Gravità dei risultati

Questa pagina descrive la proprietà severity dei risultati di Security Command Center e i relativi possibili valori.

La proprietà severity fornisce un indicatore generale dell'importanza della correzione dei risultati di una determinata categoria di risultati o, in alcuni casi, di una sottocategoria.

In genere, devi correggere i problemi con gravità HIGH prima di quelli con gravità LOW, ma, a seconda della risorsa interessata o di altre considerazioni, è possibile che la correzione di un determinato problema con gravità LOW sia più importante di quella di un problema con gravità HIGH.

Gravità rispetto al punteggio di esposizione agli attacchi

Puoi utilizzare sia le severità dei problemi sia i punteggi di esposizione agli attacchi per dare la priorità alla correzione dei problemi, ma è importante comprendere le differenze tra i due.

La gravità è un indicatore generale predeterminato in base alla categoria del risultato. A tutti i risultati all'interno di una determinata categoria o sottocategoria viene assegnata la stessa gravità predefinita.

Un punteggio di esposizione agli attacchi è un indicatore dinamico calcolato per un rilevamento dopo la sua emissione. Il punteggio è specifico per l'istanza del risultato e si basa su una serie di fattori, tra cui le istanze di risorse interessate dal risultato e la difficoltà che un utente malintenzionato ipotetico potrebbe incontrare nel percorrere il percorso da un potenziale punto di accesso alla risorsa di alto valore interessata.

Tutti i risultati possono avere una gravità. Solo i risultati relativi a vulnerabilità e configurazioni errate supportati dalle simulazioni del percorso di attacco possono avere un punteggio di esposizione agli attacchi.

Quando assegni la priorità ai risultati relativi a vulnerabilità ed errori di configurazione, dai la priorità ai punteggi di esposizione agli attacchi prima di dare la priorità alla gravità.

Classificazioni della gravità

Security Command Center utilizza le seguenti classificazioni di gravità, che vengono visualizzate nella colonna Gravità quando i risultati vengono visualizzati nella console Google Cloud:

• Critical
• High
• Medium
• Low
• Unspecified

Gravità Critical

Una vulnerabilità critica è facilmente rilevabile e può essere sfruttata per ottenere la possibilità diretta di eseguire codice arbitrario, esfiltrare dati e ottenere in altro modo privilegi e accessi aggiuntivi nelle risorse e nei flussi di lavoro cloud. Alcuni esempi sono i dati utente accessibili pubblicamente e l'accesso SSH pubblico con password deboli o assenti.

Una minaccia critica è in grado di accedere, modificare o eliminare dati oppure di eseguire codice non autorizzato all'interno delle risorse esistenti.

Un SCC error rilevamento di classe critico indica uno dei seguenti elementi:

• Un errore di configurazione impedisce a Security Command Center di generare nuovi risultati di qualsiasi gravità.
• Un errore di configurazione ti impedisce di visualizzare tutti i risultati di un servizio.
• Un errore di configurazione impedisce alle simulazioni dei percorsi di attacco di generare punteggi di esposizione agli attacchi e percorsi di attacco.

Gravità High

Una vulnerabilità ad alto rischio è facilmente rilevabile e potrebbe essere sfruttata con altre vulnerabilità per ottenere l'accesso diretto per eseguire codice arbitrario o esfiltrare dati e ottenere ulteriori accessi e privilegi a risorse e carichi di lavoro. Ad esempio, un database con password deboli o assenti ed accessibile solo internamente potrebbe essere compromesso da un attore che ha accesso alla rete interna.

Una minaccia ad alto rischio è in grado di creare risorse di calcolo in un ambiente, ma non è in grado di accedere ai dati o di eseguire codice nelle risorse esistenti.

Un rilevamento di classe SCC error ad alto rischio indica che un errore di configurazione sta causando uno dei seguenti problemi:

• Non puoi vedere o esportare alcuni risultati di un servizio.
• Per le simulazioni del percorso di attacco, i punteggi di esposizione agli attacchi e i percorsi di attacco potrebbero essere incompleti o imprecisi.

Gravità Medium

Una vulnerabilità a rischio medio potrebbe consentire a un utente malintenzionato di accedere a risorse o privilegi che gli consentano di ottenere l'accesso e la possibilità di esfiltrare dati o eseguire codice arbitrario. Ad esempio, se un account di servizio ha accesso non necessario ai progetti e un attore ottiene l'accesso all'account di servizio, l'attore potrebbe utilizzare l'account di servizio per manipolare un progetto.

Una minaccia a rischio medio potrebbe portare a un problema più grave, ma potrebbe non indicare accesso ai dati corrente o esecuzione di codice non autorizzata.

Gravità Low

Una vulnerabilità a basso rischio ostacola la capacità di un team di sicurezza di rilevare vulnerabilità o minacce attive nel proprio deployment o impedisce l'indagine sulla causa principale dei problemi di sicurezza. Ad esempio, uno scenario in cui il monitoraggio e i log sono disabilitati per le configurazioni e l'accesso alle risorse.

Una minaccia a basso rischio ha ottenuto un accesso minimo a un ambiente, ma non è in grado di accedere ai dati, eseguire codice o creare risorse.

Gravità Unspecified

Una classificazione di gravità pari a Unspecified indica che il servizio che ha generato il risultato non ha impostato un valore di gravità per il risultato.

Se ricevi un rilevamento con una gravità pari a Unspecified, devi valutare autonomamente la gravità esaminando il rilevamento e la documentazione fornita dal prodotto o dal servizio che lo ha generato.

Gravità variabile

La gravità dei risultati in una determinata categoria può variare in determinate circostanze.

Gravità che variano in base al punteggio di esposizione agli attacchi

Se utilizzi il livello Enterprise di Security Command Center, i livelli di gravità dei risultati relativi a vulnerabilità ed errori di configurazione riflettono con maggiore precisione il rischio di ogni singolo risultato, in quanto la gravità di un risultato può cambiare in base al punteggio di esposizione agli attacchi.

Con il livello Enterprise, i risultati relativi a vulnerabilità ed errori di configurazione vengono generati con un livello di gravità predefinito o di riferimento comune a tutti i risultati all'interno di una determinata categoria di risultati. Dopo l'emissione di un risultato, se le simulazioni dei percorsi di attacco di Security Command Center determinano che il risultato espone una o più risorse che hai designato come risorsa di alto valore, le simulazioni assegnano un punteggio di esposizione agli attacchi al risultato e aumentano di conseguenza il livello di gravità. Se il rilevamento rimane attivo, ma le simulazioni riducono in seguito il punteggio di esposizione agli attacchi, anche il livello di gravità del rilevamento può diminuire, ma non inferiore al livello predefinito originale.

Se utilizzi il livello Premium o Standard di Security Command Center, i livelli di gravità di tutti i risultati rimangono invariati.

Gravità che variano in base al problema rilevato

Per alcune categorie di risultati, Security Command Center può assegnare un livello di gravità predefinito diverso a un risultato a seconda dei dettagli del problema di sicurezza rilevato.

Ad esempio, la classificazione della gravità del risultato IAM anomalous grant generato da Event Threat Detection è in genere HIGH, ma se il risultato viene generato per la concessione di autorizzazioni sensibili a un ruolo IAM personalizzato, la gravità è MEDIUM.

Visualizzare le severità dei risultati nella console Google Cloud

Nella console Google Cloud puoi visualizzare i risultati di Security Command Center in base alla gravità in diversi modi:

• Nella pagina Panoramica, puoi vedere il numero di elementi rilevati per ogni livello di gravità attivi nelle tue risorse nella sezione Vulnerabilità per tipo di risorsa.
• Nella pagina Minacce, puoi vedere quante segnalazioni di minacce esistono per ogni livello di gravità.
• Nella pagina Vulnerabilità, puoi filtrare i moduli di rilevamento delle vulnerabilità visualizzati in base al livello di gravità per mostrare solo i moduli con risultati attivi a quel livello di gravità.
• Nella pagina Risultati, puoi aggiungere filtri per livelli di gravità specifici alle query sui risultati dal riquadro Filtri rapidi.