בדף הזה מתואר המאפיין severity של ממצאי Security Command Center והערכים האפשריים שלו.
הנכס severity מספק אינדיקטור כללי לגבי מידת החשיבות של תיקון הממצאים בקטגוריית ממצאים מסוימת, או במקרים מסוימים, בקטגוריית משנה.
באופן כללי, כדאי לטפל בממצאים ברמת חומרה HIGH לפני שמטפלים בממצאים ברמת חומרה LOW, אבל בהתאם למשאב המושפע או לשיקולים אחרים, יכול להיות שיהיה חשוב יותר לטפל בממצא מסוים ברמת חומרה LOW מאשר בממצא ברמת חומרה HIGH.
רמת החומרה בהשוואה לציון החשיפה להתקפות
במהדורות Premium ו-Enterprise, אפשר להשתמש גם בחומרת הממצאים וגם בציוני החשיפה להתקפות כדי לתעדף את הטיפול בממצאים, אבל חשוב להבין את ההבדלים בין השניים.
רמת החומרה היא אינדיקטור כללי שנקבע מראש על סמך הקטגוריה של הממצא. אותה חומרת ברירת מחדל מוקצית לכל הממצאים בקטגוריה או בקטגוריית משנה מסוימת.
ציון החשיפה להתקפה הוא אינדיקטור דינמי שמחושב לגבי ממצא אחרי שהוא נוצר. הציון ספציפי למופע של הממצא ומבוסס על מספר גורמים, כולל מופעי המשאבים שהממצא משפיע עליהם והקושי שפורץ היפותטי יתקל בו בניסיון לעבור את הנתיב מנקודת גישה פוטנציאלית למשאב המושפע בעל הערך הגבוה.
לכל הממצאים יכולה להיות רמת חומרה. רק ממצאים של פגיעויות והגדרות שגויות שנתמכים על ידי סימולציות של נתיבי תקיפה יכולים לקבל ציון חשיפה להתקפה.
כשמתעדפים את הממצאים של נקודות חולשה וטעויות בהגדרות, כדאי לתת עדיפות לדירוג החשיפה להתקפות לפני שמתעדפים לפי חומרה.
סיווגים של רמת החומרה
ב-Security Command Center נעשה שימוש בסיווגי החומרה הבאים, שמוצגים בעמודה חומרה כשמציגים את הממצאים במסוף Google Cloud :
CriticalHighMediumLowUnspecified
Critical severity
קל לגלות פגיעות קריטית, ואפשר לנצל אותה כדי להשיג יכולת ישירה להריץ קוד שרירותי, לייצא נתונים, או להשיג גישה והרשאות נוספות במשאבי ענן ובזרימות עבודה. לדוגמה, נתוני משתמשים שזמינים לכולם וגישת SSH ציבורית עם סיסמאות חלשות או ללא סיסמאות.
איום קריטי יכול לגשת לנתונים, לשנות או למחוק אותם, או להריץ קוד לא מורשה במשאבים הקיימים.
ממצא קריטי בכיתה SCC error מציין אחד מהמקרים הבאים:
- שגיאת הגדרה מונעת מ-Security Command Center ליצור ממצאים חדשים בכל רמת חומרה.
- שגיאת הגדרה מונעת ממך לראות את כל הממצאים של שירות מסוים.
- שגיאת הגדרה מונעת מסימולציות של נתיבי תקיפה ליצור ציוני חשיפה לתקיפה ונתיבי תקיפה.
High severity
פגיעות בסיכון גבוה קל לגלות, ואפשר לנצל אותה עם פגיעות אחרות כדי לקבל גישה ישירה להרצת קוד שרירותי או לאחזור נתונים מוגנים משרתים, ולקבל גישה והרשאות נוספות למשאבים ולעומסי עבודה. לדוגמה, מסד נתונים עם סיסמאות חלשות או ללא סיסמאות, שאפשר לגשת אליו רק באופן פנימי, עלול להיפרץ על ידי גורם שיש לו גישה לרשת הפנימית.
איום בסיכון גבוה יכול ליצור משאבי מחשוב בסביבה, אבל לא יכול לגשת לנתונים או להריץ קוד במשאבים קיימים.
ממצא מסוג SCC error class בסיכון גבוה מצביע על כך ששגיאת תצורה גורמת לבעיות הבאות:
- אי אפשר לראות או לייצא חלק מהממצאים של שירות מסוים.
- בסימולציות של נתיבי תקיפה, יכול להיות שהציונים של חשיפת התקפה ונתיבי התקיפה לא יהיו מלאים או מדויקים.
Medium severity
פרצת אבטחה בסיכון בינוני עלולה לאפשר לגורם זדוני לקבל גישה למשאבים או להרשאות שיאפשרו לו בסופו של דבר לגשת לנתונים, לחלץ אותם או להריץ קוד שרירותי. לדוגמה, אם לחשבון שירות יש גישה מיותרת לפרויקטים וגורם זדוני מקבל גישה לחשבון השירות, הוא יכול להשתמש בחשבון השירות הזה כדי לבצע מניפולציה בפרויקט.
איום ברמת סיכון בינונית עלול להוביל לבעיה חמורה יותר, אבל יכול להיות שהוא לא מצביע על גישה נוכחית לנתונים או על הרצת קוד לא מורשית.
Low severity
נקודת חולשה בסיכון נמוך פוגעת ביכולת של צוות האבטחה לזהות נקודות חולשה או איומים פעילים בפריסה, או מונעת את חקירת שורש הבעיה של בעיות אבטחה. לדוגמה, תרחיש שבו ההגדרות של המשאבים והגישה אליהם לא מתועדות ביומנים ולא מתבצע מעקב אחריהן.
איום ברמת סיכון נמוכה השיג גישה מינימלית לסביבה, אבל לא יכול לגשת לנתונים, להריץ קוד או ליצור משאבים.
Unspecified severity
סיווג חומרה של Unspecified מציין שהשירות שיצר את הממצא לא הגדיר ערך חומרה לממצא.
אם מתקבל ממצא ברמת חומרה Unspecified, צריך להעריך את רמת החומרה בעצמכם. לשם כך, צריך לבדוק את הממצא ולעיין בכל מסמך שהמוצר או השירות שיצרו את הממצא מספקים.
מידת חומרה משתנה
חומרת הממצאים בקטגוריית ממצאים יכולה להשתנות בנסיבות מסוימות.
רמות חומרה שמשתנות בהתאם לציון החשיפה להתקפות
במהדורת Enterprise של השירות, רמות החומרה של ממצאי הפגיעות וההגדרות השגויות משקפות בצורה מדויקת יותר את הסיכון של כל ממצא בנפרד, כי רמת החומרה של ממצא יכולה להשתנות בהתאם לציון החשיפה להתקפה של הממצא.
ממצאי נקודות החולשה והגדרות השגיאה נוצרים עם רמת חומרה שמוגדרת כברירת מחדל או כבסיסית, שמשותפת לכל הממצאים בקטגוריית ממצאים נתונה. אחרי שנוצר ממצא, אם הסימולציות של נתיב התקיפה ב-Security Command Center קובעות שהממצא חושף משאב אחד או יותר שסומנו כמשאב בעל ערך גבוה, הסימולציות מקצות לממצא ציון חשיפה להתקפה ומעלות את רמת החומרה בהתאם. אם הממצא נשאר פעיל, אבל הסימולציות מפחיתות בהמשך את ציון החשיפה להתקפה, רמת החומרה של הממצא יכולה גם היא לרדת, אבל לא מתחת לרמת ברירת המחדל המקורית.
ברמות שירות אחרות, רמות החומרה של כל הממצאים נשארות סטטיות.
רמות חומרה שמשתנות בהתאם לבעיה שזוהתה
בכמה קטגוריות של ממצאים, Security Command Center יכול להקצות לממצא רמת חומרה שונה כברירת מחדל, בהתאם לפרטים של בעיית האבטחה שאותרה.
לדוגמה, סיווג החומרה של IAM anomalous grantממצא שנוצר על ידי Event Threat Detection הוא בדרך כלל HIGH. אבל אם הממצא נוצר בעקבות הענקת הרשאות רגישות לתפקיד IAM בהתאמה אישית, חומרת הממצא היא MEDIUM.
צפייה בחומרת הממצאים במסוף Google Cloud
יש כמה דרכים להציג את הממצאים של Security Command Center לפי חומרה במסוףGoogle Cloud :
רגיל ורגיל (גרסה קודמת)
בדף סקירה כללית, אפשר לראות כמה ממצאים בכל רמת חומרה פעילים במשאבים שלכם בקטע כל הסיכונים > טעויות נפוצות בהגדרות.
בדף ממצאים, אפשר להוסיף מסננים לרמות חומרה ספציפיות לשאילתות של הממצאים בחלונית מסננים מהירים.
בדף Vulnerabilities, אפשר לסנן את מודולי זיהוי הפגיעויות שמוצגים לפי רמת חומרה, כדי להציג רק את המודולים שבהם יש ממצאים פעילים ברמת החומרה הזו.
פרימיום
במרכז הבקרה > איומים אפשר לראות כמה ממצאי איומים קיימים בכל רמת חומרה.
בדף ממצאים, אפשר להוסיף מסננים לרמות חומרה ספציפיות לשאילתות של הממצאים בחלונית מסננים מהירים.
בדף בעיות, אפשר לבחור בעיה ואז לראות את הממצאים, כולל רמת החומרה, בחלונית ממצאים.
בדף Vulnerabilities, אפשר לסנן את מודולי זיהוי הפגיעויות שמוצגים לפי רמת החומרה, כדי להציג רק את המודולים שיש בהם ממצאים פעילים ברמת החומרה הזו.
Enterprise
במרכז הבקרה > Threats (איומים), אפשר לראות כמה ממצאי איומים קיימים בכל רמת חומרה.
בדף ממצאים, אפשר להוסיף מסננים לרמות חומרה ספציפיות לשאילתות של הממצאים בחלונית מסננים מהירים.
בדף Vulnerabilities, אפשר לסנן את מודולי זיהוי הפגיעויות שמוצגים לפי רמת החומרה, כדי להציג רק את המודולים שיש בהם ממצאים פעילים ברמת החומרה הזו.
בדף בעיות, אפשר לבחור בעיה ואז לראות את הממצאים, כולל רמת החומרה, בחלונית ממצאים.