本頁說明如何運用資訊和方法,優先處理 Security Command Center 發現的軟體安全漏洞、錯誤設定,以及 (Enterprise 或 Premium 級別) 毒性組合和瓶頸 (統稱為問題),以便更快速有效地降低風險,並根據適用的安全標準提升安全防護措施。
優先順序安排的目的
由於時間有限,且 Security Command Center 問題量可能十分龐大 (尤其是在大型機構中),您需要快速找出並因應對機構造成最大風險的安全漏洞。
您必須修正弱點,才能降低貴機構遭受網路攻擊的風險,並確保貴機構符合適用的安全標準。
如要有效降低網路攻擊風險,您需要找出並修正最容易暴露資源、最容易遭到攻擊,或遭攻擊後會造成最嚴重損害的安全漏洞。
如要根據特定安全標準有效改善安全防護機制,您必須找出並修正違反適用於貴機構安全標準控管措施的安全漏洞。
下列各節說明如何排定 Security Command Center 狀態發現項目的優先順序,以達成這些目的。
優先處理問題,降低風險
問題包含在貴機構中偵測到的有害組合和瓶頸。這些是最重要的問題,為進一步協助您排定問題優先順序,這些報告會提供下列資訊,方便您優先修正根本的安全性問題:
依據遭受攻擊的風險分數決定優先順序
一般來說,您應優先修正受攻擊風險分數較高的問題,而非分數較低或沒有分數的問題。
如要瞭解詳情,請參考下列資源:
在 Security Command Center Google Cloud 控制台中查看分數
分數會與發現事項一起顯示在多個位置,包括:
- 在「風險總覽」頁面。
- 在 Security Command Center 的「發現項目」頁面中,您可以在欄中依分數查詢及排序發現項目。
如要查看遭受攻擊的風險分數最高的發現項目,請按照下列步驟操作:
前往 Google Cloud 控制台的「風險總覽」頁面:
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
「風險最高的問題」部分會顯示受攻擊風險分數最高的問題。
選取問題,然後按一下「查看問題詳細資料」,即可開啟攻擊路徑詳細資料頁面和「攻擊暴露程度分數」。
按一下「查看全部」,即可查看所有問題的清單,以及每個問題的受攻擊風險分數。
如要進一步瞭解「風險總覽」頁面,請參閱「迅速評估風險」。
查看案件中的分數
在 Security Operations 控制台中,您主要處理案件,並將調查結果記錄為快訊。
在 Security Command Center Enterprise 中,您可以在「風險」> 案件」頁面,查看攻擊曝光率分數最高的有害組合案件。您可以依受攻擊風險分數排序案件。
在 Security Command Center Premium 中,您也可以在 Google Cloud 控制台的「發現項目」頁面上,依受攻擊風險分數排序發現項目。
如要瞭解如何查詢特定有害組合案件,請參閱「查看有害組合案件的詳細資料」。
依據 CVE 漏洞攻擊可能性和影響程度排定優先順序
一般來說,如果發現項目的 CVE 評估結果為「可利用性高」和「影響程度高」,請優先修復,而非「可利用性低」和「影響程度低」的發現項目。
CVE 資訊 (包括 Mandiant 提供的 CVE 漏洞利用可能性和影響評估) 是以軟體漏洞本身為依據。
在「總覽」頁面的「安全漏洞」資訊主頁下方,「最常見的安全漏洞和漏洞攻擊」熱度圖會根據 Mandiant 提供的可利用性和影響評估,將安全漏洞發現項目歸類為不同區塊。
在 Google Cloud 控制台中查看軟體安全漏洞發現結果的詳細資料時,您可以在「摘要」分頁的「安全漏洞」部分找到 CVE 資訊。除了影響和可利用性之外,「安全漏洞」部分還包括 CVSS 分數、參考連結,以及其他有關 CVE 安全漏洞定義的資訊。
如要快速找出影響最大且最容易遭到利用的發現,請按照下列步驟操作:
前往 Google Cloud 控制台的「風險總覽」頁面。
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
在「風險總覽」頁面中,按一下「安全漏洞」。
在「最常見的安全漏洞和漏洞攻擊」面板中,執行下列操作:
按一下具有最高可利用性和影響程度的非零數字方塊。面板只會顯示具有所選影響和可利用性的發現項目。
按一下「發現」欄中的計數。「發現項目」頁面隨即開啟,顯示共用該 CVE ID 的發現項目清單。
在「Latest Compute Vulnerabilities with Known Exploits」(最新的 Compute 安全漏洞與已知的攻擊) 部分,按一下「Virtual Machine」(虛擬機器) 欄中的資源 ID。系統會開啟資產詳細資料窗格,顯示該資產的相關資訊。
依嚴重性排序
一般而言,您應優先處理嚴重程度為 CRITICAL 的問題或發現項目,再處理嚴重程度為 HIGH 的問題或發現項目,依此類推。HIGHMEDIUM
嚴重程度取決於安全性問題類型,並由 Security Command Center 指派給發現項目類別。特定類別或子類別中的所有發現項目,都會以相同的嚴重程度產生。
除非您使用 Security Command Center 的 Enterprise 或 Premium 級,否則發現項目的嚴重程度等級是靜態值,不會在發現項目的生命週期內變更。
使用企業版時,問題的嚴重程度會更準確地反映發現項目的即時風險。系統會根據發現項目類別的預設嚴重程度產生發現項目,但如果發現項目仍處於有效狀態,嚴重程度可能會隨著發現項目的攻擊暴露分數增加或減少。
如要找出最嚴重的安全漏洞,最簡單的方法就是在 Google Cloud 控制台的「發現」頁面使用「快速篩選器」。
如要查看嚴重程度最高的發現項目,請按照下列步驟操作:
前往 Google Cloud 控制台的「發現項目」頁面:
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
在「發現」頁面的「快速篩選器」面板中,選取下列屬性:
- 在「Finding class」(發現類別) 下方,選取「Vulnerability」(安全漏洞)。
- 在「嚴重程度」下方,選取「重大」、「高」或兩者。
「Findings query results」(調查結果查詢結果) 面板會更新,只顯示具有指定嚴重程度的調查結果。
優先處理態勢發現項目,以提升法規遵循程度
優先處理法規遵循狀態的發現項目時,主要考量是違反適用法規遵循標準控管機制的發現項目。
如要查看違反特定基準控制項的結果,請按照下列步驟操作:
前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面:
在 Google Cloud 控制台使用專案選取器,選取需要優先處理安全漏洞的專案、資料夾或機構。
找出您需要遵守的安全性標準,然後按一下旁邊的「查看詳細資料」。「法規遵循詳細資料」頁面隨即開啟。
如果沒有顯示您需要的安全標準,請在「法規遵循詳細資料」頁面的「法規遵循標準」欄位中指定標準。
按一下欄標題,即可依「發現項目」排序列出的規則。
如果規則顯示一或多個結果,請按一下「規則」欄中的規則名稱。「發現」頁面隨即開啟,顯示該規則的發現項目。
修正發現項目,直到沒有任何發現項目為止。下次掃描後,如果系統未發現規則有新的安全漏洞,通過的控制項百分比就會增加。