En esta página, se explican algunos de los métodos y la información que puedes usar para priorizar los hallazgos de Security Command Center sobre vulnerabilidades de software, errores de configuración y, con los niveles Enterprise o Premium, combinaciones tóxicas y embudos (problemas, en conjunto), de modo que puedas reducir el riesgo y mejorar tu posición de seguridad en relación con tus estándares de seguridad aplicables de forma más rápida y eficiente.
El propósito de la priorización
Dado que tu tiempo es limitado y la cantidad de problemas de Security Command Center puede ser abrumadora, especialmente en organizaciones más grandes, debes identificar y responder rápidamente a las vulnerabilidades que representan el mayor riesgo para tu organización.
Debes corregir las vulnerabilidades para reducir el riesgo de un ciberataque en tu organización y mantener el cumplimiento de los estándares de seguridad aplicables.
Para reducir de manera eficaz el riesgo de un ciberataque, debes encontrar y corregir las vulnerabilidades que más exponen tus recursos, que son más explotables o que causarían el daño más grave si se explotaran.
Para mejorar de manera eficaz tu postura de seguridad en relación con un estándar de seguridad en particular, debes encontrar y corregir las vulnerabilidades que incumplen los controles de los estándares de seguridad que se aplican a tu organización.
En las siguientes secciones, se explica cómo puedes priorizar los hallazgos de la postura de Security Command Center para cumplir con estos objetivos.
Prioriza los problemas para reducir el riesgo
Los problemas contienen combinaciones tóxicas y puntos críticos que se detectan en tu organización. Estos son los problemas más importantes que debes abordar. Para ayudarte aún más a priorizar los problemas, incluyen la siguiente información que puedes usar para priorizar la corrección del problema de seguridad subyacente:
- Gravedad
- Puntuación de exposición al ataque
- Registros de CVE con evaluaciones de CVE de MandiantVista previa
Prioriza según las puntuaciones de exposición a ataques
En general, prioriza la corrección de un problema que tenga una puntuación de exposición a ataques alta por sobre un hallazgo de problema que tenga una puntuación más baja o ninguna.
Para obtener más información, consulta lo siguiente:
- Cómo usar las puntuaciones para priorizar la búsqueda de correcciones
- Puntuaciones de exposición a ataques en combinaciones tóxicas y puntos críticos
Visualiza las puntuaciones en la consola de Security Command Center Google Cloud
Las puntuaciones aparecen con los resultados en varios lugares, incluidos los siguientes:
- En la página Resumen de riesgos, haz lo siguiente:
- En Security Command Center Enterprise, donde se muestran los problemas más riesgosos
- En Security Command Center Premium, donde se muestran los puntos de estrangulamiento y las combinaciones tóxicas con las puntuaciones de exposición a ataques más altas
- En una columna de la página Resultados de Security Command Center Enterprise o Premium, en la que puedes consultar y ordenar los resultados por puntuación
- En Security Command Center Enterprise o Premium, cuando ves los detalles de un hallazgo de postura que afecta a un recurso de alto valor.
En la consola de Google Cloud , puedes ver los hallazgos que tienen las puntuaciones de exposición al ataque más altas siguiendo estos pasos:
Ve a la página Descripción general del riesgo en la consola de Google Cloud :
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
En la sección Principales hallazgos de vulnerabilidades, revisa los hallazgos de la postura que tienen las puntuaciones de exposición a ataques más altas. Los descubrimientos de combinaciones tóxicas no se incluyen en esta sección.
Haz clic en una puntuación de la columna Puntuación de exposición al ataque para abrir la página de detalles de la ruta de ataque del hallazgo.
Haz clic en el nombre de un resultado para abrir el panel de detalles del resultado en la página Resultados.
Cómo ver las puntuaciones en los casos
En la consola de Security Operations, trabajas principalmente con casos, en los que los hallazgos se documentan como alertas.
En Security Command Center Enterprise, puedes ver los casos de combinaciones tóxicas con las puntuaciones de exposición a ataques más altas en la página Casos de > riesgo. Puedes ordenar los casos según sus puntuaciones de exposición a ataques.
En Security Command Center Premium, también puedes ordenar los resultados por la puntuación de exposición al ataque en la página Riesgo > Resultados.
Para obtener información sobre cómo consultar casos de combinación tóxica específicamente, consulta Cómo ver los detalles de un caso de combinación tóxica.
Prioriza por impacto y capacidad de explotación de la CVE
En general, prioriza la corrección de los hallazgos que tengan una evaluación de CVE de alta capacidad de explotación y alto impacto por sobre los hallazgos con una evaluación de CVE de baja capacidad de explotación y bajo impacto.
La información de CVE, incluidas las evaluaciones de impacto y capacidad de explotación de la CVE que proporciona Mandiant, se basa en la vulnerabilidad del software en sí.
En la página Overview, en la sección Top CVE findings, un gráfico o un mapa de calor agrupan los hallazgos de vulnerabilidades en bloques según las evaluaciones de explotabilidad y de impacto que proporciona Mandiant.
Cuando veas los detalles de los resultados de vulnerabilidades de software en la consola, podrás encontrar la información del CVE en la sección Vulnerabilidad de la pestaña Resumen. Además del impacto y la explotabilidad, la sección Vulnerabilidad incluye la puntuación de CVSS, vínculos de referencia y otra información sobre la definición de la vulnerabilidad de la CVE.
Para identificar rápidamente los hallazgos que tienen el mayor impacto y la mayor capacidad de explotación, sigue estos pasos:
Ve a la página Descripción general en la consola de Google Cloud :
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
En la sección Top CVE findings de la página Overview, haz clic en el bloque con un número distinto de cero que tenga la mayor capacidad de explotación y el mayor impacto. Se abrirá la página Resultados por CVE, en la que se mostrará una lista de los IDs de CVE que tienen el mismo impacto y explotabilidad.
En la sección Hallazgos por ID de CVE, haz clic en un ID de CVE. Se abre la página Resultados para mostrar la lista de resultados que comparten ese ID de CVE.
En la página Resultados, haz clic en el nombre de un resultado para ver sus detalles y los pasos de corrección recomendados.
Prioriza por gravedad
En general, prioriza un problema o hallazgo con una gravedad CRITICAL por sobre un problema o hallazgo con una gravedad HIGH, prioriza la gravedad HIGH por sobre una gravedad MEDIUM, y así sucesivamente.
Las gravedades se basan en el tipo de problema de seguridad y Security Command Center las asigna a las categorías de hallazgos. Todos los hallazgos de una categoría o subcategoría en particular se generan con el mismo nivel de gravedad.
A menos que utilices el nivel Enterprise o Premium de Security Command Center, los niveles de gravedad de los hallazgos son valores estáticos que no cambian durante la vida útil del hallazgo.
Con el nivel empresarial, los niveles de gravedad de los problemas representan con mayor precisión el riesgo en tiempo real de un hallazgo. Los resultados se generan con el nivel de gravedad predeterminado de la categoría del resultado, pero, mientras el resultado permanece activo, el nivel de gravedad puede aumentar o disminuir a medida que aumenta o disminuye la puntuación de exposición al ataque del resultado.
Quizás la forma más sencilla de identificar las vulnerabilidades más graves sea usar los filtros rápidos en la página Resultados de la consola de Google Cloud .
Para ver los hallazgos de mayor gravedad, sigue estos pasos:
Ve a la página Resultados en la consola de Google Cloud :
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
En el panel Filtros rápidos de la página Resultados, selecciona las siguientes propiedades:
- En Finding class, selecciona Vulnerability.
- En Gravedad, selecciona Crítica, Alta o ambas.
El panel Resultados de la búsqueda se actualiza para mostrar solo los hallazgos que tienen la gravedad especificada.
También puedes ver la gravedad de los hallazgos de la postura en la página Descripción general, en la sección Hallazgos de vulnerabilidades activas.
Prioriza los hallazgos de la postura para mejorar el cumplimiento
Cuando priorizas los hallazgos de la postura para el cumplimiento, tu principal preocupación son los hallazgos que incumplen los controles del estándar de cumplimiento aplicable.
Para ver los resultados que incumplen los controles de una comparativa específica, sigue estos pasos:
Ve a la página Cumplimiento en la consola de Google Cloud :
Usa el selector de proyectos en la consola de Google Cloud para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
Junto al nombre del estándar de seguridad que debes cumplir, haz clic en Ver detalles. Se abrirá la página Detalles de cumplimiento.
Si no se muestra el estándar de seguridad que necesitas, especifícalo en el campo Estándar de cumplimiento de la página Detalles de cumplimiento.
Para ordenar las reglas enumeradas por Resultados, haz clic en el encabezado de la columna.
Para cualquier regla que muestre uno o más resultados, haz clic en el nombre de la regla en la columna Reglas. Se abrirá la página Hallazgos, en la que se mostrarán los hallazgos de esa regla.
Soluciona los problemas hasta que no queden más. Después del siguiente análisis, si no se encuentran vulnerabilidades nuevas para la regla, aumentará el porcentaje de controles aprobados.