Questa pagina spiega alcuni delle informazioni e dei metodi che puoi utilizzare per dare la priorità ai risultati di Security Command Center relativi a vulnerabilità del software, configurazioni e, con il livello Enterprise, combinazioni dannose (vulnerabilità, collettivamente), in modo da poter ridurre i rischi e migliorare la security posture rispetto agli standard di sicurezza applicabili in modo più rapido ed efficiente.
Lo scopo dell'assegnazione delle priorità
Poiché il tempo è limitato e il volume dei risultati di vulnerabilità di Security Command Center può essere estenuante, soprattutto nelle organizzazioni più grandi, devi identificare e rispondere rapidamente alle vulnerabilità che rappresentano il rischio maggiore per la tua organizzazione.
Devi correggere le vulnerabilità per ridurre il rischio di attacchi informatici alla tua organizzazione e per mantenerla conforme agli standard di sicurezza applicabili.
Per ridurre efficacemente il rischio di un attacco informatico, devi individuare e correggere le vulnerabilità che espongono maggiormente le tue risorse, che sono più sfruttabili o che comporterebbero i danni più gravi se venissero sfruttate.
Per migliorare in modo efficace la security posture rispetto a uno determinato standard di sicurezza, devi trovare e correggere le vulnerabilità che violano i controlli degli standard di sicurezza applicati alla tua organizzazione.
Le sezioni seguenti spiegano come assegnare la priorità ai risultati di vulnerabilità di Security Command Center per soddisfare questi scopi.
Dai la priorità ai risultati relativi alle vulnerabilità per ridurre i rischi
Un risultato è un record di un problema di sicurezza. Un risultato di vulnerabilità include le seguenti informazioni che puoi utilizzare per stabilire le priorità di correzione della vulnerabilità:
- Punteggio di esposizione agli attacchi o punteggio di combinazione tossica
- Record CVE con valutazioni CVE di MandiantAnteprima
- Gravità
Sebbene i punteggi di esposizione agli attacchi vengano assegnati ai risultati di vulnerabilità, si basano principalmente sull'identificazione dei potenziali percorsi di attacco dalla rete internet pubblica alle risorse di alto valore, sul valore di priorità assegnato delle risorse e sul numero di risorse interessate dal risultato.
Un punteggio di combinazione tossica si applica ai risultati delle combinazioni tossiche, che sono una funzionalità del livello Enterprise di Security Command Center. Il punteggio di combinazione tossica è simile al punteggio di esposizione agli attacchi su altri tipi di risultati, ma può essere considerato come applicato a un percorso piuttosto che al rilevamento di una singola vulnerabilità o configurazione del software. Per ulteriori informazioni, consulta Punteggi di esposizione agli attacchi da combinazioni tossiche.
Le informazioni sulle CVE, tra cui la sfruttabilità e le valutazioni dell'impatto delle CVE fornite da Mandiant, si basano sulla vulnerabilità stessa.
Allo stesso modo, i livelli di gravità della ricerca si basano sul tipo di vulnerabilità e vengono assegnati alle categorie di rilevamento da Security Command Center. Tutti i risultati di una determinata categoria o sottocategoria vengono emessi con lo stesso livello di gravità.
A meno che non utilizzi il livello Enterprise di Security Command Center, i livelli di gravità dei risultati sono valori statici che non cambiano nel corso del periodo di analisi.
Con il livello Enterprise, i livelli di gravità dei risultati di vulnerabilità e configurazione rappresentano in modo più accurato il rischio in tempo reale di un risultato. I risultati vengono forniti con il livello di gravità predefinito della categoria dei risultati, ma possono aumentare o scendere al di sotto del livello predefinito man mano che il punteggio di esposizione agli attacchi del risultato aumenta o diminuisce mentre l'esito rimane attivo.
Definisci la priorità in base ai punteggi di esposizione agli attacchi
In generale, dai la priorità alla correzione dei risultati con un'elevata esposizione agli attacchi o un punteggio di combinazioni tossiche rispetto a quelli con un punteggio più basso o nessun punteggio.
Solo i risultati di vulnerabilità che interessano le risorse designate come di alto valore ricevono punteggi. Affinché i punteggi riflettano le priorità aziendali, devi prima definire quali risorse presentano un valore elevato. Per maggiori informazioni, consulta Valori delle risorse.
Nella console Google Cloud e in Security Operations Console, i punteggi vengono visualizzati con i risultati in più posizioni, tra cui:
- Nella pagina Panoramica, dove sono visualizzati i 10 risultati con i punteggi più alti.
- In una colonna della pagina Risultati, dove puoi eseguire query e ordinare i risultati in base al punteggio.
- Quando visualizzi i dettagli di un risultato di vulnerabilità che interessa una risorsa di alto valore.
Visualizza i risultati delle combinazioni tossiche con i punteggi migliori nella Security Operations Console
Nella Security Operations Console, puoi lavorare con la combinazione tossica principalmente attraverso le richieste. Puoi visualizzare le richieste dei risultati con i punteggi migliori nella pagina Postura > Panoramica.
Visualizza i risultati con i punteggi migliori nella console Google Cloud
Nella console Google Cloud, puoi vedere i 10 risultati di vulnerabilità con i punteggi più alti per l'esposizione agli attacchi:
Nella console Google Cloud, vai alla pagina Panoramica:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Nella sezione Principali risultati relativi alle vulnerabilità, esamina i 10 risultati.
Fai clic su un punteggio nella colonna Punteggio di esposizione all'attacco per aprire la pagina dei dettagli del percorso di attacco per il risultato.
Fai clic sul nome di un risultato per aprire il riquadro dei dettagli del risultato nella pagina Risultati.
Per ulteriori informazioni, consulta Punteggi di esposizione agli attacchi e percorsi di attacco.
Assegna la priorità in base a sfruttabilità e impatto delle CVE
In generale, dai la priorità alla correzione dei risultati che hanno una valutazione CVE di elevata sfruttabilità e impatto elevato rispetto ai risultati con una valutazione CVE di bassa sfruttabilità e basso impatto.
Nella sezione Panoramica, nella sezione Primi risultati CVE, un grafico o una mappa termica raggruppa i risultati di vulnerabilità in blocchi in base alle valutazioni di sfruttabilità e impatto fornite da Mandiant.
Quando visualizzi i dettagli di alcuni risultati di vulnerabilità nella console, puoi trovare le informazioni CVE nella sezione Vulnerabilità della scheda Riepilogo. Oltre all'impatto e alla sfruttabilità, la sezione Vulnerabilità include il punteggio CVSS, i link di riferimento e altre informazioni sulla definizione della vulnerabilità CVE.
Per identificare rapidamente i risultati che hanno il massimo impatto e sfruttabilità:
Nella console Google Cloud, vai alla pagina Panoramica:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Nella sezione Primi risultati CVE della pagina Panoramica, fai clic sul blocco con un numero diverso da zero che presenta i maggiori sfruttabilità e impatto. Si apre la pagina Risultati per CVE, che mostra un elenco di ID CVE che hanno lo stesso impatto e sfruttabilità.
Nella sezione Risultati per ID CVE, fai clic su un ID CVE. Si apre la pagina Risultati, che mostra l'elenco dei risultati che condividono quell'ID CVE.
Nella pagina Risultati, fai clic sul nome di un risultato per visualizzarne i dettagli e i passaggi di correzione consigliati.
Assegna la priorità in base alla gravità
In generale, assegna la priorità a un risultato di vulnerabilità con gravità CRITICAL rispetto a un risultato di vulnerabilità con gravità HIGH, assegna la priorità alla gravità HIGH rispetto a un risultato di gravità MEDIUM e così via.
Forse il modo più semplice per identificare le vulnerabilità con la massima gravità è utilizzare i filtri rapidi nella pagina Risultati della console Google Cloud.
Per visualizzare i risultati con la gravità più alta, segui questi passaggi:
Vai alla pagina Risultati nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Nel riquadro Filtri rapidi della pagina Risultati, seleziona le seguenti proprietà:
- In Ricerca del corso, seleziona Vulnerabilità.
- In Gravità, seleziona Critica, Alta o entrambe le opzioni.
Il riquadro Risultati della query dei risultati si aggiorna per mostrare solo i risultati con la gravità specificata.
Puoi anche visualizzare le gravità dei risultati di vulnerabilità nella pagina Panoramica nella sezione Risultati di vulnerabilità attivi.
Dai priorità ai risultati relativi alle vulnerabilità per migliorare la conformità
Quando dai la priorità ai risultati di vulnerabilità per la conformità, la tua preoccupazione principale sono i risultati che violano i controlli dello standard di conformità applicabile.
Per vedere i risultati che violano i controlli di un determinato benchmark:
Vai alla pagina Conformità nella console Google Cloud:
Utilizza il selettore di progetti nella console Google Cloud per selezionare il progetto, la cartella o l'organizzazione per cui devi dare la priorità alle vulnerabilità:
Accanto al nome dello standard di sicurezza che devi rispettare, fai clic su Visualizza dettagli. Si apre la pagina Dettagli conformità.
Se lo standard di sicurezza di cui hai bisogno non è visualizzato, specificalo nel campo Standard di conformità nella pagina Dettagli sulla conformità.
Ordina le regole elencate per Risultati facendo clic sull'intestazione della colonna.
Per ogni regola che mostra uno o più risultati, fai clic sul nome della regola nella colonna Regole. Si apre la pagina Risultati per visualizzare i risultati per quella regola.
Correggi i risultati finché non ne sono più disponibili. Dopo la scansione successiva, se non vengono rilevate nuove vulnerabilità per la regola, la percentuale di controlli superati aumenta.