Questa pagina illustra alcuni dei metodi e delle informazioni che puoi utilizzare per dare la priorità ai rilevamenti di vulnerabilità ed errori di configurazione di Security Command Center (collettivamente, vulnerabilità), in modo da poter ridurre i rischi e migliorare la tua strategia di sicurezza in base agli standard di sicurezza applicabili in modo più rapido ed efficiente.
Lo scopo dell'assegnazione delle priorità
Poiché il tuo tempo è limitato e il volume di risultati delle vulnerabilità di Security Command Center può essere schiacciante, soprattutto nelle organizzazioni più grandi, devi identificare e rispondere rapidamente alle vulnerabilità che rappresentano il rischio maggiore per la tua organizzazione.
Devi correggere le vulnerabilità per ridurre il rischio di un attacco informatico per la tua organizzazione e per mantenere la conformità dell'organizzazione agli standard di sicurezza applicabili.
Per ridurre in modo efficace il rischio di un attacco informatico, devi trovare e correggere le vulnerabilità che espongono maggiormente le tue risorse, che sono più sfruttabili o che comporterebbero i danni più gravi se venissero sfruttate.
Per migliorare in modo efficace la tua strategia di sicurezza rispetto a uno specifico standard di sicurezza, devi trovare e correggere le vulnerabilità che violano i controlli degli standard di sicurezza che si applicano alla tua organizzazione.
Le sezioni seguenti spiegano come assegnare la priorità ai risultati di vulnerabilità di Security Command Center per soddisfare questi scopi.
Dai la priorità ai risultati di vulnerabilità per ridurre i rischi
Un risultato è la registrazione di un problema di sicurezza. Un risultato di vulnerabilità include le seguenti informazioni che puoi utilizzare per dare priorità alla correzione della vulnerabilità:
- Punteggio di esposizione all'attacco
- Record CVE con valutazioni CVE di MandiantAnteprima
- Gravità
Anche se i punteggi di esposizione agli attacchi vengono assegnati ai risultati di vulnerabilità, si basano principalmente sull'identificazione dei potenziali percorsi di attacco dalla rete internet pubblica alle risorse di alto valore, sul valore di priorità assegnato delle risorse e sul numero di risorse interessate dal risultato.
Le informazioni CVE, incluse la sfruttabilità e le valutazioni dell'impatto del CVE fornite da Mandiant, si basano sulla vulnerabilità stessa.
Allo stesso modo, le gravità dei risultati si basano sul tipo di vulnerabilità e vengono assegnate alle categorie di risultati da Security Command Center. Tutti i risultati in una determinata categoria o sottocategoria vengono emessi con lo stesso livello di gravità.
A meno che non utilizzi il livello Enterprise di Security Command Center, i livelli di gravità dei risultati sono valori statici che non cambiano nel corso del processo di rilevamento.
Con il livello Enterprise, i livelli di gravità dei risultati relativi a vulnerabilità e configurazione errata rappresentano in modo più accurato il rischio in tempo reale di un risultato. I risultati vengono generati con il livello di gravità predefinito della categoria di esiti, ma possono salire o scendere al di sotto del livello predefinito man mano che il punteggio di esposizione agli attacchi del risultato aumenta o diminuisce mentre il risultato rimane attivo.
Dai priorità in base ai punteggi di esposizione agli attacchi
In generale, dai priorità alla correzione dei risultati di vulnerabilità con un punteggio elevato di esposizione agli attacchi rispetto a quelli con un punteggio basso o nessun punteggio.
Solo i risultati di vulnerabilità che interessano le risorse designate come di alto valore ricevono punteggi di esposizione agli attacchi. Affinché i punteggi riflettano le priorità della tua attività, devi prima definire quali delle tue risorse sono di alto valore. Per ulteriori informazioni, consulta Valori delle risorse.
Nella console Google Cloud, i punteggi vengono visualizzati con i risultati in più posizioni, tra cui:
- Nella pagina Panoramica, dove vengono visualizzati i 10 risultati con i punteggi più alti.
- In una colonna della pagina Risultati, dove puoi eseguire query e ordinare i risultati in base al relativo punteggio di esposizione agli attacchi.
- Quando visualizzi i dettagli di un risultato di vulnerabilità che interessa una risorsa di alto valore.
Per vedere i 10 risultati di vulnerabilità con i più alti punteggi di esposizione agli attacchi, segui questi passaggi:
Vai alla pagina Panoramica nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare priorità alle vulnerabilità:
Nella sezione Principali risultati relativi alle vulnerabilità, esamina i 10 risultati.
Fai clic su un punteggio nella colonna Punteggio di esposizione all'attacco per aprire la pagina dei dettagli del percorso di attacco.
Fai clic sul nome di un risultato per aprire il riquadro dei dettagli del risultato nella pagina Risultati.
Per maggiori informazioni, consulta Punteggi di esposizione agli attacchi e percorsi di attacco.
Dai la priorità in base a sfruttabilità e impatto delle CVE
In generale, dai priorità alla correzione dei risultati che hanno una valutazione CVE ad alta sfruttabilità e ad alto impatto rispetto ai risultati con una valutazione CVE a bassa sfruttabilità e a basso impatto.
Nella sezione Principali risultati CVE della pagina Panoramica, un grafico o una mappa termica raggruppa le vulnerabilità in blocchi in base alle valutazioni di sfruttabilità e impatto fornite da Mandiant.
Quando visualizzi i dettagli di alcuni risultati relativi a vulnerabilità nella console, puoi trovare le informazioni CVE nella sezione Vulnerabilità della scheda Riepilogo. Oltre all'impatto e alla sfruttabilità, la sezione Vulnerabilità include il punteggio CVSS, i link ai riferimenti e altre informazioni sulla definizione di vulnerabilità CVE.
Per identificare rapidamente i risultati con il massimo impatto e sfruttabilità, segui questi passaggi:
Vai alla pagina Panoramica nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare priorità alle vulnerabilità:
Nella sezione Principali risultati CVE della pagina Panoramica, fai clic sul blocco con un numero diverso da zero che ha il massimo impatto e sfruttabilità. Si apre la pagina Risultati per CVE per mostrare un elenco di ID CVE che hanno lo stesso impatto e la stessa sfruttabilità.
Nella sezione Risultati per ID CVE, fai clic su un ID CVE. Si apre la pagina Risultati che mostra l'elenco dei risultati che condividono l'ID CVE.
Nella pagina Risultati, fai clic sul nome di un risultato per visualizzare i dettagli del risultato e i passaggi consigliati per la correzione.
Assegna priorità in base alla gravità
In genere, dai la priorità a un risultato di vulnerabilità con gravità CRITICAL rispetto a un risultato di vulnerabilità con gravità HIGH, assegna la priorità alla gravità HIGH piuttosto che a un livello MEDIUM e così via.
Forse il modo più semplice per identificare le vulnerabilità con la massima gravità è utilizzare i filtri rapidi nella pagina Risultati della console Google Cloud.
Per visualizzare i risultati con la massima gravità:
Vai alla pagina Risultati nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare priorità alle vulnerabilità:
Nel riquadro Filtri rapidi della pagina Risultati, seleziona le seguenti proprietà:
- In Ricerca del corso, seleziona Vulnerabilità.
- In Gravità, seleziona Critica, Alta o entrambe le opzioni.
Il riquadro Risultati delle query dei risultati viene aggiornato per mostrare solo i risultati con la gravità specificata.
Puoi anche visualizzare le gravità dei risultati di vulnerabilità nella pagina Panoramica, nella sezione Risultati di vulnerabilità attivi.
Dai priorità ai risultati di vulnerabilità per migliorare la conformità
Quando dai la priorità ai risultati di vulnerabilità per la conformità, la tua preoccupazione principale sono i risultati che violano i controlli dello standard di conformità applicabile.
Puoi esaminare i risultati che violano i controlli di un determinato benchmark seguendo questi passaggi:
Vai alla pagina Conformità nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare priorità alle vulnerabilità:
Accanto al nome dello standard di sicurezza che devi rispettare, fai clic su Visualizza dettagli. Viene visualizzata la pagina Dettagli conformità.
Se lo standard di sicurezza necessario non viene visualizzato, specificalo nel campo Standard di conformità della pagina Dettagli conformità.
Ordina le regole elencate per Risultati facendo clic sull'intestazione di colonna.
Per una regola che mostra uno o più risultati, fai clic sul nome della regola nella colonna Regole. Si apre la pagina Risultati per visualizzare i risultati per la regola in questione.
Correggi i risultati fino a quando non ce n'è più uno. Dopo la scansione successiva, se non vengono trovate nuove vulnerabilità per la regola, la percentuale di controlli superati aumenta.