Gravedad de las detecciones

Standard, Premium y Enterprise

En esta página se describe la propiedad severity de los resultados de Security Command Center y sus posibles valores.

La propiedad severity proporciona un indicador general de la importancia de corregir los resultados de una categoría o, en algunos casos, una subcategoría concreta.

Por lo general, debes corregir los resultados de gravedad HIGH antes que los de gravedad LOW, pero, en función del recurso afectado u otras consideraciones, es posible que sea más importante corregir un resultado de gravedad LOW que uno de gravedad HIGH.

Gravedad en comparación con la puntuación de exposición a ataques

En los niveles de servicio Premium y Enterprise, puedes usar tanto las gravedades de las detecciones como las puntuaciones de exposición a ataques de las detecciones para priorizar la corrección de las detecciones, pero es importante que conozcas las diferencias entre ambas.

La gravedad es un indicador general predeterminado en función de la categoría del hallazgo. Se asigna la misma gravedad predeterminada a todos los resultados de una categoría o subcategoría determinada.

La puntuación de exposición a ataques es un indicador dinámico que se calcula para un hallazgo después de que se genere. La puntuación es específica de la instancia del resultado y se basa en varios factores, como las instancias de recursos a las que afecta el resultado y la dificultad que tendría un atacante hipotético para recorrer la ruta desde un punto de acceso potencial hasta el recurso de alto valor afectado.

Todos los resultados pueden tener una gravedad. Solo las vulnerabilidades y los errores de configuración compatibles con las simulaciones de rutas de ataque pueden tener una puntuación de exposición a ataques.

Cuando priorices los resultados de vulnerabilidades y configuraciones erróneas, hazlo según las puntuaciones de exposición a los ataques antes de hacerlo según la gravedad.

Clasificaciones de gravedad

Standard, Premium y Enterprise

Security Command Center usa las siguientes clasificaciones de gravedad, que se muestran en la columna Gravedad cuando los hallazgos se muestran en la consola Google Cloud :

• Critical
• High
• Medium
• Low
• Unspecified

Gravedad de Critical

Una vulnerabilidad crítica es fácil de descubrir y se puede aprovechar para ejecutar código arbitrario, extraer datos y obtener acceso y privilegios adicionales en recursos y flujos de trabajo en la nube. Por ejemplo, datos de usuario accesibles públicamente y acceso SSH público con contraseñas débiles o sin contraseñas.

Una amenaza crítica puede acceder, modificar o eliminar datos, o ejecutar código no autorizado en tus recursos.

Un SCC errorresultado crítico de la clase significa que se da alguna de las siguientes situaciones:

• Un error de configuración impide que Security Command Center genere nuevos resultados de cualquier gravedad.
• Un error de configuración impide que veas todos los resultados de un servicio.
• Un error de configuración impide que las simulaciones de rutas de ataque generen puntuaciones de exposición a ataques y rutas de ataque.

Gravedad de High

Una vulnerabilidad de alto riesgo se puede descubrir fácilmente y se podría aprovechar con otras vulnerabilidades para obtener acceso directo y ejecutar código arbitrario o exfiltrar datos, así como para obtener acceso y privilegios adicionales a recursos y cargas de trabajo. Por ejemplo, una base de datos que tenga contraseñas débiles o no tenga ninguna y a la que solo se pueda acceder internamente podría verse comprometida por un agente que tenga acceso a la red interna.

Una amenaza de alto riesgo puede crear recursos computacionales en un entorno, pero no puede acceder a los datos ni ejecutar código en los recursos existentes.

Un hallazgo de clase SCC error de alto riesgo indica que un error de configuración está provocando alguno de los siguientes problemas:

• No puedes ver ni exportar algunas de las detecciones de un servicio.
• En el caso de las simulaciones de rutas de ataque, las puntuaciones de exposición a ataques y las rutas de ataque pueden estar incompletas o ser inexactas.

Gravedad de Medium

Una vulnerabilidad de riesgo medio podría permitir que un agente obtuviera acceso a recursos o privilegios que le permitieran acceder y exfiltrar datos o ejecutar código arbitrario. Por ejemplo, si una cuenta de servicio tiene acceso innecesario a proyectos y un actor obtiene acceso a la cuenta de servicio, el actor podría usar esa cuenta de servicio para manipular un proyecto.

Una amenaza de riesgo medio podría provocar un problema más grave, pero no necesariamente indica que se haya accedido a los datos o que se haya ejecutado código no autorizado.

Gravedad de Low

Una vulnerabilidad de bajo riesgo dificulta la capacidad de un equipo de seguridad para detectar vulnerabilidades o amenazas activas en su implementación, o bien impide la investigación de la causa raíz de los problemas de seguridad. Por ejemplo, un caso en el que la monitorización y los registros están inhabilitados para las configuraciones y el acceso a los recursos.

Una amenaza de bajo riesgo ha obtenido un acceso mínimo a un entorno, pero no puede acceder a los datos, ejecutar código ni crear recursos.

Gravedad de Unspecified

Una clasificación de gravedad Unspecified indica que el servicio que ha generado el resultado no ha definido un valor de gravedad para él.

Si recibes una detección con una gravedad de Unspecified, debes evaluar la gravedad por tu cuenta investigando la detección y consultando la documentación que proporcione el producto o servicio que la haya generado.

Gravedad variable

Standard, Premium y Enterprise

La gravedad de las detecciones de una categoría puede variar en determinadas circunstancias.

Gravedades que varían en función de la puntuación de exposición a ataques

Enterprise

En el nivel de servicio Enterprise, los niveles de gravedad de las vulnerabilidades y los errores de configuración reflejan con mayor precisión el riesgo de cada uno de ellos, ya que la gravedad de un error puede cambiar para reflejar la puntuación de exposición a ataques.

Los hallazgos de vulnerabilidades y errores de configuración se generan con un nivel de gravedad predeterminado o de referencia que es común a todos los hallazgos de una categoría determinada. Cuando se genera un hallazgo, si las simulaciones de rutas de ataque de Security Command Center determinan que el hallazgo expone uno o varios recursos que has designado como recursos de alto valor, las simulaciones asignan una puntuación de exposición a ataques al hallazgo y aumentan el nivel de gravedad en consecuencia. Si la detección sigue activa, pero las simulaciones reducen posteriormente la puntuación de exposición a ataques, el nivel de gravedad de la detección también puede disminuir, pero no por debajo del nivel predeterminado original.

En el resto de los niveles de servicio, los niveles de gravedad de todas las detecciones permanecen estáticos.

Gravedades que varían en función del problema detectado

Standard, Premium y Enterprise

En algunas categorías de hallazgos, Security Command Center puede asignar un nivel de gravedad predeterminado diferente a un hallazgo en función de las características del problema de seguridad detectado.

Por ejemplo, la clasificación de gravedad de la IAM anomalous grant detección que genera Event Threat Detection suele ser HIGH. Sin embargo, si la conclusión se genera al conceder permisos sensibles a un rol de gestión de identidades y accesos personalizado, la gravedad es MEDIUM.

Ver las gravedades de los hallazgos en la consola de Google Cloud

Standard, Premium y Enterprise

En laGoogle Cloud consola, puede ver los resultados de Security Command Center por gravedad de varias formas: