En esta página, se describe la propiedad severity de los resultados de Security Command Center y sus posibles valores.
La propiedad severity proporciona un indicador general de la importancia de corregir los hallazgos de una categoría o, en algunos casos, subcategoría de hallazgos en particular.
En general, debes corregir los hallazgos de gravedad HIGH antes que los de gravedad LOW, pero, según el recurso afectado o otras consideraciones, es posible que corregir un hallazgo de gravedad LOW en particular sea más importante que un hallazgo de gravedad HIGH.
Comparación de la gravedad con la puntuación de exposición al ataque
Puedes usar tanto las gravedades de los hallazgos como las puntuaciones de exposición al ataque para priorizar la corrección de los hallazgos, pero es importante comprender las diferencias entre ambos.
La gravedad es un indicador general que se predetermina según la categoría del hallazgo. El mismo nivel de gravedad predeterminado se asigna a todos los hallazgos dentro de una categoría o subcategoría determinada.
La puntuación de exposición al ataque es un indicador dinámico que se calcula para un hallazgo después de que se genera. La puntuación es específica para la instancia del hallazgo y se basa en varios factores, incluidas las instancias de recursos que afecta el hallazgo y la dificultad que enfrentaría un atacante hipotético para recorrer la ruta desde un posible punto de acceso hasta el recurso afectado de alto valor.
Todos los hallazgos pueden tener una gravedad. Solo los resultados de vulnerabilidades y parámetros de configuración incorrectos que son compatibles con las simulaciones de rutas de ataque pueden tener una puntuación de exposición a los ataques.
Cuando priorices los hallazgos de vulnerabilidades y errores de configuración, hazlo según las puntuaciones de exposición a ataques antes de hacerlo según la gravedad.
Clasificaciones de gravedad
Security Command Center usa las siguientes clasificaciones de gravedad, que se muestran en la columna Gravedad cuando los resultados se muestran en la consola de Google Cloud :
CriticalHighMediumLowUnspecified
Gravedad Critical
Una vulnerabilidad crítica es fácil de detectar y se puede aprovechar para mejorar la capacidad de ejecutar el código arbitrario, robar datos y, de lo contrario, obtener acceso y privilegios adicionales en recursos y flujos de trabajo en la nube. En los ejemplos, se incluyen los datos del usuario de acceso público y el acceso SSH público con contraseñas débiles o nulas.
Una amenaza crítica puede acceder a los datos, modificarlos o borrarlos, o ejecutar código no autorizado en sus recursos existentes.
Un hallazgo de clase SCC error crítico significa cualquiera de los siguientes casos:
- Un error de configuración impide que Security Command Center genere resultados nuevos de cualquier gravedad.
- Un error de configuración te impide ver todos los resultados de un servicio.
- Un error de configuración impide que las simulaciones de rutas de ataque generen puntuaciones de exposición a ataques y rutas de ataque.
Gravedad High
Una vulnerabilidad de alto riesgo se puede detectar fácilmente y podría explotarse con otras vulnerabilidades para obtener acceso directo a fin de ejecutar código arbitrario o robar datos, y obtener acceso y privilegios adicionales a recursos y cargas de trabajo. Por ejemplo, una base de datos con poca seguridad o sin contraseña y solo que se puede acceder a ella de forma interna, puede ser un actor que tiene acceso a la red interna.
Una amenaza de alto riesgo es crear recursos de procesamiento en un entorno, pero no puede acceder a datos ni ejecutar código en recursos existentes.
Un hallazgo de clase SCC error de alto riesgo indica que un error de configuración está causando cualquiera de los siguientes problemas:
- No puedes ver ni exportar algunos de los resultados de un servicio.
- En el caso de las simulaciones de rutas de ataque, es posible que las puntuaciones de exposición a ataques y las rutas de ataque estén incompletas o sean imprecisas.
Gravedad Medium
Una vulnerabilidad de riesgo medio podría permitir a un actor obtener acceso a recursos o privilegios que le permitan finalmente acceder a él y la capacidad de robar datos o ejecutar código arbitrario. Por ejemplo, si una cuenta de servicio tiene acceso innecesario a proyectos y un actor obtiene acceso a la cuenta de servicio, este puede usar esa cuenta de servicio para manipular un proyecto.
Una amenaza de riesgo medio podría provocar un problema más grave, pero es posible que no indique acceso a los datos actual ni ejecución de código no autorizado.
Gravedad Low
Una vulnerabilidad de bajo riesgo afecta la capacidad de un equipo de seguridad de detectar vulnerabilidades o amenazas activas en su implementación, o impide la investigación de la causa raíz de los problemas de seguridad. Por ejemplo, una situación en la que la supervisión y los registros están inhabilitados para la configuración y el acceso a los recursos.
Una amenaza de bajo riesgo obtuvo acceso mínimo a un entorno, pero no puede acceder a los datos, ejecutar el código ni crear recursos.
Gravedad Unspecified
Una clasificación de gravedad de Unspecified indica que el servicio que generó el resultado no estableció un valor de gravedad para el resultado.
Si obtienes un hallazgo con una gravedad de Unspecified, debes evaluar la gravedad por tu cuenta investigando el hallazgo y revisando la documentación que proporciona el producto o servicio que generó el hallazgo.
Gravedad variable
La gravedad de los resultados en una categoría de resultados puede variar en ciertas circunstancias.
Niveles de gravedad que varían según la puntuación de exposición a ataques
Si usas el nivel Enterprise de Security Command Center, los niveles de gravedad de los resultados de vulnerabilidades y errores de configuración reflejan con mayor precisión el riesgo de cada resultado individual, ya que la gravedad de un resultado puede cambiar para reflejar su puntuación de exposición al ataque.
Con el nivel Enterprise, los hallazgos de vulnerabilidades y configuraciones incorrectas se generan con un nivel de gravedad predeterminado o de referencia que es común a todos los hallazgos dentro de una categoría de hallazgos determinada. Después de que se genera un hallazgo, si las simulaciones de rutas de ataque de Security Command Center determinan que el hallazgo expone uno o más recursos que designaste como recursos de alto valor, las simulaciones le asignan una puntuación de exposición a ataques al hallazgo y aumentan el nivel de gravedad según corresponda. Si el resultado permanece activo, pero las simulaciones reducen más adelante la puntuación de exposición al ataque, también puede disminuir el nivel de gravedad del resultado, pero no por debajo del nivel predeterminado original.
Si usas el nivel Premium o Estándar de Security Command Center, los niveles de gravedad de todos los hallazgos permanecen estáticos.
Gravedades que varían según el problema detectado
En algunas categorías de hallazgos, Security Command Center puede asignar un nivel de gravedad predeterminado diferente a un hallazgo según las particularidades del problema de seguridad que se detectó.
Por ejemplo, la clasificación de gravedad del hallazgo IAM anomalous grant que genera Event Threat Detection suele ser HIGH, pero si el hallazgo se genera por el otorgamiento de permisos sensibles a un rol de IAM personalizado, la gravedad es MEDIUM.
Consulta las gravedades de los hallazgos en la consola de Google Cloud
Puedes ver los resultados de Security Command Center por gravedad de varias maneras en la consola deGoogle Cloud :
En los niveles Estándar y Premium
- En la página Descripción general, puedes ver cuántos resultados en cada nivel de gravedad están activos en tus recursos en la sección Vulnerabilidades por tipo de recurso.
- En la página Amenazas, puedes ver cuántos resultados de amenazas existen en cada nivel de gravedad.
- En la página Vulnerabilities, puedes filtrar los módulos de detección de vulnerabilidades que se muestran por nivel de gravedad para mostrar solo los módulos que tienen resultados activos en ese nivel de gravedad.
- En la página Resultados, puedes agregar filtros para niveles de gravedad específicos a tus consultas de resultados desde el panel Filtros rápidos.
En el nivel Enterprise
En la página Problemas, puedes seleccionar un problema y, luego, ver los resultados, incluida la gravedad, en el panel Resultados.
En la página Hallazgos, puedes agregar filtros para niveles de gravedad específicos a tus consultas de hallazgos desde el panel Agregaciones.