Priorizar a correção de vulnerabilidades

Esta página explica algumas das informações e métodos que você pode usar para priorizar as descobertas do Security Command Center sobre vulnerabilidades de software, falha de configuração e, com o nível Enterprise, combinações tóxicas (descobertas de postura, coletivamente), para reduzir o risco e melhorar sua postura de segurança em relação aos padrões de segurança aplicáveis de maneira mais rápida e eficiente.

O objetivo da priorização

Como seu tempo é limitado e o volume de descobertas de postura do Security Command Center pode ser excessivo, especialmente em organizações maiores, é necessário identificar e responder rapidamente às vulnerabilidades que representam o maior risco para sua organização.

Você precisa corrigir as vulnerabilidades para reduzir o risco de um ataque cibernético na sua organização e manter a conformidade dela com os padrões de segurança aplicáveis.

Para reduzir de maneira eficaz o risco de um ataque cibernético, você precisa encontrar e corrigir as vulnerabilidades que mais expõem seus recursos, que são mais exploráveis ou que resultariam no dano mais grave se fossem exploradas.

Para melhorar a postura de segurança de maneira eficaz em relação a um padrão de segurança específico, você precisa encontrar e corrigir as vulnerabilidades que violam os controles dos padrões de segurança aplicáveis à sua organização.

As seções a seguir explicam como priorizar as descobertas de postura do Security Command Center para atender a esses propósitos.

Priorizar os resultados de postura para reduzir o risco

As descobertas de postura incluem as seguintes informações que podem ser usadas para priorizar a correção do problema de segurança:

  • Pontuação de exposição a ataques ou pontuação de combinação ruim
  • Registros de CVE com avaliações de CVE da MandiantPreview
  • Gravidade

Priorizar por pontuações de exposição a ataques

Geralmente, priorize a correção de uma descoberta de postura que tenha uma pontuação de exposição a ataques alta em vez de uma descoberta de postura que tenha uma pontuação menor ou nenhuma pontuação.

As descobertas de postura incluem descobertas de combinações tóxicas. Se a pontuação de uma descoberta de combinação tóxica for aproximadamente igual à pontuação de exposição ao ataque em uma descoberta de uma classe de descoberta diferente, priorize a correção da descoberta de combinação tóxica, porque ela representa um caminho completo que um invasor em potencial pode seguir da Internet pública para um ou mais dos seus recursos de alto valor.

Se a pontuação de exposição a ataques de uma descoberta em outra classe de descoberta for significativamente maior do que a pontuação de uma descoberta de combinação tóxica, priorize a descoberta com a pontuação significativamente maior.

Para ver mais informações, consulte os seguintes tópicos:

Conferir pontuações no console do Security Operations

No console de operações de segurança, você trabalha principalmente com casos, em que as descobertas são documentadas como alertas.

É possível conferir os casos de combinação tóxica com as maiores pontuações de exposição a ataques na página Posture > Overview.

É possível conferir as pontuações de todos os casos na página Casos, onde você pode ordenar os casos por pontuação de exposição a ataques. Também é possível classificar as descobertas pela pontuação de exposição a ataques na página Posture > Findings.

Para saber como consultar especificamente casos de combinação tóxica, consulte Conferir os detalhes de um caso de combinação tóxica.

Conferir as pontuações no console do Google Cloud

No console do Google Cloud, as pontuações aparecem com as descobertas em vários lugares, incluindo:

  • Na página Visão geral de risco, onde as 10 descobertas com as pontuações mais altas são exibidas.
  • Em uma coluna na página Descobertas, onde você pode consultar e classificar as descobertas por pontuação.
  • Quando você acessa os detalhes de uma descoberta de postura que afeta um recurso de alto valor.

Na página Descobertas do console do Google Cloud, as pontuações de exposição a ataques de descobertas de combinação tóxica são apresentadas na coluna Pontuação de combinação tóxica, separadamente das pontuações de exposição a ataques de outras classes de descobertas.

No console do Google Cloud, é possível conferir as descobertas com as maiores pontuações de exposição a ataques seguindo estas etapas:

  1. Acesse a página Visão geral de riscos no console do Google Cloud:

    Acessar "Visão geral do risco"

  2. Use o seletor de projetos no console do Google Cloud para selecionar o projeto, a pasta ou a organização que precisa de prioridade nas vulnerabilidades:

    Seletor de projetos

  3. Na seção Principais casos de combinação tóxica, analise as descobertas com as pontuações mais altas de combinação tóxica.

    • Clique no link View case para abrir o caso correspondente no console de operações de segurança.
  4. Na seção Descobertas de vulnerabilidades ativas, analise as descobertas de postura com as maiores pontuações de exposição a ataques. Os resultados de combinação tóxica não estão incluídos nesta seção.

    • Clique em uma pontuação na coluna Pontuação de exposição ao ataque para abrir a página de detalhes do caminho de ataque da descoberta.

    • Clique no nome de uma descoberta para abrir o painel de detalhes dela na página Descobertas.

Priorizar por vulnerabilidade a explorações e impacto da CVE

Geralmente, priorize a correção de descobertas que tenham uma avaliação CVE de alta vulnerabilidade e alto impacto em vez de descobertas com uma avaliação CVE de baixa vulnerabilidade e baixo impacto.

As informações do CVE, incluindo avaliações de exploração e impacto do CVE fornecidas pela Mandiant, são baseadas na própria vulnerabilidade do software.

Na página Visão geral, na seção Principais conclusões de CVE, um gráfico ou mapa de calor agrupa as descobertas de vulnerabilidade em blocos pela capacidade de exploração e avaliações de impacto fornecidas pela Mandiant.

Ao conferir os detalhes das descobertas de vulnerabilidade de software no console, você pode encontrar as informações do CVE na seção Vulnerabilidade da guia Resumo. Além do impacto e da exploração, a seção Vulnerabilidade inclui a pontuação CVSS, links de referência e outras informações sobre a definição de vulnerabilidade CVE.

Para identificar rapidamente as descobertas com maior impacto e explorabilidade, siga estas etapas:

  1. Acesse a página Visão geral no console do Google Cloud:

    Ir para Visão geral

  2. Use o seletor de projetos no console do Google Cloud para selecionar o projeto, a pasta ou a organização que precisa de prioridade nas vulnerabilidades:

    Seletor de projetos

  3. Na seção Top CVE findings da página Overview, clique no bloco com um número diferente de zero que tenha a maior vulnerabilidade e impacto. A página Descobertas por CVE é aberta para mostrar uma lista de IDs de CVE que têm o mesmo impacto e exploração.

  4. Na seção Findings by CVE ID, clique em um ID da CVE. A página Descobertas é aberta para mostrar a lista de descobertas que compartilham esse ID de CVE.

  5. Na página Descobertas, clique no nome de uma descoberta para conferir os detalhes dela e as etapas de correção recomendadas.

Priorizar por gravidade

Geralmente, priorize uma descoberta de postura com gravidade CRITICAL em vez de uma descoberta de postura com gravidade HIGH, priorize a gravidade HIGH em vez de uma gravidade MEDIUM e assim por diante.

As gravidades das descobertas são baseadas no tipo de problema de segurança e são atribuídas a categorias de descobertas pelo Security Command Center. Todas as descobertas em uma categoria ou subcategoria específica são emitidas com o mesmo nível de gravidade.

A menos que você esteja usando o nível Enterprise do Security Command Center, os níveis de gravidade da descoberta são valores estáticos que não mudam ao longo da vida útil da descoberta.

Com o nível Enterprise, os níveis de gravidade das descobertas de postura representam com mais precisão o risco em tempo real de uma descoberta. As descobertas são emitidas com o nível de gravidade padrão da categoria, mas, enquanto a descoberta permanece ativa, o nível de gravidade pode aumentar ou diminuir conforme a pontuação de exposição ao ataque da descoberta aumenta ou diminui.

Talvez a maneira mais fácil de identificar as vulnerabilidades de maior gravidade seja usar os filtros rápidos na página Findings no console do Google Cloud.

Para conferir as descobertas de maior gravidade, siga estas etapas:

  1. Acesse a página Descobertas no console do Google Cloud:

    Acesse Descobertas

  2. Use o seletor de projetos no console do Google Cloud para selecionar o projeto, a pasta ou a organização que precisa de prioridade nas vulnerabilidades:

    Seletor de projetos

  3. No painel Filtros rápidos da página Descobertas, selecione as seguintes propriedades:

    • Em Classe de descoberta, selecione Vulnerabilidade.
    • Em Gravidade, selecione Crítico, Alto ou ambos.

    O painel Resultados da consulta de descobertas é atualizado para mostrar apenas as descobertas com a gravidade especificada.

Também é possível conferir as gravidades das descobertas de postura na página Visão geral na seção Descobertas de vulnerabilidade ativa.

Priorizar as descobertas de postura para melhorar a conformidade

Ao priorizar as descobertas de postura para compliance, sua principal preocupação é com as descobertas que violam os controles do padrão de compliance aplicável.

Para conferir as descobertas que violam os controles de um comparativo de mercado específico, siga estas etapas:

  1. Acesse a página Compliance no console do Google Cloud:

    Acesse Conformidade

  2. Use o seletor de projetos no console do Google Cloud para selecionar o projeto, a pasta ou a organização que precisa de prioridade nas vulnerabilidades:

    Seletor de projetos

  3. Ao lado do nome do padrão de segurança que você precisa seguir, clique em Ver detalhes. A página Detalhes de compliance é aberta.

  4. Se o padrão de segurança necessário não aparecer, especifique-o no campo Padrão de compliance na página Detalhes de compliance.

  5. Classifique as regras listadas por Descobertas clicando no cabeçalho da coluna.

  6. Para qualquer regra que mostre uma ou mais descobertas, clique no nome da regra na coluna Regras. A página Descobertas é aberta para mostrar as descobertas dessa regra.

  7. Corrija as descobertas até que não haja mais nenhuma. Após a próxima verificação, se nenhuma nova vulnerabilidade for encontrada para a regra, a porcentagem de controles aprovados vai aumentar.