Halaman ini menjelaskan properti severity dari
temuan Security Command Center dan kemungkinan nilainya.
Properti severity memberikan indikator umum tentang seberapa
pentingnya memperbaiki temuan dari kategori temuan tertentu
atau, dalam beberapa kasus, subkategori.
Umumnya, Anda harus memperbaiki temuan tingkat keparahan HIGH sebelum temuan tingkat keparahan LOW, tetapi bergantung pada resource yang terpengaruh atau pertimbangan lain, ada kemungkinan bahwa memperbaiki temuan tingkat keparahan LOW tertentu mungkin lebih penting daripada temuan tingkat keparahan HIGH.
Tingkat keparahan dibandingkan dengan skor eksposur serangan
Anda dapat menggunakan tingkat keparahan temuan dan skor eksposur serangan temuan untuk memprioritaskan perbaikan temuan, tetapi penting untuk memahami perbedaan di antara keduanya.
Tingkat keparahan adalah indikator umum yang telah ditentukan berdasarkan kategori temuan. Tingkat keparahan default yang sama ditetapkan ke semua temuan dalam kategori atau subkategori tertentu.
Skor eksposur serangan adalah indikator dinamis yang dihitung untuk temuan setelah temuan dibuat. Skor ini khusus untuk instance temuan dan didasarkan pada sejumlah faktor, termasuk instance resource yang dipengaruhi oleh temuan dan kesulitan yang akan dihadapi penyerang hipotetis saat melintasi jalur dari potensi titik akses ke resource bernilai tinggi yang terpengaruh.
Semua temuan dapat memiliki tingkat keparahan. Hanya temuan kerentanan dan kesalahan konfigurasi yang didukung oleh simulasi jalur serangan yang dapat memiliki skor eksposur serangan.
Saat memprioritaskan temuan kerentanan dan kesalahan konfigurasi, prioritaskan berdasarkan skor eksposur serangan sebelum memprioritaskan berdasarkan tingkat keparahan.
Klasifikasi tingkat keparahan
Security Command Center menggunakan klasifikasi tingkat keparahan berikut, yang ditampilkan di kolom Tingkat Keparahan saat temuan ditampilkan di konsol Google Cloud :
CriticalHighMediumLowUnspecified
Critical tingkat keparahan
Kerentanan kritis mudah ditemukan dan dapat dieksploitasi sehingga memungkinkan eksekusi kode arbitrer secara langsung, eksfiltrasi data, dan perolehan akses serta hak istimewa tambahan dalam alur kerja dan sumber daya cloud. Contohnya mencakup data pengguna yang dapat diakses secara publik dan akses SSH publik dengan sandi yang lemah atau tanpa sandi.
Ancaman kritis dapat mengakses, mengubah, atau menghapus data, atau mengeksekusi kode yang tidak sah dalam resource yang ada.
Temuan class SCC error yang kritis berarti salah satu dari
berikut:
- Error konfigurasi mencegah Security Command Center membuat temuan baru dengan tingkat keparahan apa pun.
- Error konfigurasi mencegah Anda melihat semua temuan layanan.
- Error konfigurasi mencegah simulasi jalur serangan menghasilkan skor eksposur serangan dan jalur serangan.
High tingkat keparahan
Kerentanan berisiko tinggi mudah ditemukan dan dapat dieksploitasi dengan kerentanan lain untuk mendapatkan akses langsung guna mengeksekusi kode arbitrer atau mengekstraksi data, serta mendapatkan akses dan hak istimewa tambahan ke resource dan beban kerja. Misalnya, database yang memiliki sandi lemah atau tidak memiliki sandi dan hanya dapat diakses secara internal dapat disusupi oleh pihak yang memiliki akses ke jaringan internal.
Ancaman berisiko tinggi dapat membuat resource komputasi di lingkungan, tetapi tidak dapat mengakses data atau menjalankan kode di resource yang ada.
Temuan kelas SCC error berisiko tinggi menunjukkan bahwa kesalahan konfigurasi menyebabkan salah satu masalah berikut:
- Anda tidak dapat melihat atau mengekspor beberapa temuan layanan.
- Untuk simulasi jalur serangan, skor eksposur serangan dan jalur serangan mungkin tidak lengkap atau tidak akurat.
Medium tingkat keparahan
Kerentanan berisiko sedang dapat memungkinkan pihak tidak bertanggung jawab mendapatkan akses ke resource atau hak istimewa yang memungkinkan mereka akhirnya mendapatkan akses dan kemampuan untuk memindahkan data secara tidak sah atau menjalankan kode arbitrer. Misalnya, jika akun layanan memiliki akses yang tidak perlu ke project dan aktor mendapatkan akses ke akun layanan tersebut, aktor dapat menggunakan akun layanan tersebut untuk memanipulasi project.
Ancaman berisiko sedang dapat menyebabkan masalah yang lebih parah, tetapi mungkin tidak menunjukkan akses data saat ini atau eksekusi kode yang tidak sah.
Low tingkat keparahan
Kerentanan berisiko rendah menghambat kemampuan tim keamanan untuk mendeteksi kerentanan atau ancaman aktif dalam deployment mereka, atau mencegah investigasi penyebab utama masalah keamanan. Misalnya, skenario saat pemantauan dan log dinonaktifkan untuk konfigurasi dan akses resource.
Ancaman berisiko rendah telah memperoleh akses minimal ke lingkungan, tetapi tidak dapat mengakses data, menjalankan kode, atau membuat resource.
Unspecified tingkat keparahan
Klasifikasi tingkat keparahan Unspecified menunjukkan bahwa layanan yang membuat temuan tidak menetapkan nilai tingkat keparahan untuk temuan tersebut.
Jika Anda mendapatkan temuan dengan tingkat keparahan Unspecified, Anda perlu menilai sendiri tingkat keparahannya dengan menyelidiki temuan dan meninjau dokumentasi apa pun yang disediakan oleh produk atau layanan yang menghasilkan temuan tersebut.
Tingkat keparahan variabel
Tingkat keparahan temuan dalam kategori temuan dapat bervariasi dalam keadaan tertentu.
Tingkat keparahan yang bervariasi berdasarkan skor eksposur serangan
Jika Anda menggunakan tingkat Enterprise Security Command Center, tingkat keparahan temuan kerentanan dan kesalahan konfigurasi mencerminkan risiko setiap temuan secara lebih akurat, karena tingkat keparahan temuan dapat berubah untuk mencerminkan skor eksposur serangan temuan.
Dengan tingkat Enterprise, temuan kerentanan dan kesalahan konfigurasi dihasilkan dengan tingkat keparahan default atau dasar yang umum untuk semua temuan dalam kategori temuan tertentu. Setelah temuan dibuat, jika simulasi jalur serangan Security Command Center menentukan bahwa temuan tersebut mengekspos satu atau beberapa resource yang telah Anda tetapkan sebagai resource bernilai tinggi, simulasi akan menetapkan skor eksposur serangan ke temuan tersebut dan meningkatkan tingkat keparahannya. Jika temuan tetap aktif, tetapi simulasi selanjutnya mengurangi skor eksposur serangan, tingkat keparahan temuan juga dapat menurun, tetapi tidak lebih rendah dari tingkat default awal.
Jika Anda menggunakan paket Premium atau Standar Security Command Center, tingkat keparahan semua temuan tetap statis.
Tingkat keparahan yang bervariasi berdasarkan masalah yang terdeteksi
Untuk beberapa kategori temuan, Security Command Center dapat menetapkan tingkat keparahan default yang berbeda untuk temuan, bergantung pada kekhususan masalah keamanan yang terdeteksi.
Misalnya, klasifikasi tingkat keparahan
temuan IAM anomalous grant
yang dihasilkan oleh Event Threat Detection biasanya adalah HIGH, tetapi jika
temuan dihasilkan untuk pemberian izin sensitif ke
peran IAM kustom,
tingkat keparahannya adalah MEDIUM.
Melihat tingkat keparahan temuan di konsol Google Cloud
Anda dapat melihat temuan Security Command Center menurut tingkat keparahan dengan beberapa cara di konsolGoogle Cloud :
Di paket Standar dan Premium
- Di halaman Ringkasan, Anda dapat melihat jumlah temuan di setiap tingkat keparahan yang aktif di resource Anda di bagian Kerentanan per jenis resource.
- Di halaman Ancaman, Anda dapat melihat jumlah temuan ancaman di setiap tingkat keparahan.
- Di halaman Kerentanan, Anda dapat memfilter modul deteksi kerentanan yang ditampilkan menurut tingkat keparahan untuk hanya menampilkan modul yang memiliki temuan aktif pada tingkat keparahan tersebut.
- Di halaman Temuan, Anda dapat menambahkan filter untuk tingkat keparahan tertentu ke kueri temuan dari panel Filter cepat.
Di paket Enterprise
Di halaman Masalah, Anda dapat memilih masalah, lalu melihat temuan, termasuk tingkat keparahan, di panel Temuan.
Di halaman Temuan, Anda dapat menambahkan filter untuk tingkat keparahan tertentu ke kueri temuan dari panel Penggabungan.