En esta página, se explica parte de la información y los métodos que puedes usar para priorizar los hallazgos de Security Command Center sobre vulnerabilidades de software, configuraciones incorrectas y, con los niveles de servicio Premium y Enterprise, combinaciones tóxicas y puntos críticos (problemas, en conjunto). Puedes usar esta información para reducir el riesgo y mejorar tu postura de seguridad en relación con tus necesidades de cumplimiento.
Propósito de la priorización
Debido a que tu tiempo es limitado y el volumen de problemas de Security Command Center puede ser abrumador, en especial en organizaciones más grandes, debes identificar y responder rápidamente a las vulnerabilidades que representan el mayor riesgo para tu organización.
Debes corregir las vulnerabilidades para reducir el riesgo de un ciberataque en tu organización y mantener el cumplimiento de tu organización con los estándares de seguridad aplicables.
Para reducir de manera eficaz el riesgo de un ciberataque, debes encontrar y corregir las vulnerabilidades que exponen más tus recursos, que son más explotables o que causarían el daño más grave si se explotaran.
Para mejorar de manera eficaz tu postura de seguridad con respecto a un estándar de seguridad en particular, debes encontrar y corregir las vulnerabilidades que infringen los controles de los estándares de seguridad que se aplican a tu organización.
En los niveles de servicio Premium y Enterprise, los problemas te ayudan a completar estas tareas, ya que proporcionan información detallada sobre las combinaciones tóxicas y los puntos críticos que se detectan en tu organización. Un problema también puede incluir la gravedad, la puntuación de exposición a ataques y los registros de CVE con evaluaciones de CVE de Mandiant (vista previa).
En las siguientes secciones, se explica cómo puedes priorizar los problemas de Security Command Center para cumplir con estos propósitos.
Prioriza según las puntuaciones de exposición a ataques
En general, prioriza la corrección de un problema que tenga una puntuación de exposición a ataques alta sobre un hallazgo de problema que tenga una puntuación más baja o ninguna.
Para obtener más información, consulta lo siguiente:
- Usa puntuaciones para priorizar las correcciones de hallazgos
- Puntuaciones de exposición a ataques de combinaciones tóxicas y puntos críticos
Visualiza las puntuaciones en la consola de Security Command Center Google Cloud
Las puntuaciones aparecen con los hallazgos en varios lugares, incluidos los siguientes:
- En la página Resumen de riesgos.
- En una columna de la página Hallazgos en Security Command Center, donde puedes consultar y ordenar los hallazgos por puntuación.
Para ver los hallazgos que tienen las puntuaciones de exposición a ataques más altas, sigue estos pasos:
Ve a la página Resumen de riesgos en la Google Cloud consola:
Usa el selector de proyectos en la Google Cloud consola para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
En la sección Problemas más riesgosos , se muestran los problemas que tienen las puntuaciones de exposición a ataques más altas.
Selecciona un problema y, luego, haz clic en Ver detalles del problema para abrir la página de detalles de la ruta de ataque y la Puntuación de exposición a ataques.
Haz clic en Ver todo para ver una lista de todos los problemas con la puntuación de exposición a ataques para cada uno.
Para obtener más información sobre la página Resumen de riesgos, consulta Evalúa el riesgo de un vistazo.
Visualiza las puntuaciones en los casos
En la consola de operaciones de seguridad, trabajas principalmente con casos, en los que los hallazgos se documentan como alertas.
En el nivel de servicio Enterprise, puedes ver los casos de combinaciones tóxicas con las puntuaciones de exposición a ataques más altas en la página Riesgo > Casos. Puedes ordenar los casos según sus puntuaciones de exposición a ataques.
Para obtener información sobre cómo consultar casos de combinaciones tóxicas específicamente, consulta Visualiza los detalles de un caso de combinación tóxica.
Prioriza según la capacidad de explotación y el impacto de la CVE
En general, prioriza la corrección de los hallazgos que tienen una evaluación de CVE de alta capacidad de explotación y alto impacto sobre los hallazgos con una evaluación de CVE de baja capacidad de explotación y bajo impacto.
La información de CVE, incluidas las evaluaciones de capacidad de explotación y de impacto de la CVE que proporciona Mandiant, se basa en la vulnerabilidad del software en sí.
En la página Descripción general, en el panel Vulnerabilidades, el mapa de calor de Principales vulnerabilidades y exploits comunes resume los hallazgos de vulnerabilidades en bloques según las evaluaciones de capacidad de explotación y de impacto que proporciona Mandiant.
Cuando ves los detalles de un hallazgo de vulnerabilidad de software en la Google Cloud consola, puedes encontrar la información de CVE en la sección Vulnerabilidad de la pestaña Resumen. Además del impacto y la capacidad de explotación, la sección Vulnerabilidad incluye la puntuación de CVSS, los vínculos de referencia y otra información sobre la definición de vulnerabilidad de CVE.
Para identificar rápidamente los hallazgos que tienen el mayor impacto y capacidad de explotación, sigue estos pasos:
En la Google Cloud consola, ve a la página Resumen de riesgos.
Usa el selector de proyectos en la Google Cloud consola para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
En la página Resumen de riesgos, haz clic en Vulnerabilidades.
En el panel Principales vulnerabilidades y exploits comunes, haz lo siguiente:
Haz clic en el bloque con un número distinto de cero que tenga la mayor capacidad de explotación y el mayor impacto. El panel muestra solo los hallazgos que tienen el impacto y la capacidad de explotación seleccionados.
Haz clic en el recuento de la columna Hallazgos. Se abrirá la página Hallazgos para mostrar la lista de hallazgos que comparten ese ID de CVE.
En la sección Vulnerabilidades de Compute más recientes con exploits conocidos , haz clic en un ID de recurso en la columna Máquina virtual. Se abrirá el panel de detalles del activo para mostrar información sobre ese activo.
Prioriza los problemas según la gravedad
En general, prioriza un problema o hallazgo con una gravedad CRITICAL sobre un problema o hallazgo con una gravedad HIGH, prioriza la gravedad HIGH sobre una gravedad MEDIUM, y así sucesivamente.
Las gravedades se basan en el tipo de problema de seguridad y Security Command Center las asigna a las categorías de hallazgos. Todos los hallazgos de una categoría o subcategoría en particular se generan con el mismo nivel de gravedad.
A menos que uses el nivel de servicio Enterprise, los niveles de gravedad de los hallazgos son valores estáticos que no cambian durante la vida útil del hallazgo.
En el nivel de servicio Enterprise, los niveles de gravedad de los problemas representan con mayor precisión el riesgo en tiempo real de un hallazgo. Los hallazgos se generan con el nivel de gravedad predeterminado de la categoría de hallazgos, pero, mientras el hallazgo permanezca activo, el nivel de gravedad puede aumentar o disminuir a medida que la puntuación de exposición a ataques del hallazgo aumente o disminuya.
Quizás la forma más sencilla de identificar las vulnerabilidades de mayor gravedad sea usar Filtros rápidos en la página Hallazgos de la Google Cloud consola.
Para ver los hallazgos de mayor gravedad, sigue estos pasos:
Ve a la página Hallazgos en la Google Cloud consola:
Usa el selector de proyectos en la Google Cloud consola para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
En el panel Filtros rápidos de la página Hallazgos, selecciona las siguientes propiedades:
- En Clase de hallazgo, selecciona Vulnerabilidad.
- En Gravedad, selecciona Crítica, Alta o ambas.
El panel Resultados de la búsqueda se actualiza para mostrar solo los hallazgos que tienen la gravedad especificada.
Prioriza para mejorar el cumplimiento
Cuando priorizas los hallazgos de postura para el cumplimiento, tu principal preocupación son los hallazgos que infringen los controles del estándar de cumplimiento aplicable.
Para ver los hallazgos que infringen los controles de una comparativa en particular, sigue estos pasos:
Ve a la página Cumplimiento en la Google Cloud consola:
Usa el selector de proyectos en la Google Cloud consola para seleccionar el proyecto, la carpeta o la organización para los que necesitas priorizar las vulnerabilidades.
Junto al nombre del estándar de seguridad que debes cumplir, haz clic en Ver detalles. Se abrirá la página Detalles de cumplimiento.
Si no se muestra el estándar de seguridad que necesitas, especifícalo en el campo Estándar de cumplimiento de la página Detalles de cumplimiento.
Para ordenar las reglas enumeradas por Hallazgos , haz clic en el encabezado de la columna.
Para cualquier regla que muestre uno o más hallazgos, haz clic en el nombre de la regla en la columna Reglas. Se abrirá la página Hallazgos para mostrar los hallazgos de esa regla.
Corrige los hallazgos hasta que no queden. Después del siguiente análisis, si no se encuentran vulnerabilidades nuevas para la regla, aumenta el porcentaje de controles aprobados.