Gravedad de los hallazgos

En esta página, se describe la propiedad severity de los hallazgos de Security Command Center y sus valores posibles.

La propiedad severity proporciona un indicador general de la importancia de corregir los hallazgos de una categoría o, en algunos casos, una subcategoría en particular.

Por lo general, debes corregir los hallazgos de gravedad HIGH antes que los de gravedad LOW, pero, según el recurso afectado o otras consideraciones, es posible que corregir un hallazgo de gravedad LOW en particular sea más importante que uno de gravedad HIGH.

Gravedad en comparación con la puntuación de exposición a ataques

Para los niveles de servicio Premium y Enterprise, puedes usar las gravedades y las puntuaciones de exposición a ataques de los hallazgos para priorizar su corrección, pero es importante comprender las diferencias entre ambos.

Una gravedad es un indicador general que se predetermina según la categoría del hallazgo. Se asigna la misma gravedad predeterminada a todos los hallazgos dentro de una categoría o subcategoría determinada.

Una puntuación de exposición a ataques es un indicador dinámico que se calcula para un hallazgo después de que se genera. La puntuación es específica de la instancia del hallazgo y se basa en varios factores, incluidas las instancias de recursos que afecta el hallazgo y la dificultad que enfrentaría un atacante hipotético al atravesar la ruta desde un posible punto de acceso hasta el recurso de alto valor afectado.

Todos los hallazgos pueden tener una gravedad. Solo los hallazgos de vulnerabilidades y parámetros de configuración incorrectos que admiten las simulaciones de rutas de ataque pueden tener una puntuación de exposición a ataques.

Cuando priorices los hallazgos de vulnerabilidades y parámetros de configuración incorrectos, prioriza por puntuaciones de exposición a ataques antes de priorizar por gravedad.

Clasificaciones de gravedad

Security Command Center usa las siguientes clasificaciones de gravedad, que se muestran en la columna Gravedad cuando los hallazgos se muestran en la Google Cloud consola de:

• Critical
• High
• Medium
• Low
• Unspecified

Gravedad Critical

Una vulnerabilidad crítica es fácil de detectar y se puede aprovechar para mejorar la capacidad de ejecutar el código arbitrario, robar datos y, de lo contrario, obtener acceso y privilegios adicionales en recursos y flujos de trabajo en la nube. En los ejemplos, se incluyen los datos del usuario de acceso público y el acceso SSH público con contraseñas débiles o nulas.

Una amenaza crítica puede acceder a los datos, modificarlos o borrarlos, o ejecutar código no autorizado en sus recursos existentes.

Un hallazgo de clase SCC error crítico significa cualquiera de las siguientes opciones:

• Un error de configuración impide que Security Command Center genere hallazgos nuevos de cualquier gravedad.
• Un error de configuración impide que veas todos los hallazgos de un servicio.
• Un error de configuración impide que las simulaciones de rutas de ataque generen puntuaciones de exposición a ataques y rutas de ataque.

Gravedad High

Una vulnerabilidad de alto riesgo se puede detectar fácilmente y podría explotarse con otras vulnerabilidades para obtener acceso directo a fin de ejecutar código arbitrario o robar datos, y obtener acceso y privilegios adicionales a recursos y cargas de trabajo. Por ejemplo, una base de datos con poca seguridad o sin contraseña y solo que se puede acceder a ella de forma interna, puede ser un actor que tiene acceso a la red interna.

Una amenaza de alto riesgo puede crear recursos de procesamiento en un entorno, pero no puede acceder a los datos ni ejecutar código en los recursos existentes.

Un hallazgo de clase SCC error de alto riesgo indica que un error de configuración está causando cualquiera de los siguientes problemas:

• No puedes ver ni exportar algunos de los hallazgos de un servicio.
• Para las simulaciones de rutas de ataque, las puntuaciones de exposición a ataques y las rutas de ataque pueden estar incompletas o ser inexactas.

Gravedad Medium

Una vulnerabilidad de riesgo medio podría permitir a un actor obtener acceso a recursos o privilegios que le permitan finalmente acceder a él y la capacidad de robar datos o ejecutar código arbitrario. Por ejemplo, si una cuenta de servicio tiene acceso innecesario a proyectos y un actor obtiene acceso a la cuenta de servicio, este puede usar esa cuenta de servicio para manipular un proyecto.

Una amenaza de riesgo medio podría generar un problema más grave, pero es posible que no indique el acceso a datos actual ni la ejecución de código no autorizado.

Gravedad Low

Una vulnerabilidad de bajo riesgo afecta la capacidad de un equipo de seguridad de detectar vulnerabilidades o amenazas activas en su implementación, o evitan la causa raíz de los problemas de seguridad. Por ejemplo, una situación en la que la supervisión y los registros están inhabilitados para la configuración y el acceso a los recursos.

Una amenaza de bajo riesgo obtuvo acceso mínimo a un entorno, pero no puede acceder a los datos, ejecutar código ni crear recursos.

Gravedad Unspecified

Una clasificación de gravedad Unspecified indica que el servicio que generó el hallazgo no estableció un valor de gravedad para él.

Si obtienes un hallazgo con una gravedad de Unspecified, debes evaluar la gravedad por tu cuenta. Para ello, investiga el hallazgo y revisa la documentación que proporciona el producto o servicio que lo generó.

Gravedad variable

La gravedad de los hallazgos en una categoría de hallazgos puede variar en determinadas circunstancias.

Gravedades que varían según la puntuación de exposición a ataques

Para el nivel de servicio Enterprise, los niveles de gravedad de los hallazgos de vulnerabilidades y parámetros de configuración incorrectos reflejan con mayor precisión el riesgo de cada hallazgo individual, ya que la gravedad de un hallazgo puede cambiar para reflejar su puntuación de exposición a ataques.

Los hallazgos de vulnerabilidades y parámetros de configuración incorrectos se generan con un nivel de gravedad predeterminado o de referencia que es común a todos los hallazgos dentro de una categoría de hallazgos determinada. Después de que se genera un hallazgo, si las simulaciones de rutas de ataque de Security Command Center determinan que el hallazgo expone uno o más recursos que designaste como un recurso de alto valor, las simulaciones asignan una puntuación de exposición a ataques al hallazgo y aumentan el nivel de gravedad en consecuencia. Si el hallazgo permanece activo, pero las simulaciones reducen más tarde la puntuación de exposición a ataques, el nivel de gravedad del hallazgo también puede disminuir, pero no más que el nivel predeterminado original.

Para otros niveles de servicio, los niveles de gravedad de todos los hallazgos permanecen estáticos.

Gravedades que varían según el problema detectado

Para algunas categorías de hallazgos, Security Command Center puede asignar un nivel de gravedad predeterminado diferente a un hallazgo según los detalles del problema de seguridad que se detectó.

Por ejemplo, la clasificación de gravedad del IAM anomalous grant hallazgo que genera Event Threat Detection suele ser HIGH. Sin embargo, si el hallazgo se genera para el otorgamiento de permisos sensibles a un rol personalizado de IAM, la gravedad es MEDIUM.

Visualiza las gravedades de los hallazgos en la Google Cloud consola de

Puedes ver los hallazgos de Security Command Center por gravedad de varias maneras en la Google Cloud consola de: