Priorisieren Sie die Behebung von Sicherheitslücken

Auf dieser Seite werden einige der Informationen und Methoden erläutert, mit denen Sie Sicherheitslücken und Fehlkonfigurationen in Security Command Center (zusammen Sicherheitslücken) priorisieren können. So können Sie das Risiko senken und Ihren Sicherheitsstatus im Verhältnis zu Ihren anwendbaren Sicherheitsstandards schneller und effizienter verbessern.

Der Zweck der Priorisierung

Da Ihre Zeit begrenzt ist und die Menge der in Security Command Center gefundenen Sicherheitslücken überwältigend sein kann, insbesondere in größeren Unternehmen, müssen Sie die Sicherheitslücken, die das größte Risiko für Ihre Organisation darstellen, schnell identifizieren und darauf reagieren.

Sie müssen Sicherheitslücken schließen, um das Risiko eines Cyberangriffs auf Ihre Organisation zu verringern und die Einhaltung anwendbarer Sicherheitsstandards aufrechtzuerhalten.

Um das Risiko eines Cyberangriffs effektiv zu reduzieren, müssen Sie die Sicherheitslücken finden und beheben, die Ihre Ressourcen am meisten gefährden, am stärksten ausnutzen oder bei einer Ausnutzung den schwersten Schaden verursachen würden.

Um Ihren Sicherheitsstatus in Bezug auf einen bestimmten Sicherheitsstandard effektiv zu verbessern, müssen Sie die Sicherheitslücken finden und beheben, die gegen die Kontrollen der für Ihre Organisation geltenden Sicherheitsstandards verstoßen.

In den folgenden Abschnitten wird erläutert, wie Sie die Ergebnisse von Security Command Center-Sicherheitslücken priorisieren können, um diese Zwecke zu erfüllen.

Ergebnisse zu Sicherheitslücken priorisieren, um Risiken zu reduzieren

Ein Ergebnis ist eine Aufzeichnung eines Sicherheitsproblems. Das Ergebnis einer Sicherheitslücke enthält die folgenden Informationen, anhand derer Sie die Behebung der Sicherheitslücke priorisieren können:

• Angriffsbewertung
• CVE-Einträge mit CVE-Bewertungen in der Mandiant-^Vorschau
• Schweregrad

Obwohl Angriffsrisikobewertungen den Ergebnissen zu Sicherheitslücken zugeordnet werden, basieren sie in erster Linie auf der Identifizierung potenzieller Angriffspfade vom öffentlichen Internet zu Ihren hochwertigen Ressourcen, dem zugewiesenen Prioritätswert der Ressourcen und der Anzahl der Ressourcen, die sich auf das Ergebnis auswirken.

Die CVE-Informationen, einschließlich der Ausnutzbarkeit und Einschätzung der Auswirkungen des CVE, die von Mandiant bereitgestellt werden, basieren auf der Sicherheitslücke selbst.

Ebenso werden die Schweregrade von der Art der Sicherheitslücke ermittelt und von Security Command Center den Ergebniskategorien zugewiesen. Alle Ergebnisse in einer bestimmten Kategorie oder Unterkategorie werden mit demselben Schweregrad ausgegeben.

Sofern Sie nicht die Enterprise-Stufe von Security Command Center verwenden, sind Schweregrade für Ergebnisse statische Werte, die sich im Laufe der Lebensdauer des Ergebnisses nicht ändern.

Auf der Enterprise-Stufe geben die Schweregrade der Sicherheitslücken und die Ergebnisse der Fehlkonfigurationen genauer das Echtzeitrisiko eines Ergebnisses. Die Ergebnisse werden mit dem Standardschweregrad der Ergebniskategorie ausgegeben, können aber über oder unter dem Standardniveau liegen, wenn die Angriffsrisikobewertung des Ergebnisses steigt oder fällt, während das Ergebnis aktiv bleibt.

Anhand von Angriffsrisikowerten priorisieren

Im Allgemeinen sollten Sie die Behebung von gefundenen Sicherheitslücken mit einer hohen Angriffsbewertung gegenüber Ergebnissen mit einer niedrigen oder keiner Punktzahl priorisieren.

Nur Ergebnisse zu Sicherheitslücken, die Ressourcen betreffen, die als hochwertig gekennzeichnet sind, erhalten eine Angriffsrisikobewertung. Damit die Punktzahlen Ihre Geschäftsprioritäten widerspiegeln, müssen Sie zuerst definieren, welche Ihrer Ressource einen hohen Wert haben. Weitere Informationen finden Sie unter Ressourcenwerte.

In der Google Cloud Console werden die Ergebnisse mit den Ergebnissen an mehreren Stellen angezeigt, darunter:

• Auf der Seite Übersicht werden die zehn Ergebnisse mit den höchsten Punktzahlen angezeigt.
• In einer Spalte auf der Seite Ergebnisse, in der Sie Ergebnisse nach ihrer Angriffsbewertung abfragen und sortieren können.
• Sie sehen sich die Details zu einem Sicherheitslückenergebnis an, das eine hochwertige Ressource betrifft.

Gehen Sie so vor, um die 10 Ergebnisse mit den höchsten Angriffsrisikowerten zu sehen:

1. Rufen Sie in der Google Cloud Console die Seite Übersicht auf:

   Zur Übersicht

2. Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren müssen:

   

3. Sehen Sie sich im Abschnitt Häufigste Ergebnisse zu Sicherheitslücken die 10 Ergebnisse an.

4. Klicken Sie auf einen Wert in der Spalte Angriffsbewertung, um die Detailseite des Angriffspfads für das Ergebnis zu öffnen.

5. Klicken Sie auf den Namen eines Ergebnisses, um den Bereich mit den Ergebnisdetails auf der Seite Ergebnisse zu öffnen.

Weitere Informationen finden Sie unter Angriffsrisikobewertungen und Angriffspfade.

Priorisieren nach Ausnutzbarkeit und Auswirkung von CVEs

Generell sollten Sie die Behebung von Ergebnissen mit einer CVE-Bewertung hoher Ausnutzbarkeit und großer Auswirkungen gegenüber Ergebnissen mit einer CVE-Bewertung von geringer Ausnutzbarkeit und geringen Auswirkungen priorisieren.

Auf der Seite Übersicht im Abschnitt Wichtigste CVE-Ergebnisse sind die Ergebnisse zu Sicherheitslücken in einem Diagramm oder einer Heatmap nach den von Mandiant bereitgestellten Ausnutzbarkeits- und Folgenabschätzungen in Blöcken gruppiert.

Wenn Sie sich die Details bestimmter Ergebnisse zu Sicherheitslücken in der Console ansehen, finden Sie die CVE-Informationen im Abschnitt Sicherheitslücken des Tabs Zusammenfassung. Zusätzlich zu Auswirkungen und Ausnutzbarkeit enthält der Abschnitt Vulnerability (Sicherheitslücken) den CVSS-Wert, Referenzlinks und andere Informationen zur Definition der CVE-Sicherheitslücke.

So finden Sie schnell die Ergebnisse mit den größten Auswirkungen und der größten Ausnutzbarkeit:

1. Rufen Sie in der Google Cloud Console die Seite Übersicht auf:

   Zur Übersicht

2. Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren müssen:

   

3. Klicken Sie auf der Seite Übersicht im Abschnitt Wichtigste CVE-Ergebnisse auf den Block mit einer Zahl ungleich null, die die höchste Ausnutzbarkeit und Auswirkung hat. Die Seite Ergebnisse nach CVE wird geöffnet und Sie sehen eine Liste der CVE-IDs, die die gleichen Auswirkungen und Ausnutzbarkeit haben.

4. Klicken Sie im Abschnitt Ergebnisse nach CVE-ID auf eine CVE-ID. Auf der Seite Ergebnisse wird eine Liste der Ergebnisse mit dieser CVE-ID angezeigt.

5. Klicken Sie auf der Seite Ergebnisse auf den Namen eines Ergebnisses, um die zugehörigen Details und empfohlene Abhilfemaßnahmen aufzurufen.

Nach Schweregrad priorisieren

Generell sollten Sie ein Sicherheitslückenergebnis mit dem Schweregrad CRITICAL gegenüber einem Ergebnis mit dem Schweregrad HIGH priorisieren, dem Schweregrad HIGH gegenüber dem Schweregrad MEDIUM usw.

Am einfachsten können Sie die Sicherheitslücken mit dem höchsten Schweregrad ermitteln, indem Sie in der Google Cloud Console auf der Seite Ergebnisse die Schnellfilter verwenden.

So rufen Sie die Ergebnisse mit dem höchsten Schweregrad auf:

1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:

   Zu Ergebnissen

2. Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren müssen:

   

3. Wählen Sie im Bereich Schnellfilter auf der Seite Ergebnisse die folgenden Eigenschaften aus:

   • Wählen Sie unter Ergebnisklasse die Option Sicherheitslücke aus.
   • Wählen Sie unter Schweregrad die Option Kritisch, Hoch oder beides aus.

   Der Bereich Ergebnisse der Abfrageergebnisse wird aktualisiert und zeigt nur Ergebnisse mit dem angegebenen Schweregrad an.

Sie können den Schweregrad der Ergebnisse zu Sicherheitslücken auch auf der Seite Übersicht im Abschnitt Ergebnisse zu aktiven Sicherheitslücken sehen.

Ergebnisse zu Sicherheitslücken priorisieren, um die Compliance zu verbessern

Bei der Priorisierung der Ergebnisse zu Sicherheitslücken im Hinblick auf die Compliance sind Ihre Hauptanliegen die Ergebnisse, die gegen die Kontrollen des anwendbaren Compliancestandards verstoßen.

So können Sie sich die Ergebnisse ansehen, die gegen die Kontrollen einer bestimmten Benchmark verstoßen:

1. Rufen Sie in der Google Cloud Console die Seite Compliance auf:

   Zur Seite „Compliance“

2. Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren müssen:

   

3. Klicken Sie neben dem Namen des Sicherheitsstandards, den Sie einhalten müssen, auf Details ansehen. Die Seite Compliancedetails wird geöffnet.

4. Wenn der erforderliche Sicherheitsstandard nicht angezeigt wird, geben Sie ihn auf der Seite Compliancedetails im Feld Compliancestandard an.

5. Sortieren Sie die aufgelisteten Regeln nach Ergebnisse, indem Sie auf die Spaltenüberschrift klicken.

6. Klicken Sie für jede Regel, die ein oder mehrere Ergebnisse anzeigt, in der Spalte Regeln auf den Regelnamen. Die Seite Ergebnisse wird geöffnet, auf der die Ergebnisse für diese Regel angezeigt werden.

7. Korrigieren Sie die Ergebnisse, bis keine Ergebnisse mehr vorhanden sind. Wenn nach dem nächsten Scan keine neuen Sicherheitslücken für die Regel gefunden werden, erhöht sich der Prozentsatz der bestandenen Kontrollen.