher les résultats qui ont les scores d'exposition aux attaques les plus élevés en procédant comme suit:

  1. Accédez à la page Vue d'ensemble des risques dans la console Google Cloud:

    Accéder à la page "Vue d'ensemble des risques"

  2. Utilisez le sélecteur de projet dans la console Google Cloud pour choisir le projet, le dossier ou l'organisation pour lequel vous devez hiérarchiser les failles:

    Sélecteur de projet

  3. Dans la section Principals cas de combinaison toxique, examinez les résultats avec les scores de combinaison toxique les plus élevés.

    • Cliquez sur le lien Afficher la demande pour ouvrir la demande correspondante dans la console Security Operations.
  4. Dans la section Résultats des failles actives, examinez les résultats de l'état de la sécurité qui présentent les scores d'exposition aux attaques les plus élevés. Les résultats des combinaisons toxiques ne sont pas inclus dans cette section.

    • Cliquez sur un score dans la colonne Score d'exposition à l'attaque pour ouvrir la page d'informations sur le chemin d'attaque de l'anomalie.

    • Cliquez sur le nom d'un résultat pour ouvrir le panneau des détails du résultat sur la page Résultats.

Priorisez les failles CVE en fonction de leur exploitabilité et de leur impact

En règle générale, priorisez la correction des résultats dont l'évaluation CVE indique une forte exploitabilité et un fort impact par rapport aux résultats dont l'évaluation CVE indique une faible exploitabilité et un faible impact.

Les informations sur les CVE, y compris les évaluations de l'exploitabilité et de l'impact des CVE fournies par Mandiant, sont basées sur la faille logicielle elle-même.

Sur la page Vue d'ensemble, dans la section Principales failles CVE détectées, un graphique ou une carte thermique regroupe les résultats des failles en blocs en fonction des évaluations d'exploitabilité et d'impact fournies par Mandiant.

Lorsque vous consultez les détails des résultats de la recherche de failles logicielles dans la console, vous trouverez les informations sur les CVE dans la section Faille de l'onglet Récapitulatif. En plus de l'impact et de l'exploitabilité, la section Faille inclut le score CVSS, des liens de référence et d'autres informations sur la définition de la faille CVE.

Pour identifier rapidement les résultats les plus importants et les plus exploitables, procédez comme suit:

  1. Accédez à la page Vue d'ensemble dans la console Google Cloud:

    Accéder à la page "Présentation"

  2. Utilisez le sélecteur de projet dans la console Google Cloud pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez hiérarchiser les failles:

    Sélecteur de projet

  3. Dans la section Principales failles CVE de la page Vue d'ensemble, cliquez sur le bloc associé au nombre non nul présentant le niveau d'exploitabilité et d'impact le plus élevé. La page Résultats par CVE s'ouvre et affiche la liste des ID CVE ayant le même impact et la même exploitabilité.

  4. Dans la section Résultats par ID de CVE, cliquez sur un ID de CVE. La page Résultats s'ouvre et affiche la liste des résultats associés à cet ID CVE.

  5. Sur la page Résultats, cliquez sur le nom d'un résultat pour afficher ses détails et les étapes de correction recommandées.

Prioriser par gravité

En règle générale, priorisez un résultat d'évaluation de la posture avec un niveau de gravité CRITICAL par rapport à un résultat d'évaluation de la posture avec un niveau de gravité HIGH, priorisez le niveau de gravité HIGH par rapport à un niveau de gravité MEDIUM, etc.

Les niveaux de gravité des résultats sont basés sur le type de problème de sécurité et sont attribués aux catégories de résultats par Security Command Center. Tous les résultats d'une catégorie ou d'une sous-catégorie spécifique sont émis avec le même niveau de gravité.

Sauf si vous utilisez le niveau Enterprise de Security Command Center, les niveaux de gravité des résultats sont des valeurs statiques qui ne changent pas au cours de la durée de vie des résultats.

Avec le niveau Enterprise, les niveaux de gravité des résultats de l'évaluation de la posture représentent plus précisément le risque en temps réel d'une anomalie. Les résultats sont émis avec le niveau de gravité par défaut de la catégorie, mais tant que le résultat reste actif, le niveau de gravité peut augmenter ou diminuer à mesure que le score d'exposition aux attaques du résultat augmente ou diminue.

Le moyen le plus simple d'identifier les failles de gravité la plus élevée est peut-être d'utiliser les filtres rapides sur la page Résultats de la console Google Cloud.

Pour afficher les résultats de la plus haute gravité, procédez comme suit:

  1. Accédez à la page Résultats de la console Google Cloud:

    Accéder

  2. Utilisez le sélecteur de projet dans la console Google Cloud pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez hiérarchiser les failles:

    Sélecteur de projet

  3. Dans le panneau Filtres rapides de la page Résultats, sélectionnez les propriétés suivantes:

    • Sous Finding class (Classe de recherche), sélectionnez Vulnerability (Faille).
    • Sous Gravité, sélectionnez Critique, Élevée ou les deux.

    Le panneau Résultats de la requête "Résultats" est mis à jour pour n'afficher que les résultats dont la gravité est spécifiée.

Vous pouvez également consulter la gravité des résultats de l'évaluation de la posture sur la page Vue d'ensemble, dans la section Failles actives constatées.

Prioriser les résultats de l'évaluation de la conformité

Lorsque vous hiérarchisez les résultats de l'évaluation de la conformité, votre principale préoccupation concerne les résultats qui ne respectent pas les contrôles de la norme de conformité applicable.

Pour afficher les résultats qui ne respectent pas les contrôles d'un benchmark particulier, procédez comme suit:

  1. Accédez à la page Conformité dans la console Google Cloud:

    Accéder

  2. Utilisez le sélecteur de projet dans la console Google Cloud pour choisir le projet, le dossier ou l'organisation pour lequel vous souhaitez hiérarchiser les failles:

    Sélecteur de projet

  3. À côté du nom de la norme de sécurité que vous devez respecter, cliquez sur Afficher les détails. La page Informations sur la conformité s'ouvre.

  4. Si la norme de sécurité dont vous avez besoin ne s'affiche pas, indiquez-la dans le champ Norme de conformité de la page Détails de la conformité.

  5. Triez les règles listées par Résultats en cliquant sur l'en-tête de la colonne.

  6. Pour chaque règle qui affiche un ou plusieurs résultats, cliquez sur son nom dans la colonne Règles. La page Résultats s'ouvre pour afficher les résultats de cette règle.

  7. Corrigez les problèmes jusqu'à ce qu'il n'en reste plus. Après l'analyse suivante, si aucune nouvelle faille n'est détectée pour la règle, le pourcentage de commandes validées augmente.