Esta página explica algumas das informações e métodos que você pode para priorizar as descobertas de vulnerabilidades de software do Security Command Center, erros de configuração e, no nível Enterprise, combinações tóxicas (descobertas de postura, coletivamente), para que você possa reduzir e melhorar sua postura de segurança em relação à segurança aplicável os padrões do setor com mais rapidez e eficiência.
O objetivo da priorização
Como seu tempo é limitado e o volume de descobertas de postura do Security Command Center pode ser excessivo, especialmente em organizações maiores, é necessário identificar e responder rapidamente às vulnerabilidades que representam o maior risco para sua organização.
Você precisa corrigir as vulnerabilidades para reduzir o risco de um ataque cibernético na sua organização e manter a conformidade dela com os padrões de segurança aplicáveis.
Para reduzir de maneira eficaz o risco de um ataque cibernético, você precisa encontrar e corrigir as vulnerabilidades que mais expõem seus recursos, que são mais exploráveis ou que resultariam no dano mais grave se fossem exploradas.
Para melhorar efetivamente sua postura de segurança em relação a um determinado padrão de segurança, encontre e corrija vulnerabilidades que violam os controles dos padrões de segurança se aplicam à sua organização.
As seções a seguir explicam como priorizar o Security Command Center descobertas de postura para atender a esses propósitos.
Priorizar descobertas de postura para reduzir riscos
As descobertas de postura incluem as seguintes informações que podem ser usadas para priorizar a correção do problema de segurança:
- Pontuação de exposição a ataques ou pontuação de combinação ruim
- Registros de CVE com avaliações de CVE da MandiantPreview
- Severity
Priorizar pontuações de exposição a ataques
Geralmente, prioriza a correção de uma descoberta de postura que tem uma pontuação de exposição a ataques alta em uma descoberta de postura que tem uma pontuação mais baixa ou nenhuma pontuação.
As descobertas de postura incluem descobertas de combinações tóxicas. Se a pontuação de uma descoberta de combinação tóxica for aproximadamente igual à pontuação de exposição ao ataque em uma descoberta de uma classe de descoberta diferente, priorize a correção da descoberta de combinação tóxica, porque ela representa um caminho completo que um invasor em potencial pode seguir da Internet pública para um ou mais dos seus recursos de alto valor.
Se a pontuação de exposição a ataques de uma descoberta em outra classe for significativamente mais alto do que a pontuação de uma descoberta de combinação tóxica, priorize a descoberta com pontuação significativamente mais alta.
Para ver mais informações, consulte os seguintes tópicos:
- Como usar pontuações para priorizar a localização de correções
- Pontuações de exposição a ataques com combinações tóxicas
Conferir pontuações no console do Security Operations
No console de Operações de Segurança, você trabalha principalmente com casos, em que descobertas são documentadas como alertas.
É possível visualizar os casos de combinação tóxica com as pontuações de exposição a ataques em Postura > Visão geral.
É possível conferir as pontuações de todos os casos na página Casos, onde você pode ordenar os casos por pontuação de exposição a ataques. Também é possível classificar as descobertas pela pontuação de exposição a ataques na página Posture > Findings.
Para saber como consultar especificamente casos de combinação tóxica, consulte Conferir os detalhes de um caso de combinação tóxica.
Conferir as pontuações no console do Google Cloud
No console do Google Cloud, as pontuações aparecem com as descobertas em vários lugares, incluindo seguintes:
- Na página Visão geral de riscos, onde as 10 descobertas com as pontuações mais altas são exibidas.
- Em uma coluna na página Descobertas, onde você pode consultar e classificar os resultados por pontuação.
- Quando você visualiza os detalhes de uma descoberta de postura que afeta um recurso de alto valor.
Na página Descobertas do console do Google Cloud, as pontuações de exposição a ataques de descobertas de combinação tóxica são apresentadas na coluna Pontuação de combinação tóxica, separadamente das pontuações de exposição a ataques de outras classes de descobertas.
No console do Google Cloud, é possível conferir as descobertas com as maiores pontuações de exposição a ataques seguindo estas etapas:
Acesse a página Visão geral do risco no console do Google Cloud:
Use o seletor de projetos no console do Google Cloud para selecione o projeto, a pasta ou a organização para a qual priorizar vulnerabilidades:
Na seção Principais casos de combinação tóxica, analise as descobertas com as pontuações mais altas de combinação tóxica.
- Clique no link Ver caso para abrir o caso correspondente na no console de Operações de Segurança.
Na seção Descobertas de vulnerabilidade ativa, revise a postura descobertas com as maiores pontuações de exposição a ataques. Combinação tóxica descobertas não estão incluídas nesta seção.
Clique em uma pontuação na coluna Pontuação de exposição a ataques para abrir a página de detalhes do caminho de ataque da descoberta.
Clique no nome de uma descoberta para abrir o painel de detalhes em Descobertas. página.
Priorize por capacidade de exploração e impacto da CVE
Geralmente, priorizar a correção de descobertas que têm CVE de alta capacidade de exploração e alto impacto sobre as descobertas com uma Avaliação do CVE sobre baixa capacidade de exploração e baixo impacto.
As informações do CVE, incluindo as avaliações de exploração e impacto do CVE fornecidas pela Mandiant, são baseadas na própria vulnerabilidade do software.
Na página Visão geral, na seção Principais descobertas de CVE, há um gráfico. ou mapa de calor, agrupa descobertas de vulnerabilidade em blocos de acordo com a e avaliações de impacto que a Mandiant oferece.
Ao visualizar os detalhes das descobertas de vulnerabilidade de software no console, você pode encontrar as informações de CVE na seção Vulnerabilidade do guia Resumo. Além do impacto e da capacidade de exploração, A seção Vulnerabilidade inclui a pontuação do CVSS, links de referência e outras informações sobre a definição de vulnerabilidade da CVE.
Para identificar rapidamente as descobertas com maior impacto e explorabilidade, siga estas etapas:
Acesse a página Visão geral no console do Google Cloud:
Use o seletor de projetos no console do Google Cloud para selecione o projeto, a pasta ou a organização para a qual priorizar vulnerabilidades:
Na seção Principal descoberta de CVE da página Visão geral, clique no bloco com um número diferente de zero que tenha a maior vulnerabilidade e impacto. A página Descobertas por CVE é aberta para mostrar uma lista de IDs de CVE que têm o mesmo impacto e exploração.
Na seção Findings by CVE ID, clique em um ID da CVE. A página Descobertas é aberta para mostrar a lista de descobertas que compartilham esse ID de CVE.
Na página Descobertas, clique no nome de uma descoberta para conferir os detalhes dela e as etapas de correção recomendadas.
Priorizar por gravidade
Geralmente, priorize uma descoberta de postura com gravidade CRITICAL
em vez de uma descoberta de postura com gravidade HIGH, priorize a gravidade HIGH
em vez de uma gravidade MEDIUM e assim por diante.
As gravidades das descobertas são baseadas no tipo de problema de segurança e são atribuídas a categorias de descobertas pelo Security Command Center. Todas as descobertas em uma categoria ou subcategoria específica são emitidas com o mesmo nível de gravidade.
A menos que você esteja usando o nível Enterprise do Security Command Center, encontrar níveis de gravidade são valores estáticos que não mudam ao longo da vida útil descoberta.
No nível Enterprise, os níveis de gravidade das posturas descobertas representam com mais precisão o risco em tempo real de uma descoberta. As descobertas são emitidas com o nível de gravidade padrão da categoria, mas, enquanto a descoberta permanece ativa, o nível de gravidade pode aumentar ou diminuir conforme a pontuação de exposição ao ataque da descoberta aumenta ou diminui.
Talvez a maneira mais fácil de identificar as vulnerabilidades de maior gravidade seja usar os filtros rápidos na página Findings no console do Google Cloud.
Para visualizar as descobertas de maior gravidade, siga estas etapas:
Acesse a página Descobertas no console do Google Cloud:
Use o seletor de projetos no console do Google Cloud para selecione o projeto, a pasta ou a organização para a qual priorizar vulnerabilidades:
No painel Filtros rápidos da página Descobertas, selecione o propriedades a seguir:
- Em Classe de descoberta, selecione Vulnerabilidade.
- Em Gravidade, selecione Crítico, Alto ou ambos.
O painel Resultados da consulta de descobertas é atualizado para mostrar apenas as descobertas com a gravidade especificada.
Você também pode conferir as gravidades de descoberta de postura na Visão geral. na seção Descobertas de vulnerabilidade ativa.
Priorizar descobertas de postura para melhorar o compliance
Ao priorizar descobertas de postura para conformidade, seu principal são as descobertas que violam os controles do programa padrão de conformidade.
É possível conferir as descobertas que violam os controles de um determinado comparativo de mercado seguindo estas etapas:
Acesse a página Compliance no console do Google Cloud:
Use o seletor de projetos no console do Google Cloud para selecionar o projeto, a pasta ou a organização que precisa de prioridade nas vulnerabilidades:
Ao lado do nome do padrão de segurança que você precisa seguir, clique em Ver detalhes. A página Detalhes de compliance é aberta.
Se o padrão de segurança necessário não aparecer, especifique-o no campo Padrão de compliance na página Detalhes de compliance.
Classifique as regras listadas por Descobertas, clicando no título da coluna.
Clique no nome de qualquer regra que mostre uma ou mais descobertas. na coluna Regras. A página Descobertas é aberta para exibir as descobertas dessa regra.
Corrigir as descobertas até que não haja mais descobertas. Após o próximo verificação, se nenhuma nova vulnerabilidade for encontrada para a regra, a porcentagem de controles passados aumenta.