Encontrar gravidades

Esta página descreve a propriedade severity das conclusões do Security Command Center e os respetivos valores possíveis.

A propriedade severity fornece um indicador geral da importância de corrigir as conclusões de uma determinada categoria de conclusões ou, em alguns casos, subcategoria.

Geralmente, deve corrigir as conclusões de gravidade HIGH antes das conclusões de gravidade LOW, mas, consoante o recurso afetado ou outras considerações, é possível que a correção de uma conclusão de gravidade LOW específica seja mais importante do que uma conclusão de gravidade HIGH.

Gravidade em comparação com a pontuação de exposição a ataques

Pode usar as gravidades das deteções e as pontuações de exposição a ataques para dar prioridade à correção das deteções, mas é importante compreender as diferenças entre as duas.

A gravidade é um indicador geral predeterminado com base na categoria da descoberta. A mesma gravidade predefinida é atribuída a todas as descobertas numa determinada categoria ou subcategoria.

Uma pontuação de exposição a ataques é um indicador dinâmico calculado para uma descoberta após a geração da descoberta. A pontuação é específica da instância da descoberta e baseia-se em vários fatores, incluindo as instâncias de recursos que a descoberta afeta e a dificuldade que um atacante hipotético enfrentaria ao percorrer o caminho de um potencial ponto de acesso ao recurso de elevado valor afetado.

Todos os resultados podem ter uma gravidade. Apenas as conclusões de vulnerabilidades e configurações incorretas suportadas pelas simulações de caminhos de ataque podem ter uma pontuação de exposição a ataques.

Quando priorizar os resultados de vulnerabilidades e erros de configuração, priorize por pontuações de exposição a ataques antes de priorizar por gravidade.

Classificações de gravidade

O Security Command Center usa as seguintes classificações de gravidade, que são apresentadas na coluna Gravidade quando os resultados são apresentados na Google Cloud consola:

• Critical
• High
• Medium
• Low
• Unspecified

Critical gravidade

Uma vulnerabilidade crítica é facilmente detetável e pode ser explorada para resultar na capacidade direta de executar código arbitrário, filtrar dados e, de outra forma, obter acesso e privilégios adicionais em recursos e fluxos de trabalho na nuvem. Os exemplos incluem dados do utilizador acessíveis publicamente e acesso SSH público com palavras-passe fracas ou inexistentes.

Uma ameaça crítica consegue aceder, modificar ou eliminar dados, ou executar código não autorizado nos seus recursos existentes.

Uma SCC errorconclusão de classe crítica significa qualquer um dos seguintes:

• Um erro de configuração impede o Security Command Center de gerar novas descobertas de qualquer gravidade.
• Um erro de configuração impede que veja todas as conclusões de um serviço.
• Um erro de configuração impede a geração de simulações de caminhos de ataque e caminhos de ataque.

High gravidade

Uma vulnerabilidade de alto risco é facilmente detetável e pode ser explorada com outras vulnerabilidades para obter acesso direto à execução de código arbitrário ou exfiltrar dados, bem como obter acesso e privilégios adicionais a recursos e cargas de trabalho. Por exemplo, uma base de dados que tenha palavras-passe fracas ou inexistentes e que só seja acessível internamente pode ser comprometida por um interveniente que tenha acesso à rede interna.

Uma ameaça de alto risco é capaz de criar recursos computacionais num ambiente, mas não consegue aceder a dados nem executar código em recursos existentes.

Uma descoberta de classe de SCC error alto risco indica que um erro de configuração está a causar qualquer um dos seguintes problemas:

• Não pode ver nem exportar algumas das conclusões de um serviço.
• Para simulações de caminhos de ataque, as pontuações de exposição a ataques e os caminhos de ataque podem estar incompletos ou ser imprecisos.

Medium gravidade

Uma vulnerabilidade de risco médio pode permitir que um interveniente obtenha acesso a recursos ou privilégios que lhe permitam, eventualmente, obter acesso e a capacidade de exfiltrar dados ou executar código arbitrário. Por exemplo, se uma conta de serviço tiver acesso desnecessário a projetos e um ator obtiver acesso à conta de serviço, o ator pode usar essa conta de serviço para manipular um projeto.

Uma ameaça de risco médio pode levar a um problema mais grave, mas pode não indicar acesso atual aos dados ou execução de código não autorizada.

Low gravidade

Uma vulnerabilidade de baixo risco dificulta a capacidade de uma equipa de segurança de detetar vulnerabilidades ou ameaças ativas na respetiva implementação ou impede a investigação da causa principal de problemas de segurança. Por exemplo, um cenário em que a monitorização e os registos estão desativados para as configurações e o acesso aos recursos.

Uma ameaça de baixo risco obteve acesso mínimo a um ambiente, mas não consegue aceder a dados, executar código nem criar recursos.

Unspecified gravidade

Uma classificação de gravidade de Unspecified indica que o serviço que gerou a descoberta não definiu um valor de gravidade para a descoberta.

Se receber uma descoberta com uma gravidade de Unspecified, tem de avaliar a gravidade por si próprio investigando a descoberta e revendo qualquer documentação fornecida pelo produto ou serviço que gerou a descoberta.

Gravidade variável

A gravidade das conclusões numa categoria de conclusões pode variar em determinadas circunstâncias.

Gravidades que variam com base na pontuação de exposição a ataques

Se estiver a usar o nível Enterprise do Security Command Center, os níveis de gravidade das conclusões de vulnerabilidade e configuração incorreta refletem com maior precisão o risco de cada conclusão individual, porque a gravidade de uma conclusão pode mudar para refletir a pontuação de exposição a ataques da conclusão.

Com o nível Enterprise, as conclusões de vulnerabilidades e erros de configuração são geradas com um nível de gravidade predefinido ou de base comum a todas as conclusões numa determinada categoria de conclusões. Depois de ser gerada uma descoberta, se as simulações de caminhos de ataque do Security Command Center determinarem que a descoberta expõe um ou mais recursos que designou como um recurso de elevado valor, as simulações atribuem uma pontuação de exposição a ataques à descoberta e aumentam o nível de gravidade em conformidade. Se a descoberta permanecer ativa, mas as simulações reduzirem posteriormente a pontuação de exposição a ataques, o nível de gravidade da descoberta também pode diminuir, mas não abaixo do nível predefinido original.

Se estiver a usar o nível Premium ou o nível Standard do Security Command Center, os níveis de gravidade de todas as descobertas permanecem estáticos.

Gravidades que variam com base no problema detetado

Para algumas categorias de resultados, o Security Command Center pode atribuir um nível de gravidade predefinido diferente a um resultado, consoante os detalhes do problema de segurança detetado.

Por exemplo, a classificação de gravidade da IAM anomalous grantdescoberta gerada pela Deteção de ameaças de eventos é normalmente HIGH. No entanto, se a descoberta for gerada para a concessão de autorizações confidenciais a uma função de IAM personalizada, a gravidade é MEDIUM.

Veja as gravidades das descobertas na Google Cloud consola

Pode ver as conclusões do Security Command Center por gravidade de várias formas na Google Cloud consola: