בדף הזה מוסבר על חלק מהמידע והשיטות שבהם אפשר להשתמש כדי לתעדף את הממצאים של Security Command Center לגבי נקודות חולשה בתוכנה, הגדרות שגויות, ובמהדורות Premium ו-Enterprise, שילובים רעילים ונקודות צוואר בקבוק (בעיות, באופן כללי). אתם יכולים להשתמש במידע הזה כדי להפחית את הסיכון ולשפר את רמת האבטחה בהתאם לצרכים שלכם בנושא תאימות.
המטרה של התעדוף
הזמן שלכם מוגבל, וכמות הבעיות ב-Security Command Center יכולה להיות גדולה מדי, במיוחד בארגונים גדולים. לכן, חשוב לזהות במהירות את נקודות החולשה שמסכנות את הארגון שלכם בצורה הכי משמעותית, ולטפל בהן.
כדי להפחית את הסיכון למתקפת סייבר על הארגון ולשמור על התאימות של הארגון לתקני האבטחה הרלוונטיים, צריך לתקן את נקודות החולשה.
כדי להפחית ביעילות את הסיכון למתקפת סייבר, צריך למצוא ולתקן את נקודות החולשה שחושפות את המשאבים שלכם הכי הרבה, שקל לנצל אותן או שעלולות לגרום לנזק הכי חמור אם הן ינוצלו.
כדי לשפר ביעילות את מצב האבטחה בהתאם לתקן אבטחה מסוים, צריך למצוא ולתקן את נקודות החולשה שמפרות את אמצעי הבקרה של תקני האבטחה שחלים על הארגון.
בתוכניות Premium ו-Enterprise, הבעיות עוזרות לכם לבצע את המשימות האלה על ידי מתן מידע מפורט על השילובים הרעילים ונקודות החולשה שזוהו בארגון שלכם. בעיה יכולה לכלול גם את רמת החומרה, את ציון החשיפה להתקפה ורשומות CVE עם הערכות CVE של Mandiant (גרסת Preview).
בקטעים הבאים מוסבר איך לתעדף בעיות ב-Security Command Center כדי להשיג את המטרות האלה.
תעדוף לפי ציוני חשיפה למתקפות
באופן כללי, כדאי לתת עדיפות לתיקון שגיאות של בעיה עם ציון גבוה של חשיפה למתקפה, על פני ממצא בעיה עם ציון נמוך יותר או ללא ציון.
למידע נוסף, קראו את המאמרים הבאים:
- שימוש בציונים כדי לתת עדיפות לממצאי תיקון שגיאות
- ציוני חשיפה להתקפות על שילובים רעילים ונקודות חולשה
צפייה בניקוד במסוף Google Cloud Security Command Center
הציונים מופיעים עם הממצאים בכמה מקומות, כולל:
- בדף סקירת סיכונים.
- בעמודה בדף Findings ב-Security Command Center, שבה אפשר לשלוח שאילתות ולמיין את הממצאים לפי ציון.
כדי לראות את הממצאים עם ציוני החשיפה להתקפה הכי גבוהים, פועלים לפי השלבים הבאים:
נכנסים לדף Risk overview במסוף Google Cloud :
משתמשים בכלי לבחירת פרויקטים במסוף Google Cloud כדי לבחור את הפרויקט, התיקייה או הארגון שרוצים לתת עדיפות לפגיעויות שקיימות בהם.
בקטע הבעיות הכי מסוכנות מוצגות בעיות עם דירוג החשיפה הגבוה ביותר להתקפות.
בוחרים בעיה ואז לוחצים על הצגת פרטי הבעיה כדי לפתוח את דף הפרטים של נתיב התקיפה ואת ציון החשיפה לתקיפה.
לוחצים על הצגת כל הבעיות כדי לראות רשימה של כל הבעיות עם ציון רמת החשיפה להתקפות לכל אחת מהן.
מידע נוסף על הדף סקירת סיכונים זמין במאמר הערכת סיכונים במבט חטוף.
צפייה בתוצאות בבקשות תמיכה
במסוף Security Operations, העבודה מתבצעת בעיקר עם cases, שבהם הממצאים מתועדים כהתראות.
במהדורת Enterprise, אפשר לראות את המקרים של שילובים רעילים עם ציוני החשיפה הגבוהים ביותר להתקפות בדף Risk > Cases. אפשר למיין את המקרים לפי ציוני החשיפה שלהם למתקפות.
במאמר הצגת הפרטים של מקרה שכולל שילוב רעיל מוסבר איך לשלוח שאילתות כדי למצוא מקרים ספציפיים של שילובים רעילים.
קביעת סדר עדיפויות לפי פגיעות (CVE) ומידת ההשפעה שלהן
באופן כללי, כדאי לתת עדיפות לתיקון ממצאים עם הערכת CVE של פוטנציאל ניצול גבוה ופגיעות גבוהה, על פני ממצאים עם הערכת CVE של פוטנציאל ניצול נמוך ופגיעות נמוכה.
המידע על CVE, כולל הערכות לגבי ניצול לרעה והשפעה של ה-CVE שסופקו על ידי Mandiant, מבוסס על פגיעות התוכנה עצמה.
בדף סקירה כללית, בלוח הבקרה Vulnerabilities, מפת החום של Top Common Vulnerabilities and Exploits מסכמת את ממצאי הפגיעות בבלוקים לפי הערכות של Mandiant לגבי ניצול הפגיעות וההשפעה שלהן.
כשמציגים את הפרטים של ממצא נקודת חולשה בתוכנה במסוף Google Cloud , אפשר למצוא את פרטי ה-CVE בקטע Vulnerability בכרטיסייה Summary. בנוסף להשפעה ולניצול, בקטע Vulnerability (פרצת אבטחה) מופיעים ציון ה-CVSS, קישורים להפניות ומידע נוסף על הגדרת פרצת האבטחה של CVE.
כדי לזהות במהירות את הממצאים שההשפעה שלהם הכי גבוהה ואת נקודות החולשה שאפשר לנצל, פועלים לפי השלבים הבאים:
במסוף Google Cloud , נכנסים לדף Risk overview.
משתמשים בכלי לבחירת פרויקטים במסוף Google Cloud כדי לבחור את הפרויקט, התיקייה או הארגון שרוצים לתת עדיפות לפגיעויות שקיימות בהם.
בדף סקירת סיכונים, לוחצים על פגיעויות.
בחלונית Top Common Vulnerabilities and Exploits:
לוחצים על החסימה עם מספר שאינו אפס, שבה רמת הניצול וההשפעה הן הגבוהות ביותר. בחלונית מוצגות רק הממצאים שבהם ההשפעה והניצוליות הן ברמה שנבחרה.
לוחצים על המספר בעמודה ממצאים. ייפתח הדף ממצאים עם רשימת הממצאים שמשותף להם מזהה ה-CVE הזה.
בקטע Latest Compute Vulnerabilities with Known Exploits (הפגיעויות האחרונות ב-Compute עם ניצול לרעה ידוע), לוחצים על מזהה משאב בעמודה Virtual Machine (מכונה וירטואלית). ייפתח חלונית עם פרטים על הנכס.
תעדוף בעיות לפי רמת החומרה
באופן כללי, כדאי לתת עדיפות לבעיה או לממצא ברמת חומרה CRITICAL על פני בעיה או ממצא ברמת חומרה HIGH, לתת עדיפות לרמת חומרה HIGH על פני רמת חומרה MEDIUM וכן הלאה.
רמות החומרה מבוססות על סוג בעיית האבטחה, ומוקצות לקטגוריות של ממצאים על ידי Security Command Center. כל הממצאים בקטגוריה או בקטגוריית משנה מסוימת נוצרים עם אותה רמת חומרה.
אלא אם אתם משתמשים ברמת השירות Enterprise, רמות החומרה של הממצאים הן ערכים סטטיים שלא משתנים במהלך חיי הממצא.
במהדורת Enterprise, רמות החומרה של הבעיות מייצגות בצורה מדויקת יותר את הסיכון בזמן אמת של ממצא מסוים. הממצאים נוצרים עם רמת החומרה שמוגדרת כברירת מחדל בקטגוריית הממצאים, אבל כל עוד הממצא פעיל, רמת החומרה יכולה לעלות או לרדת בהתאם לעלייה או לירידה בציון החשיפה להתקפה של הממצא.
הדרך הפשוטה ביותר לזהות את נקודות החולשה ברמת החומרה הגבוהה ביותר היא להשתמש במסננים מהירים בדף ממצאים במסוף Google Cloud .
כדי לראות את הממצאים ברמת החומרה הגבוהה ביותר:
נכנסים לדף Findings במסוף Google Cloud :
משתמשים בכלי לבחירת פרויקטים במסוף Google Cloud כדי לבחור את הפרויקט, התיקייה או הארגון שרוצים לתת עדיפות לפגיעויות שקיימות בהם.
בחלונית Quick filters בדף Findings, בוחרים במאפיינים הבאים:
- בקטע Finding class, בוחרים באפשרות Vulnerability.
- בקטע חומרה, בוחרים באפשרות קריטית, גבוהה או בשתיהן.
החלונית Findings query results מתעדכנת כך שיוצגו בה רק ממצאים עם רמת החומרה שצוינה.
תעדוף לשיפור התאימות
כשמדרגים את הממצאים לגבי מצב האבטחה לפי סדר עדיפות לצורך עמידה בדרישות התאימות, הדאגה העיקרית היא לגבי הממצאים שמצביעים על הפרה של אמצעי הבקרה של תקן התאימות הרלוונטי.
כדי לראות את הממצאים שמפירים את אמצעי הבקרה של מדד השוואה ספציפי:
נכנסים לדף Compliance במסוף Google Cloud :
משתמשים בכלי לבחירת פרויקטים במסוף Google Cloud כדי לבחור את הפרויקט, התיקייה או הארגון שרוצים לתת עדיפות לפגיעויות שקיימות בהם.
לצד שם תקן האבטחה שאתם צריכים לעמוד בדרישות שלו, לוחצים על הצגת פרטים. ייפתח הדף פרטי התאימות.
אם תקן האבטחה שאתם צריכים לא מוצג, צריך לציין את התקן בשדה תקן התאימות בדף פרטי התאימות.
כדי למיין את הכללים שמופיעים ברשימה לפי ממצאים, לוחצים על כותרת העמודה.
אם מוצגת לפחות ממצא אחד בכלל, לוחצים על שם הכלל בעמודה כללים. ייפתח הדף ממצאים שבו יוצגו הממצאים של הכלל הזה.
מטפלים בממצאים עד שלא נשארים ממצאים. אחרי הסריקה הבאה, אם לא נמצאו פגיעויות חדשות בכלל, אחוז הבקרות שעברו בהצלחה יגדל.