En esta página, se explican algunos de los métodos y la información que puedes usar usar para priorizar los hallazgos de Security Command Center sobre vulnerabilidades de software, configuración incorrecta y, con el nivel Enterprise, combinaciones tóxicas (hallazgos de postura, en conjunto), para que puedas reducir y mejorar su nivel de seguridad en relación con sus políticas de seguridad estándares de forma más rápida y eficiente.
El propósito de la priorización
Porque tu tiempo es limitado y el volumen de uso de Security Command Center de la postura de seguridad pueden ser abrumadores, especialmente en organizaciones más grandes, necesitas identificar y responder a las vulnerabilidades que representan el mayor riesgo para tu organización.
Debe corregir las vulnerabilidades para reducir el riesgo de un ciberataque en para tu organización y mantener tu el cumplimiento de tu organización con los estándares de seguridad aplicables.
Para reducir eficazmente el riesgo de un ciberataque, debes encontrar y solucionar las vulnerabilidades que exponen más tus recursos, que son las más explotables o que generen el daño más grave si se explotarían.
Para mejorar de manera eficaz tu postura de seguridad con respecto a un estándar de seguridad en particular, debes encontrar y corregir las vulnerabilidades que incumplen los controles de los estándares de seguridad que se aplican a tu organización.
En las siguientes secciones, se explica cómo puedes priorizar Security Command Center los hallazgos de postura de seguridad para cumplir con estos propósitos.
Prioriza los hallazgos de la postura para reducir el riesgo
Los hallazgos de la postura incluyen la siguiente información que puedes usar para priorizar la solución del problema de seguridad subyacente:
- Puntuación de exposición al ataque o puntuación de combinación tóxica
- Registros de CVE con evaluaciones de CVE de MandiantVersión preliminar
- Gravedad
Prioriza las puntuaciones de exposición a ataques
Por lo general, prioriza la solución de un hallazgo de postura que tenga una puntuación alta de exposición a ataques sobre un hallazgo de postura que tenga una puntuación más baja o ninguna.
Los resultados de la postura incluyen los resultados de las combinaciones tóxicas. Si la puntuación en un hallazgo de combinación tóxica es aproximadamente igual a la puntuación de exposición a ataques en un hallazgo de una clase de hallazgo diferente debes priorizar la corrección de el hallazgo de la combinación tóxica, porque representa un nivel la ruta que un posible atacante podría seguir desde la Internet pública uno o más de tus recursos de alto valor.
Si la puntuación de exposición a ataques de un hallazgo en otra clase de hallazgos es significativamente más alta que la puntuación de un hallazgo de combinación tóxica, prioriza el hallazgo con la puntuación significativamente más alta.
Para obtener más información, consulta lo siguiente:
- Usa puntuaciones para priorizar las soluciones de hallazgos
- Puntuaciones de exposición a ataques en combinaciones tóxicas
Cómo ver las puntuaciones en la consola de Security Operations
En la consola de Security Operations, trabajas principalmente con casos, en los que los hallazgos se documentan como alertas.
Puedes ver los casos de combinaciones tóxicas con las puntuaciones de exposición a ataques más altas en la página Postura > Descripción general.
Puedes ver las puntuaciones de todos los casos en la página Casos, donde puedes ordenarlos según sus puntuaciones de exposición a ataques. También puedes ordenar los hallazgos según la puntuación de exposición al ataque en la página Posición > Hallazgos.
Para obtener información sobre cómo consultar casos de combinaciones tóxicas de forma específica, consulta Cómo ver los detalles de un caso de combinación tóxica.
Visualiza las puntuaciones en la consola de Google Cloud
En la consola de Google Cloud, las puntuaciones aparecen con los hallazgos en varios lugares, incluido lo siguiente:
- En la página Descripción general de riesgos, donde se muestran los 10 hallazgos con las puntuaciones más altas.
- En una columna de la página Resultados, en la que puedes consultar y ordenar los resultados por puntuación.
- Cuando observas los detalles de un hallazgo de postura que afecta a recurso de alto valor.
En la página Resultados de la consola de Google Cloud, las puntuaciones de exposición a ataques de los resultados de combinación tóxica se presentan en la columna Puntuación de combinación tóxica, por separado de las puntuaciones de exposición a ataques de otras clases de resultados.
En la consola de Google Cloud, puedes ver los hallazgos que tienen las puntuaciones de exposición a ataques más altas siguiendo estos pasos:
Ve a la página Resumen de riesgos en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para selecciona el proyecto, la carpeta o la organización para la que necesitas priorizar las vulnerabilidades:
En la sección Principales casos de combinación tóxica, revisa los hallazgos con el puntuaciones más altas de combinaciones tóxicas.
- Haz clic en el vínculo Ver caso para abrir el caso correspondiente en la consola de Security Operations.
En la sección Resultados de vulnerabilidades activas, revisa los resultados de la postura que tienen las puntuaciones de exposición a ataques más altas. Combinación tóxica no se incluyen en esta sección.
Haz clic en una puntuación en la columna Puntuación de exposición al ataque para abrir la página de detalles de la ruta de ataque del resultado.
Haz clic en el nombre de un resultado para abrir el panel de detalles del resultado en la página Resultados.
Priorizar por la explotación y el impacto de la CVE
Por lo general, prioriza la solución de los hallazgos que tienen una evaluación de CVE de alta capacidad de explotación y alto impacto sobre los hallazgos con una evaluación de CVE de baja capacidad de explotación y bajo impacto.
información de CVE, incluidas las evaluaciones de impacto y explotación de las CVE que proporciona Mandiant se basada en la vulnerabilidad del software.
En la página Resumen, en la sección Hallazgos de CVE principales, un gráfico o mapa de calor agrupa los hallazgos de vulnerabilidades en bloques según la explotabilidad y las evaluaciones de impacto que proporciona Mandiant.
Cuando veas los detalles de los resultados de vulnerabilidades de software en la consola, podrás encontrar la información del CVE en la sección Vulnerabilidad de la pestaña Resumen. Además del impacto y la capacidad de explotación, la En la sección Vulnerabilidad, se incluye la puntuación del CVSS, vínculos de referencias y más información sobre la definición de vulnerabilidad de CVE.
Para identificar rápidamente los hallazgos que tienen el mayor impacto y la mayor exploitabilidad, sigue estos pasos:
Ve a la página Descripción general en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para selecciona el proyecto, la carpeta o la organización para la que necesitas priorizar las vulnerabilidades:
En la sección Resultados principales de CVE de la página Descripción general, haz clic en el bloque con un número distinto de cero que tenga la mayor capacidad de explotación y el mayor impacto. Se abrirá la página Resultados por CVE para mostrar una lista de IDs de CVE que tienen el mismo impacto y la misma explotabilidad.
En la sección Hallazgos por ID de CVE, haz clic en un ID de CVE. Se abre la página Resultados para mostrar la lista de resultados que comparten ese ID de CVE.
En la página Hallazgos, haz clic en el nombre de un hallazgo para ver los detalles. del hallazgo y los pasos de solución recomendados.
Prioriza según la gravedad
En general, prioriza un hallazgo de postura con una gravedad CRITICAL
sobre un hallazgo de postura con una gravedad HIGH
, prioriza la gravedad HIGH
sobre una gravedad MEDIUM
, etcétera.
Las gravedades de los resultados se basan en el tipo de problema de seguridad y Security Command Center las asigna a las categorías de resultados. Todos los resultados de que una categoría o subcategoría particular tienen la misma gravedad a nivel de organización.
A menos que uses el nivel Enterprise de Security Command Center, niveles de gravedad son valores estáticos que no cambian durante la vida útil de la hallazgo.
Con el nivel empresarial, los niveles de gravedad de los hallazgos de la postura representan con mayor precisión el riesgo en tiempo real de un hallazgo. Los hallazgos se emiten con el nivel de gravedad predeterminado de la categoría de hallazgo, pero, si bien hallazgo permanece activo, el nivel de gravedad puede aumentar o disminuir a medida que aumenta o disminuye la puntuación de exposición al ataque del hallazgo.
Quizás la forma más fácil de identificar las vulnerabilidades de mayor gravedad es usar Filtros rápidos en la página Hallazgos en la Consola de Google Cloud
Para ver los resultados de la gravedad más alta, sigue estos pasos:
Ve a la página Hallazgos en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para la que debes priorizar las vulnerabilidades:
En el panel Filtros rápidos de la página Hallazgos, selecciona la siguientes propiedades:
- En Finding class, selecciona Vulnerability.
- En Gravedad, selecciona Crítica, Alta o ambas.
El panel Resultados de la búsqueda se actualiza para mostrar solo los resultados. que tienen la gravedad especificada.
También puedes ver la gravedad de los hallazgos de postura en la Descripción general. de la sección Hallazgos de vulnerabilidades activos.
Prioriza los resultados de la postura para mejorar el cumplimiento
Cuando priorizas los hallazgos de postura para el cumplimiento, tu principal preocupación son los hallazgos que incumplen los controles del estándar de cumplimiento aplicable.
Para ver los resultados que incumplen los controles de una comparativa en particular, sigue estos pasos:
Ve a la página Cumplimiento en la consola de Google Cloud:
Usa el selector de proyectos de la consola de Google Cloud para selecciona el proyecto, la carpeta o la organización para la que necesitas priorizar las vulnerabilidades:
Junto al nombre del estándar de seguridad con el que debes cumplir, haz clic en Ver detalles. Se abrirá la página Detalles de cumplimiento.
Si no se muestra el estándar de seguridad que necesitas, especifícalo en el campo Estándar de cumplimiento de la página Detalles de cumplimiento.
Para ordenar las reglas enumeradas por Resultados, haz clic en el encabezado de la columna.
En el caso de las reglas que muestran uno o más resultados, haz clic en el nombre de la regla en la columna Rules. Se abrirá la página Hallazgos para mostrar los hallazgos de esa regla.
Soluciona los problemas hasta que no queden. Después del siguiente análisis, si no se encuentran vulnerabilidades nuevas para la regla, aumenta el porcentaje de controles aprobados.