En esta página se explica parte de la información y los métodos que puede usar para priorizar los resultados de Security Command Center sobre vulnerabilidades de software, configuraciones incorrectas y, en los niveles Enterprise o Premium, combinaciones tóxicas y cuellos de botella (en conjunto, problemas). De esta forma, podrá reducir los riesgos y mejorar su nivel de seguridad en relación con los estándares de seguridad aplicables de forma más rápida y eficiente.
Finalidad de la priorización
Como tu tiempo es limitado y el volumen de problemas de Security Command Center puede ser abrumador, sobre todo en las organizaciones más grandes, debes identificar rápidamente las vulnerabilidades que suponen el mayor riesgo para tu organización y tomar medidas al respecto.
Debes corregir las vulnerabilidades para reducir el riesgo de que tu organización sufra un ciberataque y para mantener el cumplimiento de los estándares de seguridad aplicables.
Para reducir de forma eficaz el riesgo de sufrir un ciberataque, debes encontrar y corregir las vulnerabilidades que más expongan tus recursos, que sean más fáciles de explotar o que puedan provocar los daños más graves si se explotan.
Para mejorar de forma eficaz tu postura de seguridad con respecto a un estándar de seguridad concreto, debes encontrar y corregir las vulnerabilidades que infrinjan los controles de los estándares de seguridad que se apliquen a tu organización.
En las siguientes secciones se explica cómo puedes priorizar los resultados de postura de Security Command Center para cumplir estos objetivos.
Priorizar los problemas para reducir los riesgos
Los problemas contienen combinaciones tóxicas y puntos de estrangulamiento que se han detectado en tu organización. Estos son los problemas más importantes que hay que abordar. Para ayudarte a priorizar los problemas, incluyen la siguiente información que puedes usar para priorizar la corrección del problema de seguridad subyacente:
- Gravedad
- Puntuación de exposición a ataques
- Registros de CVE con evaluaciones de CVE de MandiantVista previa
Priorizar por puntuaciones de exposición a ataques
Por lo general, priorice la corrección de un problema que tenga una puntuación de exposición a los ataques alta frente a un problema que tenga una puntuación más baja o ninguna.
Para obtener más información, consulta las siguientes secciones:
- Usar las puntuaciones para priorizar la búsqueda de soluciones
- Puntuaciones de exposición a ataques en combinaciones tóxicas y puntos de congestión
Ver las puntuaciones en la consola de Security Command Center Google Cloud
Las puntuaciones aparecen junto con los resultados en varios lugares, como los siguientes:
- En la página Resumen de riesgos.
- En una columna de la página Resultados de Security Command Center, donde puede consultar y ordenar los resultados por puntuación.
Para ver los resultados que tienen las puntuaciones de exposición a ataques más altas, siga estos pasos:
Ve a la página Resumen de riesgos de la consola de Google Cloud :
Usa el selector de proyectos de la Google Cloud consola para seleccionar el proyecto, la carpeta o la organización en los que quieras priorizar las vulnerabilidades.
En la sección Problemas con mayor riesgo se muestran los problemas que tienen las puntuaciones más altas de exposición a los ataques.
Selecciona un problema y, a continuación, haz clic en Ver detalles del problema para abrir la página de detalles de la ruta de ataque y la puntuación de exposición a ataques.
Haga clic en Ver todo para ver una lista de todos los problemas con la puntuación de exposición a ataques de cada uno.
Para obtener más información sobre la página Resumen de riesgos, consulta Evaluar el riesgo de un vistazo.
Ver puntuaciones en casos
En la consola Operaciones de seguridad, trabajas principalmente con casos, en los que los resultados se documentan como alertas.
En Security Command Center Enterprise, puedes ver los casos de combinaciones tóxicas con las puntuaciones de exposición a ataques más altas en la página Riesgo > Casos. Puedes ordenar los casos por su puntuación de exposición a ataques.
En Security Command Center Premium, también puedes ordenar los hallazgos por puntuación de exposición a ataques en la página Hallazgos de la consola de Google Cloud .
Para obtener información sobre cómo consultar casos de combinaciones tóxicas específicamente, consulta Ver los detalles de un caso de combinación tóxica.
Priorizar por la posibilidad de exploit y el impacto de las CVEs
Por lo general, prioriza la corrección de los resultados que tengan una evaluación de vulnerabilidad y exposición comunes (CVE) de alta posibilidad de exploit y alto impacto por encima de los resultados con una evaluación de CVE de baja posibilidad de exploit y bajo impacto.
La información de CVE, incluidas las evaluaciones de la posibilidad de exploit y del impacto de la CVE que proporciona Mandiant, se basa en la propia vulnerabilidad del software.
En la página Resumen, en el panel de control Vulnerabilidades, el mapa de calor Principales vulnerabilidades y exploits comunes resume las vulnerabilidades encontradas en bloques según las evaluaciones de explotabilidad e impacto que proporciona Mandiant.
Cuando ve los detalles de una vulnerabilidad de software en la consola, puede encontrar la información de CVE en la sección Vulnerabilidad de la pestaña Resumen. Google Cloud Además del impacto y la posibilidad de exploit, la sección Vulnerabilidad incluye la puntuación del CVSS, enlaces de referencia y otra información sobre la definición de la vulnerabilidad CVE.
Para identificar rápidamente las vulnerabilidades que tienen el mayor impacto y la mayor probabilidad de explotación, sigue estos pasos:
En la Google Cloud consola, ve a la página Resumen de riesgos.
Usa el selector de proyectos de la Google Cloud consola para seleccionar el proyecto, la carpeta o la organización en los que quieras priorizar las vulnerabilidades.
En la página Resumen de riesgos, haga clic en Vulnerabilidades.
En el panel Principales vulnerabilidades y exploits comunes, haz lo siguiente:
Haz clic en el bloque con un número distinto de cero que tenga la mayor capacidad de explotación y el mayor impacto. En el panel solo se muestran los resultados que tienen el impacto y la explotabilidad seleccionados.
Haga clic en el recuento de la columna Resultados. Se abrirá la página Resultados para mostrar la lista de resultados que comparten ese ID de CVE.
En la sección Últimas vulnerabilidades de Compute con exploits conocidos, haga clic en un ID de recurso de la columna Máquina virtual. Se abrirá el panel de detalles del recurso, donde se mostrará información sobre él.
Priorizar por gravedad
Por lo general, prioriza un problema o un resultado con una gravedad CRITICAL
sobre un problema o un resultado con una gravedad HIGH
, prioriza la gravedad HIGH
sobre la MEDIUM
, y así sucesivamente.
Las gravedades se basan en el tipo de problema de seguridad y Security Command Center las asigna a las categorías de resultados. Todas las conclusiones de una categoría o subcategoría concretas se generan con el mismo nivel de gravedad.
A menos que uses el nivel Enterprise o Premium de Security Command Center, los niveles de gravedad de las detecciones son valores estáticos que no cambian durante la vida útil de la detección.
Con el nivel Enterprise, los niveles de gravedad de los problemas representan con mayor precisión el riesgo en tiempo real de un resultado. Las detecciones se generan con el nivel de gravedad predeterminado de la categoría de detección, pero, mientras la detección siga activa, el nivel de gravedad puede aumentar o disminuir a medida que lo haga la puntuación de exposición al ataque de la detección.
Quizá la forma más sencilla de identificar las vulnerabilidades de mayor gravedad sea usar los filtros rápidos de la página Resultados de la Google Cloud consola.
Para ver las incidencias de mayor gravedad, siga estos pasos:
Ve a la página Resultados de la consola de Google Cloud :
Usa el selector de proyectos de la Google Cloud consola para seleccionar el proyecto, la carpeta o la organización en los que quieras priorizar las vulnerabilidades.
En el panel Filtros rápidos de la página Resultados, seleccione las siguientes propiedades:
- En Finding class (Clase de búsqueda), selecciona Vulnerability (Vulnerabilidad).
- En Gravedad, selecciona Crítica, Alta o ambas.
El panel Resultados de la consulta de detecciones se actualiza para mostrar solo las detecciones que tienen la gravedad especificada.
Priorizar los resultados de la postura para mejorar el cumplimiento
Cuando priorices las conclusiones sobre la postura para cumplir los requisitos, tu principal preocupación serán las conclusiones que infrinjan los controles del estándar de cumplimiento aplicable.
Para ver los resultados que infringen los controles de un benchmark concreto, sigue estos pasos:
Ve a la página Cumplimiento de la Google Cloud consola:
Usa el selector de proyectos de la Google Cloud consola para seleccionar el proyecto, la carpeta o la organización en los que quieras priorizar las vulnerabilidades.
Junto al nombre del estándar de seguridad que debes cumplir, haz clic en Ver detalles. Se abrirá la página Detalles de cumplimiento.
Si no se muestra el estándar de seguridad que necesitas, especifícalo en el campo Estándar de cumplimiento de la página Detalles de cumplimiento.
Para ordenar las reglas por Resultados, haga clic en el encabezado de la columna.
En cualquier regla que muestre uno o varios resultados, haz clic en el nombre de la regla en la columna Reglas. Se abrirá la página Resultados para mostrar los resultados de esa regla.
Corrija los hallazgos hasta que no quede ninguno. Después del siguiente análisis, si no se encuentran nuevas vulnerabilidades en la regla, aumentará el porcentaje de controles superados.