En esta página, se explican algunos de los métodos y la información que puedes usar para priorizar los hallazgos de Security Command Center sobre vulnerabilidades de software, errores de configuración y, con los niveles Enterprise o Premium, combinaciones tóxicas y puntos de estrangulamiento (problemas, en conjunto), de modo que puedas reducir el riesgo y mejorar tu posición de seguridad en relación con tus estándares de seguridad aplicables de forma más rápida y eficiente.
El propósito de la priorización
Dado que tu tiempo es limitado y la cantidad de problemas de Security Command Center puede ser abrumadora, en especial en las organizaciones más grandes, debes identificar y responder rápidamente a las vulnerabilidades que representan el mayor riesgo para tu organización.
Debes corregir las vulnerabilidades para reducir el riesgo de un ciberataque en tu organización y mantener el cumplimiento de los estándares de seguridad aplicables.
Para reducir de manera eficaz el riesgo de un ciberataque, debes encontrar y corregir las vulnerabilidades que más exponen tus recursos, que son más explotables o que causarían el daño más grave si se explotaran.
Para mejorar de manera eficaz tu postura de seguridad en relación con un estándar de seguridad en particular, debes encontrar y corregir las vulnerabilidades que incumplen los controles de los estándares de seguridad que se aplican a tu organización.
En las siguientes secciones, se explica cómo puedes priorizar los hallazgos de la postura de Security Command Center para cumplir con estos objetivos.
Prioriza los problemas para reducir el riesgo
Los problemas contienen combinaciones tóxicas y puntos críticos que se detectan en tu organización. Estos son los problemas más importantes que debes abordar. Para ayudarte aún más a priorizar los problemas, incluyen la siguiente información que puedes usar para priorizar la corrección del problema de seguridad subyacente:
- Gravedad
- Puntuación de exposición al ataque
- Registros de CVE con evaluaciones de CVE de MandiantVista previa
Prioriza según las puntuaciones de exposición a ataques
En general, prioriza la corrección de un problema que tenga una puntuación de exposición a ataques alta por sobre un hallazgo de problema que tenga una puntuación más baja o ninguna.
Para obtener más información, consulta lo siguiente:
- Cómo usar las puntuaciones para priorizar la búsqueda de correcciones
- Puntuaciones de exposición a ataques en combinaciones tóxicas y puntos críticos
Visualiza las puntuaciones en la consola de Security Command Center Google Cloud
Las puntuaciones aparecen con los resultados en varios lugares, incluidos los siguientes:
- En la página Descripción general de riesgos
- En una columna de la página Resultados de Security Command Center, en la que puedes consultar y ordenar los resultados por puntuación
Para ver los hallazgos que tienen las puntuaciones de exposición a ataques más altas, sigue estos pasos:
Ve a la página Descripción general del riesgo en la consola de Google Cloud :
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
En la sección Problemas más riesgosos, se muestran los problemas que tienen las puntuaciones de exposición a ataques más altas.
Selecciona un problema y, luego, haz clic en Ver detalles del problema para abrir la página de detalles de la ruta de ataque y la Puntuación de exposición al ataque.
Haz clic en Ver todo para ver una lista de todos los problemas con la puntuación de exposición a ataques para cada uno.
Para obtener más información sobre la página Resumen de riesgos, consulta Evalúa el riesgo de un vistazo.
Cómo ver las puntuaciones en los casos
En la consola de Security Operations, trabajas principalmente con casos, en los que los hallazgos se documentan como alertas.
En Security Command Center Enterprise, puedes ver los casos de combinaciones tóxicas con las puntuaciones de exposición a ataques más altas en la página Riesgos > Casos. Puedes ordenar los casos según sus puntuaciones de exposición a ataques.
En Security Command Center Premium, también puedes ordenar los resultados por puntuación de exposición al ataque en la página Resultados de la consola de Google Cloud .
Para obtener información sobre cómo consultar casos de combinación tóxica específicamente, consulta Cómo ver los detalles de un caso de combinación tóxica.
Prioriza según la capacidad de explotación y el impacto de la CVE
En general, prioriza la corrección de los hallazgos que tengan una evaluación de CVE de alta capacidad de explotación y alto impacto por sobre los hallazgos con una evaluación de CVE de baja capacidad de explotación y bajo impacto.
La información de CVE, incluidas las evaluaciones de impacto y capacidad de explotación de la CVE que proporciona Mandiant, se basa en la vulnerabilidad del software en sí.
En la página Overview, en el panel Vulnerabilities, el mapa de calor Top Common Vulnerabilities and Exploits resume los hallazgos de vulnerabilidades en bloques según las evaluaciones de explotabilidad y de impacto que proporciona Mandiant.
Cuando ves los detalles de un hallazgo de vulnerabilidad de software en la consola de Google Cloud , puedes encontrar la información del CVE en la sección Vulnerabilidad de la pestaña Resumen. Además del impacto y la explotabilidad, la sección Vulnerabilidad incluye la puntuación de CVSS, vínculos de referencia y otra información sobre la definición de la vulnerabilidad de la CVE.
Para identificar rápidamente los hallazgos que tienen el mayor impacto y la mayor capacidad de explotación, sigue estos pasos:
En la consola de Google Cloud , ve a la página Descripción general del riesgo.
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
En la página Resumen de riesgos, haz clic en Vulnerabilidades.
En el panel Principales vulnerabilidades y exploits comunes, haz lo siguiente:
Haz clic en el bloque con un número distinto de cero que tenga la mayor explotabilidad y el mayor impacto. En el panel, solo se muestran los hallazgos que tienen el impacto y la explotabilidad seleccionados.
Haz clic en el recuento de la columna Resultados. Se abre la página Resultados para mostrar la lista de resultados que comparten ese ID de CVE.
En la sección Vulnerabilidades de procesamiento más recientes con exploits conocidos, haz clic en un ID de recurso en la columna Máquina virtual. Se abrirá el panel de detalles del activo para mostrar información sobre él.
Prioriza por gravedad
En general, prioriza un problema o hallazgo con una gravedad CRITICAL por sobre un problema o hallazgo con una gravedad HIGH, prioriza la gravedad HIGH por sobre una gravedad MEDIUM, y así sucesivamente.
Las gravedades se basan en el tipo de problema de seguridad y Security Command Center las asigna a las categorías de hallazgos. Todos los hallazgos de una categoría o subcategoría en particular se generan con el mismo nivel de gravedad.
A menos que utilices el nivel Enterprise o Premium de Security Command Center, los niveles de gravedad de los hallazgos son valores estáticos que no cambian durante la vida útil del hallazgo.
Con el nivel empresarial, los niveles de gravedad de los problemas representan con mayor precisión el riesgo en tiempo real de un hallazgo. Los resultados se generan con el nivel de gravedad predeterminado de la categoría del resultado, pero, mientras el resultado permanece activo, el nivel de gravedad puede aumentar o disminuir a medida que aumenta o disminuye la puntuación de exposición al ataque del resultado.
Quizás la forma más sencilla de identificar las vulnerabilidades más graves sea usar los filtros rápidos en la página Resultados de la consola de Google Cloud .
Para ver los hallazgos de mayor gravedad, sigue estos pasos:
Ve a la página Resultados en la consola de Google Cloud :
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
En el panel Filtros rápidos de la página Resultados, selecciona las siguientes propiedades:
- En Finding class, selecciona Vulnerability.
- En Gravedad, selecciona Crítica, Alta o ambas.
El panel Resultados de la búsqueda se actualiza para mostrar solo los hallazgos que tienen la gravedad especificada.
Prioriza los hallazgos de la postura para mejorar el cumplimiento
Cuando priorizas los hallazgos de la postura para el cumplimiento, tu principal preocupación son los hallazgos que incumplen los controles del estándar de cumplimiento aplicable.
Para ver los resultados que incumplen los controles de una comparativa específica, sigue estos pasos:
Ve a la página Cumplimiento en la consola de Google Cloud :
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
Junto al nombre del estándar de seguridad que debes cumplir, haz clic en Ver detalles. Se abrirá la página Detalles de cumplimiento.
Si no se muestra el estándar de seguridad que necesitas, especifícalo en el campo Estándar de cumplimiento de la página Detalles de cumplimiento.
Para ordenar las reglas enumeradas por Resultados, haz clic en el encabezado de la columna.
Para cualquier regla que muestre uno o más resultados, haz clic en el nombre de la regla en la columna Reglas. Se abrirá la página Hallazgos, en la que se mostrarán los hallazgos de esa regla.
Soluciona los problemas hasta que no queden más. Después del próximo análisis, si no se encuentran vulnerabilidades nuevas para la regla, aumentará el porcentaje de controles aprobados.