Auf dieser Seite werden einige der Informationen und Methoden erläutert, mit denen Sie Security Command Center-Ergebnisse zu Sicherheitslücken in der Software, Fehlkonfigurationen und auf der Enterprise-Stufe für schädliche Kombinationen (Sicherheitslücken insgesamt) priorisieren können, damit Sie das Risiko reduzieren und Ihren Sicherheitsstatus im Verhältnis zu Ihren anwendbaren Sicherheitsstandards schneller und effizienter verbessern können.
Der Zweck der Priorisierung
Da Ihre Zeit begrenzt ist und die Menge der Ergebnisse zu Sicherheitslücken in Security Command Center insbesondere in größeren Unternehmen überwältigend sein kann, müssen Sie die Sicherheitslücken, die das größte Risiko für Ihr Unternehmen darstellen, schnell identifizieren und darauf reagieren.
Sie müssen Sicherheitslücken beheben, um das Risiko eines Cyberangriffs auf Ihr Unternehmen zu verringern und die Compliance Ihrer Organisation mit anwendbaren Sicherheitsstandards zu wahren.
Um das Risiko eines Cyberangriffs effektiv zu reduzieren, müssen Sie die Sicherheitslücken finden und beheben, die Ihre Ressourcen am stärksten ausnutzen, die am meisten ausnutzbar sind oder die den schwersten Schaden verursachen würden, wenn sie ausgenutzt werden würden.
Um Ihren Sicherheitsstatus in Bezug auf einen bestimmten Sicherheitsstandard effektiv zu verbessern, müssen Sie die Sicherheitslücken finden und beheben, die gegen die Kontrollen der Sicherheitsstandards verstoßen, die für Ihr Unternehmen gelten.
In den folgenden Abschnitten wird erläutert, wie Sie Ergebnisse zu Security Command Center-Sicherheitslücken priorisieren können, um diese Zwecke zu erfüllen.
Erkenntnisse zu Sicherheitslücken priorisieren, um Risiken zu reduzieren
Ein Ergebnis ist eine Aufzeichnung eines Sicherheitsproblems. Ein Sicherheitslückenergebnis enthält die folgenden Informationen, mit denen Sie die Behebung der Sicherheitslücke priorisieren können:
- Angriffsbewertung oder Bewertung der schädlichen Kombination
- CVE-Einträge mit CVE-Bewertungen durch MandiantVorschau
- Schweregrad
Obwohl Angriffsrisikobewertungen den Ergebnissen für Sicherheitslücken zugeordnet werden, basieren sie in erster Linie auf der Identifizierung potenzieller Angriffspfade vom öffentlichen Internet zu Ihren hochwertigen Ressourcen, dem zugewiesenen Prioritätswert der Ressourcen und darauf, wie viele Ressourcen das Ergebnis betrifft.
Die Bewertung unangemessener Kombinationen gilt für Ergebnisse unangemessener Kombinationen, die ein Merkmal der Enterprise-Stufe von Security Command Center sind. Ein toxischer Kombinationswert ähnelt der Angriffsrisikobewertung bei anderen Arten von Ergebnissen, kann jedoch als Anwendung auf einen Pfad und nicht als Ergebnis einer einzelnen Sicherheitslücke oder Fehlkonfiguration in der Software betrachtet werden. Weitere Informationen finden Sie unter Risikowerte für Angriffe mit schädlichen Kombinationen.
Die von Mandiant bereitgestellten CVE-Informationen, einschließlich der Ausnutzbarkeit und Auswirkungsbewertungen des CVE, basieren auf der Sicherheitslücke selbst.
Die Schweregrade der Ergebnisse basieren auf der Art der Sicherheitslücke und werden von Security Command Center Ergebniskategorien zugewiesen. Alle Ergebnisse in einer bestimmten Kategorie oder Unterkategorie werden mit demselben Schweregrad ausgegeben.
Sofern Sie nicht die Enterprise-Stufe von Security Command Center verwenden, sind Schweregrade von Ergebnissen statische Werte, die sich im Laufe der Lebensdauer des Ergebnisses nicht ändern.
Bei der Enterprise-Stufe stellen die Schweregrade der Sicherheitslücken und der Fehlkonfigurationsergebnisse das Echtzeitrisiko eines Ergebnisses genauer dar. Die Ergebnisse werden mit dem Standardschweregrad der Ergebniskategorie ausgegeben, können jedoch über oder unter den Standardniveau ansteigen, wenn die Angriffsrisikobewertung des Ergebnisses steigt oder fällt, während das Ergebnis aktiv ist.
Nach Angriffsrisikobewertungen priorisieren
Im Allgemeinen sollten Sie der Korrektur von Ergebnissen mit einer hohen Angriffsrisiko- oder einer unangemessenen Kombinationsbewertung Vorrang vor Ergebnissen geben, die eine niedrigere oder keine Bewertung haben.
Nur Ergebnisse zu Sicherheitslücken, die sich auf Ressourcen mit hohem Wert auswirken, werden bewertet. Damit die Bewertungen Ihre geschäftlichen Prioritäten widerspiegeln, müssen Sie zuerst definieren, welche Ihrer Ressourcen einen hohen Wert haben. Weitere Informationen finden Sie unter Ressourcenwerte.
In der Google Cloud Console und der Security Operations Console werden die Punktzahlen mit den Ergebnissen an mehreren Stellen angezeigt, darunter:
- Auf der Seite Übersicht, auf der die zehn Ergebnisse mit den höchsten Punktzahlen angezeigt werden.
- In einer Spalte auf der Seite Ergebnisse, in der Sie Ergebnisse abfragen und nach Punktzahl sortieren können.
- Wenn Sie die Details eines Sicherheitslückenergebnisses ansehen, das eine hochwertige Ressource betrifft.
Ergebnisse zu schädlichen Kombinationen mit Top-Punktzahlen in der Security Operations-Konsole ansehen
In der Security Operations-Konsole arbeiten Sie mit schädlichen Kombinationen hauptsächlich in Fällen. Sie können die Fälle für die Ergebnisse mit den höchsten Punktzahlen auf der Seite Status > Übersicht ansehen.
Ergebnisse mit Top-Punktzahlen in der Google Cloud Console ansehen
In der Google Cloud Console können Sie die zehn Ergebnisse zu Sicherheitslücken mit der höchsten Angriffsrisikobewertung so aufrufen:
Rufen Sie in der Google Cloud Console die Seite Übersicht auf:
Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:
Sehen Sie sich im Abschnitt Wichtigste Ergebnisse zu Sicherheitslücken die zehn Ergebnisse an.
Klicken Sie auf einen Wert in der Spalte Angriffsrisikobewertung, um die Detailseite des Angriffspfads für das Ergebnis zu öffnen.
Klicken Sie auf einen Ergebnisnamen, um den Bereich mit den Ergebnisdetails auf der Seite Ergebnisse zu öffnen.
Weitere Informationen finden Sie unter Angriffsrisikobewertungen und Angriffspfade.
Nach CVE-Ausnutzbarkeit und Auswirkung priorisieren
Im Allgemeinen sollten Sie die Fehlerbehebung für Ergebnisse priorisieren, bei denen eine CVE-Bewertung von hoher Ausnutzbarkeit und hoher Auswirkungen gegenüber Ergebnissen mit einer CVE-Bewertung von geringer Ausnutzbarkeit und geringer Auswirkungen bewertet wurde.
Auf der Seite Übersicht werden im Abschnitt Top-CVE-Ergebnisse ein Diagramm oder eine Heatmap die Ergebnisse zu Sicherheitslücken nach Ausnutzbarkeit und Folgenabschätzungen von Mandiant in Blöcke gruppiert.
Wenn Sie die Details bestimmter Ergebnisse zu bestimmten Sicherheitslücken in der Console aufrufen, finden Sie die CVE-Informationen auf dem Tab Zusammenfassung im Abschnitt Sicherheitslücken. Zusätzlich zur Auswirkung und Ausnutzbarkeit enthält der Abschnitt Sicherheitslücken den CVSS-Wert, Referenzlinks und weitere Informationen zur Definition der CVE-Sicherheitslücke.
So identifizieren Sie schnell die Ergebnisse mit den größten Auswirkungen und der größten Ausnutzbarkeit:
Rufen Sie in der Google Cloud Console die Seite Übersicht auf:
Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:
Klicken Sie auf der Seite Übersicht im Abschnitt Top-CVE-Ergebnisse auf den Block mit einer Zahl ungleich null, die die höchste Ausnutzbarkeit und die höchste Auswirkung haben. Die Seite Ergebnisse nach CVE wird geöffnet. Sie enthält eine Liste der CVE-IDs, die die gleichen Auswirkungen und die gleiche Ausnutzbarkeit haben.
Klicken Sie im Abschnitt Ergebnisse nach CVE-ID auf eine CVE-ID. Die Seite Ergebnisse wird geöffnet und Sie sehen die Liste der Ergebnisse mit dieser CVE-ID.
Klicken Sie auf der Seite Ergebnisse auf den Namen eines Ergebnisses, um die Details und die empfohlenen Abhilfemaßnahmen aufzurufen.
Nach Schweregrad priorisieren
Im Allgemeinen sollten Sie Sicherheitslückenergebnisse mit dem Schweregrad CRITICAL gegenüber einem Sicherheitslückenergebnis mit dem Schweregrad HIGH priorisieren, einen HIGH Schweregrad gegenüber einem MEDIUM Schweregrad priorisieren usw.
Die einfachste Möglichkeit, Sicherheitslücken mit dem höchsten Schweregrad zu ermitteln, besteht darin, auf der Seite Ergebnisse in der Google Cloud Console Schnellfilter zu verwenden.
So rufen Sie die Ergebnisse mit dem höchsten Schweregrad auf:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf:
Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:
Wählen Sie auf der Seite Ergebnisse im Bereich Schnellfilter die folgenden Eigenschaften aus:
- Wählen Sie unter Finding class (Ergebnisklasse) die Option Vulnerability (Sicherheitslücke) aus.
- Wählen Sie unter Schweregrad die Option Kritisch, Hoch oder beides aus.
Der Bereich Ergebnisse der Ergebnisabfrage wird aktualisiert und zeigt nur Ergebnisse mit dem angegebenen Schweregrad an.
Die Schweregrade der Ergebnisse für Sicherheitslücken werden auch auf der Seite Übersicht im Abschnitt Ergebnisse zu aktiven Sicherheitslücken angezeigt.
Priorisierung der Ergebnisse zu Sicherheitslücken, um die Compliance zu verbessern
Wenn Sie die Ergebnisse zu Sicherheitslücken in Bezug auf Compliance priorisieren, sind die Ergebnisse, die gegen die Kontrollen des anwendbaren Compliancestandards verstoßen, für Sie wichtig.
So können Sie die Ergebnisse sehen, die gegen die Kontrollen einer bestimmten Benchmark verstoßen:
Rufen Sie in der Google Cloud Console die Seite Compliance auf:
Verwenden Sie die Projektauswahl in der Google Cloud Console, um das Projekt, den Ordner oder die Organisation auszuwählen, für die Sie Sicherheitslücken priorisieren möchten:
Klicken Sie neben dem Namen des Sicherheitsstandards, den Sie einhalten müssen, auf Details ansehen. Die Seite Compliance-Details wird geöffnet.
Wenn der von Ihnen benötigte Sicherheitsstandard nicht angezeigt wird, geben Sie ihn im Feld Compliancestandard auf der Seite Compliance-Details an.
Sie können die aufgelisteten Regeln nach Ergebnissen sortieren, indem Sie auf die Spaltenüberschrift klicken.
Klicken Sie für jede Regel, die ein oder mehrere Ergebnisse enthält, in der Spalte Regeln auf den Regelnamen. Die Seite Ergebnisse wird geöffnet, um die Ergebnisse für diese Regel anzuzeigen.
Beheben Sie die Ergebnisse, bis keine Ergebnisse mehr sind. Wenn nach dem nächsten Scan keine neuen Sicherheitslücken für die Regel gefunden werden, erhöht sich der Prozentsatz der bestandenen Kontrollen.